Achtung Spam: Phishing/Missbrauch per Blog-Kommentar

[English]Aktuell eine Warnung an Blog-Betreiber (und ggf. Leser). Ich habe gerade einen Kommentar aus meinem englisch Blog gefischt, wo jemand versucht hat, die Leute auf eine Anmeldeseite für diverse Online-Angebote (Antivirus etc.) zu locken. Zeit, für einen Blog-Beitrag, in dem ich die Details, aber auch mal Hinweise für Anti-Spam-Funktionen, aufbereite.


Anzeige

Es ist vermutlich ein alter Hut unter erfahrenen Blog-Betreibern – aber mir ist diese Form des Kommentar-Spams bisher nicht untergekommen. Daher veröffentliche ich es als Beitrag, in der Hoffnung, dass der eine oder andere Blog-Betreiber (und Blog-Besucher) das liest.

SEO-Spam ist nichts neues

Betreiber von Blogs, die von der Besucherfrequenz schon etwas aus der Nische heraus sind, kennen den Effekt des sogenannten SEO-Spams. Da tauchen in Kommentaren plötzlich unerwünschte Einträge auf.

  • Vor Jahren waren dies Kommentare, die für Erotik-Angebote oder Potenzmittel werben wollten.
  • Auch windige Kreditangebote (just beim Schreiben dieses Beitrags hat mir miss rose ein unwiderstehliches Angebot gemacht) gibt es.
  • Oder Einträge mit Geschichten um einen angeblichen 'Wunderheiler' (wechselweise Arzt oder Naturheiler), oder einen Weisen, der einen Fluch ausspricht, um den untreuen Ehemann zurück zu bringen, finde ich immer (meist in der Art 'ich bin elena und möchte Zeugnis geben …').
  • Sowie natürlich englischsprachige Supportseiten für Drucker oder andere IT-Problemchen.
  • Gelegentlich verirrt sich auch ein Hacker in meine Blogs und versucht für seine Dienstleistungen zu werben.
  • Und es gibt den Typus 'kleines Arschloch', der nur trollen möchte. Ich zensiere in dieser Hinsicht so wenig wie möglich – wenn ein Kommentar aber erkennbar auf Krawall oder Trolling ausgerichtet ist, wird der spontan gelöscht und bei Wiederholung in eine Blacklist eingepflegt.

Das alles habe ich schon gesehen. Sporadisch gibt es dann noch Kommentare, die für eine Druckerei, Lackiererei, einen Zahnarzt oder einen Rechtsanwalt etc. werben wollen. Angesichts der Vielzahl der Spam-Versuche hier im Blog habe ich seit Beginn eine gestufte Spam-Filterung hier im Blog etabliert (siehe unten).

Und es gab den Fall, wo jemand eine reale Adresse einer Zahnarzt-Praxis aus deren Impressum abgefischt hat und damit hier in den Kommentaren arbeitete. Mit der Zeit 'entglitten' die Kommentare dieser Person, so dass ich die angegebene E-Mail-Adresse mit einem Klärungsversuch kontaktierte. Der Zahnarzt schrieb zurück, dass seine E-Mail-Adresse an mehreren Stellen missbraucht werde – so dass ich diesen Nutzer bzw. die E-Mail-Adresse in der Kommentar-Blacklist gesperrt habe. Man lernt nie aus.

Und es gibt natürlich den Fall des 'den Bock zum Gärtner machen', wo Plugins für WordPress mit SEO-Spam auffallen – ich habe einige Fälle am Artikelende verlinkt.

Problem Trackback-Spam

Ein anderes Problem ist sogenannter Trackback-Spam. Wenn ein anderer Blog eine Verlinkung zu einem Beitrag in meinen Blogs setzt, kann dieser eine sogenannte Trackback-Benachrichtigung setzen. Die wird dann als Link unter dem Blog-Beitrag eingeblendet. Das ist eine WordPress-Funktion, die für alle Blogs funktioniert, wenn man das zu lässt.


