6. Dezember 2007
Wo immer mögliche Nutzer Informationen aufnehmen wollen, sind die Spammer nicht weit. Das betrifft neben E-Mail natürlich auch und im besonderen, Wikis (Wikipedia kann zu Linkspam ein spezielles Lied singen), Foren und natürlich auch Blogs. Ok, man kann zur Definition von Blogspam unterschiedlicher Meinung sein. Ganz eindeutig Spam sind jedoch die diversen Verlinkungen zu Webseiten die Viagra oder sonstigen gefälschten Unsinn verscherbeln wollen.
Akismet hat dazu eine nette Grafik veröffentlicht, die regelmäßig aktualisiert wird:
Ich finde das durchaus interessant, weil sich das so gar nicht mit meiner eigenen Erfahrung deckt. Dieses Blog hat seit Anfang April bei 369 Beiträgen gerade mal 215 Spamkommentare bekommen. Ok, vielleicht ist das hier alles so uninteressant aber ich denke, gegen den Spam helfen mir hauptsächlich zwei Einstellungen:
- Ich sperre bei Artikeln immer sofort die Kommentarfunktion, sobald ein erster Spameintrag erschienen ist. Bisher war es bei Spamkommentaren immer so, daß ein Beitrag (vermutlich über eine Suchmaschine) zufällig ausgewählt und dieser dann in kurzer Folge mit immer neuen Spameinträgen zugeballert wurde. Wenn das Kommentieren nicht mehr möglich ist, erscheint natürlich auch kein Spam mehr.
- Alle Links in den Kommentaren sind mit “nofollow” gekennzeichnet, d.h. sie werden von Suchmaschinen nicht weiterverfolgt. Dadurch sinkt das Interesse an Linkspam, weil diese Links ignoriert werden und daher wertlos sind. Die Diskussion zu nofollow und Linkspam kann man im SEO-Lexikon schön verfolgen. Wenn da einer schon extra darauf hinweist, das sei nicht für Spammer gedacht …
- Ich verzichte komplett auf Trackbacks. Die sind einfach in keinem Artikel erlaubt. Das vermeidet den lästigen Trackback-Spam bei dem irgendein Leecher die Hälfte des Textes klaut und dann auch noch einen Link auf seine Seite einfordert. Wenn es sinnvoll ist, einen Link zu einem anderen Blog zu setzen, dann gerne als “(via x-blog)” direkt im Text.
Alle Links im normalen Text sind natürlich ohne “nofollow”, das ist ja schließlich auch Sinn und Zweck von Links.
Tags: Akismet,
Spam
16. November 2007
Neulich mal wieder in meiner Inbox:
Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:
| Antivirus |
Version |
Letzte Akt. |
Ergebnis |
| AhnLab-V3 |
2007.11.17.0 |
2007.11.16 |
- |
| Authentium |
4.93.8 |
2007.11.16 |
W32/Trojan.AMBF |
| AVG |
7.5.0.503 |
2007.11.16 |
PSW.Generic4.FVG |
| CAT-QuickHeal |
9.00 |
2007.11.16 |
- |
| DrWeb |
4.44.0.09170 |
2007.11.16 |
Trojan.PWS.Lineage |
| eTrust-Vet |
31.2.5300 |
2007.11.16 |
- |
| FileAdvisor |
1 |
2007.11.16 |
- |
| F-Prot |
4.4.2.54 |
2007.11.16 |
W32/Trojan.AMBF |
| Ikarus |
T3.1.1.12 |
2007.11.16 |
Trojan-Spy.Win32.Goldun.lw |
| McAfee |
5165 |
2007.11.16 |
Generic PWS.y |
| NOD32v2 |
2664 |
2007.11.16 |
Win32/TrojanDropper.ErPack |
| Panda |
9.0.0.4 |
2007.11.16 |
- |
| Rising |
20.18.40.00 |
2007.11.16 |
- |
| Sunbelt |
2.2.907.0 |
2007.11.16 |
Trojan-Dropper.Delf.HT |
| TheHacker |
6.2.9.132 |
2007.11.16 |
- |
| VirusBuster |
4.3.26:9 |
2007.11.16 |
TrojanSpy.BZub.AFW |
Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?
