Kategorie: Computer

Google Mail Tracking

Ich habe heute einem Kunden in Deutschland ein geschäftliches Email geschickt mit mehreren Links darin. Der Kunde hat anschliessend auf das Email geantwortet. Darin sehen die URLs plötzlich wie folgt aus:

https://www.google.com/url?q=https://jmeter.apache.org/&source=gmail-imap&ust=1764835662000000&usg=AOvVaw2sc2ixm97UmG8BMoTisw-I

Google weiss also ganz genau, wer wann wem welche Mails geschickt hat, welche Links man empfohlen und wer auf welche Links geklickt hat…

source = gmail-imap zeigt, woher die Information stammt

ust = 1764835662000000 scheint eine UNIX Epoch in Mikrosekunden zu sein. Das Mail wurde um 09:07:34+01:00 verschickt, der Zeitstempel ist eine Woche (7 Tage) und 8 Sekunden später. Wahrscheinlich handelt es sich dabei um einen Ablauf-Zeitstempel oder Quarantäne-Zeitstempel (1764835662 = 2025-12-04 09:07:42).

usg = AOvVaw2sc2ixm97UmG8BMoTisw-I wird ein universell eindeutiger Hash sein.

Wollen wir, dass Google weiss, was wir da tun?

Frag die KI

Zum Spass wollte ich von Googles KI Gemini wissen, was sie darüber weiss?

Oli: “whats stands ust for in google urls”

Gemini: “The parameter ust in certain Google URLs (particularly those used for tracking redirects from services like Gmail) likely stands for a type of hash or time-based token used for security and tracking purposes.

It is often described as a required parameter that is generated by Google.

While it has a structure that looks like a Unix timestamp (in microseconds), altering its value often results in a redirect notice, suggesting it functions as a validation token rather than just a simple time reference.

In the context of the URL parameters used for redirecting and tracking clicks, the ust parameter helps ensure the link is legitimate and hasn’t been tampered with. It’s part of a mechanism that also includes other parameters like usg (a different hash) and the destination url.”

und weiter

oli: “what kind of uuid is this AOvVaw2sc2ixm97UmG8BMoTisw-I”

Gemini: “The string AOvVaw2sc2ixm97UmG8BMoTisw-I is not a standard UUID (Universally Unique Identifier) as defined by RFC 4122. Standard UUIDs have a specific format, typically looking like xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx (with M and N indicating the version and variant, respectively, and consisting only of hexadecimal characters and hyphens).

Instead, this string is most likely a Base64-encoded, URL-safe version of a 128-bit or 256-bit unique identifier commonly used by Google services for things like:

  • Internal IDs or Keys: Used for identifying specific resources, accounts, or sessions within Google’s distributed systems.
  • Encrypted or Hashed IDs: It could be a unique value (like a standard UUID) that has been hashed or encrypted and then encoded using Base64.

Base64 Encoding: The use of uppercase and lowercase letters, numbers, and the hyphens (-) and underscores (_) (though only a hyphen is visible here) is characteristic of URL-safe Base64 encoding, which replaces the standard Base64 characters + and / (which are problematic in URLs) with - and _.

🔑 Why it’s Not a Standard UUID

A standard version 4 UUID, for example, is 36 characters long (32 hex characters plus 4 hyphens) and uses only hexadecimal characters (0-9, a-f). Standard UUID v4 Example: 91ff8c0a−8c72−4f8d−b1b0−e85957d40c16

The provided string AOvVaw2sc2ixm97UmG8BMoTisw-I is 28 characters long and contains non-hexadecimal characters like ‘A’, ‘O’, ‘V’, ‘W’, ’s’, ‘i’, ‘x’, ’m’, ‘U’, ‘G’, ‘B’, ‘T’, ‘I’.

In summary, it’s a proprietary unique identifier format utilized by large-scale systems like Google’s, optimized for compact representation in URLs.”

und zum Schluss noch:

Oli: “what stores google under this hash AOvVaw2sc2ixm97UmG8BMoTisw-I”

Gemini: “Google does not publicly disclose the specific information stored under proprietary internal identifiers like AOvVaw2sc2ixm97UmG8BMoTisw-I.

However, based on its format and use in Google’s systems, the unique ID likely points to a specific internal resource or record within a Google service, such as:

  • A specific user account or session ID: Used to tie an action back to a particular user or a browser session, potentially hashed or encrypted for privacy.
  • A service entity or object: This could be an ID for a file in Google Drive, a video on YouTube, a specific ad campaign, or a resource in Google Cloud.
  • A system-generated token: Used for security, validation, or cross-service communication (like an OAuth token or a state token).”

