Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

Copy & Paste Spam

7. Februar 2012 um 17:37 Uhr von Atari-Frosch

Seit gestern tauchen hier im Blog neuartige Spamkommentare auf, die auf Facebook-Profile linken. Die Kommentare dürften in vielen Blogs erstmal publiziert werden, da sie nur aufgrund der Art und Weise, wie sie eingeliefert werden, als Spam erkannt werden können. Stichwort-Blacklisten helfen genausowenig wie die Blockade bestimmter IP-Adressen.

Inhaltlich sind sie von normalen Kommentaren nicht zu unterscheiden. Die hier aufgefangenen waren bis auf eine Ausnahme in deutscher Sprache verfaßt, der übrige war englisch. Sie sind unterschiedlich lang und passen zumindest teilweise zum kommentierten Artikel bzw. wenigstens irgendwie zu dessen Überschrift.

Das ist kein Wunder: Es sind nämlich normale Kommentare. Sie wurden aus anderen Blogs kopiert, in welchen in derselben Sprache publiziert und kommentiert wird wie hier. Der einzige Unterschied zu den Originalen besteht darin, daß in die kopierten Versionen einzelne Buchstabendreher eingebaut wurden, wohl um den Abgleich über eine Suchmaschine zu erschweren. Allerdings ist gerade Google diesbezüglich ziemlich tolerant und findet die Originale trotzdem, vor allem, wenn man nicht nur drei, vier Wörter, sondern zum Beispiel den ganzen ersten Satz ins Suchfeld eingibt.

In den Kommentaren selbst ist bislang kein Link aufgetaucht, allerdings kann man in einem Blog ja meistens seine eigene Website mit angeben, wenn man kommentiert. An dieser Stelle setzen die Spambots die Links zu den Facebook-Profilen ein. Ich habe zwei davon überprüft und landete einmal bei einem scheinbar sehr jungen Italiener mit arabisch klingendem Namen und einmal bei einem Indonesier, beide nicht sonderlich gut vernetzt.

Ich vermute, daß die Betreiber dieser Profile diese Spamkommentare nicht selbst in die Blogs geschickt haben. Wer mietet schon Werbung über Botnetze für ein nicht-kommerzielles Facebook-Profil? – Eher ist es denkbar, daß die Profile von Dritten gekapert wurden, die dann auch für die Spamkommentare verantwortlich sind. Alternativ könnten es auch Fake-Profile sein, aber dazu sind sie eigentlich zu unterschiedlich.

Derzeit ist noch nicht klar, was damit bewirkt werden soll. Auf den Profilen wird nichts zum Kauf angeboten. Alex Schestag, der sich bei Facebook auskennt, hat mir glaubhaft versichert, man könne dort Profile nicht mit Malware präparieren. Sonst hätte ich vermutet, sie versuchen, die Rechner der Besucher zu infizieren, um beispielsweise ihr Botnetz zu vergrößern. Auch das Abgreifen der Logindaten der neugierigen Besucher dürfte so nicht möglich sein.

Ich tippe derzeit auf einen Versuchsballon, um zu sehen, wie solche kopierten Kommentare „ankommen“, also ob man Spam mit solchen Kommentartexten leichter durch Antispam-Maßnahmen durchbekommt. Allerdings landete bei mir alles (mittlerweile sind es 15 oder so) im Spam, obwohl keiner der verwendeten Begriffe in meiner Blacklist steht. Daher vermute ich, daß das Botnet auf NoSpamNX reinfällt und es deshalb auf die Texte überhaupt nicht ankommt.

Da Facebook-Nutzer auf ihrem Profil nicht ablesen können, wie oft ihr Profil angeklickt wurde, fällt auch die Möglichkeit heraus, daß die Spammer die Reichweite des Kommentarspams mit Hilfe der Profile messen wollen.

Was bleibt, ist die Erkenntnis: Es ist irgendwie Spam. Was die Spammer erreichen wollen oder wollten, bleibt wohl erstmal ihr Geheimnis. Oder habt Ihr eine Idee?

14 Kommentare zu “Copy & Paste Spam”

  1. Wolfgang quakte:

    Hallo Sabine,

    na da bin ich mit diesem Problemchen ja nicht alleine – auch auf einem meiner neuen Online-Magazine habe ich derzeit mit diesen merkwürdigen Spam-Attaken zu tun. Auch ich war sehr erstaunt darüber warum die Kommentare auf Facebook-Profile linken & habe mich gefragt warum und wozu? Ich bin gespannt, was hier diesbezüglich noch berichtet & kommentiert wird – In diesem Sinne behalte ich Deinen Post im Auge.

    Liebe Grüße und weiterhin viel Erfolg!


