28.01.2008, 08:54 Uhr

«Spammer sind sehr ideenreich»

Die Versender von Werbe- und Phishing-Mails werden immer hinterhältiger. Und sie ändern ihre Methoden ständig. Jens Freitag, Senior Technology Consultant bei Sophos, über die Entwicklungen an der Spam-Front und über die Attacken, welche die Unternehmen 2008 beschäftigen werden.
Jens Freitag, Senior Technology Consultant bei Sophos.
Ob mit Gesetzen oder mit immer ausgefeilteren Filtermethoden: Gegen das Heer von Spammern und Phishern scheint kein Kraut gewachsen. Schätzungen zufolge sind 80 bis 95 Prozent der weltweit verschickten E-Mails Spam. Jens Freitag kämpft als Senior Technology Consultant bei Sophos an der Spitze der Anti-Spamfront. Im Gespräch mit Computerworld enthüllt er die neusten Tricks der Branche.

Computerworld:Herr Freitag - wie ruhig waren die Festtage für Sie als Spamjäger?

Jens Freitag: Es war die Hölle los. Wir registrierten zwei Phishing-Wellen: Eine vor Weihnachten und eine zweite vor Sylvester. In beiden Wellen setzten die Spammer auf aktuelle Themen. Vor den Festtagen wurden massenweise Werbemails verschickt, in denen das iPhone beworben wurde - zu billigen Konditionen, als Direktimport aus den USA und ohne Bindung an Mobilfunkunternehmen. Nach Weihnachten wurden unzählige Phishing-Mails versendet, die unbezahlte Rechnungen vorgaukelten und die Empfänger mit präparierten Links dazu verleiten sollten, diese angeblich ausstehenden Zahlungen online zu begleichen.

Wie sensibilisiert sind die Surfer mittlerweile? Haben die zahlreichen Aufklärungskampagnen zu Phishing und Spam etwas bewirkt?

Die Leute sind sicher besser aufgeklärt und agieren vorsichtiger. Die meisten Anwender wissen mittlerweile, was Phishing ist und dass vor allem auf E-Mails von Banken, in denen nach Passwörtern und Zugangscodes gefragt wird, nicht reagiert werden sollte. Dennoch wird Phishing in nächster Zeit nicht abnehmen. Die entsprechenden E-Mails werden immer professioneller, die Methoden perfider. Heute steckte in unserem Honeypot der fingierte Newsletter eines Baumarkts. Das Verrückte daran: Das Spam war eine perfekte Kopie des Originals, in dem alle Links tatsächlich auf echte Seiten des Baumarkts verwiesen. Sogar wir wurden zunächst stutzig - bis wir den Link untersuchten, unter dem man den Newsletter abbestellen kann. Der war gefälscht und diente dem Spammer zum Sammeln von Adressen.

Den Spammern geht also die Phantasie nicht aus. Wie sieht es bei den sonstigen Methoden aus?

Wir beobachten vor allem, dass die Spammer ihre Methoden in immer kürzeren Zyk-len ändern. 2007 erlebten wir dies mit PDF-Spam. Diese Form der Müllmails, bei der die Werbebotschaft in einem PDF-Attachement steckte, wurde nur so lange praktiziert, bis die Antiviren- und Antispam-Hersteller ihre Software und Appliances überarbeitet hatten. Danach verschwand die Methode genauso schnell wieder, wie sie ursprünglich aufgetaucht war.

Wie sieht es beim MP3- und Video-Spam aus? Sind diese Methoden noch aktuell?

Nein. In unserem jüngsten Thread-Report zeigen wir auf, dass es sich dabei in der Jahresmitte 2007 - wie beim PDF-Spam - um einen Versuchsballon handelte, von dem die Spammer schnell wieder abliessen.

Warum denn das?

Diese Methoden sind für die Spammer schlicht zu aufwendig. Warum sollten sie ein Video drehen, wenn es eine schlichte E-Mail mit einem gefälschten Link auch tut?

Wie sieht die Situation bei den Botnetzen und Zombierechnern aus?

Auch hier agieren die Spammer sehr flexibel.- Heute werden nicht mehr Millionenheere von Zombierechnern unterhalten, sondern eher kleine, gezielte Botnetze. Auch dies ist eine Reaktion der Werbemailer auf Massnahmen, mit denen solch riesige Zombieverbunde heute gut erkannt werden.

Wie gehen Sie mit dieser Flexibilität um?

Gerade weil die Spammer gewisse Methoden immer öfter nur während weniger Tage verwenden und dann wieder aufgeben, haben wir beispielsweise ein Echtzeitanalyseverfahren entwickelt. Dabei fragt der Mailserver bei uns an, ob wir von dieser Sorte Spam noch weitere Exemplare haben. Es findet also eine Real-Time-Analyse statt, sodass wir live auf die Kampagne reagieren können - und nicht erst dann, wenn der Spuk schon wieder vorbei ist.

Spam wird heute oft noch breit gestreut. Wird sich das in Zukunft auch ändern?

