Spammer nutzen vermeintliche Google-Adressen

Aufpassen, dass google.com nicht plötzlich ɢoogle.com ist!

In Google Analytics taucht derzeit bei vielen Nutzern ein Eintrag auf, der eine Art Spam-Wahlkampagne durch Donald Trump in Zusammenarbeit mit Google vermuten lässt. In den sozialen Netzwerken mutmaßen dies zumindest eine ganze Reihe User, die sich die URL nicht näher angeschaut hatten.

Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!

Bei dem augenscheinlichen „g“ im Domainnamen von google.com handelt es sich allerdings um das Unicode-Character „ɢ“ – dem kleingeschriebenen Großbuchstaben „G“. Das Zeichen wird unter der Bezeichnung ‚LATIN LETTER SMALL CAPITAL G‘ (U+0262) geführt (siehe: codepoints.net). Dieser stimmhafte, am Gaumenzäpfchen gebildete Verschlusslaut kommt laut Wikipedia nur in wenigen Sprachen, wie jemenitisch-arabischen Dialekten vor.

Google und andere große Seiten sind des Öfteren Opfer solcher Phishing-Domains, bei denen Unicode-Zeichen dazu verwendet werden, bekannte Buchstaben zu ersetzen.

Vote for Trump Spam in Google Analytics

Wer steckt nun dahinter? Trump, Google, …?

Registriert ist diese Domain in Russland. Betrieben wird die Website derzeit über die IP-Adresse 78.110.60.230 im Raum Moskau. Für mich sieht das weder nach dem 49. US-Präsidenten oder nach dem Umfeld des in Mountain View ansässigen Unternehmens aus.

Vielleicht hat sich hier wirklich nur ein russischer Trump-Anhänger einen Spaß gemacht und müllt im Namen von Donald Trump die Webanalytics von wer weiß wie vielen Anwendern voll. Aber prinzipiell ließe sich mit solchen Phishing-Attacken Nutzer auch auf 1:1 nachgebauten Seiten wie Facebook, Gmail, Amazon usw. locken und dort über einen Vorwand Logindaten abgreifen oder Schadsoftware unterjubeln.

Was kann man tun?

Natürlich sollte man umsichtig beim Aufruf irgendwelcher Adressen via Copy & Paste sein. Wie in diesem Beispiel fällt es kaum auf, dass es sich hierbei nicht um Google handelt.

Bernadette Hohns hat im Lunapark-Blog zu dieser Art von Spam unter dem Titel Fake-Traffic und Referrer-Spam in Google Analytics loswerden die Vorgehensweise der Spammer ausführlich beschrieben.

Was gibt es auf der Website zu sehen?

Ein neugieriger Aufruf der Seite secret.ɢoogle.com wird durch meine Sicherheitssoftware Eset Smart Security blockiert. Ob es sich hierbei jedoch um eine wirkliche Gefährdung durch einen Trojaner handelt oder ESET an dieser Stelle lediglich die spammige Domain-Weiterleitung verhindern möchte, kann ich nicht sagen.

ESET sperrt diese Google-Spam-Seite

Ruft man die Adresse doch im Browser auf, erfolgt eine Weiterleitung zu der etwas sperrigen URL:

Weiterleitungsadresse - secret.[g]oogle.com

Diese Zielseite besteht aus unzähligen Links zu allen möglichen Seiten, die ich mir jedoch nicht näher anschauen wollte. Auf dem ersten Blick fielen mir zumindest keine kritischen Verweise auf. Eher eine Art veralteter und schlecht gemachter Webkatalog, wie es diese noch Anfang der 2000ern gab.

Ich habe an dieser Stelle 2 Screenshots angefertigt, damit ihr euch einen kurzen Eindruck verschaffen könnt, ohne die Seite aufrufen zu müssen.

Im Firefox: secret.google.com

Im Lynx-Browser: secret.googl.com

Vor Ghost Spam dieser Art schützen?!

Beim Analytics-Trump-Google-Spam und den vielen anderen Methoden dieser Art, wird die eigene Website weder durch menschliche Besucher noch von einem Bot aufgerufen. Mit dem verwendeten Measurement Protocol wird das Ganze aus der „Ferne“ mit den UAs der Analytics-Nutzer versehen, um in den jeweiligen Auswertungen aufzutauchen.

