Cookie-Stuffer, Pixelspammer und Co. eine kleine Typologie

Too long; didn't read (<= mal nach oben geholt)
Spammer binden in ihre MyDealz Kommentare Grafiken ein, die auf ihren Servern liegen. Beim Abruf der Grafik bekommt man ein Affiliate Cookie von Amazon verpaßt, wenn man danach bei Amazon einkaufen sollte, bekommen die Spammer den Umsatzanteil.

Der lange Text besagt, daß obwohl man annehmen könnte, daß alle Spammer gleich sind -vielleicht sogar die selbe Person- unterscheiden sie sich sehr in der Art und dem Umfang wie sie ihre Kommentare verfassen.

Es handelt sich um keinen "Nutzwert"-Text für User, sondern ist eher im Sinne eines Sonntagsessays oder eines Beitrags auf der Nerd-Night zu sehen, braucht man nicht, interessant ist es aber trotzdem.



HINWEIS - die Links aus dem ersten Kommentar verwenden, dann landet man direkt im richtigen Post.
(Ursache gefunden: das Template setzt hinter dem #ID noch < /a > wenn man das in der Adresszeile löscht, klappt es)

Chopin hat neulich in seinem Beitrag „Cookie-Stuffing in Dealkommentaren“ beschrieben was Cookie Stuffing ist mydealz.de/div…443 und ich habe es dann nochmal etwas technischer an einem Beispielen aufbereitet und hier in den ersten Materialsammlungskommentar gepostet.

Ich habe mir die Spambeiträge der letzten Monate angesehen und eine kleine Typologie erstellt.

Von dem "Der oder die Täter" genutzte Domains: achatsici.net, greatpreis.info, liqew.xyz und kuetai.xyz

Diese unterteilen sich grob in drei Täterkatgorien:
Die liebenswerten Strategen, der Nicht-Fisch-Nicht-Fleisch-Spammer und die Maschine.

Die liebenswerten Strategen: achatsici.net, greatpreis.info - Spamquote 50%
Sie posten meistens zwei Kommentare, wobei der erste Kommentar i.d.R. ohne Pixel ist.

Bei diesen Spamdomains wird mit der meisten "Liebe zur Arbeit" vorgegangen und die Beiträge werden aufwendig gestaltet.

Hierbei ist die Rollenverteilung, wie das Spam-Pixel plaziert wird, zwischen den beiden klar geregelt:
Da ist zum einen achatsici.net, der wortkarge optisch ausgerichtete Typ und zum anderen greatpreis.info in informierten Kreisen völlig zu Recht als der „Hemingway-Spammer“ bekannt.

So zeichnen sich die Kommentare von achatsici.net besonders durch ihre lakonische Kürze aus und umfassen nur selten mehr als 5 Worte, bei denen einige Worte aus ungebremster Euphorie auch gerne einmal wiederholt werden. An dieser Stelle sei an seinen unvergessenen Kommentar „HOT..HOT..HOT BABY!!!!!“ erinnert, der durch seinen eingängigen Minimalismus das Zeug zum Sommerschlager hat. Beeindruckend ist dabei, daß durch den exzessiven Gebrauch von Satzzeichen und Versalien auch Connaisseurs eines ausgefallen Schriftbilds auf ihre Kosten kommen.
achatsici.net versteht aber nicht nur virtuos mit Buchstaben und Satzzeichen zu malen, sondern er versieht darüberhinaus seine Kommentare gerne mit Emojis, wobei sein absoluter Liebling "Daumen hoch" ist aber auch Ninja wird nicht verschmäht, wenn sich ein Vorwand dafür findet. Die Plazierung der Emojis macht deutlich, hier wird nicht einfach wild durcheinander gepostet sondern alles hat seine innere Ordnung, der Ninja lauert am Anfang des Kommentars und den Daumen hoch gibt es nur am Ende, so fügen sich beide in die Gesamtkomposition ein.
An ganz besonderen Tagen genügen achatsici.net allerdings die vom System gebotenen Gestaltungsmittel nicht, als zu klein empfindet er sie für seine Kreativität. Dann macht er sich auf, um Bilder zu suchen, die das ausdrücken, was er gerade empfindet. Nur dieser ungebremste innere Drang macht es erklärlich, daß ihm ausgerechnet dabei die gröbsten Anfängerfehler passieren. So kopiert er statt des mydealz.de/div…=79 speziell ausgesuchten Bildes die Suchabfrage von Google in den Kommentar.
Ein einfacher Blick auf den erstellten Beitrag hätte genügt, ihm seinen Fehler zu zeigen, doch das kreative Genie war wohl schon im Geiste bei seinem nächsten Projekt ... denn er weiß um die Vergänglichkeit seines Tuns. Hielten nicht vereinzelte Chronisten Kopien seines Werks in Ehren, bliebe von ihnen nichts als die Beiträge auf der Spammeldeseite.

