Redirects im Spam

Einleitung

Spammer setzen aktiv Browser-Umleitungen (Redirects) in ihren E-Mails ein: Mit einem Klick auf einen Spam-Link durchläuft der Empfänger der E-Mail mit seinem Browser häufig eine ganze Reihe von Webseiten, bevor er auf der endgültigen Ressource landet.

Die Gründe für den Einsatz von Redirects sind zahlreich. Meistens helfen sie den Spammern dabei, Daten wie den Namen der Webseite oder die Telefonnummer des Auftraggebers zu verbergen, anhand derer Spam-Filter die E-Mail als unerwünscht identifizieren können. Das hat zur Folge, dass der Empfänger (wie auch der Spam-Filter) in der E-Mail weder Links auf die beworbene Webseite noch irgendwelche Telefonnummern oder Postadressen sieht, die zur Kontaktaufnahme mit dem Absender dienen können. In der E-Mail ist lediglich ein Link auf eine „Vermittler-Ressource“ sichtbar. Nimmt der Spammer an einem Partnerprogramm teil, so muss er wissen, wie viele Empfänger dem Link gefolgt sind, da seine Einnahmen direkt davon abhängen. Daher können sich in der Kette der Webseiten, über die der Nutzer geschickt wird, auch solche Redirect-Seiten befinden, die als Klick-Zähler fungieren.

Die Kaspersky-Experten untersuchen im Folgenden die populärsten Spammer-Methoden, die direkt oder indirekt Redirects einsetzen sowie die am weitesten verbreiteten und am häufigsten verwendeten Typen von Umleitungen. Außerdem werfen wir einen Blick auf die Besonderheiten von Redirect-Spam, der Anwendern auf der ganzen Welt täglich Verdruss bereitet.

Umleitungstypen

Umleitungen lassen sich auf verschiedene Arten klassifizieren. Das Kaspersky-Team verwendet zur Klassifizierung das Objekt, welches zur Umsetzung des Redirects genutzt wird. Die am häufigsten eingesetzten Methoden sind Redirects unter Verwendung von Links und Redirects mit Hilfe von angehängten HTML-Seiten.

Links

Die Verwendung von Links zur Umleitung des Browsers ist eine traditionelle Spammer-Methode. Klickt der Nutzer auf einen solchen Link, so landet er in der Regel auf einer Webseite, von der aus die Spammer ihn unter Verwendung einer der Umleitungsmethoden (dazu später) auf die Zielressource führen. Bei der Zwischenseite kann es sich um eine von den Spammern gehackte legitime Webseite oder eine der Spammer-Seiten handeln, die eigens für Redirects auf andere Webressourcen erstellt wurden.

Eine weitere simple Methode zur Tarnung der Spam-Links ist die Nutzung von Kurz-URL-Diensten, die es den Spammern ermöglichen, schnell einen getarnten Link für ihre Seite zu erstellen, wie etwa in der unten abgebildeten E-Mail.

 

Derzeit gibt es viele solcher Dienste. Sie werden im Wesentlichen genutzt, um einen Link zu verkürzen, wodurch sie sich insbesondere für solche Ressourcen eignen, die den Umfang des geschriebenen Textes beschränken (zum Beispiel Twitter). Manchmal nutzen Spammer nicht die bereits existierenden Kurz-URL-Services, sondern gründen eigene. Der Vorteil der Nutzung eigener Dienste liegt in der fehlenden Moderation – niemand überprüft, wohin der von den Spammern erstellte Link führt. Der Nachteil besteht darin, dass jeder Spam-Filter den gesamten Service auf die Schwarze Liste setzen und damit alle Versendungen der Spammer mit einem Schlag stoppen kann.

HTML-Anhänge

Zur Umleitung nutzen Spammer häufig spezielle HTML-Dateien. Werden diese geöffnet, leiten sie den Browser auf eine Spammer-Website um. Zu diesem Zweck kommen verschiedene Methoden und Techniken zum Einsatz, von denen später noch die Rede sein wird. Solche Dateien werden an die Spam-Mail angehängt und die Cyberkriminellen müssen den Anwender dann nur noch unter irgendeinem Vorwand dazu bringen, diese im Browser zu öffnen.

