Spamming






Definition

Der Begriff Spam geht auf einen Sketch der Komikergruppe Monty Python zurück.
Der Vergleich ist recht passend: Wie in dem Sketch bekommt man penetrant etwas aufgedrängt, was man eigentlich gar nicht haben möchte. Ursprünglich wurden als Spam Beiträge im Usenet bezeichnet, die immer wieder für bestimmte Waren oder Dienstleistungen warben und damit die Kommunikation störten. Inzwischen hat sich der Begriff vor allem für massenhaft versandte E-Mails eingebürgert, definiert wird "Spam" üblicherweise als

unverlangt zugesandte Massen-E-Mails.

Meistens werden über Spam-Mails Werbebotschaften transportiert, mit denen zur Bestellung eines Produktes oder einer Dienstleistung aufgefordert wird. Allerdings sind die Grenzen zu anderen unerwünschten Internet-Aktivitäten fließend. Spam-Mails können Malware enthalten oder auf Seiten mit schädlichem Code verlinken, sie können Betrugsversuche wie das sog. Phishing einleiten oder fragwürdige politische Inhalte transportieren. Der Erfindungsreichtum der Spammer ist nahezu unbegrenzt.

Beispiele

Die üblichen Spam-Mails, mit denen für nachgemachte Luxus-Uhren, Potenzmittel oder Mittelchen zur Vergrößerung bestimmter Körperteile geworben wird, hat fast jeder schon im Mail-Postfach vorgefunden. Die brauchen wir nicht zu beschreiben. Erwähnt werden sollen lediglich die schon legendären Spam-Mails der Nigeria-Connection, die mit kruden Stories versuchen, Gutgläubigen das Geld aus der Tasche zu ziehen. Eine lesenswerte Sammlung dieser Werke findet sich hier: http://www.nigeria-connection.de/

Bei Spam mit kriminellem Hintergrund sind die vermehrt auftauchenden "Stellenangebote" erwähnenswert. Es wird ein Geschäftsführerposten für eine ausländische Firma ausgelobt, natürlich gegen Übersendung kompletter Bewerbungsunterlagen. Es ist zu vermuten, dass diese Daten für kriminelle Aktivitäten missbraucht werden. Aber es geht auch plumper: Manchmal tauchen Mails auf, in denen gebeten wird, gegen fürstliche Entlohnung größere Geldbeträge auf dem Konto des Opfers zu parken und weiterzuleiten. Bis die Polizei erscheint, ist natürlich nur eine Frage der Zeit.

Im Augenblick macht der 'Spysheriff' von sich reden, allerdings an der Grenze zur Malware. Die Spam-Mail verlinkt auf eine nicht einmal schlecht gemachte Seite (siehe Screenshot), auf der für angebliche Antispyware geworben wird. Der Haken ist nur, man kann auf der Seite anklicken, was man will, es wird immer der Download einer Exe-Datei angeboten. Diese korrumpiert das gesamte System, deaktiviert den Task-Manager, installiert Spyware und Browser-Hijacker.

Bild5

Im deutschsprachigen Raum fielen in letzter Zeit Spammer auf, die Werbung für rechtsgerichtete Parteien machten. Erwähnenswert finde ich außerdem die "Geschäftsidee" einer Firma, systematisch die Profile der Arbeitssuchenden auf der Seite der Arbeitsagentur abzugrasen. In den Spam-Mails wurde dann auf eine Seite verlinkt, auf der mit geringem Einsatz nahezu unbegrenzter Gewinn versprochen wurde.

Wie funktioniert Spam?

Meist beauftragt eine Firma den Spammer, für ihre -regelmäßig fragwürdigen - Produkte Reklame-Mails zu versenden. Der Spammer macht sich den Umstand zu Nutze, dass fast alle E-Mails mit dem Protokoll SMTP (Simple Mail Transfer Protocol) versandt werden. Das Protokoll ist wirklich simpel, da es zu einer Zeit erfunden wurde, als noch niemand an Spam dachte. Nahezu alle Angaben in der Mail sind ohne Aufwand zu fälschen, mit Ausnahme der IP des Absenders, doch dazu unten mehr. Hinzu kommt, dass mit geringem Aufwand immens viele Adressaten erreicht werden können. Vergleicht man den E-Mail-Verkehr mit der Briefpost, so kann man vereinfachend sagen, dass SMTP dafür sorgt, dass jeder anonym und unkontrolliert beliebig viel Post in beliebig viele Briefkästen stopfen darf (vgl. Studie des BSI: Antispam-Strategien, S. 21, dort auch zu den technischen Einzelheiten).