Wie anders gibt sich da greatpreis.info. Optische Spielereien sind seine Sache nicht, er ist ein Freund der Sprache und vertraut auf die Macht des Wortes. Immerhin 10 Worte umfaßt durchschnittlich einer seiner Kommentare, wobei man ihm besonders zugutehalten muß, daß er diese Sorgfalt nicht nur auf die Alibi „ohne Pixel“-Kommentare verwendet, sondern er auch sein Spam-Pixel in einem Wald von Buchstaben zu verstecken sucht.
Auch inhaltlich ist einiges geboten. Da wird sich nicht einfach wahllos aus einem Pool an vorgefertigten Texten bedient, sondern zumindest versucht, Bezug zum Deal herzustellen.
Und wenn es um die Sprache geht, schreckt greatpreis.info nicht davor zurück, den Leser auch mit nicht ganz alltäglichen Worten zu fordern, „Hintertürgespräche“ und „Akustikkoppler-Anschluß“ sind nicht nur ungewöhnlich lang sondern zählen sicher auch nicht zu jedermanns aktivem Wortschatz. Aber es ist gerade diese Sperrigkeit, die Faszination seiner Beiträge ausmacht.
Manchmal jedoch gelingt es einen kleinen Blick auf greatpreis.infos Seele zu erhaschen und dann zeigt sich, daß hinter der Maske der Intellektualität, auch nur ein verspieltes Kind steckt, das sich in Beiträgen wie diesem Spam-Pixel als Smilie getarnt (siehe erster Kommentar) äußert – schön, daß für solche Kleinigkeiten auch im harten Geschäft der Spammer noch Zeit bleibt. Das macht Hoffnung.
Ein Wort der Kritik, muß an dieser Stelle allerdings erlaubt sein. Lieber greatpreis.info bitte unterlasse zukünftig, das Wort „hot“ ständig mit drei t und drei Punkten „hottt....“ zu schreiben, das ruiniert den positiven Gesamteindruck Deines Schaffens.

Natürlich können achatsici.net und greatpreis.info von der kostenlosen Veröffentlichung ihrer Kunst auf MyDealz nicht leben. Sie versehen daher jeden zweiten Beitrag mit einem Spam-Pixel und sind sich auch nicht zu schade, Beiträge die von den Mods gelöscht wurden, sofort unter einem anderen Usernamen neu zu erstellen. Hierbei zeichnet sich greatpreis.info durch außergewöhnliche Hartnäckigkeit aus, wie in jüngster Vergangenheit am Pixel-Hattrick im mydealz.de/div…=79 Binatone "The Brick" Handy Deal zu erkennen war.

Nach dem Yin und Yang der Spammer, kommen wir zur nächsten Kategorie.


Der Nicht-Fisch-Nicht-Fleisch-Spammer: liqew.xyz - Spamquote 60%
liqew.xyz meistens 5 Kommentare, wovon i.d.R. zwei ohne Pixel sind.

Nach der umfangreichen Würdigung von achatsici.net und greatpreis.info gibt es liqew.xyz nur wenig zu sagen. Stilistisch erscheint er wie eine Kombination aus achatsici.net und greatpreis.info.
Wortkarg wie achatsici.net, im Durchschnitt müssen 3,5 Worte reichen, mag er wie dieser besonders das "Daumen hoch" Emoji und ist vernarrt in Ausrufezeichen, zwei bis drei dürfen es bei ihm gerne sein.
Zum Ausgleich für die sprachliche Kürze und um Nähe zu greatpreis.info herstellen verwendete liqew.xyz gerne das Wort „Danke“, etwas was man bei achatsici.net nahezu vollständig vermißt.

Als kleine persönliche Note hält liqew.xyz Umlaute für einen läßlichen Luxus und so muß sich der Leser häufig mit einem „fur“ statt „für“ begnügen. Verglichen mit achatsici.net und greatpreis.info bleibt liqew.xyz als Charakter aber blaß.


