Blick in die Spammer-Trickkiste

Forscher haben neue Erkenntnisse über die Methoden von Spammern gesammelt, E-Mail-Adressen aus dem Web zu gewinnen und sie dann über Computer Unschuldiger massenweise an unfreiwillige Empfänger zu senden. Die nun veröffentlichten Studien könnten bei der Entwicklung neuer Waffen gegen die Müllmail-Flut elfen.

Das Problem unerwünschter elektronischer Botschaften, sprich: Junk Mail oder Spam, ärgert Rechnerbenutzer wie Sicherheitsexperten seit langem. Aktuell dürften 90 Prozent aller E-Post, die durch das Netz fließt, Ausschuss sein, glaubt man beim Internet-Beratungsunternehmen MessageLabs.

In einer neuen Studie, die in dieser Woche auf der Conference on E-mail and Anti-Spam im kalifornischen Mountain View vorgestellt wird, zeigen Forscher der Indiana University, wie Spammer überhaupt an ihre Empfängeradressen gelangen. Dabei wurde eine Anzahl von Techniken eingesetzt, um verschiedene Spammer-Methoden, E-Mail-Daten aus dem Web abzusaugen, mit dem sich daraus ergebenden Junk Mail-Berg abzugleichen. "Wir versuchten, grundsätzlich herauszufinden, wie Spammer an ihr Material gelangen – die Adressen jener Leute, die dann zu ihren Opfern werden", erläutert Craig Shue, Masterstudent an der Hochschule, der nun am Oak Ridge National Laboratory arbeitet.

Bei der University of Indiana-Untersuchung wurden 22.230 eindeutige E-Mail-Adressen über fünf Monate lang ins Web eingestellt. Dann wurde der daraus resultierende Spam gemessen. Die Forscher fanden dabei heraus, dass eine E-Mail-Adresse, die einem Kommentar auf einer Website angehängt war, eine wesentlich höhere Wahrscheinlichkeit hatte, belästigt zu werden, als im Fall der direkten Eingabe bei einer Seite. Während nur vier E-Mail-Adressen, die 70 Websites bei der Registrierung übermittelt wurden, zu Spam führten, erhielt die Hälfte der Adressen, die auf populären Angeboten öffentlich eingestellt wurden, Müllmails.

Die Forscher legten außerdem eine Website mit eigener Domain an und warteten, bis das Angebot von Suchmaschinen erfasst wurde. Jeder Besucher der Website bekam dann eine andere E-Mail-Adresse zu sehen, eine Strategie, mit der die Forscher ermitteln wollten, wie oft Programme, die Websites automatisch absurfen, von Spammern verwendet werden. "Wir geben jedem Besucher eine eindeutige Anschrift. Wenn wir jemals eine E-Mail an diese Adresse bekommen, wissen wir, dass ein Crawler die E-Mail an den Spammer weitergereicht hat", sagt Shue.

Die Forscher fanden auch heraus, dass die Programme, die das Web nach E-Mail-Adressen durchforsten, die so genannten Spamming Crawler, ein bestimmtes Verhalten an den Tag legen, dass sie leichter erkennbar macht. Beispielsweise können Teile eines Netzwerks, von dem aus ein Crawler operiert, ein guter Indikator sein, ob es sich um eine legitime Suchmaschine wie Google handelt oder ein Produkt für Müllmailer. "Es könnte möglich sein, nur eine kleine Anzahl an Netzwerknummern zu blockieren, die mit Spamming Crawlern zu tun haben, um das Abernten der Adressen größtenteils zu vermeiden", so die Forscher in der Studie.

Viele Endanwender versuchen, sich gegen dieses so genannte Harvesting zu wehren, indem sie einfache Verschleierungstechniken einsetzen – so wird etwa aus dem "@" ein "-at-". Die Indiana University-Forscher fanden heraus, dass diese Methoden aktuellen Spammer-Techniken erstaunlich gut entgegenwirken. Hinzu kam, dass die Eingabe einer E-Mail-Adresse bei einer legitimen Website nur selten zu Müllmails führte. "Wenn man sich bei einer Organisation anmeldet, die eine gute Reputation hat, passiert meist nichts", sagt Shue. Das gelte jedoch nicht für zwielichtigere Angebote.

In einer zweiten Studie, die auf der gleichen Konferenz vorgestellt wird, zeigen Forscher von der brasilianischen Universität UFMG in Zusammenarbeit mit dem brasilianischen Network Information Center, wie Spammer verschiedene Techniken kombinieren, um die Herkunft von Müllmails zu verschleiern. Das Ergebnis: Zwar gibt es den Trend zu so genannten Botnetzen, bei dem eine große Anzahl von Rechnern ferngesteuert wird. Eine Kette aus mehreren, von Spammern übernommenen Maschinen erfreue sich jedoch nach wie vor großer Beliebtheit, wie UFMG-Doktorand Pedro Calais Guerra sagt.

"Das zentrale Element, das einen Spammer erfolgreich seine Identität im Sinne seines Ausgangsnetzwerkes verschleiern lässt, liegt in der Verteilung seiner Aktivitäten – und das über einen möglichst breiten Netzraum", meint er. Die UFMG-Studie könne dabei helfen, zu entscheiden, welche Nachrichten künftig blockiert werden müssten: "Wir glauben, dass das Auswirkungen auf die Gestaltung von Spam-Blacklists hat."

Guerra und fünf weitere Kollegen überwachten spezielle Fallen-Server, so genannte Honeypots (Honigtöpfe), und ließen sie 526 Millionen Spam-Botschaften von mehr als 216.000 Internet-Adressen über einen Zeitraum von 15 Monaten sammeln. Sie fanden dabei beispielsweise heraus, dass nahezu 95.000 der von Spammern verwendeten Maschinen bei Endbenutzern standen. Diese gaben die Botschaften weiter – nicht die sonst üblichen E-Mail-Server. Ein Drittel der Rechner stand in den USA, ein Viertel in Taiwan.

Die Kette der von den Spammern benutzten Rechnern, um den Spam-Ausgangspunkt zu verschleiern, wurde mit zwei Hauptmethoden geschaffen: Über offene Proxys und offene Relays. Offene Proxys sind übernommene Server, die Daten an einen anderen Computer im Netzwerk weiterreichen und dabei die Senderadresse verschleiern. Offene Relays wiederum erhalten eine E-Mail von einer anderen Domain und geben sie an den nächsten Server weiter. Die Forscher fanden heraus, dass Spammer typischerweise jedes offene Relay nur für einen kurzen Zeitpunkt verwendeten, damit eine solche Maschine nicht auf der Blacklist landete. "Wir zeigen in unserem Paper, dass Spammer große Mengen an Spam über offene Proxys, aber relativ geringe über offene Relays versenden", erläutert Guerra. (bsc)