Wie kommen Spammer an die Mail-Adressen?

Weit verbreitet ist die Methode, das Internet systematisch mit entsprechenden Programmen nach Mail-Adressen abzusuchen, sog,. Harvesting. Fündig werden die Spammer immer, das Netz ist immer noch voll von Mail-Adressen.

Häufig geben User auch freiwillig ihre Mail-Adressen bekannt, etwa durch Teilnahme an tatsächlichen oder vorgetäuschten Gewinnspielen, die Inanspruchnahme von Grußkarten-Diensten und so weiter. Mit diesen Adressen wird ein schwunghafter Handel betrieben.

Bei großen Mail-Providern lohnt sich für die Spammer auch ein Wörterbuchangriff (sog. Dictionary Attack). Dabei werden alle möglichen Mailadressen systematisch durchprobiert.

Durch den Einsatz von Malware besteht die Möglichkeit, Zugriff auf die Adressbücher der Opfer zu erhalten. Diese Mail-Adressen sind für den Spammer natürlich besonders interessant, da die Adressen in aller Regel in Gebrauch sein werden.

Versand der Spam-Mails

Die Verwendung eigener Mail-Server ist in den letzten Jahren etwas aus der Mode gekommen. Dies liegt nicht nur daran, dass statische IP's relativ einfach per Blacklist aussortiert werden können. Ausschlaggebend ist viel mehr die Überlegung, Geld zu sparen, indem man den Spam auf Kosten anderer Leute verschickt.

Hierzu bieten sich zunächst sog. Open Proxies an. Es handelt sich zumeist um falsch konfigurierte Systeme, die irrtümlich einen Zugriff von außen erlauben. Die Spammer benutzen diese Open Proxies als Verteilstationen. Um die IP zu verschleiern und die Rückverfolgung zu erschweren, schalten die Spammer gerne mehrere offene Proxies hintereinander. Das geht dann so lange gut, bis der Betreiber seinen Fehler bemerkt. Dennoch ist diese Vorgehensweise für den Spammer ohne großes Risiko. Kaum ein Administrator wird einräumen, dass er so dämlich war, einen offenen Proxie im Netz gehabt zu haben.

Aus Sicht der Spammer erwies es sich als besonders effektiv, sog. Bot-Netze zur Spam-Verteilung einzusetzen. Mittels Wurm oder Trojaner wird eine Fernsteuerung installiert, der PC mutiert zum Zombie. Befallen sind weltweit mehrere 100.000 PCs, von denen regelmäßig eine fünfstellige Zahl online ist (vgl. BSI, Antispam-Strategien, S. 25). Diese Zombies werden zu Netzen zusammengeschlossen, die pausenlos Spam versenden. Neben dem immensen Wirkungsgrad hat dies für den Spammer den Vorteil, dass unzählig viele IP's beteiligt sind. Das Ausfiltern oder Zurückverfolgen des Spams wird dadurch erheblich erschwert.

Die Versendung durch sog. Open Relays oder unsichere CGI-Scripte spielt kaum noch eine Rolle und soll daher nur der Vollständigkeit halber erwähnt werden.

Was ist zu tun?

Gute Frage. Es ist nahezu unmöglich, wirksam gegen Spam vorzugehen. Kaum greift eine Abwehrmaßnahme, schon lassen sich die Spammer etwas einfallen. Ein simples Beispiel:

Seit einiger Zeit sind sowohl bei den Mail-Providern als auch in den Mail-Programmen Spam-Filter im Einsatz, die inzwischen auch ganz gut funktionieren. Das haben auch die Spammer bemerkt. Sie konterten mit der Versendung von noch mehr Spam, in der begründeten Hoffnung, dass irgendeine Version "durchschlüpft".