Die Spammer gestalten den Quellcode der zu versendenden HTML-Seiten immer komplizierter und verschleiern ihn immer mehr, um die Umleitung vor den Spam-Filtern zu verbergen. Von Zeit zu Zeit ändern sie die angewandten Umleitungsmethoden vollständig.

Im Sommer letzten Jahres hat Kaspersky Lab E-Mails dieser Art erhalten:

 

Ganz klassisch verleitet der Text der E-Mail den Empfänger dazu, einen Blick in den Anhang zu werfen. Was sehen wir nach Öffnen der Datei? Anstatt beim versprochenen Video mit Victoria Norton landen wir auf einer Spammer-Seite – einfach durch Öffnen der HTML-Datei.

 

In der Mitteilung aus dem ersten Beispiel wurden wir zumindest noch auf die angekündigte „Uhren-Werbung“ umgeleitet, doch im zweiten Beispiel finden wir uns auf einer von Spammern gehackten Webseite ohne jeglichen Werbeinhalt wieder. Solche Versendungen zeigen, dass es den Spammern manchmal wichtiger ist, reale E-Mail-Adressen zu erhalten und an den Klicks der Adressaten auf die Links zu verdienen (was mit dem Öffnen des HTML-Anhangs geschieht), als konkrete Waren zu bewerben.

Sowohl Umleitungs-Links als auch zum Redirect genutzte HTML-Dateien kommen sehr häufig im Spam vor. Die Quellcodes dieser Umleitungs-Methoden unterscheiden sich jedoch ebenso voneinander wie die Methoden, mit Hilfe derer Spammer die Anwender dazu bringen, auf ihre Links zu klicken.

Methoden

Die Redirect-Methoden der Spammer sind wohlbekannt. Einige von ihnen können auf eine mehr als zehnjährige Geschichte zurückblicken und werden auch heute noch aktiv eingesetzt. Die meisten Methoden zielen auf das Umgehen der Spam-Filter ab sowie auf die Verschleierung der Tatsache, dass in der E-Mail überhaupt ein Redirect enthalten ist. Im Folgenden betrachten wir die am weitesten verbreiteten Methoden der Spammer zur Umsetzung von Redirects.

Redirects mittels JavaScript

So könnte ein Quellcode eines HTML-Anhangs aussehen, der für einen Redirect verantwortlich ist:

 

Man sieht, dass die Spammer einen simplen Versuch unternehmen, den Filter auszutricksen – sie zerlegen den Text in Zeilenstückchen, die den Link selbst enthalten (auf dem Screenshot hervorgehoben) und verändern den Wert des Objektes „location“ für die Umadressierung:

window.location = „http://…”;

Die Änderung dieses Wertes ist eine traditionelle Umleitungsmethode in JavaScript, der Redirect erfolgt ohne Zutun des Anwenders.

document.location.href = “http://…
window.location.reload(“http://…”)
window.location.replace(“http://…”)

2. Verwendung von Meta-Tags

Um denselben Effekt zu erzielen, nutzen die Spammer neben der Änderung des Objekts „location“ eine andere Umleitungsmethode – den speziellen HTML-Tag „meta“. Meta-Tags werden normalerweise zur Speicherung von verschiedenen Informationen über die Seite verwendet, zum Beispiel Codierung, HTTP-Header oder Schlüsselwörter des Inhalts.

Eine Anwendung des Meta-Tags ist die Verwendung des Headers refresh mit dem Parameter url, was ebenfalls zu einer automatischen Umleitung des Browsers beim Laden der Seite führt.

 

Besonders bemerkenswert ist die geringe Größe der erhaltenen HTML-Datei. Da der Meta-Tag im Header der Seite steht, kann diese wie in obigem Beispiel auch völlig leer sein. Daher kommt diese Methode häufig in HTML-Seiten zum Einsatz, die an Spam-Mails angehängt sind.

3. Auf eine Drittseite umleitender iframe

Die Verwendung des Iframe-Tags zur Umleitung des Browsers auf eine Spammer-Seite eröffnet die Möglichkeit, auf einer aktuellen Seite – innerhalb eines in Breite und Höhe festgelegten Blocks – den Inhalt einer anderen Seite abzubilden.

