Mathematical Science Brains behind Donald Trump – Robert Mercer, Eugene Fama, Benoit Mandelbrot

Mandelbrot Fractals

One of the well-known secrets of the Donald Trump successful campaign is the extensive use of modern technology for voter analysis, media communication and fund-raising and campaign management.

Much like a Silicon Valley start-up, the Donald Trump promotion machine was created in a couple of weeks and was built for low-cost and rapid change. It is estimated the Hillary Clinton crew spent twice the amount for her campaign than Donald Trump. Robert Mercer, the Hedge-Fund Tycoon and co- C.E.O of Renaissance Technologies (ref New Yorker background paper) Hedge Fund, was the key „technology provider“ and a major money provider to Donald Trump’s campaign. To my knowledge Robert Mercer is the only scientist who made his fortune based on mathematics. The key theory for statistical analysis of financial data was developed by the polish-born, french mathematician and „fractalist“ Benoit Mandelbrot.

I met Benoit Mandelbrot in 1978 when I was programming graphic applications for the 801 RISC system at the IBM Research Center, Yorktown Heights using  my graphic application system  (developed at the IBM Lab in Germany) . In 1978 high-resolution graphic workstations and adequate programs were rare even at IBM. From time to time an elderly scientist would show up and ask very politely whether I could display and print some data he had generated. He never forgot to say thank you when the work was finished. At that time the subject of his research seemed to be not  important to the fellow scientists and the IBM management. Benoit Mandelbrot was hired by IBM because his work was related to the forecast of stock prizes. Eugene F. Fama Published his  PhD Thesis The Behavior of Stock Market Prices in 1964. E.F. Fama received the Nobel Prize in 2013. Poor Benoit Mandelbrot did not get a Nobel Prize. The work of Mandelbrot and Fama established the application of statistical methods to the analysis of business data. The lack of powerful computers limited their work.

Robert Mercer worked at the IBM Research Lab in Yorktown Heights, N.Y.  at the same time in the speech recognition team introducing statistical methods to speech recognition. Scientist had access to powerful computers, which allow the analysis of large amounts of data. In 1993 Robert Mercer was hired by Renaissance Technologies, where he applied  the techniques used for speech recognition to the analysis and prediction of stock prizes and made a fortune.  The Medallion Fund with assets worth $65 billion is managed by computer algorithms (quantitive trading) and mostly owned by the employees of Renaissance Technologies.  It is considered to be the most successful fund with a positive track record of 20 years. Math pays off.

Key to the successful campaign of Donald Trump was not money but the technology people supporting the campaign. Robert Mercer provided a people pool from his company  Cambridge Analytica to support the campaign. It is questionable how much impact the products of Cambridge Analytica had on the outcome. For sure the high-tech people did. Today it is not so important how much money is spent on a campaign but how many High-Techs in marketing, media, big data analysis and IT operation can be recruited  for the campaign team in a short time. A very good social network is required. Certainly it helps if you have money to spend.

Motivated probably by his daughter, Robert Mercer applies his winning skills to politics and management of a country – an interesting experiment.

Reporters are wondering about the motivation of Robert Mercer. My guess it is his dedication to winning. In the Research Lab he had to outsmart his fellow scientists and to win the attention of the scientific world. He applied this skills  to the financial world, but also to sailing ( much like Oracle Boss Larry Ellison)  or poker. Whatever he does – he wants to win.  In contrast politicians, like Hillary Clinton, have a long loser record. It takes a long time and endless compromising to get to the top.

PS The three mathematicians were 1st or 2nd generation immigrants from Poland, Italy and Canada!

