Skip to content

Spam: Analyse des Sexmail-Spammings

Es werden jeden Tag mehr. Dutzende von Spamversendern denken sich seltsame Namen aus und schicken mir Mails von willigen Frauen, die alle nur das Eine von mir wollen:

mail

Dabei haben diese Mails alles eines gemeinsam: Sie enthalten nur wenige Zeilen Text und einen Link, den man gefälligst anzuklicken hat:

mail1

Was man tunlichst lassen sollte, denn durch den Klick auf diesen Link “verifizieren” Sie auch noch Ihre Emailadresse, was den Spam-Versender freut, Sie aber nicht: Ihre Email wird als “echt” gekennzeichnet und dann geht es erst richtig los.

Was ist denn das für ein Referrer?

Eine Referrer-Angabe in einem Link übergibt einen Wert an die aufgerufene Webseite, von wo die Mail kommt. Und hier wird es sehr interessant, denn diese Webseiten, um die es hier geht, haben – da bin ich mir ziemlich sicher – nichts mit dem Versenden dieser Mails zu tun. Hier nur ein Beispiel:

radsport2

Ruft mal diese Webseite auf (nicht nachmachen!), kommt es noch dicker:

radsport1

Was ist da passiert?

Ganz einfach: Das ist ein Joomla-CMS und mit Sicherheit hat der Webmaster nicht alle Patches installiert. Dadurch konnte ein Hacker durch ein s.g. Exploid einen Fremdcode einfügen, den er nun für das Versenden seiner Spammails benutzt. Mein Virenscanner erkennt diese Veränderung und meldet mir eine Infektion der Webseite. Ich bin gerade dabei den Webmaster dieser Seite zu erreichen.

Er ist da nicht der Einzige, in allen anderen Mails werden Dutzende von gehackten Webseiten als Referrer eingesetzt:

radsport2

radsport3

radsport4

Was kann man tun?

Einen guten Filter setzen und diesen immer wieder mit neuen Daten füttern. Ich mache dies direkt online bei Web.DE, bekomme die Mails dann also gar nicht mehr zu Gesicht. An und zu müssen Sie aber den Spam-Ordner kontrollieren, denn immer wieder mal rutscht auch eine Mail da rein, die Sie haben wollten.

225 Klicks