 

Öffnet der Anwender die angehängte HTML-Datei, lädt der Browser den Inhalt einer anderen Seite innerhalb der Iframe-Zone. Die Spammer weisen dieser Zone meist eine große Fläche zu (in diesem Fall 100 Prozent der Breite und 4.700 Pixel in der Höhe), so dass die Seite im Endeffekt vollständig mit dem Inhalt der Dritt-Webseite ausgefüllt ist. Auf dem Screenshot unten sieht man das Ergebnis nach dem Öffnen eines solchen Anhangs: Von der Dritt-Seite in der Iframe-Zone, die die gesamte Fläche des Browserfensters einnimmt, wurde rumänische Werbung für Englisch-Sprachkurse geladen.

 

4. Einstellung .htaccess

Eine für Spammer sehr bequeme, aber trotzdem recht selten anzutreffende Methode ist die Dateieinstellung .htaccess auf Serverseite. In der Regel konfigurieren die Spammer diese Dateien auf ihren Servern.

Auf die Datei .htaccess kann in der Regel nur der Administrator des Servers zugreifen. Wenn sie in einem Verzeichnis auf dem Server erstellt wurde und korrekt ausgefüllt ist, leitet sie den Browser beim Öffnen des Links auf dieses Verzeichnis sofort auf die in .htaccess verwiesene Ressource um. Haben die Spammer beispielsweise auf Webseite im Ordner „/spamdir“ die Datei .htaccess mit speziellem Inhalt platziert, so werden alle Anwender, die den in der Spam-Mail enthaltenen Link „http://example.org/spamdir“ öffnen, automatisch vom Webserver auf die Seite umgeleitet, deren Adresse in der Datei .htaccess angegeben ist.

Meistens steht in der Datei die Anweisung „Redirect“. Diese gibt an, von welcher Seite der Webseite und wohin die Umleitung erfolgen soll (rot hervorgehoben):

 

Eine weitere Möglichkeit für einen Redirect bietet die Anweisung „RewriteCond“, die einen bestimmen regelmäßigen Ausdruck vorgibt, dem der Link entsprechen muss. Zusammen mit „RewriteRule“ gibt diese Anweisung die Regel für die Adressänderung vor. Passt die IP-Adresse des Besuchers der Seite zu dem regelmäßigen Ausdruck, der in „RewriteCond“ beschrieben wird, so wird sein Browser zu der Adresse umgeleitet, die durch die Regel in der Anweisung „RewriteRule“ vorgegeben ist.

Cyberkriminelle nutzen diese Redirect-Methode häufig, um Browser je nach Land und Region der IP-Adresse auf Webseiten der am besten dazu passenden Partnerprogramme umzuleiten. Dadurch wird die Umleitung zielgerichteter und effektiver.

Untenstehend ein Beispiel für eine typische .htaccess-Datei der Spammer, die Besucher aus den angegebenen Subnetzen umleitet.
 

 

5. Verwendung von PHP

Eine seltene, doch durchaus verwendete Umleitungsmethode liegt in der Nutzung verschiedener Skriptsprachen.

Hier die simpelste Form eines Redirects mit PHP:

<?php
header(’Location: http://…‘); ?>

Dem Browser wird der HTTP-Header „Location“ übermittelt, was zur Umleitung des Browsers auf die angegebene Webseite führt.

Ebenso häufig werden andere Header übermittelt, in denen verschiedene HTTP-Status-Codes (3хх) angezeigt werden. Das weist darauf hin, dass sich auf dieser Seite ein Redirect befindet.

<?php header(„HTTP/1.1 301 Moved Permanently „);
header(„Location: http://…“);
exit();
?>

Tarnung des Inhalts

Im Folgenden analysieren wir Beispiele von E-Mails, die das Kaspersky-Team im September 2012 erhielt.

 

Der neuste Spammer-Trick: Getarnt als Bericht über den Status einer Transaktion erhält das potenzielle Opfer eine E-Mail mit angehängter HTML-Datei. Nach Öffnen der Datei erklären die Spammer dem Empfänger frei von der Leber weg, dass er nun auf eine andere Seite umgeleitet wird. Dass es sich dabei um eine Phishing-Seite handelt, verschweigen sie ihm allerdings.