Die Maschine: kuetai.xyz - Spamquote 100%
kuetai.xyz meistens 20 Kommentare, alle mit Pixel, wobei auch manchmal erst ein Kommentar ohne Pixel verfaßt wird, der dann später um den Pixel ergänzt wird.

kuetai.xyz stellt die Spitze der Pixelspammerevolution dar. Für ihn ist Geschäft Geschäft, da bleibt kein Platz für grafischen Schnickschnack oder textuelle Ausschweifungen:
Zwei Worte, Pixel rein – fertig ist der Beitrag.
Auch bei den Worten wird nicht großartig variiert. „top, danke, sehr, gut“ und wenn kuetai.xyz einmal übermütig wird, wird auch noch das Wort „Preis“ mit eingestreut.

Daß er allerdings auch anders kann zeigt, zeigt er im Alibi „ohne Pixel“-Kommentar, in dem er ganze Sätze schreibt und diese auch auf den Deal bezieht. Man spürt förmlich seine Schmerzen ob dieser Verschwendung, da sich das nicht vollautomatisieren läßt wie der Rest. Doch was später folgt, wird ihn voll und ganz dafür entschädigen. Er ist ein Jäger der Nacht und bevorzugt die ersten Stunden des Tages, dann starten seine Skripte, um aus den oben bereits genannten handvollen Worten in Sekundenschnelle 20 Kommentare mit Spam-Pixeln in die Deals der Hot-Liste zu verfassen. Daß er dabei Spam-Pixel in die gleichen Deals plaziert wie achatsici.net und greatpreis.info stört ihn nicht, im Gegenteil da das letzte Pixel gewinnt, zeigt er wie überlegen seine emotionslose Automatik gegenüber schöngeistiger althergebrachter Spamtechniken ist – die Gentlemen Spammer haben ausgedient, wenn grobschlächtige Skripte sie überrennen.


Aussterben werden alle Spammertypen, wenn sie ihr Spam-Pixel nicht mehr frei plazieren können, der evolutionäre Druck wird aber dazu führen, daß wir in Kürze noch raffiniertere Methoden sehen werden.

Bis dahin gilt, wer ein Spam-Pixel findet kann es entweder direkt unter dem Kommentar als Spam melden oder postest in den Thread mydealz.de/div…115 den Namen des Spammers, am besten mit Link auf das Profil. Die Mods schauen da regelmäßig rüber und löschen dann die zugehörigen Spamkommentare.

Beliebteste Kommentare

Burby123

"Ich habe mir die Spambeiträge der letzten Monate angesehen und eine kleine Typologie erstellt. "Deine Arbeit in allen Ehren, aber warum? zuviel Zeit?


Nein. Wenn er zu viel Zeit hätte, dann würde er ja eine große Typologie erstellen http://up.picr.de/24681923bn.png
Ich finde das Thema interessant, weil ich gerne selber entscheiden möchte, wer an meinen Amazon- Käufen verdienen soll.
Danke an Killefitz (bzw. die Urlaubsvertretung) und an die Mods, die die Müllkommentare mit Trackingpixeln zeitnah entfernen

Burby123

Deine Arbeit in allen Ehren, aber warum? zuviel Zeit?

Reines Interesse, das betrifft ja nicht nur MyDealz sondern ist ein allgemeines Problem.

Der Massenspammer fällt einem sofort auf, aber daß die anderen sich überhaupt unterscheiden und ich jetzt sicher an nur einer Zeile Text erkenne, wer von den Spammern spammt ohne das Trackingpixel zu prüfen, fand ich überraschend.
Bearbeitet von: "deletedUser99108" 16. August

Chopins Beitrag
mydealz.de/div…443

Wie funktioniert Cookie Stuffing, Schritt für Schritt
mydealz.de/div…=75

Google Imagesuche statt "lustigem" Bild
mydealz.de/div…=79

Spam-Pixel als Smilie getarnt
http://i.imgur.com/NppmBso.jpg

Binatone "The Brick" Handy Deal - Hattrick
mydealz.de/div…=79

Spammer melden
mydealz.de/div…115

---- Auszug der Primärquellen ----
OP am Anfang bedeutet, daß es ein Pxiel ohne Kommentar war

achatsici.net
superpower
HOT..HOT..HOT BABY!!!!!
OP Nicht schlecht. War die letzten Tage aber schon etwas günstiger.
ich erhaltet 9 Sexy Damen Slips für 32€.
genug für den täglichen
OP großartige Technologie
OP genug für die Aktivität
Super verarbeitet

greatpreis.info
Nur benötigt man für den eine Kreditkarte...Der Preis ohne Kreditkarte liegt allerdings
OP Durch NL Gutschein erhält man das Trikot inkl danke
OP hätte ne halbe Nummer größer sein müssen...Früher wären das einfach weiße Schuhe gewesen.
Hottt---Anfang den Jahres hat die noch fast das doppelte gekostet.
OP dabei fehlen natürlich sämtliche Hintertürgespräche mit Vertretern der Wall-Street Lobby..
Danach grau. Ergo kaufe ich weiße Schuhe schon wirklich lange nicht mehr.
NUR deswegen. Man die sollten mich mal interviewen /eignes Smlie statt nur Pixel/

liqew.xyz
Danke fur deal
Preis Hot !
Hot. Danke!
Dankle fur deal!
OP sehr gut! DANKE
Danke fur Deal! HOT

kuetai.xyz
OP Ich besitze bereits einen Netgear Router. Perfekte Erweiterung fürs Netzwerk
top..danke
top..danke
danke..top
sehr gut
danke..top

