Auch Spammer haben Stammkunden

16. Juli 2013, 13:11
5 Postings

Zeitalter der Botnetze vorbei - Gezielte Werbebotschaften auf dem Vormarsch

Ein Ärgernis, das digitale Kommunikation seit langem tagtäglich begleitet, ist Spam. Die nach einer Dosenfleischmarke benannten, unerwünschten E-Mails und Nachrichten werden zwar seit Jahren quantitativ weniger, das dahinter liegende Geschäft floriert aber weiter. Robert Schischka, Leiter des CERT Austria, sowie Wolfgang Breyha, Unix System Administrator vom Zentralen Informatikdienst der Universität Wien sprachen über die Problematik und lieferten teils erstaunliche Erkenntnisse.

750 Milliarden Dollar Schaden

Das Sicherheitssoftware-Unternehmen Norton beziffert den Spamanteil am weltweiten E-Mail-Verkehr mit 90 Prozent, eingehende Nachrichten in das 100.000 Postfächer umfassende System der Wien sind zu 75 bis 90 Prozent Spam. Nortons Cybercrime Report 2012 schätzt den weltweiten Schaden durch Spam alleine pro Jahr auf 50 Milliarden Dollar. Rechnet man die Folgen von Phishing, Datendiebstahl und für Gegenmaßnahmen ein, steigt die Summe auf 750 Milliarden Dollar.

Gezielte Botschaften statt breiter Streuung

Das Geschäft ist immer noch lukrativ, schildert Schischka. Ungezielte, oft via Botnetze versandte Botschaften mit Angeboten werden immer ineffektiver. "Targeted Spam" ist also auf dem Vormarsch. Dabei wird versucht, die Empfänger individueller anzusprechen. Zunehmend in den Fokus rücken dabei soziale Netzwerke, wo frei liegende Nutzerprofile eine gute Basis für automatische Auswertung und zielgerichtete Belieferung sind.

Organisierte Geschäftsmänner

Längst stecken hinter Spam-Attacken keine Einzelpersonen mehr. Das Stereotyp des "nigerianischen Spammers", der mit Lieferversprechen für teure Waren Geld absahnt und auf Nimmerwiedersehen untertaucht, ist kaum aufrecht zu erhalten. Stattdessen scharen die eigentlichen Betreiber Partner (Affiliates) um sich, die mit ihren Botschaften möglichst viele Menschen in den Shop locken sollen und am Umsatz beteiligt werden.

"Spammer sind heute viel mehr organisierte Geschäftsmänner, als Hacker mit Hornbrille", so Schischka. Das Business hat sich professionalisiert, davon zeugt auch der Zukauf von Infrastruktur für eigene Zwecke.

Luxusgüter, Software und Medikamente

Die Produktangebote fallen hauptsächlich in drei Kategorien: Gefälschte Luxusgüter, Software und Pharmazie. In letzterer Abteilung findet sich von Lifestyle-Medikamenten wie der Potenzpille Viagra über Sucht- und Betäubungsmittel bis hin zu gefälschten und echten verschreibungspflichtigen Medikamenten das wohl bunteste Sortiment.

Eine geleakte Datenbank eines Pharma-Spammers hat Sicherheitsforschern einen detaillierten Blick auf das Geschäft über einen Zeitraum von drei bis vier Jahren erlaubt. Wie der Ablauf einer "Bestellung" bei einem Spammer funktioniert, erläutert Schischka anhand einer Viagra-Lieferung.

Internationale Pille

Beim Empfänger landet eine E-Mail, verschickt aus einem Botnetz in den USA. Der enthaltene Link führt auf eine Seite, deren Domain in Russland, Nameserver in China und die Inhalte selbst in Brasilien gehostet sind. Die Zahlung widmet ein türkisches Unternehmen über eine aserbaidschanische Bank ab. Die Warenlieferung selbst trägt einen indischen Poststempel, der eigentliche Produzent bleibt unbekannt.

