Obfuscation verhindert Spam-Erkennung

von Legacy Eleven Blog Articles

In der Vergangenheit stieß das Eleven Research-Team auf Websites, deren Inhalt unkenntlich gemacht macht wurde. Der Website-Besucher sah meist nur den Texte: „Please wait, loading …“ und im Hintergrund arbeitete ein Javascript. Bei Überprüfung des Datei-Quellcodes stieß man auf Zeichen- und Zahlenketten ohne direkt erkennbare Funktion. Die Produzenten dieser Internetseiten versuchten die Teile der Website zu verbergen. Dies wird Obfuscation, zu Deutsch Verschleierung, genannt. Kommt ein Besucher auf die Website, setzt dessen Browser die unkenntlich gemachten Teile zu einem verwendbaren Code zusammen und führt die Anweisungen aus. Meist handelt es sich um iFrames und Weiterleitungen zu Malware infizierten Websites.

In den letzten Tagen fielen Spam-E-Mails auf, die, getarnt als Benachrichtigungen von sozialen Netzwerken wie Twitter oder Facebook, zu genau solchen Websites führten. Im konkreten Fall ohne den Hinweistext zu Weiterleitung, aber mit Obfuscation.

Obfuscation - Verschleierter Quellcode

Obfuscation – Verschleierter Quellcode

Jede x-Kombination stellt einen Hexadezimal-Code dar und hat eine „Übersetzung“. \x68\x74\x70 steht beispielsweise für die Kleinbuchstaben h, t und p, was die ersten Zeichen in http übersetzt. Schnell wird klar, dass auch hier weitergleitet wird. Des Rätsels Lösung ist eine schlichte „Viagra“-Website.

falsche Instagram-Benachrichtigung führt zu Website für Viagra & Co.

falsche Instagram-Benachrichtigung führt zu Website für Viagra & Co.

Viel Aufwand für ein kleines Ergebnis?

Was auf den ersten Blick als aufwändig erscheint, stellt sich bei genauerer Betrachtung als wesesentlich einfacher umsetzbar heraus. Denn Rechner ermöglichen es, solche Obfuscations automatisiert zu erstellen. Der unschlagbare Vorteil bleibt jedoch, dass die dahinterliegende Adresse zunächst nicht erkennbar ist. Jede Anti-Spamlösung die Link-Reputation setzt, wird in diesem Falle scheitern – denn der Link ist nicht als solcher erkennbar.

Zurück