Spam, Scam und Phishing Mails

Spam

Spam-Emails, auch als Junk-Mails bezeichnet, sind unerwünschte und unaufgefordert versendete Emails, die oft in grosser Zahl verschickt werden und kommerzielle oder betrügerische Absichten verfolgen. Diese Emails können Sicherheitsrisiken bergen, da sie schädliche Links oder Malware enthalten können. Spammer verwenden verschiedene Techniken, um Empfänger dazu zu verleiten, ihre Nachrichten zu öffnen, darunter irreführende Betreffzeilen und gefälschte Absenderadressen.

Scam

Bei einem Phishing-Betrug erhalten Sie möglicherweise eine Email, die scheinbar von einem seriösen Unternehmen stammt und Sie auffordert, Ihre persönlichen Daten zu aktualisieren oder zu überprüfen, indem Sie auf die Email antworten oder eine Website besuchen. Die Webadresse kann einer Adresse ähneln, die Sie bereits zuvor verwendet haben.

Phishing

Phishing-Emails und -SMS erzählen oft eine Geschichte, um Sie dazu zu verleiten, auf einen Link zu klicken oder einen Anhang zu öffnen. Sie erhalten möglicherweise eine unerwartete Email oder SMS, die so aussieht, als stamme sie von einem Unternehmen, das Sie kennen oder dem Sie vertrauen, beispielsweise einer Bank, einem Kreditkartenunternehmen oder einem Versorgungsunternehmen.

Die Netzwoche schreibt: “Wer eine derartige Email erhält, sollte sie an “Cybercrimepolice.ch” weiterleiten.”

Quellen

Beispiele

Die folgenden Beispiele dienen als Anschauungsmaterial und sind völlig ungefährlich (es kann nirgends geklickt werden). Sie sind quasi sterilisiert.

Beispiel 1

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) ist falsch (indigo.it). Die Domain scheint es nicht mehr zu geben.
  2. Anrede bei United-Domains ist üblicherweise persönlich ("Hallo Vorname, Nachname").
  3. Rechnungsnummern von United-Domains lauten völlig anders.
  4. Linktext ist in falschen Sprache (Schwedisch: "Direkt mit Karte bezahlen").
  5. Der link führt auf eine Website in Australien (rainmasterco.com.au) die wahrscheinlich gehackt wurde.
  6. Ja, wir sind Kunde bei United-Domains und die Forderung ist theoretisch plausibel, da diese Forderung aber mit Kreditkarte gezahlt würde, käme ein Mail mit der Meldung, dass die Kreditkartenzahlung nicht erfolgreich war, oder ähnlich.
  7. Die Informationen zum Erstellen eines solchen Emails sind wahrscheinlich frei verfügbar.

spam001
United-Domains mit Hinweis zur Domänennamen-Verlängerung

Beispiel 2

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) ist falsch.
  2. Empfängeradresse (To) ist falsch.
  3. Dieses Mail macht für mich so überhaupt gar keinen Sinn! Ich habe da nie gekauft und ich zahle schon lange nicht mehr mit PayPal. Wahrscheinlich möchte man mich verleiten, auf die Telefonnummer anzurufen. Die Nummer wird bei Slick.ly als "Gefährlich" eingestuft! (Link zu slick.ly).

spam002
PayPal Kauf bei Norton permium 360

Beispiel 3

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) ist falsch.
  2. Empfängeradresse (To) gibt es so bei uns nicht ("rabota" ist ein slawisches Wort und bedeutet "Arbeit").
  3. Der Link führt nach wekopen.com und wird nach club-kundenpunkte.com weitergeleitet.
  4. Ich konsumiere keine Produkte dieser Firma, daher macht dieses Mail keinen Sinn.

spam003
Nespresso-Punkte einlösen

Beispiel 4

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) ist falsch.
  2. Empfängeradresse (To) gibt es gar nicht (wie geht denn das?).
  3. Titel in Grossschrift ist eher aussergewöhnlich.
  4. "Angebot einlösen" und "Abmelden vom Newsletter" gehen auf eine Website, die nicht Decathlon ist und auch sonst nicht funktioniert. Aber auf den Link klicken geht...
  5. Dieses Mail ist spannend, weil ich kürzlich wirklich bei Decathlon Outdoor-Material bestellt habe.
  6. Entweder ist das extrem gut gemachter Spam oder ein sehr schlecht gemachtes Marketing-Mail von Decathlon. Wenn es ein Spam-Mail ist, frage ich mich nur, wie die wissen, dass ich Outdoor-Material bei Decathlon bestellt habe. Hat etwa jemand geleckt???

