Spammare gömmer sig bakom Googles Jag-har-tur-knapp

November 26, 2007

Anti-spamNewsSpamSpam filterSpam filtering

Spam och phishingmejl innehåller olika knep för att dölja den verkliga länken till den sajt där användaren ska luras på koder eller köpa diverse piller och mediciner. Den senaste i raden av sådana knep är att konstruera en länk som i själva verket är en sökning på Goggle. Länken tar användaren direkt till första sökträffen som är förövarens sajt.

Att klicka på länken är alltså samma sak som att klicka på “Jag har tur”-knappen när man söker på Google. Spammaren har konstruerat en sökning som resulterar i att deras sajt hamnar högst upp i träfflistan. Detta kan man med lätthet göra genom att använda olika specialkommandon till Google. Exempelvis inurl:aabcde som begränsar sökningen till sidor med abcde i adressen.

Länken i mejlet är alltså en helt vanlig och giltig länk till Google, vilka de flesta användare litar på. När man klickar på länken skickar Google direkt användaren till spammarens riktiga sajt.

Dags för ett exempel.

I detta exempel kommer man SpamDrains pressrelease-sida. Vi använder här Googles inurl: funktion. I URL:en skickar vi även med att vi har “klickat på” Im feeling Lucky-knappen.

http://www.google.com/search?q=inurl:inmedia_sv.html&btnI=I=Im+Feeling+Lucky

Vad tjänar spammarna på detta?

Genom att inte visa sin riktiga länk vill man lura användaren att tro att det är en legitim länk från Google. Förhoppningen är att även spamfilter ska förvillas genom att inte avslöja den riktiga adressen till förövarens sajt. Frågan är bara hur effektivt det är? Det är ju inte svårare för ett spamfilter att lära sig den specifika söklänken. Troligen varierar spammarna och hoppas att den variationen ska räcka för att spamfilter inte detekterar mejlet som spam. Som vanligt finns det ju även annan information i mejlet att gå på, men det gäller ju för spammarna att samla pluspoäng för att öka chanserna att komma igenom filtreringen. En Google-länk kan vara ett sådant pluspoäng.

Tillägg: I mars 2008 rapporterar även IDG om Google-länkar som sprider skadlig kod – SpamDrain låg lite före med denna nyhet alltså 🙂

How Spamdrain blocks phishing messages.

Phishing topic is widely discussed in digital world and of course it was mentioned in our posts previously. Here we just want to refresh some crucial points and explain what Spamdrain does to help you stay safe in terms of … Continue reading

Spamdrain subscription: renewal methods & options

In this article we will talk about payment methods and options you may use to renew your subscriptions with Spamdrain. Payment options we offerAs you may already know from our helpdesk article there are several options for you to pay … Continue reading