Hack den Buchblogger

Mein Frau bekommt öfter mal Post. Also sowas wie Snail-Mail-Spam, weil sie eine ziemlich bekannte Buchbloggerin ist.

Man gewöhnt sich dran und in den allermeisten Fällen sieht man was man da in der Hand hat und von wem es ist.

Heute kam eine Snail-Mail-Spam bei der gleich mehrere meiner technische bewanderten Persönlichkeiten weinend und schreiend zusammengebrochen sind. Kataklystisches Totalversagen meines IT-Sachverstandes.

Das da, von wem auch immer es ist, schlägt alles. Eigentlich müsste man alles groß schreiben und ich kann nicht mal einen Verlag anprangern.

Es ist eine Postkarte mit einem Venedig-Batman und dem Datum von Samstag auf der Vorderseite. Würde man so, in wahrscheinlich besserer Qualität, auch bei Deviantart finden. Die Rückseite besteht aus einem Formatfüllenden QR-Code und unserer Anschrift. Und dem unverdächtigsten davon: Einer Briefmarke. Kein Absender. Nix.

Ich fasse mal kurz die Fakten zusammen, was der Absender erwartet:

Ich soll…

  • mit meinem Handy
  • von einer Postkarte
  • deren Absender ich nicht kenne
  • einen QR-Code scannen
  • von dem ich nicht weiß wohin er führt.

Habe ich erwähnt, dass die Briefmarke das vielleicht unverdächtigste der ganzen Sendung ist. Und ausnahmsweise hat es mal nichts mit meiner allgemeinen Phobie vor sinnlosen QR-Codes zu tun.

Jaja, ich weiß… In der Buchbranche ist der Begriff dass man von einem Buch total infiziert ist, in einem anderen, positiven Kontext. Aber wenn ich sowas sehe, da denke ich eher an andere infizierte Seiten.

Man muss dazu übrigens kein Profi sein. QR-Code bei Wikipedia eingeben und den Abschnitt Gefahren durchlesen reicht übrigens vollkommen.

Gehen wir mal folgendes Angriffszenario kurz im Kopf durch:

Ich erstelle eine Seite, auf der ich infizierten Code hinterlege. Danach drucke ich einen Link als QR-Code zusammen mit einem mysteriösen Deviantart-Bild auf eine Postkarte und schicke sie wahllos an kleine oder große Buchblogger.

Die Wahrscheinlichkeit, dass jemand dabei ist, der ein veraltetes Android hat, dass sich exploiten lässt sollte ziemlich gut sein. Je nachdem wie exploitbar das Handy ist, kann ich Daten abzapfen oder die Software ruinieren und es zum Absturz bringen.

Ganz ehrlich: Das ist die analoge Form eines digitalen Kettenbrief mit einem dubiosen Link und der Aufforderung zu klicken sonst sterben kleine Kätzchen. Oder Einhörner. Oder Faultiere. Okay, bei Faultieren würde ich klicken.

Lieber PR-Fuzzi, oder wer sich auch immer diese clever Idee ausgedacht hat: Nein! Einfach nur nein!

Schreibt wenigstens einen Absender drauf. Das was ihr da verschickt habt, ist ein Sicherheitsrisiko. Wie man sieht hat es mich innerhalb von Sekunden auf dumme Ideen und lustige Suchbegriffe bei Google gebracht. Ich werde nie erfahren wohin dieser QR-Code führt.

Weil’s ein QR-Code ist. Und weil mir meine Daten zu wichtig sind, dass ich sowas einfach scannen würde.

2 Kommentare auch kommentieren

  1. Daniel sagt:

    Was ich bei sowas immer spannend finde: Dummheit oder Bosheit? Ich würde ja eher auf Dummheit tippen. Daher: Hast du den QR-Code mal gescannt? Da gibt es ja auch sichere Möglichkeiten. Damit wüsste man ggf. auch den arglosen/dummen Absender, vielleicht freut der sich ja über eine andere Sicht auf sein Verhalten.

    Ach ja: Ich war’s nicht.

    1. hazamel sagt:

      Jimdo-Seite ohne Impressum. Ist wahrscheinlich ein SelfPublisher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.