Heute ereilte mich der Newsletter einer Bank, bei der ich ein Konto führen lasse, in dem man demonstriert, wie man es nicht macht:
1. Nachdem ich mir nicht mehr sicher war, ob diese Bank meine eMail-Adresse kannte, warf ich einen Blick hinein: nur (stilistisch schlechtes, und meines Erachtens auch eher invalides) HTML in dieser eMail, das von meinem Mailreader als Quelltext angezeigt wurde. Besonders nett fand ich die folgenden Zeilen:
<!-- saved from url=(0155)file://C:\Dokumente%20und%20Einstellungen\XXXX\Lokale%20Einstellungen\ Temporary%20Internet%20Files\OLK169\Bank%20Institut%20News%20November%2020052.html -->
(Umbrüche und Anonymisierung durch mich)
2. Angesprochen wurde ich in dieser eMail mit einem anderen Namen, offenbar kann sich jeder mit jeder beliebigen eMail-Adresse dort anmelden, confirmed opt-in existiert als Standard für seriösen Newsletter-Versand ja erst ein paar Jahre.
3. Der Newsletter wurde offenbar von einem externen Dienstleister versendet, so daß in den Mail-Headern nicht die Bank auftaucht, sondern eben dieser Dienstleister. Eine Unterscheidung zu einer Phishing-Mail wird dadurch nicht einfacher.
4. Nach einer kurzen Recherche war mir dann auch klar, wer der beauftragte Dienstleister ist - vorsichtig formuliert ist seine Geschäftspraxis umstritten, wie ich auch aus eigener Erfahrung weiß.
5. Den Höhepunkt stellten dann aber Links wie der folgende dar. Links in Phishing-Mails sehen praktisch genauso aus:
<A style="COLOR: #000000" href="http://de.dienstleister.invalid/re?l=XXXXXXXXXX" target=_blank>www.bank-institut.invalid</A>
(Umbrüche und Anonymisierung durch mich)
Die URI im Klartext (www.bank-institut.invalid) unterscheidet sich von der, die dann aufgerufen wird (http://de.dienstleister.invalid/re?l=XXXXXXXXXX). Die URI beim Dienstleister war zwar nur eine Weiterleitung auf die im Klartext angegebene URI, das ist jedoch vor Aufruf nicht absehbar.
Nachdem die letzten Tage wieder dieser Newsletter aufschlug und diesmal auch durch meine Spamfilter rutschte, wollte ich den Unsubscribe-Link nutzen, um mich auszutragen - dieser Unsubscribe-Link zeigte natürlich auf die Systeme des mit dem Newsletter-Versands beauftragten Dienstleisters.
Mein erster Versuch brachte mir nur folgende wenig aussagekräftige Fehlermeldung ein:
Fehler! (System-wide error page) Status Code: 404 Error Message: Request URI: /core/ecm/public/unsubscribe_db.jsp
Geleitet von meinem Bauchgefühl, schaltete ich Javascript ein und tatsächlich: plötzlich funktionierte der Link zum Austragen. Glückwunsch! Beim Wettbewerb um den Preis für sinnlose Verwendung von Javascript landet man so ziemlich weit vorne.
Wenig später traf auch noch eine eMail von jenem Dienstleiter ein. Die Header waren nicht auffälig, bis auf das fehlende Subject - ein Zeichen für Spam oder einen unhöflichen Kommunikationspartner. Der Body war wohl unvollständig, er bestand nur aus folgendem Text:
Hallo XXXX YYYYY,
(Anonymisierung durch mich, der angegebene Name war nicht der meinige)
Soviel Fehler kann man eigentlich gar nicht machen - außer, man weiß nicht, was man tut. Dann sollte man jedoch wiederum vermeiden, damit sein Geld zu verdienen. Als Nebeneffekt blieb diese eMail in meinem Spammfilter hängen, ein weiteres Versagen für einen professionellen Versender von Newslettern.