Spam och phishingmejl innehåller olika knep för att dölja den verkliga länken till den sajt där användaren ska luras på koder eller köpa diverse piller och mediciner. Den senaste i raden av sådana knep är att konstruera en länk som i själva verket är en sökning på Goggle. Länken tar användaren direkt till första sökträffen som är förövarens sajt.

Att klicka på länken är alltså samma sak som att klicka på “Jag har tur”-knappen när man söker på Google. Spammaren har konstruerat en sökning som resulterar i att deras sajt hamnar högst upp i träfflistan. Detta kan man med lätthet göra genom att använda olika specialkommandon till Google. Exempelvis inurl:aabcde som begränsar sökningen till sidor med abcde i adressen.

Länken i mejlet är alltså en helt vanlig och giltig länk till Google, vilka de flesta användare litar på. När man klickar på länken skickar Google direkt användaren till spammarens riktiga sajt.

Dags för ett exempel.

I detta exempel kommer man SpamDrains pressrelease-sida. Vi använder här Googles inurl: funktion. I URL:en skickar vi även med att vi har “klickat på” Im feeling Lucky-knappen.

http://www.google.com/search?q=inurl:inmedia_sv.html&btnI=I=Im+Feeling+Lucky

Vad tjänar spammarna på detta?

Genom att inte visa sin riktiga länk vill man lura användaren att tro att det är en legitim länk från Google. Förhoppningen är att även spamfilter ska förvillas genom att inte avslöja den riktiga adressen till förövarens sajt. Frågan är bara hur effektivt det är? Det är ju inte svårare för ett spamfilter att lära sig den specifika söklänken. Troligen varierar spammarna och hoppas att den variationen ska räcka för att spamfilter inte detekterar mejlet som spam. Som vanligt finns det ju även annan information i mejlet att gå på, men det gäller ju för spammarna att samla pluspoäng för att öka chanserna att komma igenom filtreringen. En Google-länk kan vara ett sådant pluspoäng.

Tillägg: I mars 2008 rapporterar även IDG om Google-länkar som sprider skadlig kod – SpamDrain låg lite före med denna nyhet alltså 🙂