Advertisements

Zuviel Strom in Kalifornien

smog-caWährend in Deutschland obskure und teure Technologien zur Energieerzeugung wie Biogas oder Müllverbrennung subventioniert werden, setzt Kalifornien voll auf die Solartechnologie. Kalifornien hat das Unglück, daß sich dort täglich durch den Autoverkehr und den Betrieb von Klimaanlagen übler Smog entwickelt. Dafür scheint aber fast immer die Sonne, die man mit moderner Solartechnologie nutzen kann. Bereits 2024 wird in Kalifornien am Tag mehr Strom erzeugt als verbraucht wird. In Hawaii ist das bereits heute der Fall. Die Sonne scheint in Kalifornien wesentlich zuverlässiger als z.B. in Deutschland der Wind weht. Demnächst wird aber auch in Deutschland am Tag mehr Strom von Solaranlagen erzeugt werden als verbraucht wird. (Die Solarthermie hat ein ähnliches Problem. Im Sommer wird das Wasser so stark aufgeheizt, daß z.B. der Dachstock in Brand geraten kann, wenn man nicht gerade einen Swimming Pool hat, den man auf Hot Tub Temperatur aufheizen kann. )

Es ist natürlich völlig sinnlos Solaranlagen bei Überproduktion abzuschalten. Allerdings wird in Kalifornien viel Strom am Abend benötigt, wenn die arbeitende Bevölkerung nach Hause fährt und dort eventuell sogar noch das Elektroauto aufladen will.

Mit der für Elektroautos genutzten Batterietechnologie kann man Stromspeicher für lokale Netze aufbauen, die am Tag geladen werden und Energie für etwa 4 Stunden speichern können. Das reicht aus um die Spitzenbelastung abzufedern. In der Nacht übernehmen dann mit Gas betriebene, konventionelle Kraftwerke die Grundlast. Durch die Konzentration auf die Solartechnologie erreicht man niedrigere Preise als bei dem Technologie-Wirrwar in Deutschland. Es ist eine Illusion, daß staatliche Regulierung die Investitionen sinnvoll im Sinne der Verbraucher und zur Sicherung der Versorgung lenken können.

TESLA hat natürlich bereits erkannt daß durch die Nutzung der Batterien im Netz und in Autos die Preise gesenkt werden können.

PS Die Regeln der kalifornische Umweltbehörde sind übrigens wesentlich vernünftiger als die EU Regeln. Für ältere Autos gibt es sehr vernünftige Übergangsregelungen. Die Zulassungsbehörde kämpft da nicht gegen die Physik. Alle Fahrzeuge müssen alle 2 Jahre zum Smog-Check, wenn sie in „Smog Zonen“ zugelassen sind. Die Landeier können weiter ihren alten Autos fahren oder ältere Autos aus den Smog-Zonen billig erwerben.  Dieselfahrzeuge, die vor 1997 gebaut wurden, werden nicht mehr geprüft. Da weiß man, daß man da ähnlich wie bei Oldtimern technisch nichts mehr sinnvoll ändern kann.

Wie konnte Facebook so schnell wachsen – Crowd Development

Free FacebookDie deutschen Informatiker schauen  an die US West Coast und wundern sich, wie schnell dort Ideen (meist sogar ziemlich alte) in erfolgreiche neue Produkte umgesetzt werden. Das Geheimnis liegt in der unkonventionellen Art wie die Produkte entwickelt werden. Jenseits des „offiziellen“ Management Sprechs beschreibt der Entwickler Ben Blumenfeld, wie in den ersten fünf Jahren bei Facebook entwickelt wurde. Anstatt den von deutschen Informatikern und deren Managern geforderten geordnetem Entwicklungsablauf  mit Marktanalyse, Anforderungen, Entwurf, Codierung und Test verlief die Entwicklung extrem chaotisch. Gruppen von Entwicklern taten sich zusammen und entwickelten, was sie für notwendig hielten. Die Methoden wurden flexibel gemäß den Anforderungen und den Kenntnissen und der Erfahrung der Entwickler gewählt. Irgendwann tauchten diese Projekte dann auf dem Bildschirm von Mark Zuckerberg auf und wurden dann offiziell. Manche Projekte, die nicht auf der offiziellen Linie lagen, mussten geheim durchgeführt werden. Das Management versuchte nicht, die Arbeitszeit jedes Mitarbeiters zu kontrollieren. Zur gewissen Zeitpunkten tauchten diese Projekte dann auf und wurden entweder fortgeführt oder aufgegeben.