Anzeige

Machen sich manche Nassauer zunutze, indem sie Sites aufsetzen, die beliebige Links von Webseiten sammeln, um Werbung dazwischen zu pflastern. Und es gibt die Klientel, die sich komplette Artikel per RSS-Feed von Dritten abgreift und in einem eigenen Angebot integriert. Auch da wird ein Trackback-Link für Verlinkungen generiert (bekomme ich mit, wenn US-Medien wie ComputerWorld, Bleeping Computer, ZDNet etc. meine englischsprachigen Artikel referenzieren).

Durch die Trackback-Spam-Links soll einerseits das Ranking der Seite angehoben werden. Andererseits hoffen die Betreiber möglicherweise, dass noch einige Besucher der Ursprungsseiten über die Trackback-Links auf das Angebot gelockt werden. Da bei mir alle Trackback-Links überwacht und nicht automatisch freigeschaltet werden, bekomme ich das mit. So was wird gelöscht oder in den Spam-Filter einsortiert.

WordPress Trackbacks sperren

Wenn das Ganze Überhand nimmt und ich die ersten erwünschten Trackbacks zum Artikel erhalten habe, gehe ich im WordPress-Dashboard in den Artikel-Editor. Dort lässt sich unterhalb des Editorfelds mit dem Artikeltest die Markierung des Kontrollkästchens Trackbacks und Pingbacks auf dieser Seite erlauben aufheben. Dann ist bezüglich Trackback-Spam zu einem Artikel Ruhe.

Tipp: Um es global zu steuern, geht man im Dashboard zu Einstellungen – Diskussion und löscht das Kontrollkästchen 'Link-Benachrichtigungen von anderen Blogs (Pingbacks und Trackbacks) zu neuen Beiträgen erlauben'.

Neue Qualität: Phishing-Vorbereitung?

Beim gestrigen Besuch des Administrator-Dashbords für meinen englischsprachigen Blog habe ich nicht schlecht gestaunt. Da gab es unter einem Beitrag zu einem Avast-Problem (welches ich in Englisch behandelt hatte) den nachfolgend (um die Links bereinigten) deutschsprachigen Kommentar.

Avast Login Sie sich in Ihrem Avast-Konto unter id.avast.com oder my.avast.com an, um Avast-Konten und -Dienste wie die Aktivierung usw. zu verwalten.

garmin[dot]com/express updates
my kaspersky login
Garmin Connect Login
AOL Download
AVAST LOGIN
Bitdefender Login

Alle Links waren <a href="http://url/" rel="nofollow ugc"> eingetragen, und im Namensfeld war eine URL auf die nachfolgende Avast Fake-Login-Seite abgelegt.

AVAST Fake-Login-Phishing-Site

Mir fällt natürlich sofort auf, dass die Seite im URL-Feld des Browsers als unsicher gelistet wird. Aber die URL enthält zumindest was mit AVAST und login sowie eine deutsche Domain. Da hat jemand jede Menge Domains abgegriffen und für seine halbseidenen Geschäfte registriert.

Ich habe die Firmen, die im SPAM-Eintrag aufgeführt waren, über meine Pressekanäle informiert und diese aufgefordert, beim Provider, der die obige Webseite und weitere hostet, eine Abuse-Meldung einzureichen und die Übertragung der Domain zu veranlassen.

Was in obiger Seite auffällt, ist natürlich auch der Mix zwischen Deutsch und Englisch. Zuerst dachte ich, es sollen Anmeldekennwort und Nutzername abgefischt werden. Aber das Element Jetzt einloggen ist aktuell nicht aktiv. Stattdessen lässt sich aber das Popup in der Ecke rechts unten zum Öffnen des Chat-Bereichs anklicken. Ich habe das spaßeshalber mal probiert, um zu schauen, was passiert. Beim Klick auf die Sprechblase öffnet sich ein Chatbereich und wenn der Benutzer etwas eingeben will, wird er nach seinem Namen und einer E-Mail gefragt (nachfolgend links im Bild von mir einmontiert). Beachtet, dass die URL im Adressfeld des Browsers jetzt schon rot als 'nicht sicher' gelistet wird – weil ein Kennwort-Formular genutzt wird.

