ScriptBlogger

Was einem auf Xing von anderen "Networkern" so alles geboten wird:

Wie ich unter Ich suche Ihrem Profil entnehmen kann, sind Sie am Internet interessiert. Da ich in einer Agentur zu diesem Bereich arbeite, würde ich Sie gerne getreu dem Xing Motto in mein Netzwerk aufnehmen.

Glaubt wirklich jemand, dass eine derartig plumpe Kontaktaufnahme hilfreich ist?

Vor einigen Jahren schrieb ich hier im Blog etwas zum Thema Referrer-Spam. Welch Ironie, dass die Spammer gerade diesen Artikel dazu benutzen, ihre URLs in die Log-Dateien zu bekommen.

Einer unserer Kurz-URL-Dienste wurde in der letzten Woche zum Verteilen von Schad-Software missbraucht. Dank zahlreicher Hinweise wurde die URL zügig deaktiviert. Anschließende Aufrufe liefen damit glücklicherweise ins Leere.

Leider klicken zu viele Nutzer auf derartige Links in E-Mails. Bis zum 19. Februar waren das über 8.000 Leute.

Dem gegenüber stehen knapp 250 Leute, die die URL in Suchmaschinen eingegeben haben und so auf unseren Artikel aufmerksam wurden. Und eine handvoll Leute hat sogar E-Mails geschrieben oder angerufen.

Seit gestern schreiben uns Leute oder rufen uns an und wollen wissen, warum wir denen eine Rechnung schicken. Erhalten haben die Leute folgende E-Mail:

Ihre Rechnung fuer diesen Monat finden Sie unter dem folgenden Link

http://kleinerlink.de/88

Rechnung-Nummer: 13439030

Der Betrag ist innerhalb von 5 Tagen auf unserem Konto zu überweisen.

kleinerlink.de ist eine unserer Kurz-URL-Domains. Der (umgehend von uns deaktivierte) Link führte zu einem Download einer .exe. Vermutlich ein Trojaner oder ein Virus.

Für den Fall, dass das nicht klar sein sollte: Wir verschicken keine Spam-/Phishing/-Schadprogramm-E-Mails und wir verteilen auch keine Schadprogramme.

Wichtiger Nachtrag

Sollten Sie die E-Mail erhalten haben, bitte klicken Sie auf keinen Fall auf den Link. Führen Sie bitte auch auf keinen Fall die zum Herunterladen angebotene Datei aus. Es handelt sich um keine echte Rechnung. Und auf keinen Fall wurde die E-Mail von uns an Sie versendet.

Sollte jemand die Dateien contact.php oder conlact.php auf seinem Webspace vorfinden, sollte er die mal gründlich kontrollieren. Schon seit einer Weile sind diese Dateien Bestandteil von Spam-Kampagnen und dienen als Weiterleitung auf Spam-Websites. Die URLs sind dabei nach folgendem Prinzip aufgebaut.

http://www.example.com/conlact.php?c=spamwebsite&t=com

URLs, welche diese Dateien enthalten, werden von unseren Kurz-URL-Diensten automatisch deaktiviert. Das sollte die Spam-Kampagnen weitestgehend entschärfen.

Zu guter Letzt hier noch die Nachricht von SURBL. Ebenfalls kein Vergleich zur Bastard-E-Mail.

This is a plain text description of the Abuse Reporting Feedback Report (RFC-5965) attached below. Due to privacy or legal reasons, some of the information is redacted pursuant to RFC-5965 Section 8.5.

Hello Redirection Site Operator,

Our systems have detected the following shortened URL in unsolicited messages which may be spam, phishing or malware.

We appreciate your work to handle abuse and request you investigate and take appropriate action regarding this abused shortener as soon as practicable:

URL: http://gentleurl dot net/[...]
IP: 46.163.115.119
Time: 2011-12-30T21:58:21+00:00

Additionally, please find some best practice suggestions at

http://www.surbl.org/redirection-sites

which includes:

* Check links against URI Blacklists,

* Recheck periodically including, if possible, when redirecting,

* Deny link creation from malicious IP addresses,

* Check the resolved IP addresses of the original url,

* Disallow redirection to other redirectors,

* Register an abuse contact role account at abuse.net,

* Return an http status code of 410 when an abused redirector is removed.