Wer mehr lesen möchte: pastebin.com/d1J…56K

Cookie Stuffing How To

Wenn die Spammer das Pixel auf MyDealz plazieren verwenden sie das ganz normale Grafiktag IMG.
Als Zieladresse geben sie eine Datei auf ihrem eigenen Server an, z.B. kuetai.xyz/82.a.png

=== der erste Aufruf ===

In der ausgelieferten MyDealz Seite steht dann -etwas kaputt gemacht damit es hier nicht zählt
mg class="bbcode_img" src="http:// kuetai.xyz /82.a.png" alt="http:// kuetai .xyz/82.a.png"

Der Webbrowser versucht dann die vermeintliche Grafik von dem kuetai Server zu laden.

An der angegebene Stelle, liegt aber gar keine Grafik, sondern unter der Adresse läuft ein kleines Script und sobald der Browser sich dorthin verbindet und die Grafik anfordern will, bekommt er von dem Server die Information, daß die Grafik nicht mehr an dieser Stelle sondern an einer anderen Stelle zu finden ist. Hierfür schickt er dem Browser "302 Found (Moved Temporarily)" zurück. D.h. der Browser weiß jetzt, daß die Grafik da nicht liegt, gibt aber keinen Fehler aus, denn er bekommt zusätzlich vom Server noch die neue Adresse mitgeteilt, an der die Grafik jetzt zu finden ist.
Nur "belügt" der Server den Browser und gibt ihm nicht den korrekten Ort, sondern leitet ihn auf einen Partner -in diesem Fall Amazon um. Wenn der Browser auf die Seite "kommt", schaut Amazon, ob der vermeintliche Kunde von einem Partner tag=AFFILIATEID kommt und setzt ein Cookie über das bei einem Einkauf der Umsatzanteil für den Partner zugeordnet werden kann.

Wenn man sich den ersten "Grafik"-Aufruf GET a.png genauer ansieht, sieht man zum einen, daß es sehr lange dauert, den Grund sehen wir gleich und daß gar keine Grafik ausgeliefert wurde ("Content-Length 0" und "Content-Type text/html")
http://i.imgur.com/eYgZZJ1.jpg

Statt der Grafik haben wir die neue Adresse erhalten (hier nochmal in groß)
http://i.imgur.com/JhzV1jy.jpg

Anmerkung: unten sieht man auch gut den Referer, das ist die Seite auf der das Pixel eingebunden ist. Somit kann der Spammer mitzählen wieviele Aufrufe/Umleitungen von welcher Seite kommen, auch wenn er nur ein einziges "Pixel" verwendet.

An der neuen Adresse die der Server dem Browser gegeben hat, liegt auch keine Grafik, deshalb stellt der Browser statt der Grafik den ALT-Text dar, in unserem Fall kuetai.xyz/82.a.png.
http://i.imgur.com/GZZWfRC.jpg

=== der zweite Aufruf ===

Wenn der Browser immer umgeleitet wird, warum sieht es dann beim zweiten Besuch nicht mehr so komisch aus?
http://i.imgur.com/jP9WML1.jpg

Damit das "falsche" Pixel nicht so schnell auffällt, hat der Spammer einige Maßnahmen getroffen.
Es beginnt damit, daß er dem Browser beim ersten Besuch gesagt hat "302 Found (Moved Temporarily)" , was soviel bedeutet, wie "du bist hier schon richtig, nur gerade liegen die Inhalte woanders". Das bedeutet, daß der Browser, wenn er das nächste Mal die "Grafik" anzeigen soll, er wieder bei dem Server nachschaut, denn zwischenzeitlich könnte sie wieder da sein.

Um sicherzustellen, daß der Browser das auch wirklich macht, sieht man im obersten Screenshot, daß der Server dem Browser gesagt hat "Cache-Control no-cache, no-store, must revalidate, max-age=0".
Während der Browser normalerweise möglichst viel von dem aufhebt, was er schon mal angezeigt hat oder sich merkt, wohin er eigentlich gehen soll, wird ihm das hier alles verboten.

