Eine neue Spamwelle mit dem Link auf die Adresse “143xp .com” ist derzeit häufig zu finden. Viele Nutzer sind irritiert: was soll das sein? Ist das gefährlich? Hierzu muss man verschiedene Schritte erklären. Einerseits ist dieser Spam in gewissen Grenzen ungefährlich, auf der anderen Seite verbergen sich im weitergehenden Fall Risiken.

-Produktempfehlung: Kaspersky lab-

Der Ursprung: verschiedene Texte, Grafiken und Statusmeldungen animieren dazu, die Adresse 143xp .com  (ohne Leerzeichen) als Kommentar zu hinterlassen. Daraufhin würde eine Meldung generiert werden, welche den Nutzer beschreibt. So weit, so ungefährlich. Der reine Kommentar an sich birgt noch keine Risiken. Problematisch sind jedoch irreführende Buttons und Einblendungen auf der Webseite hinter dem Link.

Gehen wir zunächst auf die Darstellung in den Kommentaren ein: technisch basiert auf das Resultat einer recht einfachen und allgegenwärtigen Technik. Es handelt sich bei der Eingabe von 143xp .com schlichtweg um einen Link. Auf Facebook bekommt jeder Link, sobald er eingetippt wird, automatisch einen Teaser. Dieser Teaser ist im Metatext der eingegebenen Webseite definiert und im Regelfall statisch.

image

Facebook liest also aus diesen Daten, welches Bild, welche Schlagzeile und welcher Untertitel eingeblendet werden soll. Das ist eine völlig normale Vorgehensweise und an dieser Stelle komplett harmlos. Es handelt sich um die klassische Artikelvorschau, welche im Regelfall redaktionell vom Webseitenbetreiber festgelegt wird.

Auf 143xp .com ist dies jedoch anders. Hier ist der Metatext dynamisch, bzw. wird dauerhaft verändert, so dass Facebook bei jedem “scrapen”, also dem Auslesen der Metadaten aus der Webseite, einen anderen Teaser generiert. Anstelle eines festgelegten Textes und einer statischen IP für das Bild im Teaser befindet sich auf 143xp .com ein Script, welches im Zufallsverfahren verschiedene Vorschaubilder und Texte weitergibt. Für Fortgeschrittene: dieses Script befindet im Kopfteil des Quelltextes HIER.

image

Über den Facebook Debugger kann man sich ebenso anzeigen lassen, welche Ergebnisse erscheinen können. Dabei muss man den Link dann selbst nicht posten. Vergleiche: Facebook Debugger zu 143xp .com

Also alles harmlos?

So weit, so nett. Solange man NUR den Link auf Facebook postet und nichts weiter anklickt, besteht keine Gefahr. Außer dass man andere Menschen damit nerven könnte und Facebook irgendwann den Link als Spam auslegt.

Etwas schwieriger gestaltet sich die Webseite, welche hinter dem Link steckt. Hier befindet sich ein irreführender Button im oberen Teil, der restliche Inhalt verlinkt auf eine Webseite mit dem Namen “Zoopxp”, die komplett aus irgendwelchen mehr oder weniger interessanten Charakterspielchen besteht.

image

Die Seite liefert keinerlei Inhaberdaten, auch die Whois-Abfrage liefert keine konkreten Inhaberdaten.

Viraler Spam

Am Ende haben wir es nun mit einem viralen Spielchen zu tun, welches auf eine Webseite lockt. Über die Sinnhaftigkeit dieser viralen Spielchen muss jeder selbst entscheiden, wer zudem auf den Link klickt, muss damit rechnen, dass nicht jeder Button auf das angepriesene Ziel führt, sondern ungewollt auch die ein oder andere unangenehme irreführende Meldung auftaucht.

-Mimikama unterstützen-