spam004
Überraschung von Decathlon

Beispiel 5

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) ist falsch.
  2. Email wurde bereits vom Mail-Provider als Spam erkannt und entsprechend markiert.
  3. Falsche Sprache (portugiesisch).
  4. Link führt auf ungewöhnliche Website: 95.202.178.68.host.secureserver.net/comprov/ welche zum Download einer Android-Studio *.zip oder *.dmg Datei (android-studio-2024.1.2.12-windows.zip, android-studio-2024.1.2.12-mac_arm.dmg) auffordert. Diese Datei ist ca. 1.2 Gbyte gross. Die MD5 Checksumme lautete: d1b4eeab7fd21b62fb54fa70b4fec464 und hat bei folgenden Seiten zu keinem Treffer geführt: virustotal, abuse.ch. Wahrscheinlich enthält diese Datei eine kompromitierte Version von Android-Studio...

spam005
Zahlungsbeleg führt zu Download

Übersetzung:

Zahlungsbeleg

Anbei finden Sie den Beleg für Ihre Transaktion.

Klicken Sie hier, um den Beleg herunterzuladen

Bei Fragen stehen wir Ihnen gerne zur Verfügung.

Beispiel 6

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) kommt vom CEO (oberster Chef) einer Firma in Pakistan (leisure-cargo.pk), welche von meinem Mail-Provider als Phishing markiert ist. Finales Ziel des Links ist die Seite einer ABDA Group.
  2. Empfängeradresse (To) geht an selbe Email Adresse welche im Adressbuch des Senders als "Recipients" vermerkt wurde.
  3. Rücksendeadress (Reply to) geht wo ganz anders hin (dieterschwarz39.com). Die Website dahinter gibt eine "Not Found" Fehlermeldung (404) zurück. Die Website ist gehostet bei Lite Speed Technologies Inc. in USA.
  4. Title (Subject) ist unvollständig und in etwas seltsame Sprache fromuliert.
  5. Inhalt des e-Mails ist etwas konfus und entspricht nicht den üblichen deutschsprachigen Formulierungen (könnte aus dem US amerikanischen übersetzt sein). Wahrscheinlich wird versucht bei möglichen naiven Beantwortern des Emails, diese in einem weiteren Schritt abzuzocken.

spam006
Spendenangebot

Beispiel 7

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) ist falsch. Kommt von einer italienischen Firma (cog.it), welche wahrscheinlich gehackt wurde?
  2. Rücksendeadress (Reply to) ist seltsam (swr.rr.com) und passt nicht zum Sender oder zum Inhalt. Server scheint es nicht zu geben.
  3. Titel ist schlecht gewählt und suggeriert Dringlichkeit.
  4. Inhalt: Sprache ist englisch und kann keine englisch. :-)

spam007
Spende mittels Kreditkarte

Beispiel 8

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) Ist seltsam für eine Firma. Kommt von einem Gmail Account.
  2. Titel: Dringlichkeit forder zum schnellen Handeln auf.
  3. Links im Inhalt führen auf seltsame Webiste (juvact.com) welche einen Fehler (404) gibt.

spam008
Computer ist gefährdet

Beispiel 9

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) Ist seltsam für eine Firma. Kommt von einem Gmail Account und suggeriert eine Helsana Umfrage zu sein.
  2. Titel: Dringlichkeit forder zum schnellen Handeln auf.
  3. Links im Inhalt führen auf seltsame Webiste (juvact.com) welche einen Fehler (404) gibt.

spam009
Helsana Medicare-Set

Beispiel 10

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) scheint aus Indien zu kommen (shivamauto.in) und suggeriert eine CSS Rückerstattung zu sein.
  2. Titel: Verspricht Geld.
  3. Links im Inhalt führen auf seltsame Webiste (qrco.de) in Deutschland, welche eine Weiterleitung auf einen russischen Server macht (srv236460.hoster-test.ru). Diese Website führ zu einem Login, welches vorgibt ein CSS Login zu sein, übrigens schöner gemacht als das Original! Der Link wird von meinem Internet-Provider als Spam kenntlich gemacht!
  4. Die weiteren Links im Mail führen wieder zurück auf das Email selbst.

spam010
CSS Rückerstattung

Beispiel 11

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) seltsam. Domain existiert nicht (winselst.autos)
  2. Empfänger (To) passt nicht zu meinen Mail-Accounts.
  3. Email wurde bereits vom Mail-Provider als Spam erkannt und entsprechend markiert.

