der leckere email | link

das, worum es hier geht, nenne ich mal „link-hygiene“. es geht um datenschutz und auch darum, ob man dem werbegebimmel, von dem ein großer teil der internetindustrie lebt, nachhelfen soll.

derPennyLink

dieser etwas kompliziert aussehende screenshot zeigt eine email, die ich bekam. nichts böses, einfach ein newsletter, hier vom sozialen netzwerk xing. ich habe den kopf der mail oben herausvergrößert und schräg gestellt: die mail kommt von einem „mailrobot“ – ganz typisch für eine rundmail, auf die man nicht antworten soll.

interessant wird es nun, wenn man auf das bild in der email klickt, zum beispiel an die lila umrandete stelle. bevor man klickt, kann man den mauszeiger drüberschweben lassen und sich im mailprogramm ansehen, wohin der link führt. in meinem fall zu xing.com (das ist in ordnung), aber dann kommt ein /m/, gefolgt von einem langen code: 2WzqlMdID-4…

klickt man tatsächlich auf diesen link, öffnet sich der browser, und dessen adresszeile sieht dann so aus (wohlgemerkt, ich bin jetzt nicht mehr im email-programm, sondern im browser, in dem fall in firefox):

xng_share

ich lande auf der webseite des email-versenders, hier also xing-news.com; der link mit dem komplizierten code in der email zuvor wurde ins xing-system eingepflegt (damit weiß xing, ich war’s) und umgewandelt in etwas einfacheres: xng_share_origin=email.

der link funktioniert aber genauso gut, wenn man alles ab dem fragezeichen entfernt, also ?xng_share_origin=email. das muss man händisch tun, und zwar bevor man die seite aufruft. dies ist die reihenfolge:

  1. im email-programm den link kopieren, nicht tatsächlich anklicken
  2. im browser oben die link-adressse einsetzen, aber nicht mit ENTER ausführen
  3. die link-adresse auf den kern beschneiden, also in diesem fall auf xing-news.com/reader/news/articles/75040

warum dieser aufwand? weil der absender der email uns einen individuellen code mitgibt, der ihm, wenn man den link einfach so aufführt, sagt: ach, der hans mustermann hat auf diese email von uns reagiert, denn er ist mit seinem individuellen link auf unserer webseite gelandet.

die ganze werbeindustrie im internet funktioniert nach diesem verfahren. wenn ich auf eine auto-werbung auf einer zeitungs-webseite klicke, enthält der link, der mich zum auto-hersteller führt, die information, woher ich komme – in diesem fall von der zeitungs-webseite. darüber funktioniert das bezahlmodell. man muss sich aber nicht darauf einlassen. auch die oberen links auf der google-suchseite sind in der regel so angelegt, dass google an unserem klick verdient, und zwar cash. eine etage tiefer bei den suchergebnissen findet sich derselbe link eh nochmal, aber ohne dass wir beim klick darauf google verdienen lassen.

hallo, ich bin google | du depp!

dieser blogeintrag war die vorrecherche zu → diesem beitrag, der am donnerstag, also vorgestern, in SWR 2 impuls wissensmagazin lief-

update zum letzten posting, wo es um eine betrugsversuch via email ging, der vermeintlich von linkedIn stammte, aber auf einen türkischen betrüger zurückgeht mails wie diese erreichen vermutlich jeden, der sich eine weile lang im internet bewegt hat und dessen email-adresse dann irgendwie bekannt und unter den spammern verteilt wurde – meist kostenpflichtig; solche mail-adresslisten sind nicht billig. um die sache oben abzurunden, ein betrugsversuch aus kanada, der mich heutemorgen erreichte:

googleFakePhishingMailwieder gehen die warnlichter an: „urgent“ steht in der überschrift, also dringlich. die kanadische email-adresse im absender (sie ist, wie oben besprochen, nichts wert, sie gibt es wahrscheinlich gar nicht) fikriyya@clarington.ca hat nichts mit der vermeintlichen absenderin zu tun, die sich „kayla murray“ nennt.

