Berichte

Perfide Verschleierungstechnik für Spam-Links

Links in Spam-Mails können von Spam-Filtern relativ leicht identifiziert und als problematisch eingeordnet werden. Spam-Versender haben nun eine interessante Möglichkeit gefunden, dieses “Problem” zu umgehen. Ein Link in einer Spam-Mail sieht beispielsweise folgendermaßen aus:

http://www.google.de/search?btnI&hl=de&q=site:sofortvergleich,ru

Dieser Link verweist zunächst lediglich auf die Seite des Suchmaschinen-Unternehmens Google. Für einen Spam filter ist Google (eine Tochter der Aktiengesellschaft Alphabet Inc.) eher unverdächtig. Die angehängten GET-Parameter “?btnI&hl=de&q=” teilen der Suchmaschine jedoch mit, dass sie den Benutzer direkt auf den besten Treffer weiterleiten soll (Redirect), der bei einer Suche nach dem Suchwort hinter “q=” erzielt wird. Als Suchwort wurde im Link “site:sofortvergleich,ru” mitgegeben. Das Schlüsselwort “site” weist die Suchmaschine an, auf einer bestimmten Website zu suchen, und zwar auf der Website, die hinter dem Doppelpunkt angegeben ist. In diesem Fall handelt es sich um einen Internetauftritt, der über die Adresse “sofortvergleich,ru” zu erreichen ist. Dem aufmerksamen Leser wird aufgefallen sein, dass die Top-Level-Domain “ru” nicht mit einem Punkt, sondern mit einem Komma von der Second-Level-Domain sofortvergleich getrennt. Dies ist natürlich kein gültiger “Fully Qualified Domain Name”. Google korrigiert den “Schreibfehler” jedoch und interpretiert “sofortvergleich,ru” als “sofortvergleich.ru”. Darüber hinaus werden spätestens vom Browser weitere Angaben, wie etwa das Protokoll (http, https) und eine Subdomain (www) automatisch ergänzt. Andernfalls könnte man durch die Eingabe von “meineseite.de” in der Adresszeile nicht bei der Website ankommen, da die vollständige Adresse “http://www.meineseite.de/”, beziehungsweise “http://www.meineseite.de.” lautet. Durch diesen Mechanismus der “Autovervollständigung” wird der Benutzer direkt zu “http://www.sofortvergleich.ru” weitergeleitet und gleichzeitig werden Spamfilter verwirrt, die das Komma nicht als Punk interpretieren.

Der für einen Spamfilter so unscheinbare Link “http://www.google.de/search?btnI&hl=de&q=site:sofortvergleich,ru” führt also tatsächlich über eine Weiterleitung und verschiedene Autovervollständigungsmechanismen direkt zu “http://www.sofortvergleich.ru”.
 0