Post vom Anwalt

Wenn Bitten und Betteln nicht zum Ziel führen, wird halt mit der Juristenkeule gedroht: Ein neues Kapitel in der unendlichen Saga, was sich SEO-Deppen alles einfallen lassen, um einen Rücklink abzustauben.

Blogger wie ich – selbst wenn wir bloss eine überschaubare Reichweite und im Kontext der grossen Medien absolut keinen Einfluss haben –, sind häufigen Beeinflussungsversuchen ausgesetzt. Ich habe in letzter Zeit mehrmals über die subtilen und weniger subtilen Formen geschrieben, die dieses Phänomen annehmen kann: Eine regelmässige Form sind Korruptionsversuche, die als Angebote für bezahlte Gastbeiträge daherkommen und die auch unter Vorspiegelung falscher Tatsachen erfolgen können.

Ein weiterer Trick ist die Sache mit den Bildnachweisen (Da spickt mir doch die Nippelklammer aus dem Fenster!). Und einige probieren es nicht mit guten Worten, sondern mit nackter Gewalt. Das heisst, sie lancieren eine Brute-Force-Attacke, um sich Zugang zur Site zu verschaffen: Sie versuchen, mittels automatisierter Tools, die Hunderte oder Tausende Passwörter durchprobieren, in die Site einzudringen – was nicht funktioniert, weil es Plugins gibt, die nach ein paar fehlgeschlagenen Login-Versuchen die entsprechenden IP-Adressen für ein paar Stunden sperren.

Alles Leute, die versuchen, mein Worpress-Login zu erraten.

Was derlei Eindringlinge im Erfolgsfall tun würden, hängt von den Umständen ab. Beim Nerdfunk ist ein solcher Angriff mal geglückt. Dort war der Schaden vergleichsweise gering: Wir bekamen es mit lästiger Popup-Werbung zu tun, die über ein Javascript an die Bild-Links angehängt worden war – und sich auch leicht wieder entfernen liess. Trotzdem sollte uns das in Erinnerung rufen, unsere Websites regelmässig zu sichern. (Hier meine Tipps dazu.)

Die Suchmaschinen-Optimierer mal wieder

Aber zurück zu den Methoden, mit denen Leute einen Rückverweis ergattern wollen. Diese Backlinks erhöhen die Wichtigkeit, die Google einer Website zuweist. Sie sind zentral für die Suchmaschinenoptimierung, und bei den Gastbeiträgen und den Bildnachweisen geht es immer darum, einen solchen Backlink abzustauben.

Wie erwähnt, sollen solche Rücklinks auch über Bilder erzielt werden. Die Methode funktioniert so, dass bei ursprünglich frei verfügbaren Bildern die Lizenz so abgeändert wird, dass nun ein Verweis auf eine bestimmte Website mit Link notwendig wird. Ich hatte dazu eine interessante Diskussion mit einem Mann, der sie praktiziert und darin nichts Verwerfliches sieht. Nun, vermutlich ist sie nicht sonderlich erfolgreich, da viele Blogger und Website-Betreiber solche Mails ignorieren oder einfach das fragliche Bild austauschen.

Der DMCA muss herhalten

Darum gibt es eine nächste Eskalationsstufe. Bei der bekommt man das Mail eines Anwalts zugeschickt, der einem einen Rechtsfall gemäss dem DMCA androht. Der Digital Millennium Copyright Act ist das US-Urheberrecht, gemäss dem im Netz etwa bei Youtube die grossen Video-Beseitigungs-Aktionen stattfinden.

In meinem Fall kam das Mail¹ von einem Anwalt einer grossen texanischen Kanzlei namens Nationwide Legal. Ich habe mich natürlich sofort gefragt, ob es eine Fälschung ist. Schaut man sich die technischen Details an, sieht es verflixt echt aus, aber darauf komme ich weiter unten noch zu sprechen.

Inhaltlich ist das Mail nicht gleichermassen überzeugend: Das Bild, das im Fall meines Blogposts beansprucht wird, ist bei der Ursprungs-Website Unsplash nach wie vor verfügbar, sodass es kein Problem ist, nachzuweisen, dass es dort unter einer Quasi-Public-Domain-Lizenz angeboten wird, die eine freie, auch kommerzielle Verwendung ohne Bildnachweis erlaubt. In anderen Fällen wurde das Bild von der Ursprungsquelle entfernt. Dann gelingt es nur über archive.org und andere Archiv-Dienste, die ursprüngliche Lizenz zu verifizieren und nachzuweisen.