Ach ja:
DNS: www.cristhmasx.com –> 58.65.239.99
APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong
und besonders witzig: Auf der Webseite steht “this account temporally suspensed for security reason” aber der Trojaner-Download funktioniert trotzdem
Tags: Social Engineering,
Spam,
Trojan Dropper,
Trojaner,
Viren
13. November 2007
Die Raiffeisenbank wird mal wieder Opfer einer Spam-Phishing-Attacke:
Die Titelzeile gefällt mir: “eBanking Private Edition”. Die Angreifer sind auch recht ausführlich bei den Daten, die sie abfragen:
- Herr/Frau
- Vorname
- Familienname
- 10 unbenutzte TAN-Nummern
- Kontonummer
- VR-NetKey
- Alias
- PIN
- Bankleitzahl
- Postleitzahl
- E-mail
Ein wenig gierig sind sie dann natürlich schon:
“Geben Sie 10 unbenutzte TAN-Nummern ein. Wenn Sie weniger als 10 unbenutzte TAN-Nummern haben, so geben Sie alle unbenutzten TAN-Nummern ein”
Die Raiffeisenbank (zumindest meine) ist bezüglich Online-Banking offensichtlich keine besonders gute Wahl:
Problem 1: Die URL des Bankings ist für die Kunden kaum verifizierbar. Jede Raiffeisenbank hat ihre eigene Homepage, die Banking-Startseite liegt auf vr-networld.de, Teile des Internetbankings wiederum beim Dienstleister fiducia.de … wie soll der unbedarfte Bankkunde da erkennen, daß vr-networld.de.hrymn.cn in China liegt?
Problem 2: Die Raiffeisenbank hat neulich erst zur Anmeldung von der Kontonummer (die oft allgemein bekannt ist, z.B. wenn sie auf dem Briefpapier steht) zu einem VR-Netkey, einer davon unabhängigen UserID gewechselt. Vorher konnte man mit der Kontonummer und dreimal falscher PIN problemlos Denial-of-Service Angriffe durchführen.
Problem 3: iTAN, mTAN, TAN-Generator, egal was nur sicherer als die normale TAN ist immer noch komplett Fehlanzeige. Meine Bank konnte mir nicht einmal sagen, bis wann die Einführung von iTAN geplant ist.
Naja, die Deutsche Bank hat das Problem ja bereits per AGB auf die Kunden abgewälzt. Mal sehen, wie das bei der Raiffeisenbank weitergehen soll.
Tags: AGB,
China,
Fiducia,
iTAN,
mTAN,
Phishing,
PIN,
Raiffeisenbank,
Spam,
TAN
11. November 2007
(von Fliers Welt kopiert, Copyrightvermerk: “Jeder private User darf meine Cartoons kopieren und weiterleiten.” Danke)
Tags: Spam
2. November 2007
Ich fand heute folgenden Text in einer SMS:
“INFO vom CHATPROVIDER es wurde eine Nachricht,Foto gespeichert antworte mit JA oder Stop an die 0151 53148843 um diese abzurufen.. diese Nachricht ist kostenlos”
Absender: +4916096973270
Die Lösung ist einfach … die Bundesnetzagentur bietet hier zum Download ein Formular “Mitteilung über Rufnummernspam (PDF, 137 KB) an. Kurz ausgefüllt, hingefaxt, kostet nur ein paar Cent und das ist mir die Belästigung wert und fertig.
Tags: Bundesnetzagentur,
SMS,
Spam
20. Juni 2007
Der neueste Trick der Börsenspammer ist ja nun, einen Disclaimer einzufügen in dem steht, daß der Absender selbst in diesen Aktien involviert ist. Vermutlich versucht sich da jemand auf sehr schwache Weise aus der Strafbarkeit rauszuschreiben. Anwälte irgendwo die das bestätigen können?
Jedenfalls finde ich den neuesten Spam Disclaimer schon lustig:
“Verzicht: Diese Anzeige wurde gesendet, um dich über diese Firma zu informieren. Deine eigene Forschung tun, bevor Sie kaufen. Der Absender wurde $25.000 für diese Sendung ausgeglichen.”
Nicht schlecht: 25.000 USD für ein wenig Spam verschicken! Ich glaube ich bastle mir jetzt auch ein Botnet.
Tags: Spam
13. Mai 2007
Didier Stevens hat ein interessantes Experiment durchgeführt. Er hat eine Google-Anzeige geschaltet, mit dem Text:
Drive-By Download
Is your PC virus-free?
Get it infected here!
drive-by-download.info
Das Ergebnis war nicht sonderlich überraschend: die Leute klicken auf alles! Innerhalb von 6 Monaten wurde die Anzeige 259.723 mal angezeigt und 409 Leute haben darauf geklickt. Bei Kosten von 17 € für die Anzeige. Nicht schlecht … 4 Cent pro infizierten Rechner.
Im großen und ganzen bringt uns das Experiment folgende Weisheiten:
- User sind dumm. User klicken auf alles, es sei denn man nimmt ihnen die Maus weg
- Social Engineering ist gar nicht nötig, so dumm sind die User
- Werbung scheint inzwischen effizienter und günstiger zu sein als Spam zu verschicken
- Google is evil. Statt die Nutzer vor bösartigen Anzeigen zu schützen wird lieber das Geld eingesteckt.
Also nichts neues hier. Bitte weiterzugehen, nicht stehenbleiben. Es gibt nichts zu sehen.
Tags: Didier Stevens,
Google,
Social Engineering,
Spam,
Viren,
Werbung
