Spammer setzen auf immer trickreichere Verfahren, um Filter zu umgehen

Cloudmark erkennt selbst raffinierte Spam-Techniken

(25.07.08) - Cloudmark veröffentlichte eine Liste von gängigen Techniken, wie sie E-Mail-Spammer derzeit verwenden. Die Erkenntnisse basieren auf den Milliarden von Nachrichten, die Cloudmark täglich analysiert.

Spam macht heute mittlerweile 95 Prozent des gesamten E-Mail-Verkehrs aus. Um herkömmliche Spamfilter zu umgehen und die Postfächer zu erreichen, setzen Spammer und Hacker auf immer raffiniertere Verfahren. Cloudmark analysiert kontinuierlich Spam aus der ganzen Welt und hat mehrere hinterlistige Spam-Techniken identifiziert, die in diesem Jahr angewendet wurden:

Der "Steckkasten"-Angriff: Bei diesen Attacken ordnen Spammer eine Reihe von Buchstaben so an, dass sie zusammengesetzt ein Wort bilden. So wird zum Beispiel ein Aktiensymbol über mehrere Zeilen wiederholt, um daraus das Wort "KAUFEN" zu bilden und die Aktie zu bewerben.

Veränderung von Zeichen: E-Mail-Adressen, IM-Benutzernamen und Telefonnummern sind häufig in Spam enthalten - manche Spammer setzen hier einfallsreiche Techniken ein, um ihre Botschaften zu verbreiten. So ersetzen sie etwa Buchstaben durch visuelle Spielereien, wie zum Beispiel "o" durch "0" und "i" durch "1". Kreativere Spammer können manchmal auch mehrdeutige Inhalte verwenden - zum Beispiel bewerben sie ein Produkt und schreiben den Empfängern "Schreib mir eine E-Mail oder IM an jeffbr0ck |durch @ ersetzen| yahoo |hier Punkt einfügen| com".

Ungewöhnliche Verlinkung: Es gibt viele Möglichkeiten, Buchstaben in eine klickbare URL zu schreiben. Zum Beispiel können URI-Kodierung und Entity-Encoding nicht druckbare Zeichen in einen HTTP-Link einfügen, ohne dass er kaputt geht. Spammer haben in dieser Technik die Möglichkeit gefunden, URLs zu formatieren, die zwar nicht den publizierten Webstandards entsprechen, aber bei einigen E-Mail-Clients, Weboberflächen oder anderen Online-Produkten trotzdem klickbar sind. Besonders attraktiv sind Weiterleitungs-URLs bei Google, Yahoo oder anderen großen Providern, da sie auf den ersten Blick legitim erscheinen.

Domain-Dominierung: Spammer kaufen und hosten eine Reihe unterschiedlicher, aber ähnlich klingender Domainnamen, zum Beispiel "Kasino-daheim89.com", "Kasino-daheim90.com" und "Kasino-daheim389.com". Bei dieser relativ einfachen, aber wirkungsvollen Technik wird ein legitim klingender Name genutzt und dann vielfach variiert. Spammer gehen davon aus, dass die Empfänger eher auf diese Domains klicken als auf zufällig erstellte Namen, die meist keinen Sinn ergeben. Diese Domain-Namen variiert der Spammer durch das Anhängen von Zahlen und wechselt im Laufe der Spam-Kampagne die Domain. Dadurch kann die Klassifizierung des Spams verzögert werden.

Verwendung von Bildern: Spammer können ihre Kampagnen in Bildern verstecken und so versuchen, einfache Filter zu umgehen, welche nur auf textbasierten Spam reagieren.

Variation bei Aktien-Spam: E-Mail-Spam mit dubiosen Aktientipps ist weiter auf dem Vormarsch, und Spammer bringen die Inhalte immer stärker durcheinander, um Filter zu umgehen. Bei einem jüngeren Aktien-Betrugsangriff haben Spammer ihre Botschaft so stark variiert, dass weder der Name des Unternehmens noch das beworbene Tickersymbol korrekt geschrieben war.

"In dem Maße, wie Spam-Filter intelligenter und genauer werden, gehen Spammer bei ihren Attacken auch einfallsreicher zu Werk. Die übertriebenen und manchmal fast schon amüsanten Verfahren, welche Spammer einsetzen, um Spam-Filter zu umgehen, zeigen ihre Verzweiflung", bemerkt Neil Cook, Vizepräsident, Technology Services EMEA bei Cloudmark. "Zwar werden die Angriffe immer ausgefeilter, doch bleibt Cloudmark ihnen durch die wirkungsvolle Kombination von auf Algorithmen basierenden E-Mail-Fingerabdrücken mit einem weltweiten Rückmeldesystem immer einen Schritt voraus, da so Spam unabhängig von Sprache, Format oder Kodierung identifiziert werden kann." (Cloudmark: ma)