Die Anwaltskanzlei ist echt. Das Mail auch?

Da die Anwaltskanzlei echt ist, scheint es vernünftig, das Mail nicht einfach zu ignorieren. Also der Forderung nachgeben? Sie wird in der Nachricht wie folgt dargelegt:

Der Hinweis muss unter dem Bild oder in der Fusszeile der Seite erscheinen und innerhalb von fünf Arbeitstagen auf www.allearplugs.com anklickbar sein. Wir warten auf Ihre Antwort, um zu bestätigen, dass dies geschehen ist; das Entfernen des Bildes löst den Fall nicht.

Wir könnten das tun, würden aber die Schrift auf winzig stellen und den Link mit dem Ref-Attribut nofollow auszustatten. Aber wir würden uns trotzdem erpresst fühlen.

Zum Glück habe ich den Beitrag Urheberrecht: Suchmaschinen-Optimierung mit missbräuchlichen Abmahnungen entdeckt. Rechtsanwalt Martin Steiger schreibt über einen exakt gleich gelagerten Fall. Das Mail hat den identischen Wortlaut, mit dem kleinen Unterschied, dass anstelle von «allearplugs» auf «cheapsnowgear» verlinkt werden soll. Die DMCA-Fallnummer ist eine andere (logisch), aber es gibt einen weiteren Unterschied.

Dieser Unterschied ist klein, aber wesentlich: Bei Steigers Mail lautete die Adresse in der Signatur des Mails «www.nationwide-legal.org». Bei meinem ist dort «www.nationwidelawservices.com» aufgeführt. Die erste Adresse gibt es nicht, die zweite ist authentisch². Und die Anwältin, die Steigers Mail geschrieben hat, ist auf der Website nicht aufzufinden. Bei mir hat die Nachricht angeblich ein Anwalt verfasst, der tatsächlich bei Nationwide Legal arbeitet. Und das verleiht der Sache logischerweise einen deutlich glaubwürdigeren Anstrich.

«Keinerlei Substanz»

Steiger schätzt diesen Fall wie folgt ein:

Die E-Mail ist von A bis Z amateurhaft und unsorgfältig formuliert. Die Behauptungen und Forderungen haben keinerlei Substanz. Wir werden nicht auf die E-Mail antworten oder gar einen Weblink auf die erwähnte Webseite setzen.

Da der Wortlaut bis auf die individuellen Details identisch ist, können wir davon ausgehen, dass die gleichen Leute hinter meiner Nachricht stecken, die auch das erste, offensichtlich gefälschte Mail an Steiger geschickt haben. Wir kommen zum Schluss, dass es in Ordnung ist, es ebenfalls zu ignorieren. Und obwohl die Frist von fünf Tagen längst verstrichen ist, wurde ich nicht durch weitere Mails belästigt.

Was die Mailheader verraten

Aber noch einmal zurück zum E-Mail und zur Frage, ob wir dessen Authentizität anhand technischer Merkmale eruieren können. Konkret schauen wir uns dafür die Mailheader an. Die Fälschung hinterlässt in aller Regel gewisse Anzeichen. Bei besonders amateurhaften Fällen ist sogar die Adresse des eigentlichen Absenders irgendwo vorzufinden. (Siehe dazu auch: Mailsünder entlarven?)

Im vorliegenden Fall kommen wir allerdings zum Schluss, dass das Mail-Spoofing ausgezeichnet gemacht ist: Die Mailheader sehen auf den ersten Blick echt aus; der Mailserver, der die Nachricht verschickt hat, scheint zum Hoster zu gehören, bei dem auch die Website von Nationwide Legal untergebracht ist. Ob sich diese Angabe fälschen lässt oder ob sich der Versender der Nachricht die Mühe gemacht hat, dort ein Hosting einzurichten, kann ich nicht beurteilen ³. Falls jemand hier noch mehr weiss, freue ich mich über einen Kommentar!

Die Mailheader zeigen an, welchen Weg eine Nachricht durchs Netz genommen hat. Der erste Eintrag weist auf den ursprünglichen Absender hin – und der sitzt nicht in Texas, sondern in Grossbritannien.

