Neuer Trick der Link-Spammer

Die Tricks der Link-Spammer werden immer perfider. Wurden früher in Viral Marketing-Manier erst eifrig Links auf sehenswerte Sites gesammelt, so tarnen sich die Porno-Werbetrommeln heute hinter gestohlenen Blogs Unschuldiger.

Spätestens seit der Einführung der Page Rank-Technologie Googles ist bekannt, dass Links aus werbetechnischer Sicht eine sehr wichtige Rolle spielen. Im Juli 2002 tappte dann schließlich auch intern.de in die im Blog-Umfeld aufgestellte Falle eines Spammers.

Damals wurde ein Link auf eine spektakuläre Fußballszene des kolumbianischen Torwarts Réné MPEG-Film Higuita in einem "Kurz notiert" veröffentlicht. Tage später berichteten verärgerte Leser, dass sie auf eine Porno-Site mit Snuff-Videos von Vergewaltigungen gelenkt worden waren. Ein Link also, der bei Nicht-Entfernung sogar rechtliche Folgen hätte haben können.

Damals waren vermutlich mehrere Sites auf das Fußball-Video hingewiesen worden und übernahmen dankbar den Link. Doch die erst Tage zuvor eingerichtete Site diente nur dem Zweck, zu einem späteren Zeitpunkt als Redirect gebraucht zu werden.

Inzwischen werden solche Methoden leider häufiger gebraucht. Sehr beliebt ist es beispielsweise, Werbe-Links dieser Art in den Kommentarfeldern von Blogs zu hinterlassen. Da aber die Blog-Betreiber diese "Kommentare" inzwischen sehr genau beobachten, wurde die Methode nun noch einmal verfeinert.

Der Betreiber des Blogs Jogin.com beschreibt eine besonders gemeine Verfeinerung dieser Methode. Ihm war aufgefallen, dass ein anderer Blog-Betreiber im Jogin-Kommentarbereich zum dritten Mal einen Link auf den eigenen Blog eingebettet hatte.

Da der Jogin-Betreiber dies für einen sehr offensichtlichen Versuch hielt, für diesen fremden Blog zu werben, reagierte er verärgert und setzte einen Link auf das vermeintliche Weblog: "Hier ist ein Link auf Dein Weblog, Rod. Würdest Du jetzt bitte aufhören, Deinen verdammten Spam in meine Kommentare zu packen?"

Doch dann kam für Jogin die große Überraschung. Rod, der Betreiber des anderen Blogs, meldete sich bei ihm und klärte ihn auf, dass er nicht für diesen Spam verantwortlich ist. Der Spammer verwendete lediglich einen URL, der seiner Adresse beim Blog-Hoster Radio Userland sehr ähnelt. Nur in einem Buchstabe unterscheiden sich die beiden Adressen radio.weblogs.com und radio.wblogs.com. Und da der Täter auch die Inhalte des falsch Verdächtigten eins-zu-eins kopierte, wurde diese Verwechslung nicht gleich offensichtlich.

Ein Blick in den Source Code der geklonten Site lässt jedoch Übles vermuten. In der HTML-Datei findet sich keine einzige Zeile der gestohlenen Inhalte. Die 72 Kilobyte umfassende Datei enthält neben einigen Links auf Inzest-Sites fast 70.000 Zeichen mit verschiedensten Script-Anweisungen. Einen Besuch der Adresse mit dem Microsoft Internet Explorer sollte man sich also besser ersparen.

Der Sinn der ganzen Maßnahme bleibt damit teilweise im Dunkeln. Die Absicht, Links auf die Porno-Sites zu erzeugen, scheint jedenfalls nur ein Teilzweck. Welche Aufgabe die Scripte verfolgen, wäre erst durch eine genauere Analyse zu klären. Mindestens eine Anweisung scheint jedenfalls dazu gedacht, einen Buffer Overflow zu erzeugen. Das lässt nun wirklich nichts Gutes ahnen.

Der Kommentar des bestohlenen und in Misskredit gebrachten Rod: "Es sieht so aus, als würde es für mich Zeit, das Blogging einzustellen". Das werden vermutlich bald auch andere denken.

Die Kopie, nicht verlinkt: radio.wblogs.com/0100146/

Nachtrag: "Steffen" (krypronetz.de) bezweifelt, dass es sich um den versteckten Versuch eines Buffer Overflow handelt. Da diese Vermutung nur durch den kurzen Check eines dazu befragten Informatikers gedeckt ist, soll dem nicht widersprochen werden. Zumal sich der zeitliche und materielle Aufwand einer weitergehenden Überprüfung nicht lohnt.