Schlagwort-Archiv: spam

Trackback von eBay

Ein neuer Trend zeichnet sich ab: Trackbacks werden nicht mehr von zwielichtigen Seiten gesendet, die über fünf Weiterleitungen zu einem Online-Shop für Medikamente führen.

Es geht schließlich auch viel einfacher. Man fälscht einfach die Absenderadresse des Trackbacks, so dass er angeblich von einer eBay-Auktion kommt. Dadurch wird Spammen transparenter und für die Zielgruppe leichter nachvollziehbar. So springt dann sogar noch eine positive Bewertung raus.

Das Prinzip leuchtet ein, oder?

Attention: Winner

Ich habe genau einmal eine E-Mail-Adresse öffentlich in ein Kommentar bei Mario hinterlassen, als es um die Verteilung von Joost-Einladungen ging. Die Adresse ist nur wenige Minuten älter als der Kommentar selbst, so dass die Herkunft des mittlerweile eingehenden Spams eindeutig ist. Das Angebot ist jedoch verlockend:

ATTENTION: WINNER

Your email address have won you a total sum of £500,000.00 GBP (i.e
Five Hundred Thousand United Kingdom Pounds Sterling) in cash credited
to file REF:YAHOO6/315116127/27 This is from a total cash rize of
US$20,400,000.00 shared amongst the seventeen international
winners in this category in the YAHOO FINANCIAL PROMOTIONS. To file for
your claims, Contact the Yahoo Claims director with your personal
information such as your full names, contact address, Telephone and Fax
numbers:
Name: SIR.FREEMAN WALLACE,
Tel:+447031920807
E-mail: freemanwallace02@yahoo.co.nz

Yours Sincerely,
Mrs Amelia Hunt,
Online co-ordinator

Eigentlich würde ich gerne wissen, was mir passiert, wenn Sir Freeman Wallace meine Adresse kennt. Aber selbst bei den in Aussicht gestellten 500.000 £ bleibt ein schaler Beigeschmack. Sobald der oder die erste in seinem oder ihren Blog von seinem oder ihren Gewinn berichtet, werde ich mich schwarz ärgern. Bis dahin erfreue ich mich meiner Anonymität.

BlogSpam-Projekt

Frank Helmschrott hat BlogSpam gegründet — ein Projekt, mit dem der Spam in Blogs erforscht werden soll.

Mir gefällt die Idee und ich helfe gerne mit, wenn ich momentan auch noch nicht genau weiß, was ich tun kann. Momentan scheint das Ziel zu sein, durch Beiträge mit Schlüsselwörtern Anreize für die Spambots zu schaffen. Ich kann mir auch vorstellen, dass ähnlich wie beim Crawlen von Internetseiten die Verlinkung der Blogs untereinander eine Rolle spielt. Wenn in einem Blog Links zu anderen Seiten auftauchen, werden diese in die Warteschlange gestellt und überprüft, ob man dort automatisiert einen Kommentar hinterlassen kann. So denke ich es mir.

Ich habe gerade meinen ersten Eintrag unter BlogSpam veröffentlicht, in dem ich ein paar Schlüsselwörter aufliste, auf die “meine” Spam-Bots anspringen und hier bei 71grad einen Kommentar oder Trackback hinterlassen.

Die fünf beliebtesten Beiträge der letzten Zeit, d.h. seitdem ich die von Akismet gefangenen Kommentare vor etwa einer Woche das letzte Mal gelöscht habe, sind: “Versuchter Gästebuch-Spam” (67 neue Spam-Kommentare), “What comes before Part B?” (43 neu), “Mercedes-Benz Mixed Tapes herunterladen” (36 neu), “iPod nano abgestürzt” (26 neu) und “FooBar in der Küche” (24 neu).

Auffällig ist, dass alle Beiträge bereits kommentiert sind, was ein Indiz für Popularität sein kann; beliebte und bekannte Schlüsselwörter enthalten, etwa iPod oder Spam und viele Besucher von Suchmaschinen anziehen. Nachvollziehbar, denn auch wenn das Spammen maschinell funktioniert soll doch die Ausbeute möglichst groß sein, so dass Beiträge ohne Leser in unbekannten Blogs keine gutes Ziel sind.

Ich bin gespannt auf die Forschungsergebnisse. Der erste Spam-Kommentar ging bereits nach drei Tagen ein.

Spam-Mail 2.0 von der TMS Logistik GmbH

Wenn es diese TMS Logistik GmbH mit Sitz in Berlin tatsächlich geben würde, ihr Marketing über die Mund-zu-Mund-Propaganda via Internet wäre voll aufgegangen. Und damit meine ich nicht die Verwendung des tollen und überstrapazierten “2.0” im Titel; mehr dazu weiter unten.

Seit Ende Januar werden deutschsprachige Spam-Mails mit der Bestätigung einer Bestellung und einer angehängten Rechnung bei eben diesem Unternehmen enhalten. Der Anhang ist nicht immer vorhanden, wenn doch ist die vermutlich infiziert.