Mit dem Anwachsen der Benutzerzahlen mussten natürlich offizielle Prozesse für  Integration, Test und Release eingeführt werden. Der Schwerpunkt lag am Anfang aber auf der Implementierung neuer Ideen. So ähnlich lief am Anfang auch die Entwicklung bei Microsoft, Apple, Amazon u.a., die heute Marktführer sind. Zum Teil gelingen solche Projekte auch in etablierten Firmen wie SAP (Hana) oder IBM (Watson) wenn man wenigstens einer kleinen Gruppe von Entwicklern in der Firma Freiheiten gewährt und sich das Management wenigstens ein bischen etwas zutraut.

Für diese Art der Entwicklung braucht man viele eigenständige und kreative Entwickler, die für erfolgreiche Arbeit nicht nach Tarif, sondern mit einigen Millionen $ belohnt werden. Mit einer Herde von Lämmern und Hasenfüßen kann man solche Projekte natürlich nicht durchführen. Anstatt Start Up Unternehmen  bekommt man dann Shut Down Landschaften.

Falsches Alibi durch Fußfessel – GPS Jammer

GaunerNicht nur die deutsche Polizei hat Probleme der Überwachung von „Gefährdern“. In den USA ist eine Fußfessel offensichtlich ein zu komplexes Gerät für amerikanische Polizisten. Der Schütze, der eine Frau in Washington D.C. erschoß, hatte ein wasserdichtes Alibi. Die Polizei hatte ihm eine Fußfessel verpasst. Die GPS Signale zeigten an, daß der Mörder  zur Tatzeit brav in seiner Wohnung weitab vom Tatort war. Trotzdem wurde er am Tatort gesehen und identifiziert. Des Rätsels Lösung: Dem Täter war früher ein Bein amputiert worden und er trug eine Beinprothese. An dieser Prothese befestigte ein Polizist die Fußfessel. Der Täter legte nun sein „offizielles“ Bein in seiner Wohnung ab und war mit einer Ersatzprothese unterwegs.

Man kann sich eine GPS Tarnung aber einfacher besorgen. Chinesische Firmen bieten kleine GPS Jammer in Größe einer Zigarettenschachtel für etwa 20 $ an, mit denen man die GPS Signale in einem Umkreis von 15 m lahm legen kann. Man kann dann durch GPS nicht mehr geortet werden, selbst wenn Böswillige oder der mißtrauische Ehepartner einen GPS Sender am Auto angebracht haben. Geräte mit größerer Reichweite werden von Firmen und vom Militär eingesetzt, um z.B. Drohnen, die sich selbst mit GPS steuern, abzuwehren. In der Nähe des neuen US Präsidenten wird man wohl bald kein GPS mehr empfangen können. Die NSA wird dann aber auch die Zuhörer nicht einfach identifizieren können. Natürlich gibt es auch GPS Jammer, die das Mobiltelephon z.B. im Restaurant oder an bestimmten Orten lahmlegen um z.B. bei Raub einen Anruf bei der Polizei zu verhindern.

Natürlich sind diese Geräte in Deutschland und anderen Staaten verboten. Allerdings gibt es alleine in der Umgebung von Washington D.C. über 100 Anbieter von GPS und GSM Jammern. Die Gauner sind den Ordnungskräften da sicher einen Schritt voraus.

Vorsichtige sollten wieder lernen ihr Auto nach Verkehrsschildern und mit Karten aus Papier ans Ziel zu bringen.

Autofill Superfishing mit Safari und Chrome

CyberwarkerZur Zeit gehen viele Emails bei mir ein, in denen man aufgefordert wird, ein Formular auszufüllen und per Email abzusenden. Themen der Emails sind z.B. Gewinne, Angebote für Prämien, Drohbriefe usw. Dahinter steht meist eine neue Art von Phishing mit der viele Benutzerdaten durch Autofill Phishing abgegriffen werden. Betroffen sind dabei die „komfortablen“ Browser wie Safari und Chrome sowie Derivate dieser Browser. Der Firefox Browser ist davon nicht betroffen. Grundsätzlich sollte man keiner Aufforderung folgen, auf einen Link zu einer unbekannten, ungewollten Webseite zu klicken.

Es wird empfohlen speziell Passwörter nicht durch Autofill und auch nicht durch Copy/Paste (auch bei Firefox) einzugeben. Da die Daten im Copy/Paste Buffer von jeder beliebigen besuchten Websites ausgelesen werden können. Grundsätzlich wird empfohlen, das automatische Nachladen von externen Inhalten im Browser zu sperren sondern nur nach Bestätigung durch den Benutzer zu erlauben. Das ist sehr wirksam gegen versteckte Angriffe aber leider auch lästig, da viele Webseiten externe Inhalte nachladen.