Der Browser versucht daher wieder die Grafik vom kuetai.xyz Server zu laden. Dieses Mal bekommt er aber keine Umleitung angezeigt, sondern der Server gibt ihm die 1x1 Pixel große Grafik zurück.
Und diese Grafik soll der Browser dann eine Woche lang speichern "Cache-Control max-age=604800".
http://i.imgur.com/IsALtHf.jpg

Woher weiß nun der Server, daß man ein zweites Mal da ist? Beim ersten Aufruf hat er nicht nur statt des Pixels die Umleitung zurückgegeben sondern zusätzlich noch die IP Adresse des Browser bei sich in die Datenbank geschrieben.

Jedes Mal wenn jemand kuetai.xyz/82.a.png aufruft, schaut der Server zuerst in der Datenbank, ob die IP dort gespeichert ist und derjenige schon mal weitergeleitet wurde oder ob er statt der Datei die Umleitung s.o. ausliefern soll.

Und weil der Spammer ein sparsamer Mann ist, sollen wir die Grafik im Browser speichern, da sonst sein Server jedes Mal wieder in die Datenbank schauen müßte, um dann die 1x1 Pixel 120 Bytes Grafik (Content-Length 120 und Content-Type image/png) auszuliefern.

Bearbeitet von: "deletedUser99108" 24. August

30 Kommentare

Chopins Beitrag
mydealz.de/div…443

Wie funktioniert Cookie Stuffing, Schritt für Schritt
mydealz.de/div…=75

Google Imagesuche statt "lustigem" Bild
mydealz.de/div…=79

Spam-Pixel als Smilie getarnt
http://i.imgur.com/NppmBso.jpg

Binatone "The Brick" Handy Deal - Hattrick
mydealz.de/div…=79

Spammer melden
mydealz.de/div…115

---- Auszug der Primärquellen ----
OP am Anfang bedeutet, daß es ein Pxiel ohne Kommentar war

achatsici.net
superpower
HOT..HOT..HOT BABY!!!!!
OP Nicht schlecht. War die letzten Tage aber schon etwas günstiger.
ich erhaltet 9 Sexy Damen Slips für 32€.
genug für den täglichen
OP großartige Technologie
OP genug für die Aktivität
Super verarbeitet

greatpreis.info
Nur benötigt man für den eine Kreditkarte...Der Preis ohne Kreditkarte liegt allerdings
OP Durch NL Gutschein erhält man das Trikot inkl danke
OP hätte ne halbe Nummer größer sein müssen...Früher wären das einfach weiße Schuhe gewesen.
Hottt---Anfang den Jahres hat die noch fast das doppelte gekostet.
OP dabei fehlen natürlich sämtliche Hintertürgespräche mit Vertretern der Wall-Street Lobby..
Danach grau. Ergo kaufe ich weiße Schuhe schon wirklich lange nicht mehr.
NUR deswegen. Man die sollten mich mal interviewen /eignes Smlie statt nur Pixel/

liqew.xyz
Danke fur deal
Preis Hot !
Hot. Danke!
Dankle fur deal!
OP sehr gut! DANKE
Danke fur Deal! HOT

kuetai.xyz
OP Ich besitze bereits einen Netgear Router. Perfekte Erweiterung fürs Netzwerk
top..danke
top..danke
danke..top
sehr gut
danke..top

Wer mehr lesen möchte: pastebin.com/d1J…56K

Cookie Stuffing How To

Wenn die Spammer das Pixel auf MyDealz plazieren verwenden sie das ganz normale Grafiktag IMG.
Als Zieladresse geben sie eine Datei auf ihrem eigenen Server an, z.B. kuetai.xyz/82.a.png

=== der erste Aufruf ===

In der ausgelieferten MyDealz Seite steht dann -etwas kaputt gemacht damit es hier nicht zählt
mg class="bbcode_img" src="http:// kuetai.xyz /82.a.png" alt="http:// kuetai .xyz/82.a.png"

Der Webbrowser versucht dann die vermeintliche Grafik von dem kuetai Server zu laden.