In our efforts to make your abuse handling easier, this message is RFC-5965 compliant. The Abuse Reporting Feedback Report was specifically created to allow automated processing of abuse reports.

Thank you for your time and efforts to reduce abuse,

SURBL

Die E-Mail enthält sogar gute Tipps. Tipps #1 bis #4 sind schon seit Jahren bei unseren URL-Kürzern umgesetzt. Andernfalls würden wir vermutlich täglich Beschwerde-Mails vom Provider und all den anderen bekommen. Derzeit sind das drei bis vier Benachrichtigungen im Monat. Tipp #5 beherzigen wir ebenfalls. Allerdings sprießen URL-Kürzer wie Pilze aus dem Boden. Da ist es schwer mitzuhalten. Die letzten beiden Tipps haben wir kürzlich umgesetzt.

Im Kontrast zu der Bastard-E-Mail von gestern hier mal die E-Mail von RSA. Die haben sich tatsächlich die Mühe gemacht (oder die Mühe machen lassen), ihre Textbausteine ins Deutsche zu übersetzen.

Sehr geehrte Damen und Herren,

RSA ist ein Unternehmen für Betrugsbekämpfung und Sicherheit. Es ist vertraglich damit beauftragt, Lloyds TSB Bank plc und die verbundenen juristischen Personen der Lloyds Banking Group („der Konzern") dabei zu unterstützen, Online-Aktivitäten, welche die Kunden des Konzerns als potentielle Betrugsopfer anvisieren, vorzubeugen bzw. sie zu unterbinden. RSA wurde darauf aufmerksam gemacht, dass Sie allem Anschein nach einer betrügerischen Website, die Teil eines „Phishing-Betrugs" ist, Ihre Internetdienste zur Verfügung stellen. Diese Aktivität verletzt die Urheberrechte, das Markenzeichen sowie weitere Rechte aus geistigem Eigentum des Konzerns und kann in den USA und in anderen Staaten strafrechtlich verfolgt werden.

Viele Internetnutzer erhielten E-Mails von einer natürlichen oder juristischen Person, die den Anschein erweckte, der Konzern oder einer seiner juristischen Personen zu sein - beispielsweise Lloyds TSB Bank plc, Halifax, Bank of Scotland plc oder Cheltenham & Gloucester plc. Diese E-Mails benutzten ohne Befugnis Namen und Identität (einschließlich der Handelsmarke) einer juristischen Person des Konzerns. . Sie fordern die Empfänger zur Bestätigung und Preisgabe vertraulicher Daten im Zusammenhang mit ihren Konten beim Konzern auf. Die betrügerische E-Mail enthält einen Link, der die Empfänger zu einer präparierten Website mit den urheberrechtlich geschützten Materialien und Handelsmarken der Gruppe führt. Diese Website trägt folgende URL-Adresse: hxxp://unrelo.com/[...], deren Serviceprovider Sie sind, und die Ihrer Kontrolle untersteht.

Die gefälschte Website stellt nicht nur einen Missbrauch der Rechte aus geistigem Eigentum des Konzerns dar, sondern dient dazu, auf unlautere Art und Weise an persönliche Daten von Kunden des Konzerns zu gelangen und sich damit Zugang zu ihren Konten zu verschaffen. Die Betreiber dieser Websites befassen sich gewöhnlich mit Aktivitäten im Zusammenhang mit Identitätsdiebstahl wie zum Beispiel mit der unbefugten Nutzung von Kundenkreditkarten oder Bankkonten. Da zudem die überwiegende Mehrheit dieser E-Mails nicht an tatsächliche Kunden des Konzerns oder seiner juristischen Personen versandt wird, können sich diese Aktivitäten schädigend auf den guten Ruf von Lloyds TSB Bank, Halifax, Bank of Scotland oder Cheltenham & Gloucester auswirken.

Bitte unternehmen Sie alle notwendigen Schritte, um diese betrügerische Website unverzüglich zu schließen, ihren Zugang zum Internet zu unterbinden und die Weiterleitung aller E-Mails im Zusammenhang mit dieser Website einzustellen.

