Kampf gegen Windmühlen

Herkömmliche Strategien versagen bei der Spambekämpfung

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Das Spamaufkommen hat sich in den letzten Monaten signifikant erhöht. Für November hat das britische Email-Sicherheitsunternehmen MessageLabs eine weltweite Spamquote von 74 Prozent ermittelt - eine eher konservative Schätzung. Sicherheitsunternehmen wie die US-Firma Postini kommen zu noch höheren Ergebnissen. Zehn von elf empfangenen Mails sortiert Postini bei seinen weltweit 35.000 Kunden derzeit aus. Neue Spamverbreitungsstrategien machen den Kampf gegen den ebenso lästigen wie kostenintensiven und immer mehr Bandbreite schluckenden Werbemüll zu einem Kampf gegen Windmühlen.

"Zu Jahresbeginn war Spam von unserem Radar verschwunden", erklärte Franklin Warlick, Systemadministrator beim US-Unternehmen Cox Communications, gegenüber der New York Times. "Jetzt werden wir andauernd von Mitarbeitern gefragt, ob wir unsere Spamfilter ausgeschaltet haben."

Cox Communications in Atlanta ist kein Ausnahmefall. Tatsächlich rollt etwa seit Mitte des Jahres eine enorme Spamwelle durchs Netz. Betroffen sind vor allem Israel, die USA, Hongkong, Deutschland und Singapur. Spamweltmeister Israel stöhnt laut MessageLabs derzeit unter einer Spamrate von 79,5 Prozent. Fast acht von zehn Emails, die in Israel auflaufen, gehören in die Schublade Werbemüll. In Deutschland lag die Spamrate MessageLabs zufolge im November dieses Jahres bei 66,4 Prozent. Zwei Drittel aller Mails, die deutsche Emailpostfächer erreichen, sind unangefordert zugeschickte Werbemails.

Spamming lohnt sich

Die Zahlen, die das britische Email-Sicherheitssunternehmen in seinem letzten Monatsbericht präsentiert, liefern nur ungefähre Anhaltspunkte für das tatsächliche weltweite Spamaufkommen und sind möglicherweise zu niedrig angesetzt. Gezählt werden nämlich nur diejenigen Mails, die tatsächlich bei Kunden der Firma auflaufen und dann auch als Spam erkannt werden. Das wird jedoch in letzter Zeit für die Filterprofis von MessageLabs und anderen Emailfilterfirmen immer schwieriger.

Spamming ist immer noch ein äußerst lukratives Geschäft mit geringen Kosten und hohen Gewinnen. Vielfach lohnt sich eine Spamaktion schon bei einer minimalen Rücklaufquote von rund 0,1 Prozent. Wenn nur eine Mail von tausend verschickten Mails zum Kauf des angepriesenen Produkts führt, machen der Spammer bzw. seine Auftraggeber schon Gewinn.

I can spam

Länder wie die USA und Australien versuchten, der Spamflut auf gesetzgeberischem Wege Herr zu werden - angesichts der weltweiten Verbreitung des Phänomens ein aussichtsloses Unterfangen, zumal beispielsweise der US-amerikanische Can-Spam-Act, der von seinen Kritikern auch als "I-Can-Spam-Act" verhöhnt wird, eine mehr als halbherzige Angelegenheit ist.

Der leichte Rückgang des Spamaufkommens, der in den letzten Jahren zu verzeichnen war, hatte seine Ursachen vermutlich eher in verbesserten Filtertechniken als in verschärften nationalen Gesetzen. Letztere suggerieren, dass das Problem grundsätzlich lösbar sei. Das aber ist ein Trugschluss, wie die neuerliche Spamlawine beweist. Das weltweite Spamming folgt offenbar anderen Gesetzen als jenen, die einzelne Staaten zu seiner Bekämpfung mehr oder weniger konsequent erlassen.

Spam-Spirale durch bessere Filter?

Aber auch verbesserte Filtertechniken und sonstige technische Vorkehrungen gegen Spam sind ein zweischneidiges Schwert. So vermutete beispielsweise das Bundesamt für Sicherheit in der Informationstechnik in seiner Spam-Studie bereits im Mai 2005, dass zwischen verbesserten Filtertechniken und dem weltweiten Spamaufkommen ein Zusammenhang bestehen könnte. Mehr und bessere Filter verschärfen möglicherweise das Gesamtproblem, hieß es in der Studie.

Emailfilter drücken die Profite der Spammer. Immer mehr Werbemüll landet sofort im Papierkorb. Die Antwortquoten sinken, der Umsatz pro Million verschickter Werbemails verringert sich. Damit wächst für die Spammer die "betriebswirtschaftliche" Notwendigkeit, ihren Ausstoß zu erhöhen. Die Spamlawine schwillt an, was wiederum weitere Anwender dazu motiviert, Filtersysteme zu benutzen. Es wird eine Spirale in Gang gesetzt, die, wie die Verfasser der BSI-Antispam-Studie meinen, erst dann zu einem Ende komme, "wenn nicht die Auswirkung (Spam im Posteingang), sondern die Ursache (das Versenden von Spam) behoben" sei.

