10 Tricks, mit denen Spammer arbeiten
Transcrição
10 Tricks, mit denen Spammer arbeiten
10 Tricks, mit denen Spammer arbeiten Und Sie dachten, Ihr Postfach wäre sicher… Inhalt Eine endlose Flut an Spam-Mails 1 Warum gibt es Spam und warum gibt es so viel davon? 2 10 Tricks 1. Trick: Botnets, Zombies und Ihr Netz 2. Trick: Eine Reputation leihen 3. Trick: Auch Spammer können sich authentifizieren 4. Trick: Wortsalat 5. Trick: Leichte Lektüre 6. Trick: Winzige Schriftgröße 7. Trick: Rechtschreibung 8. Trick: Wie schreibt man \/!AGr/-\ ? 9. Trick: Der Schein trügt 10. Trick: Social Engineering 5 6 7 8 9 10 11 12 Wie man Spammern das Handwerk legt 13 SonicWALL Anti-Spam/Email Security-Lösungen 14 3 4 Eine endlose Flut an Spam-Mails Spam-Mails sind ein ständiges Ärgernis. Sie kosten Zeit, beanspruchen Festplattenplatz und können unter Umständen sogar die Netzwerkperformance herabsetzen. Es gibt hunderte von Firmen, die davon leben, Spam zu bekämpfen – oder zumindest zu reduzieren. Doch die Zahl der unerwünschten Mails nimmt nach wie vor weiter zu. ...aber warum gibt es so viel Spam? 30 Milliarden 55 Milliarden 90 Milliarden Juni 2005 Juni 2006 Juni 2007 Virus Spam Phishing Virus NDR Spam Virus Regeln Phishing Spam NDR Phishing DoS Spam Regeln DHA Spam SPhishing Spam Virus Phishing Spam Phishing DoS NDR Spam DHA Virus Phishing Regeln Phishing Spam Virus Virus Phishing 120 140 DoS ND DoS Spam Milliarden Milliarden Phishing DHA Virus Phishing Spam Juni 2008 Juni 2009 1 Warum gibt es Spam und warum gibt es so viel davon? Geld Ja, Spammer können mit Spam-Mails Geld verdienen. Die meisten Spammer sind Verkäufer, die nach einer Absatzmöglichkeit für ihre Produkte und Services suchen. Der Versand von E-Mails ist billig und obwohl es schwer zu glauben ist, gibt es immer wieder Menschen, die auf Spam-Werbung hereinfallen. Selbst wenn nur ein paar wenige Empfänger auf eine Spam-Mail antworten, lohnt sich das Geschäft für die Spammer. Daher versuchen sie eine möglichst große Zielgruppe zu erreichen, um ihre Antwortquote zu erhöhen. Die Zielgruppe Spammer betreiben Marketing nach dem „Schrotflintenprinzip“ (bei einer ausreichend großen Streuung ist die Wahrscheinlichkeit groß, einen Treffer zu landen). Demnach ist es kein Wunder, dass es immer mehr unerwünschte E-Mails gibt. Um ihre Erfolgs-Chancen weiter zu verbessern, arbeiten die Spammer ständig an neuen Methoden, um Spamfilter zu umgehen. Auf den folgenden Seiten zeigen wir einige der Tricks, die sich Spammer einfallen lassen, um eine möglichst große Zielgruppe zu erreichen. 2 1. Trick: Botnets, Zombies und Ihr Netz Botnet Ein „Botnet“ ist eine Gruppe gekaperter Computersysteme, die über eine gemeinsame Kontrollstruktur gesteuert wird. Mithilfe der manipulierten Systeme, den sogenannten „Zombies“, können Spam- und Phishing-Mails, sowie Viren und andere Malware versendet werden. Botnet-Angriffe Mit einem Botnet lassen sich Spam-Angriffe mit Millionen von Spam-Mails realisieren. Selbst wenn jeder Zombie pro Angriff nur 1.000 Mails versendet, kommt man bei 10.000 Zombies in einem Botnet schnell auf 10 Millionen Mails. Die Reputation eines Zombies Wenn ein Zombie eine Spam-Mail versendet, geschieht das über eine zugewiesene Internet-Adresse – der „Absender“IP-Adresse. Um zu verhindern, dass die IP-Adresse eines Zombies eine „schlechte“ Reputation erhält, versuchen Spammer nicht zu viele Spam-Mails über ein und denselben Zombie-Rechner zu senden. 3 2. Trick: Eine Reputation leihen ? ? ? Spammer passen sich an Viele Spamfilter analysieren die Reputation der Absender-IP-Adresse, um Spam-Mails zu blockieren. Spammer „leihen“ sich IP-Adressen mit einer guten oder zumindest mit einer neutralen Reputation, um Systeme auszutricksen, die auf die Reputation der Absender-IP-Adressen vertrauen. ISP – Spammer richten E-Mail-Konten bei großen und kleinen Internet Service Providern (ISPs) rund um den Globus ein. Schließlich ist es unrealistisch, dass alle E-Mails von einem ISP blockiert werden, weil ein einzelner Benutzer SpamMails versendet. Hacks – Es ist bekannt, dass Spammer bereit sind, für den Zugriff auf gehackte E-Mail-Server Geld zu bezahlen. Sie erstellen innerhalb kürzester Zeit zahlreiche Spam-Mails und verwenden die Reputation des Unternehmens, dessen Server gehackt wurde. Sie – Oder genauer gesagt Ihr Unternehmen. Ein Zombiesystem in Ihrem Netzwerk kann die Reputation Ihrer Absender-Adresse manipulieren, besonders wenn es dort mehrere Zombies gibt. 4 3. Trick: Auch Spammer können sich authentifizieren Authentifizierung Im Prinzip wird bei der E-Mail-Authentifizierung nachgeprüft, ob die Domäne, auf die eine E-MailAdresse verweist, wirklich von der IP-Adresse des Absender-E-Mail-Servers stammt. Damit das funktioniert, müssen Organisationen einen SPF-Eintrag veröffentlichen, der E-Mail-Empfängern bestätigt, dass eine bestimmte IP-Adresse E-Mails für eine bestimmte Domäne versenden darf. Wie kann ein Spammer die Authentifizierung umgehen? n Wird ein SPF-Eintrag nach strengen Kriterien eingerichtet, können externe Dienstleister (z. B. ein E-Mail-MarketingUnternehmen) normalerweise keine E-Mails im Namen des Unternehmens versenden. Folglich richten viele Unternehmen Authentifizierungssysteme ein, lassen aber eine Option offen, um über andere IP-Adressen E-Mails versenden zu können (z. B. ein externes Marketing-Unternehmen oder ein Spammer). n Wie alle anderen Internetnutzer auch, können Spammer Domänennamen anmelden und diese einrichten, um sich ordnungsgemäß zu authentifizieren und anschließend von diesen Domänen aus E-Mails zu versenden. 5 4. Trick: Wortsalat Man spricht von „Wortsalat“, wenn Spammer scheinbar zufällige Wörter zu einer Mail hinzufügen. Ku h fet hle Zoolo gie L öffel ten Um wu schla g nd erb ar ites s Fr n me ne Pom ren ten igen un iet hr an lös k ch An en tilo pe rv Bei der Evaluierung der Nachricht, gibt es nun mehr unbedenkliche als verdächtige Wörter (wie z. B. „Liebesleben“ und „verbessern“). Wenn die Mail mehr unbedenkliche als verdächtige Wörter enthält, kann es sein, dass der Spamfilter sie als unbedenklich einstuft. rsc sc n Die „zusätzlichen“ Wörter sind unbedenkliche Wörter, die normalerweise nicht in Spam-Mails vorkommen. frie Se n Ge be Was ist der Trick dabei? n Der Spammer ergänzt die Mail um „zusätzliche“ Wörter, weil er damit rechnet, dass diese vom Spamfilter des Empfängers gelesen und evaluiert werden. Zu g un n ord „Sind Sie mit Ihrem Liebesleben unzufrieden?“ www.enhanceyourlovelife.tv 6 5. Trick: Leichte Lektüre Manche Spam-Mails enthalten zusätzlich zu ihrer eigentlichen Nachricht nicht nur einzelne Wörter, sondern ganze Sätze und Abschnitte. Wie beim „Wortsalat“ geht es auch hier darum, die Evaluierung mit unbedenklichen Wörtern und Sätzen zu beeinflussen. Spammer verwenden ganze Sätze, da sie wissen, dass es so schwieriger ist, unbedenkliche Wörter von der Evaluierung des Nachrichteninhalts auszuschließen. „Sind Sie mit Ihrem Liebesleben unzufrieden?” www.enhanceyourlovelife.tv Es war eine dunkle und regnerische Nacht. Es war die beste aller Zeiten, es war die schlechteste aller Zeiten. Es war einmal in einem fernen Land. Ich bin ein Niemand! Wer bist Du? Bist Niemand auch benannt? Wie ich Dich liebe? Laß mich zählen wie. 7 6. Trick: Winzige Schriftgröße Wer liest besser – Sie oder Ihr Computer? Ihr Spamfilter untersucht Ihre E-Mails auf verdächtige Wörter und Sätze und wenn genug verdächtiger Inhalt gefunden wird, kann die Mail als Spam eingestuft werden. Spammer versuchen, diese verdächtigen Wörter und Sätze vor dem Filter zu verstecken. Gleichzeitig versuchen sie den Inhalt für Sie als Empfänger lesbar zu machen und hoffen, dass Sie sich für ihre Produkte und Angebote interessieren. Sie sehen: VERBESSERN_SIE_IHR_LIEBESLEBEN asd Ihr Computer sieht: asdVERBESSERNdfisdfiohSIE_IHRd_sdfLIEBESLEBEN Der Trick mit der Groß- und Kleinschreibung Spammer ändern die Schriftgröße, so dass irrelevante Buchstaben „verschwinden“ und Sie die Nachricht leicht lesen können. Ihr Computer sieht dagegen nur einen sinnlosen Text. 8 7. Trick: Rechtschreibung Können Sie das lesen? Dilpom-Studuim: Versbesern Sei Irhe Efolgchansen Shicern Sii sich ien Dilpom vno einre nicht akrediteirten Univeersiiät auf edr Gurndlage Irher prakitschen Efahruug. S A PM S 0 „Spam-Scrabble“ Die meisten Menschen können diesen Text lesen, den der Spammer A T ausSfehlerhaft geschriebenen Wörtern zusammengesetzt hat, damit A PM der Spamfilter die Wörter nicht erkennt. P S P 0 M A Einige Überlegungen Wie den Spamfilter passieren, wenn der Tviele Ihrer E-Mails würden S C Text keine Fehler enthalten dürfte? R A B E L P Leute benutzen Akronyme, Abkürzungen oder schreiben ihre P Viele E-Mails im Stil einer Chat-Nachricht oder SMS. M S C R A B E L 9 8. Trick: Wie schreibt man \/!AGr/-\ ? Optische Täuschungen Wie beim Spam-Scrabble geht es darum, verdächtige Wörter zu verbergen. In diesem Fall verwendet der Spammer Symbole, Sonderzeichen und sogar alternative Zeichensätze, um verschiedene Variationen zu erstellen. Mit dieser Methode ergeben sich schätzungsweise 600 Billiarden Möglichkeiten, um das Wort „Viagra“ zu schreiben – Sie müssten ziemlich viele Regeln definieren, wenn Sie es selbst machen wollten! Sie glauben, Sie sehen: Tatsächlich steht da: VIAGRA PROZAC \/!ÄGRÂ PRÓZÄÇ CIALIS Ç!ÄLÌŠ 10 9. Trick: Der Schein trügt Tricks mit Bildern Obwohl Bilder manchmal gleich aussehen, sind sie es oft nicht. Kleine Veränderungen reichen aus, damit sich Bilder voneinander unterscheiden. ERSTER TAG POSTFACH: Sie erhalten eine SpamMail mit Bild. SIE: löschen die Mail ZWEITER TAG POSTFACH: Sie erhalten die „gleiche“ Spam-Mail mit Bild SIE: löschen die Mail wieder DRITTER TAG POSTFACH: Sie erhalten die „gleiche“ Spam-Mail mit Bild SIE: löschen die Mail jetzt aber wirklich VIERTER TAG POSTFACH: Sie erhalten die „gleiche“ Spam-Mail mit Bild SIE: rufen jetzt die IT-Abteilung an KAUF MICH www.cheapdrugs.tv Was ist anders? Das Layout des Bildes ist um ein oder zwei Pixel verändert. KAUF MICH www.cheapdrugs.tv Der Hintergrund ist nicht mehr weiß, sondern transparent. KAUF MICH www.cheapdrugs.tv Die Bildgröße hat sich um ein oder zwei Prozent verändert. KAUF MICH www.cheapdrugs.tv 11 10. Trick: Social Engineering Bei den meisten Tricks versuchen die Spammer den Spamfilter zu umgehen, indem sie das System austricksen. Beim Social Engineering läuft es genau andersherum – die Spammer versuchen sich für einen rechtmäßigen Benutzer auszugeben, damit sie den Spamfilter passieren können und zum Postfach gelangen. Unerwünschte Freunde Der Computer einer Ihrer Freunde wird attackiert und Ihr Name befindet sich in seinem Adressbuch? Oh je! Der Name Ihres Freundes steht auf Ihrer weißen Liste? Oh je, oh je! Extra, Extra Spammer schreiben häufig aktuelle Nachrichten in die Betreffzeile. Das lässt die Mail nicht nur seriöser erscheinen, sondern macht uns häufig neugierig, so dass wir die E-Mail öffnen. Phishing Phisher versenden fingierte Mails, die den Anschein erwecken, von Ihrer Bank oder einer anderen vertrauenswürdigen Quelle zu stammen. Damit versuchen sie an Informationen zu Ihrem Konto, an Finanzdaten oder sogar an Daten zu Ihrer Identität zu gelangen. Spam im Anhang Spammer hängen echte PDF-Dokumente oder ähnliche Dateien an eine Spam-Nachricht an. In der eigentlichen E-Mail gibt es wenig Inhalt, außer vielleicht einen kurzen Text wie „Schau Dir das an“, oder „Umsatzprognose für das 3. Quartal“. 12 Wie man Spammern das Handwerk legt Spam wird so lange in unseren Postfächern landen, bis es sich für die Spammer nicht mehr lohnt oder bis es effektive Präventionsmethoden gibt, die von allen Nutzern eingesetzt werden. Es gibt keine einzelne Technologie, mit der sich alle Spam-Mails stoppen lassen. Vielmehr ist es so, dass Spammer in der Vergangenheit immer Möglichkeiten gefunden haben, um funktionierende Abwehrmechanismen zu überlisten. Daher sind kombinierte Spam-Maßnahmen auf lange Sicht die beste Lösung. Diese Maßnahmen lassen sich in zwei Gruppen aufteilen: 1 Reputationsanalyse Hierbei wird die Reputation vieler E-Mail-Attribute abgefragt, u. a. die AbsenderIP-Adresse, der Inhalt, Links/URLs, Bilder, Anhänge und die E-Mail-Struktur. 2 Inhaltsanalyse Effektive Methoden wie die Bayes’sche Filtertechnologie, lexikografische Verfremdung, Bildinferenz-Analyse und einfache Kontrollen wie weiße/schwarze Listen und SPF-Kontrollen werden kombiniert, um eine E-Mail gründlich zu prüfen und seine eigentliche Bestimmung zu ermitteln. 13 SonicWALL Anti-Spam/Email Security-Lösungen SonicWALL bietet eine große Auswahl an erstklassigen, mehrfach ausgezeichneten E-MailSicherheitslösungen, die für einen Benutzer bis hin zu einer Million Anwender ausgelegt sind. SonicWALL Comprehensive Anti-Spam Service Sicherheitsservices für Firewalls der TZ-, Network Security Appliance (NSA)- und E-Class NSA-Serie zur Bekämpfung von Spam-Mails, Phishing-Angriffen und Viren. SonicWALL Email Security für Small Business Server Schutz für ein- und ausgehende E-Mails für Windows SBS- und Windows EBS-Umgebungen. SonicWALL Email Security Software Die Software bietet umfassenden Schutz vor ein- und ausgehenden E-Mails und lässt sich auf einem Windows-Server installieren. SonicWALL Email Security Appliance Die gehärtete Appliance bietet umfassenden Schutz vor ein- und ausgehenden E-Mails. SonicWALL Anti-Spam Desktop Clientbasierter Schutz vor Spam- und Phishing-Mails für Outlook, Outlook Express und Windows Mail. 14 Weitere Informationen n Laden Sie das Whitepaper „The SonicWALL GRID Network: Collaborative Cross-vector Protection for Email Security“ herunter. n Laden Sie das Whitepaper „Building a Better Spam Trap” herunter. n Weitere Produktinformationen n Lassen Sie sich unseren SonicWALL-Newsletter zuschicken. Wenn Sie uns Feedback zu diesem E-Book, anderen E-Books oder Whitepapers von SonicWALL geben möchten, senden Sie eine E-Mail an folgende Adresse: [email protected]. Über SonicWALL Als führender IT-Sicherheitsanbieter sorgt SonicWALL mit seinen intelligenten und dynamischen Service-, Software- und Hardware-Lösungen für den reibungslosen Betrieb von High-Performance-Unternehmensnetzen und senkt nicht nur die Risiken und Kosten, sondern auch die Komplexität. Weitere Informationen erhalten Sie auf unserer Website unter www.sonicwall.com/de. ©2009 SonicWALL, das SonicWALL-Logo und Protection at the Speed of Business sind eingetragene Marken von SonicWALL, Inc. Alle anderen hier erwähnten Produktnamen sind Eigentum der jeweiligen Inhaber. Änderung technischer Daten und Produktbeschreibungen ohne vorherige Ankündigung vorbehalten. 07/09 SW 680