Spammare gömmer sig bakom Googles Jag-har-tur-knapp

November 26, 2007

Anti-spamNewsSpamSpam filterSpam filtering

Spam och phishingmejl innehåller olika knep för att dölja den verkliga länken till den sajt där användaren ska luras på koder eller köpa diverse piller och mediciner. Den senaste i raden av sådana knep är att konstruera en länk som i själva verket är en sökning på Goggle. Länken tar användaren direkt till första sökträffen som är förövarens sajt.

Att klicka på länken är alltså samma sak som att klicka på “Jag har tur”-knappen när man söker på Google. Spammaren har konstruerat en sökning som resulterar i att deras sajt hamnar högst upp i träfflistan. Detta kan man med lätthet göra genom att använda olika specialkommandon till Google. Exempelvis inurl:aabcde som begränsar sökningen till sidor med abcde i adressen.

Länken i mejlet är alltså en helt vanlig och giltig länk till Google, vilka de flesta användare litar på. När man klickar på länken skickar Google direkt användaren till spammarens riktiga sajt.

Dags för ett exempel.

I detta exempel kommer man SpamDrains pressrelease-sida. Vi använder här Googles inurl: funktion. I URL:en skickar vi även med att vi har “klickat på” Im feeling Lucky-knappen.

http://www.google.com/search?q=inurl:inmedia_sv.html&btnI=I=Im+Feeling+Lucky

Vad tjänar spammarna på detta?

Genom att inte visa sin riktiga länk vill man lura användaren att tro att det är en legitim länk från Google. Förhoppningen är att även spamfilter ska förvillas genom att inte avslöja den riktiga adressen till förövarens sajt. Frågan är bara hur effektivt det är? Det är ju inte svårare för ett spamfilter att lära sig den specifika söklänken. Troligen varierar spammarna och hoppas att den variationen ska räcka för att spamfilter inte detekterar mejlet som spam. Som vanligt finns det ju även annan information i mejlet att gå på, men det gäller ju för spammarna att samla pluspoäng för att öka chanserna att komma igenom filtreringen. En Google-länk kan vara ett sådant pluspoäng.

Tillägg: I mars 2008 rapporterar även IDG om Google-länkar som sprider skadlig kod – SpamDrain låg lite före med denna nyhet alltså 🙂

Gmail sign up is now available again and much more!

Finally! This day has come and we gladly inform you that you can sign up using your Gmail based email address again. Here you can see how it looks like when you sign up using Gmail address: As you can … Continue reading

Yahoo and AOL support

Hey everyone! We have amazing news. Recently we have released the latest versions of both Android and iOs mobile applications. With the latest update we have added support for Yahoo and AOL accounts. What does it mean, aren’t you supporting … Continue reading