A us ge fe ilte Ver Sch lei erun gstech nik en

Ob und inwieweit dieser Zusammenhang tatsächlich zu einem erhöhten Spamausstoß führt, bleibt noch zu belegen. Eines steht jedoch schon fest: Bessere Filtertechniken "zwingen" die Spammer dazu, ihre Verschleierungstechniken zu verbessern und den neuen Filtersystemen anzupassen. Exakt das haben die Spammer in den letzten Monaten getan - mit Erfolg, wie die genannten Zahlen eindrucksvoll belegen.

Vorbei sind die Zeiten, in denen Werbemüll anhand einer simplen Textanalyse der Emailnachrichten und Betreffzeilen eindeutig als Spam identifiziert und ausgefiltert werden konnte. Spammer versuchen heutzutage, ihre Werbetexte zu "verstecken". Wie überlistet man einen Spamfilter? Manche Spammer versuchen es mit Stephen King:

“Ich weiß, Sie wollen so schnell wie möglich anfangen, da Sie auf meiner Seite sind" -- die letzten Worte sprach sie mit einem ätzenden Sarkasmus aus und, vermutete Paul, mit mehr Hass auf sich selbst, als sie jemals verspürt hatte...

Stephen King "Misery"

Zusammen mit anderen willkürlich ausgewählten Zitaten werden diese Sätze an eine Rolex-Werbung geklebt. Der Name "Rolex" wird vertikal geschrieben, in jede Zeile kommt jeweils nur ein Buchstabe. Und da auch Worte wie "Preise" und "Shop" Spam-verdächtig klingen, werden die Abstände zwischen den Buchstaben eines Satzes völlig willkürlich gewählt:

Y e s it' s o ur rea l p ri c e s, o v e r 1000 models just for you!

Textverschleierung

Spamfiltern, die den Nachrichtentext einer Mail auf verdächtige Worte hin durchsuchen, wird auf diesem Wege eine legitime Email vorgegaukelt - nicht selten mit Erfolg. Die Rolex-Werbung mit dem Stephen-King-Zitat wird als legitime Mail verkannt und erreicht problemlos ihren Empfänger.

Neuartiger Bilderspam

Neben dieser eher altbackenen Art der Spamverschleierung überschwemmt seit dem Sommer eine neue Art von Spam die Emailpostfächer: Bilderspam. Hier ist die Werbebotschaft in eine Grafik eingeflochten. Spammails mit eingeflochtenen Grafiken sind an sich nichts Neues und für Spamfilter, die die Bilder "scannen" und anschließend auf Worte hin analysieren, durchaus kein Problem.

Die neue Generation von Bilderspam - die New York Times spricht plakativ von Spam 2.0 - geht jedoch einen entscheidenden Schritt weiter. Die Buchstaben werden verzerrt oder durch farbenfrohe Einsprengsel aufgelockert. Das menschliche Auge hat keine Probleme, die Botschaften zu entziffern. Für Spamfilter wird die Analyse der eingescannten Spambilder jedoch zu einem schwierigen Problem.

Bilderspam

Penny-Stock-Spam

Nicht nur die Verschleierungstechniken haben sich geändert, auch die Geschäftsmodelle haben sich gewandelt. Früher wurden in der Regel Versandshops für Waren und Dienstleistungen aller Art beworben. Damit der Spamempfänger mit dem beworbenen Versand Kontakt aufnehmen konnte, war die Angabe einer Web- oder Emailadresse zwingend erforderlich. Diese Adressen wechselten zwar schnell. Dennoch war es zuweilen möglich, den Auftraggebern auf die Schliche zu kommen. Das hat sich heutzutage radikal gewandelt. Ein Großteil der Spamlawine, die seit dem Sommer auch über Deutschland hereinbricht, wirbt nämlich für den Kauf von Aktien.

Ungefähr seit Anfang Oktober tummeln sich in vielen Emailpostfächern Werbebotschaften, die sich im Betreff mit "It's me, John" vorstellen, einen guten Ratschlag ankündigen ("Hanson advice") oder so tun, als antworteten sie auf die Mail eines guten Bekannten ("Ashley wrote"). Diese Mails werben für den Kauf von Aktien, so genannten "penny stocks", laut FAZ-Börsenlexikon "hochspekulative Aktien mit ausgesprochen niedrigem Kurswert von zumeist weniger als einem Dollar".

Penny-Stock-Spam

Neues Geschäftsmodell und neue Versandmethoden

Das lukrative Geschäftsmodell, das hinter solchen Spammails steckt, ist denkbar simpel: Die Spamverbreiter oder ihre Auftraggeber kaufen solche Billigaktien auf und preisen sie in ihren Werbemails anschließend als die Shooting-Stars am Börsenhimmel an - mit Erfolg, wie eine Studie zeigt, die im letzten Sommer an der Purdue University sowie an der Universität von Oxford durchgeführt wurde. Es gibt offenbar genügend Spamempfänger, die sich auf das für alle Seiten im Grunde minimale Wagnis einlassen. Der Einsatz ist gering, versprochen werden verlockend hohe Kursgewinne – warum das nicht mal versuchen?

