Spam Mails mit seltsamen URLs – IP-Adressen als Dezimalzahl

Spammails versuchen meist ihre wahre Absicht zu verschleiern, dabei kann man hier und da wieder etwas lernen!

IP-Adresse kommen meist in folgender Form daher: 192.168.1.1. Getrennt mit Punkten. Schauen wir uns aber mal folgende Spammail an, welche über das Kontaktformular meiner Homepage reinkam:

Auf den ersten Blick könnte der Eindruck entstehen, dass die Webadresse zu Twitter geht. Dem ist aber nicht der Fall, der Grund ist das @-Zeichen in der Mitte. Alles, was davor erscheint, wird vom Browser nicht der Adresse zugeordnet, sondern ist ein Benutzername. Damit können z.B. spezielle Login-Seiten aufgerufen werden.

Wer eine solche Seite aufruft, bekommt in den meisten Fällen bereits eine Warnung vom Browser:

Die eigentliche Adresse steht hinter dem @-Zeichen. Diese lautet seltsamerweise “3119923417”, während die Warnung eine IP-Adresse ausgibt, in unserem Beispiel 185.246.64.237. Zu dieser Webseite/Adresse werden wir beim Aufruf des Links letztlich geleitet. Nicht zu Twitter.

Das wirkt etwas seltsam, aber der Grund ist einfach, dass IP-Adressen nicht nur in der Punktnotation verwendet werden können, sondern auch als Dezimalzahl. So kann man die Adresse auch einfach anpingen. Der Ping-Befehl löst die Adresse dann auf.

Für die Umrechnung einer IP-Adresse in eine Dezimalzahl werden einfach die einzelnen Bytes in das Binärformat umgewandelt.

Hier das komplette Beispiel:

Wie man sieht, werden die Bytes hier einzeln in die verschiedenen Bestandteile umgerechnet. In der Praxis dürfte die dezimale Notation eher selten vorkommen, hier ist diese Darstellung nicht sonderlich praktikabel. Außer man möchte für Verwirrung sorgen oder seine wahre Intention verschleiern. 🙂

Bei den “Twitter”-Links soll einfach die echte Adresse nicht sichtbar sein und die dezimale Notation sorgt dafür, dass man die Adresse für eine ID der Nachricht hält. Für die schnelle Umrechnung gibt es passende Online-Tools mit Internet.

Ansonsten gilt, dass solche Links nur mit Vorsicht angeklickt werden sollten. Ich öffne solche Links auch nur mit einer speziellen virtuellen Linux-Maschine. Ansonsten besteht hier die Gefahr, dass man sich einen Virus/Trojaner einfängt. Seit es durch eine Sicherheitslücke im Browser oder durch den Download irgendeiner Datei.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert