Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Gefährliche Masche in der Referer-Spam

Donnerstag, 2. Juni 2011, 04:50 Uhr

Es gibt einige Randerscheinungen der Spampest, die immer mal wiederkommen. Zum Beispiel die Referer-Spam, die in sehr vielen Fällen nur für den Betreiber einer Website bei der Auswertung der Logdateien sichtbar wird. Sie richtet sich vor allem auf Websites, die irgendwo anzeigen, welchen Links von anderen Websites die Besucher gefolgt sind – was eine technische Spielerei ist, die leider auch immer mal wiederkommt, dann aber schnell wieder verschwindet, weil nur sehr wenige Leute gern auf ihrer Website Links auf den Dreck setzen, der sich über ein derartiges Einfallstor vordrängelt.

Im Moment verfolgen die Referer-Spammer allerdings eine interessante und sehr gefährliche neue Strategie. Sie setzen URLs, die den Eindruck erwecken sollen, dass die vollgespammte Website in irgendeinem Dienst zur Bewertung von Websites oben stünde. Eine von den vielen hierfür verwendeten URLs sieht zurzeit ungefähr¹ so aus: http (doppelpunkt) (slash) (slash) obskure (punkt) domain (punkt) info (slash) top (strich) 70 (strich) wordpress (stich) blogs (punkt) php. Sie richtet sich offenbar an den Betreiber der Website, hier mit der besonderen Zielgruppe „WordPress-Blogger“. Dieser soll voller Entzücken in der Vorstellung gefangen werden, dass sich sein Blog in einer Liste der besten 70 WordPress-Blogs befinde. Das dürfte manchem wenig gelesenen Zeitgenossen sehr schmeicheln, und deshalb ist die Chance gar nicht so klein, dass sich viele Blogger einmal anschauen, wo sie denn zurzeit so groß (und unerwartet) im Kommen sind. Wer die Statistiken von WordPress.com über das entsprechende Plugin nutzt (was übrigens gegen geltende Datenschutzbestimmungen in der BRD verstößt), kann sogar aus dem Dashboard heraus direkt auf die „verlinkende Seite“ mit der so schmeichelhaft klingenden Adresse klicken, um sie zu besuchen. (Bequemlichkeit in der Anwendung und Gedankenlosigkeit bei der Anwendung technischer Möglichkeiten sind eine Kombination, von der lichtscheue Gestalten sehr profitieren können.)

Dort gibts allerdings keine weiteren Schmeicheleien, sondern „nur“ eine HTTP-Weiterleitung auf „Inhalte“…

Screenshot der durch Spam in die Aufmerksamkeit gedrängten Site

…die nach Meinung der so eifrigen Spammer niemand ohne Spam und freiwillig seinem Dasein hinzufügen würde. Kein Wunder, es sind ja auch recht hohle „Inhalte“. Spam eben; Wörter, die nur so lange Sätze zu formen scheinen, bis man versucht, diesen Sätzen einen Sinn zu entnehmen.

Das mit der Inhaltslosigkeit gilt zumindest dann, wenn man diese Site so betrachtet, wie ich eine Site von Spammern zu betrachten pflege, also mit abgeschaltetem JavaScript und abgeschalteten Plugins. Dass mit einem gewissen Aufwand und großem Einfallsreichtum gespammt wird, nur, um solche aus Textbausteinen zusammengesetzten Nichtigkeiten zu befördern, erschien mir doch ein bisschen unwahrscheinlich. Deshalb habe ich auch einmal einen oberflächlichen Blick in die Quelltexte der mit Spam beworbenen Site geworfen.

Der Quelltext verriet mir, dass da einiges an JavaScript nachgeladen werden sollte, aber ich habe es nicht ganz genau untersucht. Nachdem ich dechiffrierte, dass da in Abhängigkeit von der verwendeten Browserversion mal ein IFRAME (mit weiterem nachladendem JavaScript, das wiederum… ja, noch mehr JavaScript nachlädt), ein anderes Mal ein Flash-Applet und ein drittes Mal schlicht ein nachgeladenes JavaScript geholt wird; dass sich die ganzen nachgeladenen Daten ferner lustig im Netz verteilen; ja, da hatte ich genug gesehen, um mich nicht weiter durch diesen vorsätzlich kryptisch und unlesbar formulierten Quelltext zu quälen. Vermutlich gibt es bei diesen Spammern eine im Hintergrund arbeitende, aktuelle Kollektion von Angriffen gegen populäre Browser und Betriebssysteme, wann immer sich jemand diese vordergründig inhaltslose Drecksseite aus Neugierde und narzisstischer Freude über seinen „Erfolg“ so anschaut, wie es die Verbrecher gern hätten. Wer das unvorsichtigerweise getan hat, wird hinterher oft die Seuche auf seinem Rechner haben. Entsprechende Baukästen für das Ausbeuten bekannter Sicherheitslöcher stehen den Verbrechern zurzeit sogar kostenlos zur Verfügung.

Deshalb meine DRINGENDE WARNUNG: Wer sich mit Auswertungen der Logdatei des Webservers oder einem Statistiktool für sein Blog oder eine sonstige Website beschäftigt und dort unter den verlinkenden Websites auch solche findet, die vordergründig einen schmeichelhaften Eindruck erwecken sollen, der sollte sich nur mit äußerster Vorsicht anschauen, was es damit auf sich hat – oder es besser ganz lassen. Der Ärger, den man sich dabei einholen kann, wägt die befriedigte Neugierde nicht auf. Generell kann ich jedem Menschen nur davon abraten, mit aktiviertem JavaScript im Internet unterwegs zu sein und beliebigen Websites das Einbetten von Plugins zu gestatten, denn damit räumt man anonym bleibenden Leuten das Privileg ein, Code im Browser auf seinem Rechner auszuführen. Das ist ein Privileg, das angesichts der Vielzahl krimineller Angriffe auf der einen Seite und einer maßlos gewordenen Lust am Tracking und Datensammeln auf der anderen Seite nur in gut begründeten Sonderfällen berechtigt sein kann – egal, wie sehr irgendwelche Leute von Interaktivität, Unterhaltung, Multimedia und Web-Zwo-Null faseln. Eine Website, die ohne JavaScript und Plugins nichts mitzuteilen hat, wird in den meisten Fällen nicht interessanter, wenn man ihrem Gestalter derartig weitreichende Privilegien einräumt. Das gilt im besonderen Maße für Websites, die über sonderbare und für Spammer bequem gangbare Wege in die Aufmerksamkeit gebracht wurden.

¹Warum ich diese Drecksite nicht einmal in Textform erwähne, sollte sich aus dem Kontext von allein ergeben. Ich möchte niemanden zu Experimenten damit einladen.

Ich mag es so sehr, da muss ich gleich mal zum Facebook klicken...

Kommentar hinterlassen

Beachten sie vor dem Schreiben eines Kommentares die Datenschutzerklärung für Unser täglich Spam. Wenn sie Wert auf ihre Privatsphäre legen und aus gutem Grund nicht überall ihren Namen und ihre E-Mail-Adresse angeben wollen, machen sie einfach Phantasieangaben.