Erste Hilfe bei Problemen mit Ihrem Webbrowser

Spammer nutzen vermeintliche Google-Adressen

Aufpassen, dass google.com nicht plötzlich ɢoogle.com ist!

In Google Analytics taucht derzeit bei vielen Nutzern ein Eintrag auf, der eine Art Spam-Wahlkampagne durch Donald Trump in Zusammenarbeit mit Google vermuten lässt. In den sozialen Netzwerken mutmaßen dies zumindest eine ganze Reihe User, die sich die URL nicht näher angeschaut hatten.

Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!

Bei dem augenscheinlichen „g“ im Domainnamen von google.com handelt es sich allerdings um das Unicode-Character „ɢ“ – dem kleingeschriebenen Großbuchstaben „G“. Das Zeichen wird unter der Bezeichnung ‚LATIN LETTER SMALL CAPITAL G‘ (U+0262) geführt (siehe: codepoints.net). Dieser stimmhafte, am Gaumenzäpfchen gebildete Verschlusslaut kommt laut Wikipedia nur in wenigen Sprachen, wie jemenitisch-arabischen Dialekten vor.

Google und andere große Seiten sind des öfteren Opfer solcher Phishing-Domains, bei denen Unicode-Zeichen dazu verwendet werden, bekannte Buchstaben zu ersetzen.

Vote for Trump Spam in Google Analytics

Vote for Trump Spam in Google Analytics

Wer steckt nun dahinter? Trump, Google, …?

Registriert ist diese Domain in Russland. Betrieben wird die Website derzeit über die IP-Adresse 78.110.60.230 im Raum Moskau. Für mich sieht das weder nach dem 49. US-Präsidenten oder nach dem Umfeld des in Mountain View ansässigen Unternehmens aus.

Vielleicht hat sich hier wirklich nur ein russischer Trump-Anhänger einen Spaß gemacht und müllt im Namen von Donald Trump die Webanalytics von wer weiß wie vielen Anwendern voll. Aber prinzipiell ließe sich mit solchen Phishig-Attacken Nutzer auch auf 1:1 nachgebauten Seiten wie Facebook, Gmail, Amazon usw. locken und dort über einen Vorwand Logindaten abgreifen oder Schadsoftware unterjubeln.

Was kann man tun?

Natürlich sollte man umsichtig beim Aufruf irgendwelcher Adressen via Copy&Paste sein. Wie in diesem Beispiel fällt es kaum auf, dass es sich hierbei nicht um Google handelt.

Bernadette Hohns hat im Lunapark-Blog zu dieser Art von Spam unter dem Titel Fake-Traffic und Referrer-Spam in Google Analytics loswerden die Vorgehensweise der Spammer ausführlich beschrieben.

Was gibt es auf der Website zu sehen?

Ein neugieriger Aufruf der Seite secret.ɢoogle.com wird durch meine Sicherheitssoftware Eset Smart Security blockiert. Ob es sich hierbei jedoch um eine wirkliche Gefährdung durch einen Trojaner handelt oder ESET an dieser Stelle lediglich die spammige Domain-Weiterleitung verhindern möchte, kann ich nicht sagen.

ESET sperrt diese Google-Spam-Seite

ESET sperrt diese Google-Spam-Seite

Ruft man die Adresse doch im Browser auf, erfolgt eine Weiterleitung zu der etwas sperrigen URL:

Weiterleitungsadresse - secret.[g]oogle.com

Weiterleitungsadresse – secret.[g]oogle.com

Diese Zielseite besteht aus unzähligen Links zu allen möglichen Seiten, die ich mir jedoch nicht näher anschauen wollte. Auf dem ersten Blick fielen mir zumindest keine kritischen Verweise auf. Eher eine Art veralteter und schlecht gemachter Webkatalog, wie es diese noch Anfang der 2000ern gab.

Ich habe an dieser Stelle 2 Screenshots angefertigt, damit ihr euch einen kurzen Eindruck verschaffen könnt, ohne die Seite aufrufen zu müssen.

Im Firefox: secret.google.com

Im Firefox: secret.google.com

Im Lynx-Browser: secret.googl.com

Im Lynx-Browser: secret.googl.com

Vor Analytics-Spam dieser Art schützen?!