Verdächtig erscheint mir in diesem Beispiel lediglich die Message-ID: Sie enthält den String Thinkpad.Home, der nicht darauf hindeutet, dass die Nachricht aus einem Geschäfts-Netzwerk gesendet wurde. Gleich bei der Message-ID ist auch die IP-Adresse des Original-Absenders zu finden. Sie lautet 90.216.53.11, woraufhin wir von ipinfo.io erfahren, dass diese IP-Adresse von Sky UK Limited verwendet wird. Das ist ein britischer Internetprovider, der von diesem Auskunftstool in Kingston upon Thames verortet wird. Das ist weit genug von Texas entfernt, dass sich mir der Schluss aufdrängt, dass die Nachricht nicht von einem im Homeoffice arbeitenden Anwalt verschickt worden ist.

Eine abschliessende Erkenntnis besteht darin, dass das Vereinigte Königreich bei den ruppigen SEO-Methoden anscheinend die Nase vorn hat. Schon der Fall mit der Adobe-Schleichwerbungskampagne hat mich dorthin geführt, damals zum Unternehmen UK Linkology in Derby.

Fussnoten

1) Der Original-Wortlaut der Nachricht:

Dear owner of https://blog.clickomania.ch/2022/02/18/windows-volume/,

You are receiving this legal infringement notice from Nationwide Legal Trademark Department due to the unauthorized usage of our client’s image.

The use of this image: https://i.imgur.com/HBh5cag.png on this page: https://blog.clickomania.ch/2022/02/18/windows-volume/ is fine, as
long as our client (All Ear Plugs) is fully credited.

The credit must appear under the image or the footer of the page and be clickable to https://www.allearplugs.com/ within 5 working days. We await your response to confirm this has been completed, removing the image does not resolve the case.

Failure to do so in this time frame, will result in legal case (No. 64732) proceeding under the Digital Millennium Copyright Act’s Section 512(c) („DMCA“) for past and or current usage

Past usage of the image can be seen in the records on Wayback Machine (https://web.archive.org) – a permanent public archive of the web, which will be called upon as evidence in this case.

This email serves as the required official notice.

Regards

B. R.
Trademark Attorney

Nationwide Legal
401 Congress Ave. ,
Austin, TX 78701

lydia@nationwidelawservices.com
www.nationwidelawservices.com

2) Stimmt nicht, die richtige Adresse wäre nationwidelegal.com – siehe Kommentar von Manuel. Ich nehme an, dass die falsche Domain ursprünglich auf die richtige umgeleitet hat und ich darum auf das Täuschungsmanöver hereingefallen bin.

3) Das liegt daran, dass die Mails passend zu der gefälschten Website versandt wurden, die bei Hostsailor untergebracht war. Tja, somit war der Eintrag in den Mailheadern nicht gefälscht, hat aber nicht zur Original-Website, sondern zu der Betrugs-Variante gepasst.

Beitragsbild: Das Mail des texanischen Anwalts wurde wohl in Grossbritannien aufgegeben (Johannes Plenio, Unsplash-Lizenz).

2 Kommentare zu «Post vom Anwalt»

  1. Die E-Mail-Header lassen sich nicht so leicht fälschen, da sie vom Server angefügt werden. Man kann zwar schon Header mitschicken, aber die werden vom Server trotzdem ergänzt.

    Aber: Die Firma heisst „Nationwide Legal“ und hat die Domain nationwidelegal.com. Die E-Mail stammt von nationwidelawservices.com. Diese Domain wurde erst am 13.11.2022 registriert (und das Webhosting wohl inzwischen gesperrt).

    Es scheint, als wurde ein beim Phishing beliebter Trick verwendet: Eine ähnliche Domain wurde korrekt registriert, sodass Spamfilter nicht anschlagen, die gefälschte Absender sonst erkennen (Stichwort „SPF“). Habe das auch schon mit Schweizer Domains gesehen, da hat der Herr Meier von malermeier.ch plötzlich Rechnungen mit Absender maler-meier.ch verschickt. (Die fiesere Variante davon sind dann Umlaut-Domains mit kyrillischen Zeichen. Ein kyrillisches „p“ ist bei normaler Auflösung nicht von unserem „p“ zu unterscheiden.)

    1. Ah, guter Hinweis! Ich habe mir die Domain angeschaut, bin aber trotzdem auf die Fälschung reingefallen. Ich nehme an, dass auf die Original-Site weitergeleitet wurde oder dort ein überzeugendes Duplikat vorhanden war. Das zeigt, wie überzeugend diese Täuschkulissen hochgezogen werden.

Kommentar verfassen