Ich habe meine E-Mail erst am 6. Februar erhalten, dafür gleich viermal und jedesmal ohne Anhang. Zu einem Blog-Eintrag hat es dennoch gereicht, weil mir aufgrund des fehlenden Anhangs nicht klar war, was der ganze Müll überhaupt bringen soll. Wenn man der Sache auf den Grund gehen will und die angegebene Internetadresse eingibt, landet man bei PrivateOnly.com, einer Amateur-Community. Ob es einen Zusammenhang zwischen dem Absender der Spam-Mail und dem Betreiber dieser Website gibt, ist schwer zu sagen. Zwar unterscheiden sich die Inhaber beider Domains, wobei das alleine natürlich überhaupt nichts aussagt. Derzeit erscheint eine schlichte HTML-Seite, wenn man die Website der TMS Logistik aufruft. Das “Supportteam” von PrivateOnly.com scheint diese Seite angelegt zu haben, um verunsicherte Besucher zu beruhigen und eine Rufschädigung zu vermeiden, tatsächlich gehört diese Datei aber nicht zu deren Domain, sondern liegt unter tms-logistik.de. Das ganze sieht oder sah so aus:

PrivateOnly.com vs. TMS Logistik GmbH

Vielleicht eine virale Marketing-Aktion eines Herstellers von Anti-Viren-Software? Oder doch von PrivateOnly.com, die ja eindeutig die Guten sind?

Ab jetzt wird die Version 2.0 (keine Wortspiele mit Web 2.0 gewollt, ernsthaft) dieser E-Mail verschickt, die ein geändertes Datum und endlich auch wieder einen Dateianhang enthält: auftrag-<Rechnungsnummer>.pdf.exe. Trotz aktueller Signaturen (Virendefinitionen) stellt Norton AntiVirus keine Infektion fest, wobei sicherlich irgendetwas beim Öffnen passiert. Norton sagt, es handele sich um eine komprimierte Datei. Im Kopf steht etwas von MZKERNEL32.DLL und LoadLibraryA. Ich werfe jetzt noch die Begriffe Schadroutine und Disassembly in den Raum. Hat jemand davon Ahnung? Ich schonmal nicht.

Wer zu Voreiligung war, die Datei kurzerhand geöffnet hat und jetzt tatsächlich ein infiziertes System hat: Kostenlose Anti-Viren-Software gibt es als Bestandteil des Google Pack oder zum Selberaussuchen, einem freundlicherweise kostenlosen Service dieses grandiosen Blogs.

Erschreckend echte Phishing-Mail

Ich habe innerhalb von fünf Minuten von unterschiedlichen Adressen vier E-Mails mit identischem Inhalt bekommen. Das allein ist kein Grund zur Beunruhigung. Überrascht war ich allerdings, weil die E-Mails zuerst sehr seriös erscheinen. Ich habe tatsächlich überlegt, ob ich in der vergangen Zeit bei TMS Logistik bestellt habe, bis mir der 14. Januar als Datum der Bestellung aufgefallen ist. Der Text enthält kaum Rechtschreibfehler, wenn man von den fehlenden Umlauten und Deppenleerzeichen absieht.

Zugegebenermaßen weiß ich nicht, ob es tatsächlich ein Phishing-Versuch sein soll, weil der Text zwar eine angehängte Auftragsbestätigung erwähnt, dieser Anhang aber nicht vorhanden ist. Eine simple Spam-Mail macht allerdings überhaupt keinen Sinn, wenn sie nicht gerade durch bloße Namensnennung für ein Logistikunternehmen werben soll. Selbst dann ist eine untergeschobene Bestellung sicherlich kein positiver Aufhänger.

Betreff: KD 12761 Webshop Bestellung 14.01.2007
Von: TMS Logistik <dev-null@71grad.de>
Datum: 12:14 Uhr
An: dev-null@71grad.de

Guten Tag,

Vielen Dank fur Ihre Bestellung!

Die von Ihnen bestellten Waren sind vollstandig am Lager und werden umgehend
durch die Logistikabteilung an Sie versandt.

Im Anhang finden Sie Ihr(en) Angebot/Auftrag im PDF-Format mit Beleg Nr.
1837118.

Offnen Sie angefugte PDF-Dateien mit Acrobat Reader. Diesen konnen Sie unter
http://www.adobe.de/products/acrobat/readstep2.html kostenlos herunterladen.

Um eine schnellstmogliche Bearbeitung Ihre Ruckfragen gewahrleisten zu
konnen,
bitten wir Sie bei Ruckfragen immer Ihre Kundennummer [12761] und
Belegnummer [3816712] anzugeben.