Siehe auch: Passwort Diebstahl – komplizierte Passwörter sind sinnlos

Identity Management in Deutschland – Anfängerfehler

Hacker

Unbekannte Identität

In der  globalen Welt verlieren Staatsangehörigkeit, Bürgerrechte und Pflichten immer mehr an Bedeutung. Die klassischen Methoden für die Administration von Staatsbürgern, Besuchern, „Gastarbeitern“, Fremdarbeitern und Einwanderern funktionieren in der heutigen globalisierten Welt nicht mehr. Innerhalb von Stunden kann man in andere Kontinente reisen und innerhalb von Sekunden kann man im Web in einem anderen Land aktiv werden kann.

Die Grundlage jedes Systems im realen Leben und in der IT ist die Identifikation der Teilnehmer und die Definition der Regeln sowie deren Überwachung. Verbunden mit der Identität sind Zugehörigkeit zu Gruppen (Staat, Firma, Kirche usw) und daraus abgeleitete Rechte und Pflichten wie z.B. Aufenthaltsrecht, Freizügigkeit, Steuer, Wehrpflicht, Führerschein usw. Damit verbunden sind Rechte bei der Justiz auf Einhaltung der Rechte zu klagen aber auch von anderen verklagt zu werden.

Die Identität wird in der heutigen Welt meist von Staaten vergeben. Zunächst durch Eintragung in ein Personenregister (vielfach macht das noch die Kirche) und durch Ausgabe eines möglichst fälschungssicheren Ausweises. Das hat einigermaßen funktioniert solange die Bürger sich regional nur im eigenen Staat bewegten. Natürlich konnte man schon immer Ausweise fälschen oder sich durch Bestechung einen falschen Ausweis ausstellen lassen. Ausländische Ausweise sind häufig nicht mehr zuverlässig und können nicht überprüft werden. Schon in den 80er Jahren konnte z.B. ein Russe in New York mit einem Smartcard Führerschein in Minuten ein Auto mieten während ich mit meinem deutschen grauen Lappen fast eine Stunde warten musste – man traute dem deutschen Führerschein nicht! Letztendlich wurde mein Firmenausweis (auch eine Smartcard) akzeptiert. Die Hertz Mitarbeiter wussten natürlich nicht, dass es in Russland gar keine Smartcard Führerscheine gab aber sehr gute Smartcard Drucker verfügbar waren. Es genügt nicht einen Ausweis auszustellen – Behörden, Unternehmen und sogar Privatpersonen sollten ihn überprüfen können. Nun weiß man in Deutschland einigermaßen wie ein deutscher Ausweis aussieht und kann ihn zumindest grob überprüfen. Ausweise aus arabischen Staaten können Deutsche z.B. weder lesen noch die Jahreszahlen umrechnen. Man verwendet ja nicht überall die westliche Zählweise und die Geburt Jesu als Nullpunkt! Allenfalls speziell ausgebildete Beamte z.B. an Flughäfen können ausländische Ausweise mit speziellen Geräten prüfen. Gegen korrekte amtliche Ausweise, die mit falschen Daten ausgegeben wurden, sind auch diese Beamte hilflos. Viele Personen haben auch völlig legal mehrere Ausweise und können diese beliebig einsetzen.

Ausweise werden Personen durch biometrische Merkmale wie Porträtphoto, Unterschrift, Fingerabdruck, Irisbild, Stimme u.a. an reale Personen gebunden. Photo und Unterschrift können auch Laien auf Plausibilität grob prüfen. Ist das Photo aber schlecht gemacht, gelingt die Identifikation nicht. Mein Photo für die „Fast Lane“ am JFK Flughafen wurde von einem US Army Veteranen z.B. so ungeschickt gemacht, dass bei Vorträgen über Identifikation niemand mich identifizieren konnte! Sind die Bilder älter als 10 Jahre und haben sich Bart- und Haartracht geändert, wird die Prüfung schon schwierig. Mit IT Systemen kann man sowohl gute Porträtphotos als auch Unterschriften in Datenbanken mit mehreren Millionen Einträgen vergleichen und Personen identifizieren. Die Systeme arbeiten sehr schnell und mit besserer Qualität als menschliche Prüfer. Die Fehlerraten sind relativ hoch genügen aber für Plausibilitätsprüfungen und die Identifikation von Duplikaten.