spam011
Behandlung gegen Psoriasis

Beispiel 12

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) seltsam. Domain existiert nicht (novstalle.beauty)
  2. Empfänger (To) passt nicht zu meinen Mail-Accounts.
  3. Email wurde bereits vom Mail-Provider als Spam erkannt und entsprechend markiert.

spam012
Testosteron Nahrungsergänzungsmittel

Beispiel 13

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) seltsam. Website (bindymorris.com) gibt Fehler (503).
  2. Email wurde bereits vom Mail-Provider als Spam erkannt und entsprechend markiert.
  3. Anrede (Hallo contact) wurde automatisiert generiert.

spam013
Viagra-Angebot

Beispiel 14

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Absenderadresse (From) seltsam. Website (enovo.pt) führt auf Website eines Website-Herstellers.
  2. Mail Client (Thuderbird) meldet Verstoss gegen Schutz der Privatsphäre.
  3. Link www.officestoresrl.it/parkingpay/ wird weitergeleitet nach parkingpay.ch. Ca. 30 Minuten später funktioniert die Weiterleitung nicht mehr... Es scheint also bereits jemand aktiv geworden zu sein: spam014

spam014
Parkingpay: Parkschein Rechnung

Weitere Details auf netzwoche und auf Cybercrimepolice

Beispiel 15

Wie kann man erkennen, dass dieses Email Spam ist? (hier klicken)
  1. Login-Webadresse (www.one-digitalservice.ch) unterscheidet sich von meiner gewohnten Login-Webadresse (one.viseca.ch).
  2. "To protect your privacy" Meldung ist verdächtig.
  3. Email-Adresse ist meine Firmen-Emailadresse und NICHT meine private Emailadresse, welche bei Viseca hinterlegt ist (ich habe nachgeschaut)! Wie die da drauf kommen, weiss ich auch nicht.
  4. Link im Email direkt zum Login ist ein no-go und gehört zur Phishing-Prävention! Danke, Daniela für den Tipp.

Achtung: Dieses Email ist KEIN Phishing-Email sondern einfach nur schlecht gemachte Email-Kommunikation. Aber wie will der Leihe das erkennen?

Die Geschichte geht noch weiter: Nachdem ich dieses Email bei Viseca gemeldet und das verdächtige Email an Viseca weitergeleitet hatte, habe ich folgende (automatisierte) Antwort erhalten:

Sehr geehrte Kundin, sehr geehrter Kunde

Wir danken Ihnen für die Weiterleitung einer möglichen Phishing E-Mail. Bitte beachten Sie, dass wir diese nicht individuell beantworten werden.

Sollten Sie Kartendaten bekannt gegeben haben (auch nur teilweise und ohne die Eingabe zu bestätigen) oder auf einen Link geklickt haben, bitten wir Sie dringend um unverzügliche Kontaktaufnahme mit Ihrem Kreditkartenherausgeber. Die Telefonnummer finden Sie auf der Rückseite Ihrer Kreditkarte.

Zur Erkennung von Phishing: Grundsätzlich verschickt Viseca keine E-Mails, in denen eine Bestätigung/Eingabe von persönlichen Daten oder Kreditkartendetails verlangt wird. Einzige Ausnahme bilden E-Mails, welche Ihnen zwecks persönlicher Registrierung beim Bonusprogramm surprize oder beim MyAccount Online Service (Zugang über viseca.ch) zugestellt werden.

Leider kursieren immer wieder E-Mails, welche von Betrügern verschickt werden. Diese sogenannten “Phishings” sind oft in täuschend ähnlichem Layout von Kreditkartenherausgebern oder bekannten Internet-Händlern aufgesetzt. Diese E-Mails werden willkürlich sowohl an Viseca-Kunden als auch an Nicht-Viseca-Kunden gesendet und zielen darauf ab, Kreditkartendaten zu stehlen.

Viseca Card Services veranlasst alles Notwendige, um betrügerische Webseiten zu deaktivieren. Gemeinsam mit internationalen und nationalen Behörden sowie Anti-Phishing-Spezialisten wirkt unsere Unternehmung aktiv der Verbreitung von Phishing entgegen.

Weiterführende Informationen zu Phishing finden Sie auf unserer Homepage (viseca.ch).

Besten Dank für Ihre Unterstützung und freundliche Grüsse

Viseca Card Services SA

spam15a

Das Lustige dabei ist, dass Viseca explizit auf MyAccount Online Service (Zugang über viseca.ch) verweist.

Das es auch Firmen gibt, die das besser können sieht man z. B. bei eBill:

spam15b

Und Cembra:

spam15b


spam015
Viseca: New bill available