Spammare gömmer sig bakom Googles Jag-har-tur-knapp

November 26, 2007

Anti-spamNewsSpamSpam filterSpam filtering

Spam och phishingmejl innehåller olika knep för att dölja den verkliga länken till den sajt där användaren ska luras på koder eller köpa diverse piller och mediciner. Den senaste i raden av sådana knep är att konstruera en länk som i själva verket är en sökning på Goggle. Länken tar användaren direkt till första sökträffen som är förövarens sajt.

Att klicka på länken är alltså samma sak som att klicka på “Jag har tur”-knappen när man söker på Google. Spammaren har konstruerat en sökning som resulterar i att deras sajt hamnar högst upp i träfflistan. Detta kan man med lätthet göra genom att använda olika specialkommandon till Google. Exempelvis inurl:aabcde som begränsar sökningen till sidor med abcde i adressen.

Länken i mejlet är alltså en helt vanlig och giltig länk till Google, vilka de flesta användare litar på. När man klickar på länken skickar Google direkt användaren till spammarens riktiga sajt.

Dags för ett exempel.

I detta exempel kommer man SpamDrains pressrelease-sida. Vi använder här Googles inurl: funktion. I URL:en skickar vi även med att vi har “klickat på” Im feeling Lucky-knappen.

http://www.google.com/search?q=inurl:inmedia_sv.html&btnI=I=Im+Feeling+Lucky

Vad tjänar spammarna på detta?

Genom att inte visa sin riktiga länk vill man lura användaren att tro att det är en legitim länk från Google. Förhoppningen är att även spamfilter ska förvillas genom att inte avslöja den riktiga adressen till förövarens sajt. Frågan är bara hur effektivt det är? Det är ju inte svårare för ett spamfilter att lära sig den specifika söklänken. Troligen varierar spammarna och hoppas att den variationen ska räcka för att spamfilter inte detekterar mejlet som spam. Som vanligt finns det ju även annan information i mejlet att gå på, men det gäller ju för spammarna att samla pluspoäng för att öka chanserna att komma igenom filtreringen. En Google-länk kan vara ett sådant pluspoäng.

Tillägg: I mars 2008 rapporterar även IDG om Google-länkar som sprider skadlig kod – SpamDrain låg lite före med denna nyhet alltså 🙂

2020 filtering stats

It is already 2021 and 2020 is finally (or not) over. It has become a good tradition to look back on the year that’s passed and provide you with annual spam filtering stats. Let’s have a quick look on the … Continue reading

New Android app released!

This day has come! A new version of the Spamdrain Android app is released and ready to be downloaded in Google Play. The latest version is 4.0.3-1002. The most important fixes and improvements in the latest release: Night mode: Fresh … Continue reading