in dieser mail führen zwei links zu einer sicherlich unappetitlichen kanadischen seite, die mit yidbrowser.com… beginnt. in diesem fall führt die whois-suche zu einer konkreten adresse:

Original Query: yidbrowser.com

Name: YOAV ENGELBERG

Organization: GRASSLANDMEDIA.CA
Mailing Address: 9909 77 STREET, EDMONTON CA T6A 3B8 CA
Phone: +1.7802002253
Email: YOAV@GRASSLANDMEDIA.CA

yoav engelberg scheint es zu geben, ein facebook-profil weist auf einen jungen kanadier hin, der freunde in alberta hat, der provinz, zu der edmonton gehört. über google maps kann man prüfen, ob es die adresse gibt, und es gibt sie. in google street view ist auch das haus zu sehen, das zu 9909 77 st., edmonton, gehört. es befindet sich in einer rechtwinkligen kurve, ziemlich zentral in edmonton:

googleStreetViewDesPhishingZiels

es kann sein, dass dies eine scheinadresse ist, wo ganz unbescholtene bürger wohnen. wahrscheinlicher ist aber, dass genau dort der ausgangspunkt des betrugs liegt. man müsste mal vorbeischauen und fragen.

auch die telefonnummer scheint mit der adresse übereinzustimmen. gibt man sie in die suchmaschine ein, führt sie zu anderen whois-einträgen dieser person, zum beispiel hat ein yoav engelberg die webseite wallbrowser.com registriert. die phishing-webseite ist eine unterseite der seite yidbrowser.com. was sieht man, wenn man die eingangsseite ansurft? wie bei fast allen spam/betrugswebseiten sieht man da praktisch nichts, nämlich nur ein „hello world“ ohne link, impressum etc. (1) der trojaner oder was auch immer uns schaden soll, liegt tiefer in dieser webseite. auch die oberflächen der anderen bei dieser kurzen suche gefundenen webseiten sehen entsprechend dürftig aus; sie soll schließlich niemand ansurfen, sie sind nur platzhalter: bei grasslandmedia.ca finden wir ein foto von gras, den satz „thank you for your interest!“ und keinen link nirgendwohin. (2) die unter demselben namen registrierte webseite wallbrowser.com zeigt das wort „kwick“, einige farbflächen und ebenfalls nichts weiterführendes. (3)

dummyWebseitendrei nichtssagende webseiten von yoav engelberg. der betrug liegt tiefer.

mein gf | digitales logbuch, deutschlandfunk

Feinkostfabrik-Marmeladengläser---Fotograf-Rössinger---Deutsche-FotothekVEB leipziger feinkostfabrik mit unbeschrifteten marmeladengläsern. foto: rössing, 1953. deutsche fotothek

ich sammle spams. spamversender müssen kreativ sein, um durch die spamfilter der email-provider und durch die spamfilter von uns empfängern zu schlüpfen. ein solcher spam fand letzte woche den weg in meinen „unbekannt“-ordner. er bestand nur aus einem satz, den ich zum anlass für eine glosse in der computersendung des deutschlandfunks nahm. das hier ist sie:

sprechbrief | mit dank ans kommunikationsmuseum ffm

Sprechbrief---um-1938

der sprechbrief-umschlag enhält eine „tropenfeste“ schallplatte mit persönlich vom absender aufgesprochenem text. foto: kommunikationsmuseum ffm.

lioba nägele vom kommunikationsmuseum frankfurt/main brachte mich kürzlich auf den sprechbrief, eine in den späten 1930er und frühen 1940er jahren bekannte methode, einem angehörigen eine persönlich ton-nachricht auf schallplatte per post zu schicken. maximale sprechzeit: 1 minute = 140 worte. weil mir einige informationen zur historie des sprechbriefs aus frankfurt zukamen, konnte ich jetzt den wikipediaaartikel darüber erstellen. das foto eines sprechbriefs von ca. 1938 stammt aus dem archiv des museums im depot heusenstamm.