Wir gehen davon aus, dass Sie sich des Missbrauchs Ihrer Dienstleistungen nicht bewusst sind und danken Ihnen für Ihre Mitarbeit. Wir möchten Sie vor allem darum bitten, uns die tar/zip-Datei des Quellcodes dieser Site zur Verfügung zu stellen, damit wir sie analysieren und dadurch weitere Attacken verhindern helfen können.

Falls irgendwelche Kundendaten erfasst wurden und in Ihrem System oder in Ihren Geräten gespeichert sind, bitten wir Sie, uns diese Daten zukommen zu lassen, damit die Kunden, auf die sich die Daten beziehen, benachrichtigt und entsprechende Schritte zu ihrem Schutz unternommen werden können.

Bitte beschaffen Sie uns eine Kopie aller vorhandenen Aufzeichnungen, die Namen, Kontaktadressen, Zahlungsweisen oder ähnliche Informationen enthalten, die zur Identifizierung und Lokalisierung des Kunden, für den die Website arbeitet, von Nutzen sein könnten.

Danke für Ihre Mitarbeit bei den Bemühungen, diesen betrügerischen Aktivitäten vorzubeugen bzw. ihnen ein Ende zu setzen.

Mit freundlichen Grüßen

RSA Anti-Fraud Command Center

„Phishing" ist ein E-Mail-Betrug, der mit Tricks versucht, Nutzern über eine gefälschte Website oder durch eine Antwortmail persönliche Daten zu entlocken, wie zum Beispiel die Kontonummer bei einer Bank,, Informationen zum Kontostand, oder Sozialversicherungsnummern oder Online-Passwörter zum Bankkonto.

Im Prinzip ganz nett und aufklärend geschrieben. Etwas fischig ist allerdings folgender Absatz:

Bitte beschaffen Sie uns eine Kopie aller vorhandenen Aufzeichnungen, die Namen, Kontaktadressen, Zahlungsweisen oder ähnliche Informationen enthalten, die zur Identifizierung und Lokalisierung des Kunden, für den die Website arbeitet, von Nutzen sein könnten.

Ohne richterlichen Beschluss die Herausgabe von Daten zu fordern ist ganz schön dreist.

Wenn wir darüber benachrichtigt werden, dass einer unserer Kurz-URL-Dienste von Spammern missbraucht wird, dann ist der Ton in der E-Mail normalerweise zivilisiert. Das gilt für unseren Webspace-Provider Hosteurope genauso wie für die RSA und SURBL. Andere wiederum glauben nicht an Höflichkeiten. Wie dieser E-Mail-Dienstleister. Das zeigt sich schon im Betreff...

Shutdown & Remove this Spam Phishing Thief

...und in der ersten Zeile der E-Mail:

You Spam Phishing Bastards !

Danach geht es weiter mit Drohgebärden und Prahlerei:

This Company does NOT Tolerate or Accept SPAM Email !
Each email sent by you has been recorded, reported and will cost you $ 1,000.00 per Can-Spam and Federal Government legalities!

You have been reported to Federal Authorities, spam@uce.gov, www.ic3.gov, CAN-SPAM, International, State and Local Authorities.

We are proud to have removed 7,987,654 Internet Spammers / Phishing Bastards and sent many others to prison and you too will soon find your worthless URL / email Ass incarcerated behind bars!

Alles in Allem eine unterhaltsame Lektüre. :-)

Dank unseres Kurz-URL-Dienstes gentleurl.net gibt es heute mal wieder eine Warnung an alle Webmaster. Überprüft euren Webspace auf folgende Dateien:

srv.php
img.php
images.php
htaccess.php
pic.php
last.php

Beim Aufruf der Dateien wird der Nutzer auf Websites weitergeleitet, die Medikamente verkaufen. Wir haben die entsprechenden URLs in unserem Dienst deaktiviert. Insgesamt waren es rund 525 Domains.

Außerdem sollte auf Dateien geachtet werden, die nach einem Vornamen benannt sind, zum Beispiel Mark.php oder Joanna.php.

Weiterhin gelten die Warnungen an Betreiber folgender Scripte und Anwendungen.