AVAST Fake-Chat-Phishing-Site

Ich habe dann mal meine 'Kontaktdaten' eingetippt und geschaut, was passiert. Da ist aber tote Hose, kein Bot und kein Operator dahinter – die E-Mail-Adresse haben die Betreiber ja. Lediglich mein Klick auf den Daumen nach unten provozierte die Antwort, dass ich den customer servic bad gerated hätte – so was aber auch.

Könnte man achselzuckend oder schmunzelnd zur Kenntnis nehmen. Es werden aber Leute drauf rein fallen. Und ich kann nicht ausschließen, dass das Angebot mal ausgeweitet wird und echte Anmeldedaten abgefischt werden. Bisher segelt der Anbieter in einer Grauzone – die Eingabe der E-Mail-Adresse wäre höchstens durch die fehlenden DSGVO-Hinweise rechtlich angreifbar – aber man müsste den Verursacher krallen können – wo die DSGVO wiederum bei Whois einen Strich durch die 'Halterabfrage' macht.

Kommentar-Spam-Abwehr in Blogs

Da vielleicht der eine oder andere Blogger mitliest, der möglicherweise nicht so fit in der Materie ist, einige Worte, wie ich mir Spam in Kommentaren vom Leib halte.

  • Im deutschsprachigen Blog habe ich Trackbacks global deaktiviert – brauche ich nicht wirklich (im englischsprachigen Blog läuft es mit, damit ich weiß, wann die US-Kollegen einen Beitrag von mir aufgreifen).
  • Es empfiehlt sich, ein gutes Spam-Filter Plugin im WordPress-Blog zu installieren. Ich verwende seit längerem Anti Spam (Antispam Bee hatte ich ursprünglich, bin aber gewechselt, als es vom Entwickler Sergej Müller aufgegeben wurde, scheint aber von anderen weiter gepflegt zu werden).
  • Ansonsten sollte und kann man die Kommentarmoderation in WordPress so einstellen, dass obskure Kommentare nicht automatisch im digitalen Wust des Blog verschwinden.

Da einige Leser sich hier schon mal bei mir beschweren, dass ihre Kommentare 'gefressen' würden oder verschwunden seien, hier meine WordPress-Einstellungen zur Kommentierung (unter Einstellungen – Diskussion zu finden).

WordPress Kommentareinstellungen
(Zum Vergrößern klicken)

So verzichte ich auf Trackbacks von anderen Seiten und benachrichtige auch keine Seiten über Beitragsverlinkungen (damit entfallen technische Probleme wegen kaputter Funktionen auf der Gegenseite).

Die Grundzüge zum Kommentieren, die ich nach einiger Überlegung für die Blogs anwende, habe ich unter Kommentieren im Blog offen gelegt.

  • Weil ich möglichst wenig Daten über meine Benutzer wissen und damit speichern möchte (DSGVO lässt grüßen), brauchen Name und E-Mail-Adresse nicht angegeben zu werden. Die Leute tauchen dann als Anonymous im Blog auf.
  • Aus Sicherheitsgründen lasse ich keine Benutzeranmeldung im Blog zu – ergo können Blog-Leser sich auch nicht zum Kommentieren anmelden. Macht den DSGVO- und Sicherheits-Part auf meiner Seite ein ganzes Stück einfacher.
  • Ich sperre keine Kommentarfunktion nach 14 Tagen, weil Rückmeldungen oft nach Jahren kommen.
  • Eine E-Mail-Benachrichtigung über neue Kommentare ist verzichtbar, würde mein Postfach voll müllen.
  • Aber: Ein neu kommentierender Blog-Leser kann zwar einen Kommentartext hinterlassen. Der wird aber in den Moderationsordner gestellt und nicht freigeschaltet. So fische ich zuverlässig alle SEO-Spam-Versuche über gmail-Konten etc. ab. Die werden dann einfach aus der Moderationsschlange gelöscht oder in SPAM einsortiert.
  • Wenn ein Cleverle daherkommt und einen guten Erstkommentar schreibt, und nach dessen Freischaltung versucht, SEO-Spam mit Links abzuladen, fällt der in die Moderation, falls mehr als zwei Links enthalten sind.

Der letztgenannte Punkt ist der Grund dafür, dass bei regulären Blog-Lesern, die mal Fremdlinks für Downloads oder andere Referenzen posten, der Kommentar nicht sofort erscheint. Ich schaue täglich mehrfach nach und gebe solche Kommentare frei.