Auch bei Fingerabdrucksystemen ist die Fehlerrate bei einem einzelnen Fingerabdruck recht hoch. Vergleicht man allerdigs 10 Finger, wie in der Kriminalistik üblich, kann man Personen in Millionen von Einträgen identifizieren. Dieses Verfahren kann man wohl im täglichen Leben nicht einsetzen. Sowohl bei der Unterschrift als auch beim Fingerabdruck lassen sich manche Personen nicht registrieren. Etwa 10% der deutschen Bevölkerung können keine verlässliche Unterschrift leisten. Der Fingerabdruck verändert sich z.B. bei Handwerkern und Musikern (Gitarre, Kontrabaß) und auch bei Kälte. Dann arbeiten z.B. die Türöffner mit Fingerabdruck Systemen nicht zuverlässig.

GroupHat man die Identität festgestellt wartet schon das „Wer darf Was“ Problem. Ein relatives simples Beispiel ist z.B. das Zutrittssystem einer Firma. Hierfür werden die Mitarbeiter bestimmten Gruppen zugeordnet und Zugangszonen eingerichtet wie z.B. Allgemein, Rechenzentrum, Postraum, Forschungsabteilung, Fertigung usw. Schon das Management solcher einfacher Systeme kann sehr komplex werden.

Bei staatlichen Stellen gibt es unzählige Gruppen von Mitarbeitern und „Kunden“, die unterschiedliche Rechte und Pflichten haben, die meist unklar definiert sind und gemäß vielen Gesetzen und Verordnungen gebildet werden. Dabei sind Fehlern und Willkür Tür und Tor geöffnet. Wer ist z.B. in Deutschland ein Flüchtling und welche Rechte und Pflichten hat man als Flüchtling in welcher Stadt, in welchem Bundesland,  in der EU?

In der IT von Großfirmen ist Identity Management und die Verwaltung der Benutzerechte ein Schlüsselthema. Allerdings gibt es große Unterschiede beim Grad der Umsetzung. Es gibt aber inzwischen Methoden und Verfahren wie man das Problem angeht. Ein ganz wichtiges Prinzip ist dabei die Selbstorganisation. Komplexe Systeme lassen sich zentral nicht effizient verwalten.

Bei den staatlichen Stellen in Deutschland,  sowohl bei der Gesetzgebung als auch in der Verwaltung, fehlt das Bewußtsein (Awareness) als auch die Methodik für die Umsetzung. So ist es kein Wunder, daß die staatliche Verwaltung bei der Erfassung der vielen Flüchtlinge 2016 völlig versagt hat. Dabei kann man solche Probleme mit heutigen Mitteln der IT und der Kommunikation einfach und schnell lösen. Beim Tsunami 2004 in Südostasien (230 000 Tote) wurde innerhalb von zwei Wochen von freiwilligen Mitarbeitern der IBM ein zentrales Meldesystem für Millionen von Betroffenen basierend auf einem Standard Portal aufgebaut. Mit der heutigen Cloud/Smartphone  Infrastruktur ginge das noch schneller. Typisch ist dabei, daß das System mit privater Initiative aufgebaut wurde. Die staatlichen Stellen waren hilflos.

Bei der Administration der Flüchtlingswelle 2016 in Deutschland wurden vier grundlegende Fehler gemacht:

  • Es wurden keine sicheren, vom Staat geprüften Ausweise beim Eintritt in das Staatsgebiet ausgegeben.
  • Es wurde kein zentrales Register angelegt (geht ja nicht wann man die Teilnehmer nicht identifizieren kann)
  • Es wurde kein weitgehend automatisiertes Meldesystem eingerichtet (Wer ist wo?)
  • Die auch bei den Flüchtlingen vorhanden Infrastruktur mit Smrtphones wurde nicht konsequent genutzt.