Wie ich erst kürzlich bei einem Vortrag zu diesem Thema von Thomas Wagner erfahren durfte, lässt sich mit dem Anlegen von Filtern und benutzerdefinierten Dimensionen dieses Probleme verhindern.

ga(’set‘, ‚dimension1‘, ‚ANTISPAM‘);

GA-Dimension: Antispam
GA-Dimension: Antispam

Dabei wird auf der eigenen Seite der Analytics-Code prinzipiell mit einem „Passwort“ erweitert, was die Spammer über das Measurement Protocol nicht abbilden können. Die „Besucherzahlen“ werden durch diese Anpassungen natürlich etwas fallen, aber näher an die realen Zahlen herankommen.

Google Analytics - Spam-Einträge bei den Sprachen

Reicht das als Schutzmechanismus für die Analytics-Daten?

Nein, leider nicht! Die Spammer haben, gerade beim Einsatz des Standard-Tracking-Codes, auch Zugriff auf die Dimensionen. Schließlich stehen diese Informationen für jeden (Bot) sichtbar direkt im Quellcode der Webseite und lassen sich so auch in die Tools der nervenden „Angreifer“ einarbeiten. Das werden nicht alles nur sogenannte „Script-Kiddies“ sein, die „ein wenig herum spielen“.

Vielleicht hilft es an dieser Stelle als „Passwort“ nicht gerade ANTISPAM zu nutzen, sondern auf Dimensionen klassischer Analytics-Daten zuzugreifen. So könnte man auch „WOMEN“, „CHECKOUT“ oder „NEWSLETTER“ an diesem Punkt nutzen und so den Spammern eine Falle stellen. Denn eins ist klar: Die Jungs und Mädels die uns die Datenansichten versauen, schlafen mit Sicherheit nicht und wissen auch, wie man solche Mauern überwindet.

Seid ihr auch betroffen?

Ich habe diese Einträge auf fast allen meiner Seiten gefunden. Wie schaut’s bei euch aus? Unternehmt ihr was dagegen oder ignoriert ihr das ganze? Oder wurdet ihr eventuell sogar verschon? Schreibt es in die Kommentare!

5/5 (13)

Konnten wir mit diesem Beitrag weiterhelfen?

Empfehlungen der Redaktion:
Für alle Entdeckerinnen und Entdecker

WhatsApp - optimal nutzen

Buchtipp: Die neueste Version 2021 erklärt alles Funktionen des Messenger-Dienstes. Jetzt WhatsApp komplett ausreizen.

Google als Startseite

Die am häufigsten genutzte Suchmaschine als Startseite im Browser einrichten und schneller die gesuchten Inhalte finden.

Diese Woche neu bei Tchibo

Tolle neue Sachen in den Themenwelten des Tchibo Online-Shops entdecken und sich oder anderen eine Freude bereiten.

Angebote bei QVC

Der TV-Kanal Nummer 1 in Deutschland ist natürlich auch im World Wide Web. Produkte aus den TV-Shows jetzt online entdecken.

Werbeanzeigen

Daniel

Über den Autor

Daniel Weihmann - Betreiber und Redakteur verschiedener Online-Plattformen wie Browserdoktor.de. Von 2004 bis 2014 als Systemadministrator verantwortlich für mehrere Linux-Server und kommunale Online-Lösungen. Heute selbstständiger Webdesigner, SEO und Online-Marketer in Köthen (Anhalt).

14 Gedanken zu „Spammer nutzen vermeintliche Google-Adressen“

  1. Hallo,Leider ist es mir bei mir auch aufgefallen. 86 mal wurde die betroffene Webseite innerhalb von sechs Tagen aufgerufen. Vielleicht sollte man Russland einfach sperren.

    Antworten
  2. Die ominöse sperrige Weiterleitungsadresse aus unzähligen URLs, ist nichts anderes, als der Liedtext von „Money“ (Pink Floyd) … das hat doch schon wieder was, nicht?! Viele Grüße 🙂

    Antworten
  3. Gut das sich jemand dem Thema angenommen hat, so das man zumindest weiß was es mit dem Spam auf sich hat.
    Habe mittlerweile über 120 Zugriffe von diesem in Google Analytics. Fragt man sich wieso jemand sowas macht. Aus Spaß? Langeweile? Oder doch um Malware zu verbreiten?

    Antworten
    • Ja, ich blick das auch nicht so richtig. Ich denke dass derade die Personen, die diese Daten in ihren Analytics-Accounst finden, auch diese sind die das nicht einfach so anklicken. Meiner Meinung nach ärgerlich, aber doch das falsche Ziel, oder?

      Antworten
  4. Und was kann ich jetzt dagegen tun?
    Diese scheiß Seitenaufrufe verfälschen komplett meine Statistiken…

    Wäre auch echt dankbar wenn ihr eine Lösung für uns alle hättet.
    Grüße

    Marco

    Antworten

Schreibe einen Kommentar