163300

Spammer lassen Mail-Empfänger für sich arbeiten

22.11.2005 | 08:38 Uhr |

Rätsel um seltsame Links in Spam-Mails gelöst.

In den letzten Wochen erhielten viele Menschen weltweit, auch in Deutschland, Spam-Mails mit seltsam anmutenden Links. Was die Versender damit bezweckten, blieb zunächst unklar. Nun hat sich das Internet Storm Center (http://isc.sans.org) der Sache angenommen und die Links enträtselt.

Die Links in den Mails sehen beispielsweise so aus:

http://google.at/url?q=http://google.am/url?q=3Dhttp://www.google.ch/url?q=http://%09u%09%59%09E%09%69%0%099C%09%6B%6%091%53%09I%09e.P%6F%09ch%09%74%0%099A%4%09D%09t.%09R%55/

Diese URLS enthalten TAB-Zeichen ("%09"), teilweise auch Unicode-Zeichen. Während Mozilla und Firefox damit meist nichts anfangen können, löst der Internet Explorer diese kodierten Links auf und es kommt zum Beispiel etwas in dieser Art dabei heraus:

http://www.google.to/url?q=http://STaNdarTzA.Com/cgi-bin/poch/redir.cgi?s=t-online.de

Dabei wird die Domain des Mail-Empfängers als Parameter angehängt (im Beispiel T-Online). Die Spammer versuchen mit diesen Mails anscheinend die Empfänger der Mails für sich arbeiten zu lassen. Die Links führen über Weiterleitungsseiten, etwa von Google, zu dem russischen Mail-Provider Pochta , der kostenlose Mail-Konten anbietet. Vor die Anmeldung haben die Betreiber jedoch eine Hürde gesetzt, die automatische Massenanmeldungen durch Script-gesteuerte Bots verhindern soll.

Wer hier einen Mail-Konto eröffnen will, muss erst ein so genanntes CAPTCHA (" Completely Automated Public Turing Test to Tell Computers and Humans Apart ") überwinden. Dabei wird eine wechselnde Bilddatei angezeigt, die einige vor einem unregelmäßigen Hintergrund lose verstreute Zahlen zeigt. Für sehende Menschen ist es kein Problem, diese Zahlen zu lesen und einzutippen. Einfache automatische Programme scheitern hingegen daran.

Die Empfänger werden zu der Website von Pochta geleitet, sollen die Zahlen aus dem CAPTCHA-Bild abtippen und melden so für die Spammer ein Mail-Konto an. Die auf diese Weise mutmaßlich massenhaft erhaltenen Konten können die Spammer zum Versenden von Spam- und PhishinGoogle-Mails verwenden.

0 Kommentare zu diesem Artikel
163300