Spam kommer i mange former, ikke bare som søppel-epost som de fleste kjenner til. Men denne høsten har det dukket opp en ny variant som først og fremst er synlig for nettstedeiere som benytter Google Analytics (GA).
En leser tipset nylig digi.no om at han hadde oppdaget en pussighet i GA-rapporten om hvilke språk lesernes nettlesere er satt opp til å foretrekke.
I stedet for en av de vanlige språkkodene (nb-no, en-US, sv.se, osv.), var mange av besøkene på nettstedet gjort med en nettleser som i stedet for å oppgi en språkkode i «Accept-Language»-headeren, inneholdt teksten:
«Secret.ɢoogle.com You are invited! Enter only with this ticket URL. Copy it. Vote for Trump!»
Ved nærmere ettersyn fant også digi.no-redaksjonen denne oppføringen i vår GA-statistikk. I ettertid ser det ut til at andelen har økt en del, slik at denne teksten nå har havnet på åttende plass i språkrapporten for digi.no den siste måneden, og på femte plass for den siste uken.
Leste du denne? For andre gang på to måneder havnet Telenors servere på svarteliste: - Snakk om å rote det til!
Valgkamp-spam
Det viser seg at dette er noe mange har opplevd i det siste. Med utgangspunkt i teksten, er det ikke overraskende at det har noen med den amerikanske valgkampen å gjøre.
Ifølge teknologiavisen Motherboard er det den russiske spammeren Vitaly Popov som står bak. Han opplyser at han startet denne kampanjen tre dager før det amerikanske valget, for å hjelpe både Donald Trump og Russland. Men også som en hevn på Google, som skal ha stengt Adsense-kontoen hans, og for berømmelsens skyld.
Spam i Google Analytics er ikke noe nytt fenomen. Såkalt «refererspam» har blitt et ikke ubetydelig problem, først og fremst fordi det klusser til statistikken. Ofte dreier det seg ikke engang om trafikk til GA-brukerens nettsted, men såkalt Ghost Spam, hvor spammeren sender HTTP-spørringer direkte til Google Analytics, uten å være innom GA-brukerens nettsted.
Den eneste måten å bli kvitt dette på fra statistikken, er å filtrere vekk disse oppføringene inne i Google Analytics.
Den egentlige hensikten med slik spam, er å tiltrekke seg trafikk fra dem som ser GA-rapportene, som kanskje er nysgjerrige på hvor trafikken stammer fra.
Les også: Har spammet i over 20 år. Nå er han dømt til fengsel for første gang
Uvanlige tegn
Det som er litt spesielt med Trump-spammen som Popov står bak, er domenenavnet som er oppgitt. Det kan se ut til å tilhøre Google, men det står ɢoogle.com, ikke google.com eller Google.com. Det er altså benyttet en liten versjon av versalen til bokstaven «g». Dette er det fort gjort å overse.
Dersom man forsøker å åpne Secret.ɢoogle.com i nettleseren, oversettes dette først til secret.xn--oogle-wmc.com, før man blir omdirigert til adressen:
http://money.get.away.get.a.good.job.with.more.pay.and.you.are.okay.money.it.is.a.gas.grab.that.cash.with.both.hands.and.make.a.stash.new.car.caviar.four.star.daydream.think.i.ll.buy.me.a.football.team.money.get.back.i.am.alright.jack.ilovevitaly.com/#.keep.off.my.stack.money.it.is.a.hit.do.not.give.me.that.do.goody.good.bullshit.i.am.in.the.hi.fidelity.first.class.travelling.set.and.i.think.i.need.a.lear.jet.money.it.is.a.secret.%C9%A2oogle.com/#.share.it.fairly.but.dont.take.a.slice.of.my.pie.money.so.they.say.is.the.root.of.all.evil.today.but.if.you.ask.for.a.rise.it's.no.surprise.that.they.are.giving.none.and.secret.%C9%A2oogle.com
Denne adressen fungerer ikke lenger. Men det gjør et annet domene, lifehacĸer.com (altså ikke lifehacker.com), som Popov også står bak.
Nå er kanskje ikke brukerne av Google Analytics blant dem som er aller minst oppmerksomme på slike triks, men i farten vil det trolig være mange internettbrukere som ikke legger merke til at det for eksempel står dnʙ.no istedenfor dnb.no i en nettadresse, noe som ville ha være velegnet å bruke i forbindelse med phishing. Men det er tvilsomt at Norid ville latt et slikt domenenavn passere.
Les også: Sikkerhetsekspert begynte å le da han så DNBs oppfordring til kundene