 

Manchmal platzieren die Spammer den Quellcode für die Umleitung nicht in HTML-Anhängen, sondern in der E-Mail selbst, in der Hoffnung darauf, dass der Empfänger eine alte Version eines E-Mail-Programms verwendet (die modernen Programme verfügen über einen Schutz vor dem Laden beliebiger Inhalte aus dem Web). Die Umleitung erfolgt direkt in dem Moment, in dem die E-Mail gelesen wird:

 

Nach einem Blick auf den Quellcode der E-Mail versteht man, auf welche Weise die Umleitung erfolgt:

 

Man sieht, dass die Spammer erneut auf die Verwendung von JavaScript-Redirects zurückgreifen, doch in diesem Fall tarnen (obfuskieren) sie den Quellcode wesentlich stärker und nutzen die Arrays der Konstanten – numerische Werte von Symbolen, aus denen in der Folge der Spammer-Link zusammengesetzt wird. Wie sich später herausstellen wird, sind diese Werte zudem auf die Funktion von der Ordnungszahl des Arrays ausgeweitet.

Schauen wir uns einmal an, wie der Code im Klartext aussieht. Dazu entnehmen wir das Skript aus dem HTML-Code und verwenden beispielsweise DeobfuscateJavaScript in Verbindung mit jsbeautifier.

 

Nun sieht man, dass sich der Spam-Link doch innerhalb des Skriptes befunden hat. Aber wo und wie wurde er gespeichert?

Um zu verstehen, welche Methoden die Spammer nutzen, um die Existenz eines Links zu verschleiern und die Spam-Filter auszutricksen, untersuchen die Kaspersky-Experten jeden Schritt, den auch ein Tool zur „Entschleierung“ durchführt.

Zunächst einmal formatieren wir das Skript so, dass eine lesbare Form entsteht, indem wir Einzüge und Leerzeichen zwischen die Anweisungen und Zeilenabgrenzungen setzen.

 

Der Code ist nun verständlicher, aber das ist noch nicht ausreichend. Wir werden ihn manuell vereinfachen und herausfinden, was hier vor sich geht:

  • Wir entfernen die unnötigen Variablen und Anweisungen, die immer ausgeführt werden.
  • Wir finden die Werte der Variablen und deren Substitution heraus.
  • Wir ermitteln, welche Aufrufe daraus resultieren.

 

Jetzt wird klar, dass das gesamte Skript zu folgenden Aktionen führt:

  1. Die Erstellung der notwendigen Zeile „s“, die den ausführbaren Code enthält.
  2. Ihre Ausführung (Zeile mit „window[eval]“).

Im Ergebnis enthält die Ausführung der Routine in der Zeile „s“ den folgenden Code:

 

Nun haben wir ihn – den Link, auf den der Browser umgeleitet wird!

Jetzt wird verständlich, welchen Algorithmus die Spammer zur Erstellung der JavaScript-Anhänge verwenden:

  1. Den nötigen Link in Symbole zerlegen, deren Bit-Werte und die Funktion von diesen Werten im Array speichern.
  2. Wiederholt die Funktionen aufrufen, die den entsprechenden Link aus den Werten im Array bilden.
  3. Zusätzliche Zuweisungen der Werte der einen Variablen zu den anderen ergänzen, um deren ursprünglichen Namen zu verändern und zu verschleiern.
  4. Allen Teilen des Codes die Blöcke „if“ und „try-catch“ mit wahren Argumenten hinzufügen.
  5. Schritte 1 bis 4 mehrere Male durchführen, bis der Code unlesbar ist.

Das gesamte Funktionsschema der Umleitungen ist unten dargestellt:

 

Hauptthemen der E-Mails mit Redirects

Umleitungen, die dazu dienen, den realen Link oder die Kontaktdaten der Spammer zu verbergen, kommen in E-Mails praktisch jeder Thematik vor, und von Jahr zu Jahr werden sie immer populärer.
 

Im Fall von E-Mails mit angehängten HTML-Seiten ist das anders. Die Links in solchen Mitteilungen führen normalerweise auf Phishing-Webseiten, auf denen Cyberkriminelle versuchen, die Passwörter der E-Mail-Accounts der Nutzer abzugreifen. Seltener leiten sie die Anwender auf Werbung für verschiedene Software oder für andere Services um.