Eine Kontaktaufnahme ist nicht mehr nötig. Web- und Emailadressen sucht man in den Mails vergeblich. Die Hintermänner dieser Spamaktionen sind über den Inhalt ihres Werbemülls nicht mehr zu identifizieren. Sie machen ihren Schnitt. Laut Purdue/Oxford-Studie steigen die beworbenen Aktien in nur zwei Tagen durchschnittlich um fünf bis sechs Prozent.

Nicht nur die Verschleierungstechniken und die Geschäftsmodelle, auch die Versandmethoden haben sich geändert. Der größte Teil des Spam wird derzeit über Botnetze versandt. Secure Computing, eine kalifornische Anti-Spamfirma berichtet, dass derzeit jeden Tag weltweit rund 250.000 neue Rechner gekapert, kriminellen Botnetzen einverleibt und zum Spamversand missbraucht werden. In ihrem Oktober-Bericht weist die britische Firma MessageLabs auf den prekären Zusammenhang zwischen Botnet-Aktivitäten und Spamaufkommen hin. Erhöhen sich die Botnet-Aktivitäten, ist regelmäßig auch mit einem signifikant gesteigerten Spamaufkommen zu rechnen.

Aggressiver Windows-Wurm

Eines der aggressivsten Windows-Wurmprogramme, die derzeit zum Kapern fremder Rechner benutzt werden, hört beim Sicherheitsunternehmen Kasperski auf den Namen Warezov; Sophos hat das Schadprogramm Stration getauft. Seine Urheber verschicken ihr Produkt per Massenmail in Schüben von rund 10.000 Stück. Mit jedem einzelnen Massen-Mailing wird eine Modifikation des Schadprogramms verbreitet, sodass es für die Antivirenindustrie schwierig ist, ihre Kunden durch entsprechend kurzzeitig aktualisierte Signaturen zu schützen.

Das Schadprogramm ist außerdem in der Lage, Antivirenprogramme und Firewalls zu deaktivieren. Ist das erst einmal vollbracht, hat Warezov freie Bahn und lädt Schadprogramme - in der Regel Trojanische Pferde - nach. MessageLabs geht davon aus, dass ein direkter Zusammenhang zwischen dieser Schadprogrammfamilie und dem weltweiten Anstieg der Spamquoten besteht.

Spammen mit "SpamThru"

Die zweite treibende Kraft, die für die derzeitige Spamwelle verantwortlich scheint, ist der Trojaner "SpamThru". Sein Name ist Programm. Hauptaufgabe ist der Spamversand. Er arbeitet dabei wie eine "Spam-Kanone": Für jede einzelne verschickte Mail verwendet er eine spezielle Vorlage, die mit einer Liste von Emailadressen kombiniert wird. Dadurch wird erstens garantiert, dass nicht Millionen völlig identischer Mails verschickt werden. Zweitens werden alle unter Kontrolle gebrachten Zombie-Rechner mit Hilfe von Spamthru gleichzeitig in die Lage verssetzt, Spammails ins Netz zu pumpen.

Damit "SpamThru" diese Aufgabe ungestört erledigen kann, haben sich seine Urheber etwas Besonderes ausgedacht: Um einen gekaperten Rechner nicht mit anderen Übeltätern teilen zu müssen, lädt SpamThru eine manipulierte Kopie des Virenscanners Kaspersky Antivirus for Wingate herunter und installiert sie in ein verstecktes Verzeichnis. Zweck des heruntergeladenen Programms ist es, Nebenbuhler, die denselben Rechner bereits erobert haben, auszuschalten und die Rechenleistung des PCs uneingeschränkt für den eigenen Spamversand zu nutzen.

Der Spamversand via Botnets ist nicht nur in höchstem Grade effektiv und für den Spammer kostengünstig, weil umsonst. Er hat zudem den Vorteil, dass es nicht mehr möglich ist, Spam aufgrund seiner Herkunft zu blockieren. Die Absenderadressen lassen sich nicht mehr per Blacklists aussortieren.

Was bleibt als Fazit? Der Kampf gegen Spam mit Hilfe der herkömmlichen Anti-Spam-Filtertechniken gleicht einem Kampf gegen Windmühlen. Das gilt für die Text- und Bildanalyse ebenso wie für die Herkunftsanalyse. Neue Geschäftsmodelle tun ein Übriges. Die Spammer haben Oberwasser.

Anti-Spam-Veteranen wie Patrick Peterson von der US-Firma Ironport zeigen sich deshalb wenig optimistisch. "Wir werden verlieren", erklärte Peterson gegenüber der New York Times. "Die Bösen überholen derzeit beinahe jede Technologie, die auf dem Markt ist." Vielleicht muss man tatsächlich vom Schlage Don Quijotes sein, um noch an einen schnellen Sieg zu glauben...