Besonders effektiv sind die Spam-Filter bei Mails mit erotischen Inhalten, da notgedrungen ein begrenztes Vokabular eingesetzt werden muss. Also verlegten sich die Geschäftemacher auf andere Vertriebsformen. Man kann sagen, dass die sprunghafte Zunahme von Browser-Hijackern und anderem schädlichen Code auf Erotik-Seiten eine unmittelbare Folge der besser funktionierenden Spam-Filter ist. Gewonnen ist damit nichts. Womit ich natürlich nicht den Einsatz von Spam-Filtern in Frage stellen möchte.

Auch vom sog. "Bouncen" (Zurückweisen der E-Mail) halte ich nichts. Der Spammer weiß, dass gebounced wird und hofft auf den nächsten Versuch. Außer unnötigen Traffic hat der User somit nichts erreicht.

Es bleiben daher nur ein paar Verhaltensregeln, um sich gegen unmäßig viel Spam zu schützen:

Niemals die E-Mail-Adresse preisgeben.

Es haben sich sog. Wegwerfadressen bewährt, die manche Mail-Provider anbieten. Diese kann man für Preisausschreiben etc. einsetzen. Wird die Adresse zugespammt, macht man eine neue.

Spam-Filter verwenden

Fast alle großen Mail-Provider bieten inzwischen Spam-Filter an, die ganz gut arbeiten. Dieses Angebot sollte man nutzen. Außerdem ist es ratsam, Mail-Programme mit Spam-Filter zu benutzen. Diese Filter sollten nicht nur Black- und Whitelists anbieten, sondern die Bayes-Filter-Methode beherrschen. D.h. das Mail-Programm muss in der Lage sein, nach einem Training Spam selbständig zu erkennen.

Von Datenbank-Lösungen, bei denen Spam an zentrale Datenbanken gemeldet wird, halte ich nichts. Spam erzeugt schon genug unnötigen Traffic, den man nicht durch das Abfragen dieser Datenbanken noch mal erhöhen sollte.

HTML abschalten

Viele Spam-Mails sind in HTML verfasst. HTML ermöglicht unter Umständen das Nachladen weiterer Inhalte. Dann weiß der Spammer, dass die Mail-Adresse aktiv ist. Außerdem besteht die Gefahr, dass bei unsicher konfigurierten Systemen schädlicher Code installiert wird.

Spam ungelesen löschen

Meistens fällt das Erkennen von Spam nicht schwer. Wenn mir irgendwas "Better than Viagra" angeboten wird, weiß ich, dass ich diese Mail nicht haben wollte. Ich kann auch nicht glauben, dass mir Gaby oder Roswitha Nackedei-Fotos schicken wollen. Also ab ins Nirwana damit.

Niemals auf Spam antworten

Der Spammer hat seinen Mist an hundert tausende E-Mai-Adressen verschickt. Er meint mich nicht persönlich. Es hat daher keinen Zweck, mich bei ihm zu beschweren. Ganz abgesehen davon, das meine Beschwerde ohnehin den Falschen erreicht, siehe oben. Der Klick auf einen Link, etwa um sich aus Verteiler-Listen auszutragen, ist gefährlich. Bestenfalls signalisiere ich dem Spammer, dass die Mail-Adresse aktiv ist, mit etwas Pech lande ich auf einer Seite, die Trojaner oder Browser-Hijacker installieren möchte.

Den Rechner sicher konfigurieren

Es ist keine Bagatelle, wenn man mit einem Zombie-PC ins Netz geht. Solche User machen sich zu Gehilfen von Kriminellen.

Alle diese Maßnahmen verhindern natürlich keinen Spam. Das einzige wirkliche Gegenmittel wäre, bei spam-beworbenen Firmen nichts zu kaufen. Doch davon sind wir noch weit entfernt. Nach einer Umfrage in den USA hat dort schon jeder neunte User bei Spammern eingekauft, vgl. http://www.pcwelt.de/news/sicherheit/115758/index.html

Weiterführende Links
Quelle: © MobyDuck

Urheberrechtliche Hinweise!

- nach oben -
Letze Aktualisierung: 13.02.2006