In letzter Zeit stieg die Zahl der Versendungen mit Redirects, die auf Kontakt-Webseiten umleiten.

Wie bereits oben erwähnt kann der Anwender in Abhängigkeit von seiner IP-Adresse auf die eine oder andere Spammer-Webseite umgeleitet werden. Die Spammer setzen diesen Trick ein, um an einer Versendung mehr Geld zu verdienen. Sie nehmen an mehreren Partnerprogrammen gleichzeitig teil und leiten den Anwender – in Abhängigkeit von der Region seines Wohnsitzes – zu dem passendsten Programm weiter. So kann mit dem Klick auf ein und denselben Link ein Europäer beispielsweise auf einer Phishing-Seite landen und ein in Russland lebender Nutzer auf einer Kontakt-Webseite.

Fazit

Der Einsatz der verschiedenen Redirect-Methoden dokumentiert eindrucksvoll die Evolution von Spam-Versendungen im Laufe der Zeit. Einige Methoden sind simpel und für die Empfänger leicht zu durchschauen, so dass sie wissen, dass ihre Browser auf eine andere Ressource umgeleitet werden. Parallel zu diesen Methoden werden andere, komplexere entwickelt, wobei der Redirect für den Anwender völlig unbemerkt über mehrere Webseiten abläuft und er ausschließlich die endgültige Seite zu sehen bekommt. Zudem wird ein nicht zu vernachlässigender Teil der Versendungen mit Redirects von solchen E-Mails gestellt, in denen die Spam-Links tief im Quellcode der HTML-Anhänge verborgen sind. Die Spam-Analysten von Kaspersky Lab verfügen über eine Vielzahl von Werkzeugen, mit deren Hilfe sie die eine oder andere Spam-Versendung abfangen können. So könnten die Spam-Filter beispielsweise eine vollständige Entschleierung des Codes durchführen, oder die Tatsache, dass sich getarnter Code in der E-Mail befindet, als Merkmal für eine Spam-Mitteilung verwenden (die zweite Methode kann allerdings zu Falsch-Positiv-Alarmen führen). In diesem Fall ist es einfacher, die Versendung auf Grund des Inhaltes oder formalen Merkmalen zu blockieren, als zu versuchen, den Code für jede einzelne E-Mail in Klartext zu übersetzen.

Redirects sind dann besonders gefährlich, wenn in den E-Mails Links auf Schadprogramme verbreitet werden oder wenn die entsprechenden Links in Phishing- oder Betrugsmails enthalten sind. Einerseits werden die Anwender immer vorsichtiger und wachsamer, so dass die Effektivität solcher Versendungen abnehmen sollte. Andererseits kommen ständig neue Nutzer hinzu, die sich gerade erst mit dem Internet vertraut machen, und es ist manchmal nicht ganz einfach, die Fallstricke der Cyberkriminellen zu erkennen. Wir möchten daher einige einfache Tipps geben, mit denen Sie sich vor Redirects schützen können:

  • Öffnen Sie keine an eine E-Mail angehängten HTML-Dateien, wenn sie dem Absender nicht vertrauen. Das Gleiche gilt für Anhänge aller anderen Arten.
  • Überprüfen Sie, wohin der Link führt, bevor Sie auf ihn klicken. Bei den meisten Browsern und E-Mail-Programmen müssen Sie zu diesem Zweck lediglich mit dem Cursor über den Link fahren, um zu sehen, wohin er führt. Klicken Sie nicht auf einen Link, wenn irgendwelche Zweifel an der Vertrauenswürdigkeit des Absenders bestehen.
  • Reagieren Sie nicht auf Spam-Versendungen. Dadurch zeigen Sie den Spammern lediglich, dass Ihre Adresse „aktiv“ ist, und sie werden Sie dann umso mehr mit unerwünschten Nachrichten überschwemmen. Besser ist es, die Spam-Mail umgehend zu löschen.
  • Verwenden Sie Schutzlösungen, die Anti-Virus- und Anti-Spam-Technologien enthalten, und aktualisieren Sie diese regelmäßig.

Folgen Sie zudem stets den allgemeinen Sicherheitsregeln im Internet – wenn Sie sich daran halten, so wird die Wahrscheinlichkeit deutlich geringer, Betrügern und anderen Verbrechern zum Opfer zu fallen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.