Beim Analytics-Trump-Google-Spam und den vielen anderen Methoden dieser Art, wird die eigene Website weder durch menschliche Besucher noch von einem Bot aufgerufen. Mit dem verwendeten Measurement Protocol wird das Ganze aus der „Ferne“ mit den UAs der Analytics-Nutzer versehen, um in den jeweiligen Auswertungen aufzutauchen.

Wie ich erst kürzlich bei einem Vortrag zu diesem Thema von Thomas Wagner erfahren durfte, lässt sich mit dem Anlegen von Filtern und benutzerdefinierten Dimensionen dieses Probleme verhindern.

ga(’set‘, ‚dimension1‘, ‚ANTISPAM‘);

Dabei wird auf der eigenen Seite der Analytics-Code prinzipiell mit einem „Passwort“ erweitert, was die Spammer über das Measurement Protocol nicht abbilden können. Die „Besucherzahlen“ werden durch diese Anpassungen natürlich etwas fallen, aber näher an die realen Zahlen herankommen.

Seid ihr auch betroffen?

Ich habe diese Einträge auf fast allen meiner Seiten gefunden. Wie schaut’s bei euch aus? Unternehmt ihr was dagegen oder ignoriert ihr das ganze? Oder wurdet ihr eventuell sogar verschon? Schreibt es in die Kommentare!

Diesen Beitrag in den sozialen Medien teilen

12 Antworten

  1. Avatar-Bild Leser-Kommentar Claudia

    Hallo, bei mir taucht dieser Link auch auf. Ich wüßte gar nicht was ich dagegen unternehmen soll.

    familylifeloveandcooking . blogspot . com

  2. Avatar-Bild Leser-Kommentar Marc

    Wir sind auch bei mehreren Seiten davon betroffen. Genau dieselbe Sache.

    gruß

    marc

  3. Avatar-Bild Leser-Kommentar Andideluxe

    Hallo,Leider ist es mir bei mir auch aufgefallen. 86 mal wurde die betroffene Webseite innerhalb von sechs Tagen aufgerufen. Vielleicht sollte man Russland einfach sperren.

    • Schaue mir gerade die benutzerdefinierten Dimensionen bei Analytics an. Da könnte man etwas gegen diesen Datenmüll in der Webanalyse machen …
      https://support.google.com/analytics/answer/2709828?hl=de

      Sobald ich was Vorzeigbares habe, wird es hier veröffentlicht.

    • Avatar-Bild Leser-Kommentar Ricci

      Ich habe diese SPAM auch, aber mir ist nicht ganz klar, was damit bezweckt werden soll?

      • Dass Leute, die dieses Zeug in ihren Daten finden, die dortige Website aufrufen. Hier verstehe ich es nicht ganz. Bei anderen stecken u.a. mit Malware verseuchte Websites dahinter oder werden zum Verteilen von Affiliate-Cookies verwendet.

  4. Avatar-Bild Leser-Kommentar Denis Waßmann

    Die ominöse sperrige Weiterleitungsadresse aus unzähligen URLs, ist nichts anderes, als der Liedtext von „Money“ (Pink Floyd) … das hat doch schon wieder was, nicht?! Viele Grüße :)

  5. Avatar-Bild Leser-Kommentar Ricci

    bei uns 319 Aufrufe am 30. Novemer 2016

  6. Avatar-Bild Leser-Kommentar Shi

    Gut das sich jemand dem Thema angenommen hat, so das man zumindest weiß was es mit dem Spam auf sich hat.
    Habe mittlerweile über 120 Zugriffe von diesem in Google Analytics. Fragt man sich wieso jemand sowas macht. Aus Spaß? Langeweile? Oder doch um Malware zu verbreiten?

    • Avatar-Bild Leser-Kommentar Ricc

      Ja, ich blick das auch nicht so richtig. Ich denke dass derade die Personen, die diese Daten in ihren Analytics-Accounst finden, auch diese sind die das nicht einfach so anklicken. Meiner Meinung nach ärgerlich, aber doch das falsche Ziel, oder?

  7. Avatar-Bild Leser-Kommentar Marco

    Und was kann ich jetzt dagegen tun?
    Diese scheiß Seitenaufrufe verfälschen komplett meine Statistiken…

    Wäre auch echt dankbar wenn ihr eine Lösung für uns alle hättet.
    Grüße

    Marco

Einen Kommentar schreiben