  2. frosch quakte:

    Hallo Wolfgang, das ging ein paar Tage, seitdem habe ich diese Sorte Spamkommentare nicht mehr gesehen. Sieht dann wohl wirklich wie ein Testlauf aus. Man kann also nur abwarten, ob und wann da noch ein „echter” Durchlauf kommt.


  3. Wolfgang quakte:

    dann sind sie bei mir aber noch eifrig am testen …


  4. Feuerwächter quakte:

    Bei mir laufen dieser Tage zum ersten Mal gerade etlicher dieser „Facebook“-Kommentare auf. Zuerst dachte ich, die Kommentare sind nur unter dem falschen Artikel gepostet, da sie inhaltlich zu einem „benachbarten Artikel“ passen würden. Auffällig ist, daß alle Umlaute fehlen.


  5. frosch quakte:

    Interessant. Dann werden die Blogs wohl nach und nach abgeklappert.


  6. Wolfgang quakte:

    …und ganz offensichtlich einige davon. Bei mir ist es zum Glück wieder etwas ruhiger geworden – derzeit sind es vielleicht 2-4 Spam-Comments/Tag – verkraftbar.

    Grüße


  7. frosch quakte:

    Oh, hier sind sie seit heute auch wieder da — und kommen weiterhin nicht durch. 7 Stück bislang.

    Ich hab die Facebook-Profil-Nummern mal mitgeschrieben und sortiert: Es wird kein einziges Profil doppelt verwendet, jede Nummer kommt nur einmal. Außerdem ist der Verlauf aufsteigend, das heißt, sie nehmen nicht wild durcheinander Profilnummern, sondern gehen gezielt von niedrigen zu hohen Nummern durch.

    Sinn und Zweck der Übung bleiben weiterhin unklar.


  8. -stm quakte:

    Teilweise hatte ich solchen Spam mit einem Schreibfehler schon Mitte 2011! Nur, daß damals noch nichtmal diese nichtssagende FB-Verlinkung dabei war: http://kuerzer.de/blog-spam


  9. Joe quakte:

    Die Facebook Spam Kommentare werden aktuell wieder verschickt, gleiches Spiel wie bisher,
    Sie verlinken meist auf neue Facebook Profile, die Kommentare selbst sind aus anderen Blogs kopiert, und werden sogar thematisch angepasst, sodass zumindest bei einigen Comments Mühe hat dies als Spam auszusortieren.
    Bei mir sind es aktuell seit 2 Tagen, ca 25 Spams / Tag.
    Sehr gutes Abwehrplugin: Antispam Bee. Es hat bislang sehr zuverlässig alle Spams rausgefiltert.


  10. frosch quakte:

    @Joe: Bestätigt, wobei diesmal hier und auf dem BahnBlog nichts ankam. Aber das Blog von Dr. Senfberg, das ich für ihn administriere, wurde mit 126 Spams binnen etwas weniger als 24 Stunden zugeschüttet, danach war wieder Ruhe. Die Spams landeten allesamt im Spamverzeichnis (ich lösche da sicherheitshalber nichts automatisch). Der Sinn ist immer noch nicht klar, wobei ich diesmal die Facebook-Links nicht nachgesehen hatte.

    Ich frage mich langsam, wieviele Profile bei Facebook liegen, die nur dafür angelegt worden sind … andererseits ist keine Werbung drauf, oder? Vielleicht ist die Idee, mit diesen Profilen Kontakt aufzunehmen und dann Werbung zu kriegen, keine Ahnung. Ich bin ja nicht bei Facebook.

    Wurden diese ganzen Profile eigentlich mal gemeldet? Wenn ja, wie hat Facebook reagiert?


  11. Joe quakte:

    Nach 2 Tagen hörte die Spammerei heute auf. Jetzt ist wieder Ruhe.
    Ich könnte mir als Zweck vorstellen, dass man diese Facebook Profile gegenüber Facebook als lebendige Profile ausgeben will, da man aktuell diese Profile braucht bei kommerziellen Facebook-Seiten die Fananzahl schnell zu erhöhen.


  12. Alex quakte:

    @Joe deine These ist interessant, aber nicht stimmig. Denn Facebook kriegt davon nichts mit, wenn auf diese Profile von außen verlinkt wird. Als Aktivität registriert Facebook nur das, was innerhalb von Facebook passiert, also Status-Updates, Kommentare, Likes etc.


  13. Facebook Profil Kommentar Spam - Softwareentwicklung, SEO und mehr quakte:

    […] http://blog.atari-frosch.de/2012/02/07/copy-paste-spam/ http://www.galuba.net/programmierung/wordpress/wordpress-kommentar-spam-sprunghafter-anstieg.html […]


  14. Ausgabe 029 | Tunefisch quakte:

    […] und mein All-Time-Favorite Lucky Strike von Baumer. Weiterführende Informationen zum einen hier: http://blog.atari-frosch.de/2012/02/07/copy-paste-spam/ und zum anderen hier: […]


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>