Kommen wir zu zwei abschließenden Punkten, mit denen ich versuche, meinen Job als Hausmeister im Maschinenraum des Blogs zu erleichtern.

  • Da meine Blogs recht gut frequentiert werden, kann auch der eine oder andere Zeitgenosse dabei sein, der irgendwann, ich beschreibe es mal so: 'Kommentar-mäßig abdriftet' und dann Ärger bereitet. Ich bitte die Leute im Guten und verwarne auch mal.
  • Wenn alles nichts nutzt, werden die gesperrt. Dazu kann ich unter Einstellungen – Diskussion im Dashboard die Kommentar-Blacklist oder den Filter zur Kommentarmoderation mit diversen Begriffen füttern. Dann wird der Zeitgenosse rausgefiltert und ich kann entscheiden, ob ich seine Kommentare zulasse.
  • In der Black-List finden sich auch SEO-Spammer wieder, die über Freelancer aus Indien oder Bangladesch etc. schon mal 30 – 40 oder mehr Kommentareinträge für Dienstleistungen einhämmern.
  • Bei ein oder zwei Einträgen werden die einfach in der Moderationsliste gelöscht oder als Spam markiert und sind raus. Die 'Fleißarbeiter' mit 10 und mehr Spam-Versuchen wandern dann direkt über IP-Adressen oder Begriffe in die Black-List.

Mit diesen Ansätzen, die ich seit Jahren verfolge, fahre ich inzwischen ganz gut. Natürlich muss jeder Blogger für sich selbst entscheiden, wie er verfahren will. Da kann und will ich keine allgemeingültige Lebensberatung geben (die Anfrage, ob ich ein Buch 'wie werde ich als Blogger schnell reich und berühmt' schreiben will, habe ich abschlägig beschieden – hat der Verlag, als ich denen die Hürden erklärt habe, auch eingesehen). Vielleicht helfen die obigen Ausführungen aber Lesern, die noch nach Orientierung suchen, etwas weiter. In diesem Sinne: Man liest sich – hoffentlich ohne Kommentar-Spam.

Ähnliche Artikel:
Neues zu Hacks per WordPress-Sicherheitslücke
WordPress: Angriff per Redirect Hack
Massive Krypto-Mining Kampagne gegen WordPress-Sites
WordPress-Plugin WP-SpamShield (Pro) mit Backdoor infiziert
WordPress Botnet von WordFence geknackt – von deutschem Hacker betrieben?
Versteckte Backdoor in WordPress Captcha-Plugin gefunden

WordPress-Plugin WP-SpamShield (Pro) mit Backdoor infiziert
WordPress-Plugins: Backdoors und Sicherheitslücken
WordPress-Plugin generiert Suchmaschinen-Spam
WordPress 4.7.2 und die verschwiegene Sicherheitslücke – deutsche Sites betroffen
Neues zu den WordPress-Hacks …
Nachgang zu 'WordPress-Plugin generiert Spam' – deutsche Webseiten betroffen und referenzieren Escort-Dienste
Hunderte WordPress-Sites mit Backdoors in Plugins


Anzeige

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Achtung Spam: Phishing/Missbrauch per Blog-Kommentar

  1. rollingstone sagt:

    Ja, die Arbeit an Ihrem Blog, lieber Herr Born, besteht nicht nur aus Artikel schreiben. Viel administrativer Aufwand kommt noch hinzu. Um so dankbarer bin ich, dass Sie normalen Feld-, Wald- und Wiesen-PC-Nutzern wie mir diesen wertvollen Infodienst bieten.

  2. Anonymous sagt:

    "Weil ich möglichst wenig Daten über meine Benutzer wissen und damit speichern möchte (DSGVO lässt grüßen), brauchen Name und E-Mail-Adresse nicht angegeben zu werden. Die Leute tauchen dann als Anonymous im Blog auf."