An der angegebene Stelle, liegt aber gar keine Grafik, sondern unter der Adresse läuft ein kleines Script und sobald der Browser sich dorthin verbindet und die Grafik anfordern will, bekommt er von dem Server die Information, daß die Grafik nicht mehr an dieser Stelle sondern an einer anderen Stelle zu finden ist. Hierfür schickt er dem Browser "302 Found (Moved Temporarily)" zurück. D.h. der Browser weiß jetzt, daß die Grafik da nicht liegt, gibt aber keinen Fehler aus, denn er bekommt zusätzlich vom Server noch die neue Adresse mitgeteilt, an der die Grafik jetzt zu finden ist.
Nur "belügt" der Server den Browser und gibt ihm nicht den korrekten Ort, sondern leitet ihn auf einen Partner -in diesem Fall Amazon um. Wenn der Browser auf die Seite "kommt", schaut Amazon, ob der vermeintliche Kunde von einem Partner tag=AFFILIATEID kommt und setzt ein Cookie über das bei einem Einkauf der Umsatzanteil für den Partner zugeordnet werden kann.

Wenn man sich den ersten "Grafik"-Aufruf GET a.png genauer ansieht, sieht man zum einen, daß es sehr lange dauert, den Grund sehen wir gleich und daß gar keine Grafik ausgeliefert wurde ("Content-Length 0" und "Content-Type text/html")
http://i.imgur.com/eYgZZJ1.jpg

Statt der Grafik haben wir die neue Adresse erhalten (hier nochmal in groß)
http://i.imgur.com/JhzV1jy.jpg

Anmerkung: unten sieht man auch gut den Referer, das ist die Seite auf der das Pixel eingebunden ist. Somit kann der Spammer mitzählen wieviele Aufrufe/Umleitungen von welcher Seite kommen, auch wenn er nur ein einziges "Pixel" verwendet.

An der neuen Adresse die der Server dem Browser gegeben hat, liegt auch keine Grafik, deshalb stellt der Browser statt der Grafik den ALT-Text dar, in unserem Fall kuetai.xyz/82.a.png.
http://i.imgur.com/GZZWfRC.jpg

=== der zweite Aufruf ===

Wenn der Browser immer umgeleitet wird, warum sieht es dann beim zweiten Besuch nicht mehr so komisch aus?
http://i.imgur.com/jP9WML1.jpg

Damit das "falsche" Pixel nicht so schnell auffällt, hat der Spammer einige Maßnahmen getroffen.
Es beginnt damit, daß er dem Browser beim ersten Besuch gesagt hat "302 Found (Moved Temporarily)" , was soviel bedeutet, wie "du bist hier schon richtig, nur gerade liegen die Inhalte woanders". Das bedeutet, daß der Browser, wenn er das nächste Mal die "Grafik" anzeigen soll, er wieder bei dem Server nachschaut, denn zwischenzeitlich könnte sie wieder da sein.

Um sicherzustellen, daß der Browser das auch wirklich macht, sieht man im obersten Screenshot, daß der Server dem Browser gesagt hat "Cache-Control no-cache, no-store, must revalidate, max-age=0".
Während der Browser normalerweise möglichst viel von dem aufhebt, was er schon mal angezeigt hat oder sich merkt, wohin er eigentlich gehen soll, wird ihm das hier alles verboten.

Der Browser versucht daher wieder die Grafik vom kuetai.xyz Server zu laden. Dieses Mal bekommt er aber keine Umleitung angezeigt, sondern der Server gibt ihm die 1x1 Pixel große Grafik zurück.
Und diese Grafik soll der Browser dann eine Woche lang speichern "Cache-Control max-age=604800".
http://i.imgur.com/IsALtHf.jpg

Woher weiß nun der Server, daß man ein zweites Mal da ist? Beim ersten Aufruf hat er nicht nur statt des Pixels die Umleitung zurückgegeben sondern zusätzlich noch die IP Adresse des Browser bei sich in die Datenbank geschrieben.

Jedes Mal wenn jemand kuetai.xyz/82.a.png aufruft, schaut der Server zuerst in der Datenbank, ob die IP dort gespeichert ist und derjenige schon mal weitergeleitet wurde oder ob er statt der Datei die Umleitung s.o. ausliefern soll.

Und weil der Spammer ein sparsamer Mann ist, sollen wir die Grafik im Browser speichern, da sonst sein Server jedes Mal wieder in die Datenbank schauen müßte, um dann die 1x1 Pixel 120 Bytes Grafik (Content-Length 120 und Content-Type image/png) auszuliefern.

Bearbeitet von: "deletedUser99108" 24. August

"Ich habe mir die Spambeiträge der letzten Monate angesehen und eine kleine Typologie erstellt. "

Deine Arbeit in allen Ehren, aber warum? zuviel Zeit?

Burby123

Deine Arbeit in allen Ehren, aber warum? zuviel Zeit?

Reines Interesse, das betrifft ja nicht nur MyDealz sondern ist ein allgemeines Problem.