Auf jeden Fall. Spammer verwenden immer häufiger Informationen aus Social-Networking-Seiten, um das Interesse der Angeschriebenen zu wecken. Dabei werden nicht nur private Sites wie etwa «Facebook» und «Myspace» konsultiert, sondern auch professionelle Netzwerke wie «Xing». Dort habe beispielsweise auch ich selbst meine beruflichen Interessen veröffentlicht. Für einen Spammer wäre es somit ein Leichtes, seine Werbemail ganz gezielt zu verschicken. Somit müssen wir als Anwender zwischen dem Nutzen solcher Seiten und den möglichen Gefahren abwägen. Man sollte deshalb auch die möglichen Sicherheitseinstellungen beim Anlegen eines Profils vornehmen.
Gerade hier orten wir auch noch Aufklärungspotenzial, insbesondere bei jüngeren Surfern, die bei Social-Networking-Sites noch zu unbedarft handeln. So starteten wir 2007 in Facebook einen Versuch und kreierten eine fingierte Person namens Freddy mit dem Bild eines kleinen Frosches. Mit dieser «Identität» schickten wir 200 zufällig ausgewählten Personen eine Aufforderung mit der Frage: «Willst Du nicht mein Freund werden?». 80 Prozent haben darauf mit «Ja, klar!» geantwortet und uns alle ihre Daten offenbart. Wir hatten also Adresse, Telefonnummer, Hobbys oder gar die Namen von Freunden und Partnern. Mit diesen Informationen hätte man unzählige Spam-Attacken starten können. In diesem Bereich existiert eine unglaubliche Blauäugigkeit der Benutzer.

Wie sieht es bei der Bekämpfung der Spammer aus? In der Schweiz ist Spam ja seit 1. April 2007 offiziell verboten. Hat sich durch das Verbot irgend etwas geändert?

Unsere Erfahrung ist: Nationale Gesetze bringen nichts. Wenn wir dem Spammer verbieten, in der Schweiz seine Werbemails zu verschicken, verschickt er sie eben über Server in China oder auf den Fiji-Inseln. Und solange diese Länder keine entsprechenden Gesetze haben und bei der Verfolgung der Übeltäter nicht mithelfen, wird das Spamaufkommen weiter zunehmen.
Bestes Beispiel sind die USA: Sie waren vor ein paar Jahren Spam-Nation Nummer eins. 50 Prozent der Werbemails stammten von dort. Nach Einführung restriktiver Gesetze und der Statuierung einzelner Exempel wird weit weniger Spam aus den USA verschickt. Das globale Spam-Aufkommen ist dadurch aber keineswegs gesunken. Zwar stammen derzeit nur noch ungefähr 20 Prozent der weltweit versandten Werbemails aus den USA. Im Gegenzug ist die Zahl von Spams aus China und Südkorea regelrecht explodiert.

Was bringen öffentliche Pranger oder auch technische Massnahmen wie etwa das von Yahoo ini-tiierte DKIM (Domainkeys Identified Mail) zur eindeutigen Identifikation der E-Mail-Adressen?

Gar nichts bis wenig. Denn die Spammer sind sehr flink. Sie verwenden eine Mailadresse nur für kurze Zeit. Bis ein Mailprovider dahinter kommt, dass Spammer eine bestimmte Mailadresse verwenden, ist diese bereits wieder aufgegeben worden.

Wie effizient sind sogenannte Schwarze Listen? Oder anders gefragt: Ist nicht die Gefahr sehr gross, als Firma auf einer solchen Liste zu landen und nie wieder «reingewaschen» zu werden?

Hier muss man unterscheiden zwischen den von kommerziellen Betreibern unterhaltenen Blacklists und Whitelists und solchen, die öffentlich im Netz betrieben werden und kostenlos zugänglich sind. Die öffentlichen Listen werden nicht mit vergleichbarer Sorgfalt betrieben, wie jene von kommerziellen Anbietern. Letztere schauen schon genauer hin, wer wirklich auf eine solche Liste gehört und wer nicht. Eine gute Black- und Whitelist erkennt man auch daran, dass sie mehrere Faktoren untersucht und nicht nur auf Kriterien wie IP-Adresse und Domain schaut.

Gibt es nicht auch Spammer, die es auf die weissen Listen schaffen?

Das kommt sicher vor. Aber auch hier muss man zwischen den öffentlichen und kostenlosen Whitelists im Internet und den professionellen weissen Listen unterscheiden. Um auf eine professionelle Whitelist zu gelangen, muss man sich erstens extrem offen legen - fast wie bei der Polizei. Zweitens muss man dafür sehr viel bezahlen. Nur schon, weil Spammer Kosten scheuen, werden sie sich kaum um einen Platz auf einer solchen Whitelist bewerben.

Wagen Sie eine Prognose für dieses Jahr: Was kommt 2008 auf die Anwender zu?

Wir werden sicher auch 2008 kurzfristige Spam-Kampagnen wie jene mit PDF-Attachments erleben. Zudem wird Image-Spam ein Thema bleiben, weil viele Anti-Spam-Hersteller hier technologisch noch nicht mit den Werbemail-Versendern gleichgezogen haben. Schliesslich können Sie sicher sein, dass die Spammer auch dieses Jahr findig bleiben und neue Methoden ausprobieren werden. Darüber hinaus wird der Trend zu gezielten und massgeschneiderten Spam-Attacken unter Ausnutzung von Informationen aus Social-Networking-Sites anhalten. Darunter werden nicht nur die direkt Betroffenen leiden, sondern auch die Betreiber dieser Seiten.


Das könnte Sie auch interessieren