    Herrlich! Kann ich mir das Getippere sparen. :)

    Dat Bundesferkel

    • Günter Born sagt:

      Im Prinzip schon! Wenn Du für Mitleser aus der Masse der Anonymous-Kommentare rausfallen willst, gibt deinen Alias an. Bei der E-Mail-Adresse: Nichts angeben oder eine Freemail-Adresse, die für Online-Auftritte genutzt wird (machen viele Leser). Und keinesfalls eine Phantasie URL für die Webseite. Das macht mein Geschäft hier nur aufwändiger, da ich diese nicht existenten oder 'doofen' URLs händisch entfernen muss (kaputte Links werden mir per Plugin ausgeworfen).

      Hätte längst versuchen sollen, das Formular für Kommentar umzugestalten – aber jede Modifikation zieht einen Rattenschwanz an Folgen und 'musst Du auch bedenken' nach sich, so dass ich es bisher gelassen habe.

  3. David sagt:

    Viellen Dank für die Informationen aus dem "Innenleben"!
    Bekommt man ja sonst eher selten….

  4. Ärgere das Böse! sagt:

    Danke für den Text. Mir hilft er, da ich gelegentlich einen Politik-Blog eröffnen werde.

  5. Günter Born sagt:

    Kleiner Nachtrag: Ich sehe am Mail-Responder, dass meine Nachrichten an die Firmen, die betroffen sind, abgerufen werden. Von AOL ist dann heute eine Stilblüte eingetroffen.

    Guten Tag,

    vielen Dank, dass Sie sich an das AOL Email Support-Team gewandt haben.

    Die E-Mail, die Sie erhalten haben, stammt definitiv nicht von AOL. Es ist ein Phishing-Betrug. Ein Phishing-Betrug ist eine Nachricht, die versucht, Sie dazu zu bringen, private Informationen bereitzustellen.

    Wenn Sie verdächtige oder betrügerische E-Mails erhalten, stellen Sie sicher, dass Sie diese als Spam markieren und auf keine Links in der E-Mail anklicken.
    Sie können diese Art von E-Mails blockieren, indem Sie Ihre Spam-Einstellungen ändern.

    Weitere Informationen finden Sie in diesem Artikel: Wie blockiere ich E-Mails von einem bestimmten Absender?

    Wenn AOL Sie aus irgendeinem Grund kontaktieren muss, verwenden wir AOL Certified oder AOL Official Mail, um unseren Mitgliedern die Identifizierung legitimer AOL-Kommunikation zu erleichtern.

    Hinweis: Weitere Informationen zu AOL Certified Mail oder AOL Official Mail finden Sie unter Identify AOL Official Mail.

    Diese Situation tut uns leid, aber wir hoffen, dass die von uns angegebenen Informationen hilfreich waren. Bitte lassen Sie uns wissen, ob wir Ihnen in Zukunft weiterhelfen können.

    Mit freundlichen Grüßen,
    M. S.

    AOL Email Support Spezialist

    Da weiß jetzt jeder, warum AOL den Bach runter gegangen ist.

  6. Dekre sagt:

    Danke Günter für die Info, wie immer gut dargestellt!

    Das ist ja auch so mit der eingekauften Werbung, ich informierte Dich per E-Mail.

    Generell sind diese Werbungen in allen (!) Blog und auf Seiten von bing (MS insbesondere in Win10 mit diversen Programmen ("Apps") und Kollegen etc. höchst bedenklich. Man muss als Leser eben auch die Kommentare überprüfen.

    Das ist genau so, wie mit gefälschten Kundenmeinungen zu Artikeln, Hotels etc. Das vor kurzer Zeit durch die Presse gegangenen BGH-Urteil zu diesen Thema muss ich mal auswerten. Irgendwie stimmt da was nicht.

  7. prinde sagt:

    'wie werde ich als Blogger schnell reich und berühmt'

    je nun, schnell & berühmt wär ja eig. garnich so notwendig… :D

    • Günter Born sagt:

      Nun ja, nach dem von dir weggelassenen suche ich noch heute. Im Mai werden es 13 Jahre, in denen ich (auch) als Blogger unterwegs bin. Ich kann inzwischen von den Blogs leben, reich bin ich aber immer noch nicht ;-)

      Aber selbst das 'schnell von leben können' täte einige Leute brennend interessieren. Allerdings habe ich auch da kein allgemeingültiges Konzept.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.