Der Massenspammer fällt einem sofort auf, aber daß die anderen sich überhaupt unterscheiden und ich jetzt sicher an nur einer Zeile Text erkenne, wer von den Spammern spammt ohne das Trackingpixel zu prüfen, fand ich überraschend.
Bearbeitet von: "deletedUser99108" 16. August

Burby123

"Ich habe mir die Spambeiträge der letzten Monate angesehen und eine kleine Typologie erstellt. "Deine Arbeit in allen Ehren, aber warum? zuviel Zeit?


Nein. Wenn er zu viel Zeit hätte, dann würde er ja eine große Typologie erstellen http://up.picr.de/24681923bn.png
Ich finde das Thema interessant, weil ich gerne selber entscheiden möchte, wer an meinen Amazon- Käufen verdienen soll.
Danke an Killefitz (bzw. die Urlaubsvertretung) und an die Mods, die die Müllkommentare mit Trackingpixeln zeitnah entfernen

Top Arbeit die du da machst

Das ist für mich deutlich zu viel Text.
Kann mir einer zusammenfassen, wo für mich der Nachteil oder Vorteil liegt?

Ich hab keine Ahnung um was es hier geht... Selbst nachdem ich halb durch war.. Was mich iwie stark an die Herr der Ringe Trilogie erinnert. Kann mich mal jemand aufklären?

mmmax

Das ist für mich deutlich zu viel Text.Kann mir einer zusammenfassen, wo für mich der Nachteil oder Vorteil liegt?

Too long; didn't read
Für Dich hat das im Sinne eines TL;DR keinen direkten Vor-/Nachteil.

Spammer binden in ihre MyDealz Kommentare Grafiken ein, die auf ihren Servern liegen. Beim Abruf der Grafik bekommt man ein Affiliate Cookie von Amazon verpaßt, wenn man danach bei Amazon einkaufen sollte, bekommen die Spammer den Umsatzanteil.

Der lange Text besagt, daß obwohl man annehmen könnte, daß alle Spammer gleich sind -vielleicht sogar die selbe Person- unterscheiden sie sich sehr in der Art und dem Umfang wie sie ihre Kommentare verfassen.

Danke für Deinen Hinweis, ich habe das auch oben ergänzt, damit sich niemand umsonst durchquält.
Bearbeitet von: "deletedUser99108" 9. September

mmmax



Kurz und Knapp. Die Pixelspamner jubeln euch durch eine Umleitung eine versuchten Bildaufrufes einen Cookie von zB Amazon unter, um die Provision abzugreifen.
Bearbeitet von: "Kevkeee92" 15. August

Warum kann ich sowas nicht wie die Spammer

HOT..HOT..HOT BABY!!!!!

@Killefitz
Ich weiß nicht, ob dir das auch aufgefallen ist, aber teilweise kopieren die Spammer Sätze aus Kommentaren zum Deal von anderen Usern zu einem eigenen Kommentar zusammen. Daher dann teilweise auch der (vermeintliche) Bezug zum Deal.

Oder hier, kuetai.xyz's "Ich besitze bereits einen Netgear Router. Perfekte Erweiterung fürs Netzwerk" kommt wahrscheinlich aus dieser Rezension bei Amazon. Man beachte den Titel/Betreff und den ersten Satz.
Und tatsächlich gab's kürzlich einen Deal zu dem Gerät bzw. der Geräteserie.

Bearbeitet von: "tod" 15. August

tod

teilweise kopieren die Spammer Sätze aus Kommentaren zum Deal von anderen Usern

Ja, das Kopieren und bei Amazon bedienen ist aufgefallen. Das spricht aber zumindest dafür, daß sie sich mit dem Deal auseinander setzen und nicht nur blind in einem Tool die Beiträge aus dem RSS Feed markieren die bespammt werden sollen. Sie zitieren auch und schieben das Pixel in den zitierten Originaltext, wohl damit es nicht auffällt.

Das Problem betrifft doch bestimmt auch YouTube. Unternimmt Google etwas dagegen oder werden dort den vielen Unboxing- und Angetested-Videoproduzenten die Tantiemen geklaut? Oder gibt es auf YouTube keine Möglichkeit, Pixel-Links in die Kommentare zu schmuggeln? MyDealz hat ja eigene Interessen, aber YouTube? Goggle würde ich zutrauen, eher selbst in die eigene Tasche zu wirtschaften.

Und eine sicher häufig gestellte Frage: Warum verbietet ihr nicht für neue User das Verlinken von Grafiken? Für viele Aktionen (z.B. das Schreiben von PN) muss man doch bestimmte Mindestanforderungen erfüllen. Warum nicht auch dafür? Und nach der Zulassung könnte man die Links der ersten Grafikposts eines Users filtern und bei verdächtigen Adressen händisch kontrollieren.