Vielen Dank

Mit freundlichem Grub

Eberhard Schmidt

TMS Logistik GmbH

Call Center:
tel (0180) 31 57 16 21 – 0,09 EUR/min aus dem dt. Festnetz/T-Com
fax (030) 90 16 – 29 19
web www.tms-logistik.de

Niederlassung Berlin
Albrechstrasse 117
D-01271 Berlin

—————————————————————————-
Auf den Punkt gebracht – Ihre Vorteile als TMS Logistik Kunde
—————————————————————————-

o 14 Tage Ruckgaberecht fur originalverpackte Neuware
o Beratung durch unsere Fachverkaufer
o Transparente Preisgestaltung und Verfugbarkeitsanzeige
o Rundumschutz durch optionales Servicepaket
o Kostenfreie Parkplatze
o Bequeme Zusendung durch uns oder DHL moglich
o Kostenfreier 80-seitiger Gesamtkatalog – auch per Post nach Hause

—————————————————————————-
TMS Logistik – seit 12 Jahren erfolgreich in Berlin
—————————————————————————-

Das Rätsel löst sich, wenn man die Website der TMS Logistik aufruft. Man gelangt zu PrivateOnly.com, nach eigener Aussage “die größte Amateurcommunity Europas”. Diese Behauptung zu überprüfen überlasse ich anderen, der Fall ist für mich gelöst.

Referrerspam kommt schubweise

Die Indizien für Referrerspam liegen auf der Hand:

  1. Von einem Host, erkennbar an der gleichen IP-Adresse, werden in kurzen Zeitabständen zwei Seiten mit unterschiedlichen Referrern abgerufen.
  2. Die verweisenden URLs haben mit der eigenen Website wenig bis nichts zu tun. Daher ist es abwegig, dass dort ein Link gesetzt wurde.
  3. Bei jedem Aufruf ändern sich Host und Referrer.
  4. Alle aufgerufenen Seiten lassen sich von der Seite aus erreichen, die anfangs aufgerufen wurde.
  5. Der User Agent, die Browserkennung, heißt beispielsweise PycURL und ist ein in Python geschriebenes Programm, mit dem “durch eine URL identifizierte Objekte heruntergeladen” werden können. Dadurch lassen sich alle denkbaren GET- und POST-Aufrufe nachahmen.
  6. Die ganze Aktion dauert knapp 20 Minuten und hinterlässt 27 Referrer.

Ähnlichkeiten mit existierenden Serverlogs sind nicht beabsichtigt und rein zufällig.

My Sites

Schwer im Kommen sind Spamkommentare, die nicht direkt ominöse Medikamente bewerben, sondern die Website loben und den Link zum Medikamtenshop im Namen des Autors verstecken. Eine Person namens “Quit Smoking” hat ihre Website angegeben und folgenden Kommentar geschrieben:

Very interesting theme.These are my sites:
[genau 70 Links mit Schlüsselwörtern entfernt, von denen ich jetzt noch rote Ohren habe]

71 Links hätte ich ja noch durchgehen lassen, das wäre gar nicht weiter aufgefallen.

Ihre Bestellung # 7H86FAE von EUR 379.00 ist angenommen.

Ein Bild sagt mehr als 1000 Worte.

Bild statt Text

Deshalb enthielt eine nette E-Mail, angeblich von der Sunrise Elektronik GmbH mit der Absenderadresse <Lucile@vc.netyou.jp>, ein Bild anstelle von Text. Die farbigen Striche dienen bestimmt der Rückverfolgung der E-Mail, man kennt das ja von den AOL-spendet-1-Cent-für-sterbenskrankes-Kind-Kettenmails.

Akismet aktiviert

Bislang habe ich die Kommentare auf Beiträge selbst kommentiert, weil von Zeit zu Zeit Spam einging und ich den nicht in meinem hochwertigen Blog haben wollte. Das bedeutet, dass der erste Kommentar, den man hinterlässt, von mir geprüft wird und erst danach erscheint, nicht aber sofort nach dem Absenden. Ich finde dieses Verfahren selbst nicht optimal, habe aber leider schlicht vergessen, mich um einen Spamschutz zu bemühen.

Schon vor längerer Zeit habe ich von Akismet gehört, einem Plugin, das mithilfe einer zentralen Datenbank Kommentare und Trackbacks überprüft. Jetzt ist also eine gute Gelegenheit, diesen Dienst auszuprobieren. Erfreulich ist, dass man mit der aktuellen Version 2.0.4 von WordPress nicht erst das Plugin suchen, hochladen und aktivieren muss, sondern es zum Lieferumfang gehört. Man muss es lediglich aktivieren und einen Zugangsschlüssel für den Abgleich mit der Spam-Datenbank eingeben. Das dauert zwei Minuten wenn man langsam ist. Jetzt warte ich auf Kommentare, nicht weil skeptisch bin, sondern weil ich sehen will was passiert. Vermutlich läuft das alles aber sehr unspektakulär ab: Ernst gemeinte Kommentare erscheinen einfach, Spam landet im Müll.