Als sicheeuro_10ren Ausweis hätte man z.B. einen numerierten Geldschein verwenden können. Geldscheine sind relativ schwierig zu fälschen und können sogar an Registrierkassen mit einfachen Geräten geprüft werden. Ordnet man der Nummer des Geldscheins (kann mit Smartphone) eingescannt werden und als Zugangsindex zu einer zentralen Datenbank mit Personaldaten und Photos verwendet werden. Damit könnte man ein dezentrales Identitätssystem in wenigen Wochen aufbauen. Mal sehen wie lange die deutschen Behörden brauchen werden, bis ein solches Basis System in Betrieb gehen kann.

Cyberwarker gesucht

CyberwarkerIn der S-Bahn beklagten sich neulich zwei IT-Arbeiter über ihr trostloses Dasein in einem Entwicklungslabor einer großen IT-Firma. Die Kapriolen des höheren Managements und die begrenzte Einsicht ihrer direkten Manager bescherte ihnen wohl ein recht freudloses Dasein. Zu Recht beklagten sie sich, dass zur Zeit nur Sicherheitsexperten attraktive Arbeit und ordentliche Löhne erhalten könnten. Genau das hätten sie aber an den deutschen „Hochschulen“ nicht gelernt.

Auf diesem Gebiet sind Länder wie Russland u.a., in denen anders als in Deutschland Mathematiker und Informatiker hoch geachtet werden, uns offensichtlich weit voraus. Die russischen Militärs haben mit ihren Methoden (siehe NY Times Artikel) offensichtlich kein Problem, das notwendige Fachpersonal zu rekrutieren. Auch das englische Militär konnte 1000 Cyberwarker relativ einfach anwerben.

Das deutsche Militär arbeitet offensichtlich mit einer anderen Strategie und versucht Mitarbeiter ohne Hauptschulabschluss zu heuern. Wer wenig weiß kann auch wenig verraten!

Die Bundestagswahl 2017 verspricht spannend zu werden – wer wird welche Partei, wo und wie unterstützen? Die Parteien versuchen sich gerade mit einigen Mitarbeitern mit Facebook und Twitter vertraut zu machen. Julia Klöckner, CDU Rheinland-Pfalz, kann da sicher einige Tipps geben, wie man mit einer exzessiven Twitter Kampagne eine Wahl verlieren kann. Interessant werden aber die Beeinflussungvon außen sein. Die deutschen Parteien haben weder genügend Knowhow noch die Mittel entscheidend in den Cyberwar einzugreifen.

Beim Chaos Computer Club Kongress konnte man ein wenig in das Milieu hinein schnuppern. Die Profis trifft man dort allerdings nicht.

 

Wünsche fürs Neue Jahr 2017

So einfach kann man in Perth, Australien einen Arzt auch an den Feiertagen ins Haus rufen. Doktor kommt ins Haus

Keine Kosten für gesetzlich Versicherte!
#2017-1 Neue Ideen braucht das Land

Yahoo Diebstahl über Fake Cookies

HackerDen Weltrekord für Verlust von Benutzer Daten hält nun Yahoo. Über 1 Milliarde Benutzerdaten mit Namen, Geburtstag, Telefon Nummer, Passwörtern usw wurden mit einer Attacke abgegriffen, die Sicherheitspraktiker schon lange kennen, die aber offensichtlich die Organisatoren der Yahoo Website nicht kannten oder nicht beachteten. Die Hacker fälschten die von Yahoo erstellten Cookies für Zugriff ohne Passwort.  Offensichtlich hatten sie Zugriff auf die „geheimen“ Programme von Yahoo mit denen diese Cookies erstellt und verwaltet werden.

Dies ist ein klassischer Fall von „Security through Obscurity„,  der bekanntlich irgendwann schief geht. Diese Methode wird aber immer wieder verwendet. Früher z.B. für die PINs der deutschen Banken, für die Zugriffscodes deutscher Autos usw. Man will sich damit ein komplexes Management der Schlüssel für die Verschlüsselung der Daten sparen und den Benutzer nicht mit der häufigen Eingabe von Passwörtern vertreiben.