Sehr interessant. Vielen Dank.

Manchmal hab ich schon gedacht, irgendetwas ist komisch hier und das könnte die passende Erklärung dafür sein..

Fun Fact zum Schluß
Es kann leider nicht ausgeschlossen werden, daß wir uns von achatsici.net bereits vorzeitig verabschieden müssen.
Mir war aufgefallen, daß er wahrscheinlichen einen Fehler in seinem Affiliate Tag hat und deshalb wohl um den Lohn seiner "Mühe" betrogen werden wird, denn er kann schlecht bei Amazon reklamieren.
Details siehe hier warum der Affiliatetag "httpwwwyourli-21" so komisch aussieht

Kurz nach der Meldung kamen die ersten Spam-Pixel über die neue Domain hautavis.net rein. Hoffen wir für achatsici.net, daß er auf eigene Rechnung gearbeitet hat und sich bei niemandem für die Schlamperei verantworten muß. Aber wer weiß, vielleicht hat er heute auch nur frei und alles war reiner Zufall.

Nachtrag
hautavis.net war hier schon in der Vergangenheit tätig ( April jetzt gelöscht ) und ist auch an anderer Stelle schon unangenehm aufgefallen cyanogenmod-forum , Gamezone , Football-Manager UK usw. usw.) somit besteht noch Hoffnung für achatsici.net - ein "Daumen hoch" für ihn, das liebt er ja am meisten

Nachtrag 2
achatsici.net scheint wohlauf zu sein. Das "Daumen hoch" am Ende interpretiere ich zumindest so!
Auf den falschen Amazon Tag besteht er aber.

MacBook aber zu einem niedrigen Preis

Bearbeitet von: "deletedUser99108" 24. August

Killefitz



Könnte man sich mit den Affiliate IDs der Spammer sich nicht einfach an Amazon wenden, damit die die zugehörigen Konten sperren?
Die bei der Amazon-Affiliateabteilung sind da doch eigentlich ziemlich streng.

cald

Könnte man sich mit den Affiliate IDs der Spammer sich nicht einfach an Amazon wenden, damit die die zugehörigen Konten sperren?

Wahrscheinlich,ab Seite 76 sind Infos mit dokumentiert, einfach bedienen Spammeldungen

cald

Könnte man sich mit den Affiliate IDs der Spammer sich nicht einfach an Amazon wenden, damit die die zugehörigen Konten sperren?


Man, wie kommen die so schnell an neue Affiliate IDs? Ich werd von Amazon immer direkt wieder rausgeschmissen, weil ich keinen sinnvollen Content vorweisen kann.

cald

Man, wie kommen die so schnell an neue Affiliate IDs?

Ich habe keine Ahnung, das müßte jemand vom Affiliate Management beantworten. Evtl. Ist das Spammen nur ein "Nebenkanal" und die haben irgendwo auf der Welt noch etwas offizielles zur Tarnung.

seit Beginn der Ausweisung am 6. August
19 elementalwe07-21
12 httpwwwunrave-21
9 ebeyfarm02-21
3 birtpartide05-21
2 nella02-21
2 miloslava0e-21
2 kirsch02-21
2 jazzsdiar0d-21
2 httpwwwyourli-21
2 diefitfoo0c-21
2 danuse06-21
2 buz0c-21
2 biggestlos01a-21
1 schwab07-21
1 httpwwwed2goc-21
1 beskitanddi00-21
1 7hairstyles07-21
1 "httpwwwyourli-21


Aber mir ging es hier nicht um das WAS oder WARUM (siehe Chopins Beitrag) oder WIE es technisch geht (siehe meine Analysen) sondern nur um die Umsetzung, denn sie machen alle das Gleiche, aus gleichen Motiven, aber auf völlig unterschiedliche Weise und das war das, was mich bei der Betrachtung interessiert hat.

Vor allem da es "Use it or lose it" Betrachtungen sind, wenn in Kürze dieses Spam-Verfahren verunmöglicht wird, finden diese Betrachtungen die meisten User wahrscheinlich noch uninteressanter als jetzt. Siehe das notwendige TL;DR am Anfang.
Bearbeitet von: "deletedUser99108" 24. August

Dein Kommentar
Avatar
@
    Text
    Top Diskussionen
    1. Willkommen zum neuen mydealz6852193
    2. DVB-T2 Receiver810
    3. Keine Payback Punkte mehr auf Goldkauf bei eBay?22
    4. Ein etwas anderer Deal...1622

    Weitere Diskussionen