Das Kurz-URL-Dienste von Spammern und Phishern zum Verschleiern der URLs verwendet werden, haben wir ja schon öfters berichtet. Bei regelmäßigen Checks unserer Projekte zeigt sich, dass die Jungs auch Sicherheitslücken in Web-Software ausnutzen, um ihre Inhalte zu verbreiten. Oder sie verschaffen sich auf anderem Wege Zugang. Aktuell sollten Website-Betreiber folgende Scripte auf Aktualität überprüfen, da diese momentan massiv in den Kurz-URL-Datenbanken auftauchen:

Außerdem sollte jeder alte, seit längerer Zeit nicht mehr genutzte Script-Installationen prüfen. Die werden gern mal komplett übernommen.

Dass unsere Kurz-URL-Websites oft für Spam-Kampagnen genutzt werden, ist nichts Neues. Neu ist, dass sich uns dadurch Einnahmemöglichkeiten eröffnen.

Wenn wir von unserem Webspace-Provider benachrichtigt werden, dass eine URL eines unserer Dienste für Spam-Zwecke missbraucht wird, dann deaktivieren wir die Kurz-URL und gleich auch alle anderen Kurz-URLs, die zu der Spam-Domain führen. Resultat ist eine Liste mit deaktivierten URLs.

Beim Aufruf einer deaktivierten Kurz-URL erscheint dann eine Hinweismeldung, dass die URL abgeschaltet wurde. In der weißen Fläche unterhalb des Hinweis wird dann normalerweise Adsense-Werbung angezeigt.

Ende Juli hat ein Spammer Kurz-URLs auf lin.io generiert und in Spam-Mails benutzt. Massiv. Als Resultat ergaben sich folgende Zahlen:

Aus der Diskrepanz zwischen der Anzahl der Aufrufe und den Adsense-Einblendungen lässt sich ablesen, dass die Kampagne schon eine Weile lief, bis wir benachrichtigt wurden und die URLs deaktivieren konnten.

Das exakte monetäre Endergebnis bleibt unser Geheimnis, aber es zeigt, dass sich eine Kurz-URL-Website lohnen kann. Und je mehr man von diesen Seiten besitzt, desto besser.

Mit dem Kommentar-Spam hier im Blog hält es sich erfreulich in Grenzen. Das liegt hauptsächlich an der umfangreichen Liste mit Begriffen, die blockiert werden. Die Liste enthält rund 270 Einträge, darunter etliche Domains, eine Menge englischer Wörter zum Thema Sex und den BBCode [url=. Dass die Aufnahme von Letzterem hilfreich und vor allem nötig ist zeigt das Protokoll der blockierten Spam-Nachrichten von gestern:

Solche "Attacken" kommen übrigens öfters mal vor. Meinetwegen sollen sie. Wird ja sowieso blockiert. Übrigens liegt mittlerweile die Zahl der Spam-Kommentare bei zwölftausendirgendwas. :-o

Die Teure-Uhren-Spammer können sich gerade nicht entscheiden, wie viel Prozent billiger ihre Waren sind.

Website-Betreiber, die ein Tell-a-Friend-Script einsetzen, sollten auf der Hut sein. Das Amtsgericht Berlin Mitte hat am 22. Mai 2009 geurteilt:

Unzulässige E-Mail-Werbung via "Tell-a-friend-Funktion"? - E-Mails die von Dritten über eine Empfehlungs- bzw. Einladungsfunktion (hier: in einem Online-Shop bzw. "Online Shopping Club") versandt werden, können rechtswidrige E-Mail-Werbung darstellen.

Als Betreiber des phpBB steht man automatisch unter Spam-Beschuss. Da hilft auch Double Opt-in und Captcha nichts. In unserem Support-Forum haben wir deshalb auf Moderation umgestellt. Jeder Beitrag muss freigegeben werden. Das ist auch nicht sonderlich problematisch und am besten funktioniert es, wenn die Spammer mehrere Spam-Beiträge mit demselben Benutzernamen posten. Kann man dann in einem Rutsch löschen.

Wirklich etwas übertrieben hat es jedoch dieser Kandidat: