10 Tricks, mit denen Spammer arbeiten

10 Tricks, mit denen Spammer arbeiten
Und Sie dachten, Ihr Postfach wäre sicher…
Inhalt
Eine endlose Flut an Spam-Mails
1
Warum gibt es Spam und warum gibt es so viel
davon?
2
10 Tricks
1. Trick: Botnets, Zombies und Ihr Netz
2. Trick: Eine Reputation leihen
3. Trick: Auch Spammer können sich
authentifizieren
4. Trick: Wortsalat
5. Trick: Leichte Lektüre
6. Trick: Winzige Schriftgröße
7. Trick: Rechtschreibung
8. Trick: Wie schreibt man \/!AGr/-\ ?
9. Trick: Der Schein trügt
10. Trick: Social Engineering
5
6
7
8
9
10
11
12
Wie man Spammern das Handwerk legt
13
SonicWALL Anti-Spam/Email Security-Lösungen
14
3
4
Eine endlose Flut an Spam-Mails
Spam-Mails sind ein ständiges Ärgernis.
Sie kosten Zeit, beanspruchen Festplattenplatz und können
unter Umständen sogar die Netzwerkperformance herabsetzen.
Es gibt hunderte von Firmen, die davon leben, Spam zu
bekämpfen – oder zumindest zu reduzieren. Doch die Zahl
der unerwünschten Mails nimmt nach wie vor weiter zu.
...aber warum gibt es so viel Spam?
30
Milliarden
55
Milliarden
90
Milliarden
Juni 2005
Juni 2006
Juni 2007
Virus Spam
Phishing Virus
NDR Spam
Virus Regeln
Phishing Spam NDR
Phishing DoS
Spam Regeln
DHA Spam
SPhishing Spam Virus
Phishing Spam
Phishing DoS
NDR Spam
DHA Virus
Phishing Regeln
Phishing Spam Virus
Virus Phishing
120
140 DoS ND
DoS Spam
Milliarden
Milliarden
Phishing
DHA Virus
Phishing Spam
Juni 2008
Juni 2009
1
Warum gibt es Spam und warum gibt es so viel davon?
Geld
Ja, Spammer können mit Spam-Mails Geld verdienen. Die meisten Spammer sind Verkäufer, die nach einer Absatzmöglichkeit für ihre Produkte und
Services suchen. Der Versand von E-Mails ist billig und obwohl es schwer zu
glauben ist, gibt es immer wieder Menschen, die auf Spam-Werbung hereinfallen. Selbst wenn nur ein paar wenige Empfänger auf eine Spam-Mail
antworten, lohnt sich das Geschäft für die Spammer. Daher versuchen sie
eine möglichst große Zielgruppe zu erreichen, um ihre Antwortquote zu
erhöhen.
Die Zielgruppe
Spammer betreiben Marketing nach dem „Schrotflintenprinzip“ (bei einer
ausreichend großen Streuung ist die Wahrscheinlichkeit groß, einen Treffer zu
landen). Demnach ist es kein Wunder, dass es immer mehr unerwünschte
E-Mails gibt. Um ihre Erfolgs-Chancen weiter zu verbessern, arbeiten die
Spammer ständig an neuen Methoden, um Spamfilter zu umgehen. Auf den
folgenden Seiten zeigen wir einige der Tricks, die sich Spammer einfallen
lassen, um eine möglichst große Zielgruppe zu erreichen.
2
1. Trick: Botnets, Zombies und Ihr Netz
Botnet
Ein „Botnet“ ist eine Gruppe gekaperter Computersysteme,
die über eine gemeinsame Kontrollstruktur gesteuert
wird. Mithilfe der manipulierten Systeme, den sogenannten
„Zombies“, können Spam- und Phishing-Mails, sowie Viren
und andere Malware versendet werden.
Botnet-Angriffe
Mit einem Botnet lassen sich Spam-Angriffe mit Millionen
von Spam-Mails realisieren. Selbst wenn jeder Zombie pro
Angriff nur 1.000 Mails versendet, kommt man bei 10.000
Zombies in einem Botnet schnell auf 10 Millionen Mails.
Die Reputation eines Zombies
Wenn ein Zombie eine Spam-Mail versendet, geschieht das
über eine zugewiesene Internet-Adresse – der „Absender“IP-Adresse. Um zu verhindern, dass die IP-Adresse eines
Zombies eine „schlechte“ Reputation erhält, versuchen
Spammer nicht zu viele Spam-Mails über ein und denselben Zombie-Rechner zu senden.
3
2. Trick: Eine Reputation leihen
?
?
?
Spammer passen sich an
Viele Spamfilter analysieren die Reputation der Absender-IP-Adresse, um
Spam-Mails zu blockieren. Spammer „leihen“ sich IP-Adressen mit einer guten
oder zumindest mit einer neutralen Reputation, um Systeme auszutricksen,
die auf die Reputation der Absender-IP-Adressen vertrauen.
ISP – Spammer richten E-Mail-Konten bei großen und kleinen Internet Service
Providern (ISPs) rund um den Globus ein. Schließlich ist es unrealistisch, dass
alle E-Mails von einem ISP blockiert werden, weil ein einzelner Benutzer SpamMails versendet.
Hacks – Es ist bekannt, dass Spammer bereit sind, für den Zugriff auf gehackte
E-Mail-Server Geld zu bezahlen. Sie erstellen innerhalb kürzester Zeit zahlreiche
Spam-Mails und verwenden die Reputation des Unternehmens, dessen Server
gehackt wurde.
Sie – Oder genauer gesagt Ihr Unternehmen. Ein Zombiesystem in Ihrem Netzwerk kann die Reputation Ihrer Absender-Adresse manipulieren, besonders
wenn es dort mehrere Zombies gibt.
4
3. Trick: Auch Spammer können sich authentifizieren
Authentifizierung
Im Prinzip wird bei der E-Mail-Authentifizierung nachgeprüft, ob die Domäne, auf die eine E-MailAdresse verweist, wirklich von der IP-Adresse des Absender-E-Mail-Servers stammt. Damit das
funktioniert, müssen Organisationen einen SPF-Eintrag veröffentlichen, der E-Mail-Empfängern
bestätigt, dass eine bestimmte IP-Adresse E-Mails für eine bestimmte Domäne versenden darf.
Wie kann ein Spammer die Authentifizierung umgehen?
n Wird ein SPF-Eintrag nach strengen Kriterien eingerichtet,
können externe Dienstleister (z. B. ein E-Mail-MarketingUnternehmen) normalerweise keine E-Mails im Namen
des Unternehmens versenden. Folglich richten viele
Unternehmen Authentifizierungssysteme ein, lassen aber
eine Option offen, um über andere IP-Adressen E-Mails
versenden zu können (z. B. ein externes Marketing-Unternehmen oder ein Spammer).
n
Wie alle anderen Internetnutzer auch, können Spammer
Domänennamen anmelden und diese einrichten, um
sich ordnungsgemäß zu authentifizieren und anschließend von diesen Domänen aus E-Mails zu versenden.
5
4. Trick: Wortsalat
Man spricht von „Wortsalat“, wenn Spammer scheinbar
zufällige Wörter zu einer Mail hinzufügen.
Ku
h
fet
hle
Zoolo
gie
L
öffel
ten
Um
wu schla
g
nd
erb
ar
ites
s Fr n
me
ne
Pom
ren
ten igen
un
iet
hr
an
lös k
ch
An
en
tilo
pe
rv
Bei der Evaluierung der Nachricht, gibt es nun mehr
unbedenkliche als verdächtige Wörter (wie z. B.
„Liebesleben“ und „verbessern“). Wenn die Mail mehr
unbedenkliche als verdächtige Wörter enthält, kann es
sein, dass der Spamfilter sie als unbedenklich einstuft.
rsc
sc
n
Die „zusätzlichen“ Wörter sind unbedenkliche Wörter,
die normalerweise nicht in Spam-Mails vorkommen.
frie
Se
n
Ge
be
Was ist der Trick dabei?
n Der Spammer ergänzt die Mail um „zusätzliche“ Wörter,
weil er damit rechnet, dass diese vom Spamfilter des
Empfängers gelesen und evaluiert werden.
Zu
g
un
n
ord
„Sind Sie mit Ihrem Liebesleben unzufrieden?“
www.enhanceyourlovelife.tv
6
5. Trick: Leichte Lektüre
Manche Spam-Mails enthalten zusätzlich zu ihrer eigentlichen Nachricht nicht nur einzelne
Wörter, sondern ganze Sätze und Abschnitte. Wie beim „Wortsalat“ geht es auch hier darum,
die Evaluierung mit unbedenklichen Wörtern und Sätzen zu beeinflussen. Spammer verwenden ganze Sätze, da sie wissen, dass es so schwieriger ist, unbedenkliche Wörter von der
Evaluierung des Nachrichteninhalts auszuschließen.
„Sind Sie mit Ihrem
Liebesleben unzufrieden?”
www.enhanceyourlovelife.tv
Es war eine dunkle und regnerische Nacht. Es war die
beste aller Zeiten, es war die schlechteste aller Zeiten.
Es war einmal in einem fernen Land. Ich bin ein
Niemand! Wer bist Du? Bist Niemand auch benannt?
Wie ich Dich liebe? Laß mich zählen wie.
7
6. Trick: Winzige Schriftgröße
Wer liest besser – Sie oder Ihr Computer?
Ihr Spamfilter untersucht Ihre E-Mails auf verdächtige Wörter und Sätze und wenn genug
verdächtiger Inhalt gefunden wird, kann die Mail als Spam eingestuft werden. Spammer
versuchen, diese verdächtigen Wörter und Sätze vor dem Filter zu verstecken. Gleichzeitig
versuchen sie den Inhalt für Sie als Empfänger lesbar zu machen und hoffen, dass Sie sich
für ihre Produkte und Angebote interessieren.
Sie sehen: VERBESSERN_SIE_IHR_LIEBESLEBEN
asd
Ihr Computer sieht: asdVERBESSERNdfisdfiohSIE_IHRd_sdfLIEBESLEBEN
Der Trick mit der Groß- und Kleinschreibung
Spammer ändern die Schriftgröße, so dass irrelevante Buchstaben „verschwinden“ und Sie die Nachricht leicht lesen können. Ihr Computer sieht dagegen nur einen sinnlosen Text.
8
7. Trick: Rechtschreibung
Können Sie das lesen?
Dilpom-Studuim:
Versbesern Sei Irhe Efolgchansen
Shicern Sii sich ien Dilpom vno einre nicht akrediteirten
Univeersiiät auf edr Gurndlage Irher prakitschen Efahruug.
S A PM
S
0 „Spam-Scrabble“
Die meisten Menschen können diesen Text lesen, den der Spammer
A
T ausSfehlerhaft
geschriebenen Wörtern zusammengesetzt hat, damit
A PM
der Spamfilter die Wörter nicht erkennt.
P S
P 0
M A
Einige Überlegungen
Wie
den Spamfilter passieren, wenn der
Tviele Ihrer E-Mails würden
S
C
Text keine Fehler enthalten dürfte? R A B E L
P Leute benutzen Akronyme, Abkürzungen oder schreiben ihre P
Viele
E-Mails im Stil einer Chat-Nachricht oder SMS.
M
S C R A B E L
9
8. Trick: Wie schreibt man \/!AGr/-\ ?
Optische Täuschungen
Wie beim Spam-Scrabble geht es darum, verdächtige Wörter zu verbergen. In diesem Fall verwendet der Spammer Symbole,
Sonderzeichen und sogar alternative Zeichensätze, um verschiedene Variationen zu erstellen. Mit dieser Methode ergeben
sich schätzungsweise 600 Billiarden Möglichkeiten, um das Wort „Viagra“ zu schreiben – Sie müssten ziemlich viele Regeln
definieren, wenn Sie es selbst machen wollten!
Sie glauben, Sie sehen:
Tatsächlich steht da:
VIAGRA
PROZAC
\/!ÄGRÂ
PRÓZÄÇ
CIALIS
Ç!ÄLÌŠ
10
9. Trick: Der Schein trügt
Tricks mit Bildern
Obwohl Bilder manchmal gleich aussehen, sind sie es oft nicht. Kleine Veränderungen reichen aus, damit sich Bilder
voneinander unterscheiden.
ERSTER TAG
POSTFACH: Sie erhalten eine SpamMail mit Bild.
SIE: löschen die Mail
ZWEITER TAG
POSTFACH: Sie erhalten die „gleiche“
Spam-Mail mit Bild
SIE: löschen die Mail wieder
DRITTER TAG
POSTFACH: Sie erhalten die „gleiche“
Spam-Mail mit Bild
SIE: löschen die Mail jetzt aber
wirklich
VIERTER TAG
POSTFACH: Sie erhalten die „gleiche“
Spam-Mail mit Bild
SIE: rufen jetzt die IT-Abteilung an
KAUF
MICH
www.cheapdrugs.tv
Was ist anders?
Das Layout des Bildes ist um
ein oder zwei Pixel verändert.
KAUF
MICH
www.cheapdrugs.tv
Der Hintergrund ist nicht mehr
weiß, sondern transparent.
KAUF
MICH
www.cheapdrugs.tv
Die Bildgröße hat sich um ein
oder zwei Prozent verändert.
KAUF
MICH
www.cheapdrugs.tv
11
10. Trick: Social Engineering
Bei den meisten Tricks versuchen die Spammer den Spamfilter zu umgehen, indem sie das System austricksen. Beim
Social Engineering läuft es genau andersherum – die Spammer versuchen sich für einen rechtmäßigen Benutzer auszugeben, damit sie den Spamfilter passieren können und zum Postfach gelangen.
Unerwünschte Freunde
Der Computer einer Ihrer Freunde wird attackiert und
Ihr Name befindet sich in seinem Adressbuch? Oh je!
Der Name Ihres Freundes steht auf Ihrer weißen Liste?
Oh je, oh je!
Extra, Extra
Spammer schreiben häufig aktuelle Nachrichten in
die Betreffzeile. Das lässt die Mail nicht nur seriöser
erscheinen, sondern macht uns häufig neugierig, so
dass wir die E-Mail öffnen.
Phishing
Phisher versenden fingierte Mails, die den Anschein erwecken, von Ihrer Bank oder einer anderen vertrauenswürdigen Quelle zu stammen. Damit versuchen sie an
Informationen zu Ihrem Konto, an Finanzdaten oder
sogar an Daten zu Ihrer Identität zu gelangen.
Spam im Anhang
Spammer hängen echte PDF-Dokumente oder ähnliche Dateien an eine Spam-Nachricht an. In der
eigentlichen E-Mail gibt es wenig Inhalt, außer vielleicht einen kurzen Text wie „Schau Dir das an“, oder
„Umsatzprognose für das 3. Quartal“.
12
Wie man Spammern das Handwerk legt
Spam wird so lange in unseren Postfächern landen, bis es sich für die Spammer nicht
mehr lohnt oder bis es effektive Präventionsmethoden gibt, die von allen Nutzern eingesetzt werden. Es gibt keine einzelne Technologie, mit der sich alle Spam-Mails stoppen
lassen. Vielmehr ist es so, dass Spammer in der Vergangenheit immer Möglichkeiten gefunden haben, um funktionierende Abwehrmechanismen zu überlisten. Daher sind kombinierte Spam-Maßnahmen auf lange Sicht die beste Lösung. Diese Maßnahmen lassen
sich in zwei Gruppen aufteilen:
1
Reputationsanalyse
Hierbei wird die Reputation vieler E-Mail-Attribute abgefragt, u. a. die AbsenderIP-Adresse, der Inhalt, Links/URLs, Bilder, Anhänge und die E-Mail-Struktur.
2
Inhaltsanalyse
Effektive Methoden wie die Bayes’sche Filtertechnologie, lexikografische Verfremdung, Bildinferenz-Analyse und einfache Kontrollen wie weiße/schwarze Listen
und SPF-Kontrollen werden kombiniert, um eine E-Mail gründlich zu prüfen und
seine eigentliche Bestimmung zu ermitteln.
13
SonicWALL Anti-Spam/Email Security-Lösungen
SonicWALL bietet eine große Auswahl an erstklassigen, mehrfach ausgezeichneten E-MailSicherheitslösungen, die für einen Benutzer bis hin zu einer Million Anwender ausgelegt sind.
SonicWALL Comprehensive Anti-Spam Service
Sicherheitsservices für Firewalls der TZ-, Network Security Appliance (NSA)- und E-Class
NSA-Serie zur Bekämpfung von Spam-Mails, Phishing-Angriffen und Viren.
SonicWALL Email Security für Small Business Server
Schutz für ein- und ausgehende E-Mails für Windows SBS- und Windows EBS-Umgebungen.
SonicWALL Email Security Software
Die Software bietet umfassenden Schutz vor ein- und ausgehenden E-Mails und lässt sich
auf einem Windows-Server installieren.
SonicWALL Email Security Appliance
Die gehärtete Appliance bietet umfassenden Schutz vor ein- und ausgehenden E-Mails.
SonicWALL Anti-Spam Desktop
Clientbasierter Schutz vor Spam- und Phishing-Mails für Outlook, Outlook Express und
Windows Mail.
14
Weitere Informationen
n Laden Sie das Whitepaper „The SonicWALL GRID Network: Collaborative Cross-vector Protection for
Email Security“ herunter.
n Laden Sie das Whitepaper „Building a Better Spam Trap” herunter.
n Weitere Produktinformationen
n Lassen Sie sich unseren SonicWALL-Newsletter zuschicken.
Wenn Sie uns Feedback zu diesem E-Book, anderen E-Books oder Whitepapers von SonicWALL geben
möchten, senden Sie eine E-Mail an folgende Adresse: [email protected].
Über SonicWALL
Als führender IT-Sicherheitsanbieter sorgt SonicWALL mit seinen intelligenten und dynamischen Service-,
Software- und Hardware-Lösungen für den reibungslosen Betrieb von High-Performance-Unternehmensnetzen und senkt nicht nur die Risiken und Kosten, sondern auch die Komplexität. Weitere Informationen
erhalten Sie auf unserer Website unter www.sonicwall.com/de.
©2009 SonicWALL, das SonicWALL-Logo und Protection at the Speed of Business sind eingetragene Marken von SonicWALL, Inc. Alle anderen hier erwähnten Produktnamen sind
Eigentum der jeweiligen Inhaber. Änderung technischer Daten und Produktbeschreibungen ohne vorherige Ankündigung vorbehalten. 07/09 SW 680