Während Mathematiker immer komplexere Verfahren zur Verschlüsselung der Daten entwickeln, weiß der erfahrene Hacker, daß man Fehlstellen in den komplexen Abläufen zur Erstellung und Verwaltung der Schlüssel suchen muss oder Pfade, die nicht sicher sind.  Eine Schwachstelle findet man immer. Je komplexer die Systeme werden, desto häufiger wird man Schwachstellen finden. Es gibt ganz wenige Sicherheitsexperten, die komplexe Systeme ganzheitlich betrachten und analysieren können. Der größte Teil der Experten und der Sicherheits IT Industrie ist auf Jahre hinaus noch in der Lernphase. Damit wird z.B. das Internet of Things (IoT) in den nächsten Jahren extrem gefährdet sein. Eine gute Nachricht:  die Daten privater Benutzer werden uninteressant,  sie sind im Web bereits weitgehend verfügbar.

 

PayPal Phishing mit Adressen aus Deutschland

 Zur Zeit wird massenhaft ein recht plumper PayPal Phishing Versuch verschickt. Dabei werden sowohl Email Adressen und Server Namen mit .de Endung verwendet. Früher wurden solche Attacken noch zu Servern im Ausland geleitet. Das ist selbst für digital Naive verdächtig. Jetzt benutzt man offensichtlich deutsche Email Adressen (1&1) und deutsche (oder britische in Deutschland) Host Domains. Mit WhoIs kann man leicht feststellen dass z.B. die Domain startdedicated.de dem Hostmaster intergenia AG gehört. Nun kann sich ein Hostmaster sicher nicht um alle Kundenserver kümmern. Er sollte aber eine Webmaster Email Adresse angeben, bei der Mißbrauch gemeldet werden kann. Bei der intergenia AG scheinen aber die Eigentumsverhältnisse und die Zuständigkeiten ziemlich kompliziert zu sein. Will man sich als Deutscher bei einer Firma in England beklagen, hat man wohl wenig Aussicht auf Erfolg. Als Web Helfer hat man schließlich keine Lust mit sich mit Firmeninterna zu beschäftigen. Als Kunde sollte man aber Hoster meiden, die nicht konsequent gegen SPAM Schleudern vorgehen. Deren Domains kommen schnell auf Sperrlisten. Da möchte man nicht unbedingt betroffen sein. 

__________________________________________

paypal_phish

 

 

 

Email Source Code der PayPal Attacke:

Return-Path: <kundenservice_reply37@online.de>
Received: from mout.kundenserver.de ([217.72.192.73]) by mx.kundenserver.de
(mxeue006 [212.227.15.41]) with ESMTPS (Nemesis) id 0Ma3rv-1c20ya0ciF-00LpB9
for XXXX@.XXXXX.com>; Sat, 17 Dec 2016 18:27:47 +0100
Received: from malta1003.startdedicated.de ([85.25.214.7]) by
mrelayeu.kundenserver.de (mreue102 [212.227.15.183]) with ESMTPSA (Nemesis)
id 0LlWdD-1cqoB424AR-00bHPV for <hhenn@portaleco.com>; Sat, 17 Dec 2016
18:27:46 +0100
From: „PayPal Sicherheitsteam“ <kundenservice_reply37@online.de>
Subject: Ihr PayPal Konto – Wichtige Mitteilung
To: XXXXXXXXXXXXXXX
Content-Type: multipart/related; boundary=“97Mvk2isFTs2BhqCkCTk94RDtQUrOyf=_g“
MIME-Version: 1.0
Organization: PayPal Sicherheitsteam
Date: Sat, 17 Dec 2016 18:27:36 +0100
Message-ID: <0M8QnS-1cW6We2t4E-00vxSm@mrelayeu.kundenserver.de>
X-Provags-ID: V03:K0:sZjNLeYfDV7UdPrJJ1ThSr1sgQ/0F2VLuyhBNtUQceonrhEmYbY
cQ4UD8oqPf4pHch47MhVeOwvJ40p6ovGlCipyHaQ0CDAqJkBqrronu6wna0tkd5P32Pc7LL
NiUhrI5Y9vzbfk1sp31zfcxT/Z/jEofTbJv5O34OGbRDV769Vq42H+/VqgwB3T0f7dUHgi2
17BdyNSkINyoyHGSBG1ww==