Zufriedene Wiederkehrer

Ein populärer Irrtum ist, dass bei Bestellungen über Spamshops nichts oder nur wertloses Füllmaterial geliefert ist. Tatsächlich passiert diese Form von Betrug aber nur selten, in der Regel erhält der Besteller die von ihm bezahlte Ware. Bei Medikamenten, so hat man über Testbestellungen ermittelt, handelt es sich zwar oft nicht um Originalprodukte, in den meisten Fällen aber um wirkstoffgleiche Präparate.

"Auch die Untergrundökonomie lebt von zufriedenen Wiederkehrern, also Stammkunden", erläutert Schischka. Diese machen bis zu 30 Prozent des gesamten Kundenstamms aus. Die Ware zu liefern bringe langfristig mehr ein, als sein Opfer zu betrügen und damit auch zu vertreiben. In vier Jahren konnte mit über Spam initiierten Verkäufen zumindest 185 Millionen Dollar verdient werden. Durchschnittlich wurden pro Bestellung deutlich über 100 Dollar ausgegeben.

Phishing auf dem Vormarsch

Während traditioneller Spam abnimmt, wird neben zielgerichteter Werbung auch immer mehr auf Phishing gesetzt – den Versuch Usern über scheinbar vertrauenswürdige Botschaften auf Seiten zu locken, auf welchen sie ihre Daten für ihre Accounts eingeben.

In erster Linie müssen dafür die Rezipienten aber erst einmal erreicht werden. Massenmails aus Botnetzen oder von den Servern bekannter Spamhoster haben dabei nur wenig Chancen.

Drei-Stufen-System an der Uni Wien

An der Uni Wien setzt man auf ein dreistufiges System auf Basis offener Standards und Open-Source-Software. Nachrichten bekannter Spamadressen und solche, die technisch einwandfrei als Spam identifiziert werden können, werden abgewiesen. Nachrichten, die von einem nicht standardkonform konfigurierten Server versandt wurden oder sonst wie verdächtig sind, landen auf einer Greylist.

Diese bedeutet faktisch eine temporäre Abweisung der Nachricht, auf welche Spamserver in der Regel nicht mehr reagieren. Nur Nachrichten, die nach Meta-Analyse der Mail in Ordnung scheinen, werden durchgelotst. Dort untersucht dann ein Scoring-System den Inhalt automatisch auf verdächtige Schlagwörter, Textbausteine und Links. Eindeutige Ergebnisse werden ausgefiltert, unklare Treffer markiert.

Spamtrap

Zur Erforschung der aktuellen Spam-Trends und Aktualisierung der Filter werden von der Uni Wien auch sogenannte "Spamtraps" ausgelegt. Dabei werden bestimmte E-Mail-Adressen und ganze Subdomains absichtlich über verschiedene Kanäle publiziert, um unerwünschte Werbung zwecks Analyse zu erhalten.

Reputationsfrage

Cyberkriminelle versuchen mittlerweile vermehrt, sich Zugriff auf Infrastruktur mit guter Reputation zu verschaffen – entweder durch Phishing oder den Einbruch auf schlecht gesicherte Server verschiedener Unternehmen. Für die dortigen Admins heißt es dann, schnell zu reagieren, um den Ruf der eigenen Infrastruktur nicht zu gefährden. Spamnachrichten, die beispielsweise von einer Uni Wien-Adresse versandt werden, erreichen wesentlich mehr Empfänger als Nachrichten von üblichen Hosts.

Gegenmaßnahmen

Doch wie kann man dem Problem Herr werden? Als Gegenmaßnahmen bieten sich mehrere Vorgangsweisen an. Botnetze werden regelmäßig von Sicherheitsfirmen und großen IT-Unternehmen, oftmals in Kooperation mit Behörden, ausgehoben.

An die eigentlichen Betreiber kommt man aufgrund deren verschachtelter Netzwerke kaum heran, eher möglich ist es, ihre Affiliates dingfest zu machen. Dabei entpuppt es sich als hilfreich, dass nur zehn Prozent der Partner zwischen 75 und 90 Prozent des Umsatzes erwirtschaften. Deren gezielte Ausforschung wirft das Geschäft zurück.

Drehen am Geldhahn

Ein weiterer Ansatzpunkt ist das Zahlungssystem. Das weitaus beliebteste Bezahlmittel sind nach wie vor Kreditkarten. Selbst wenn der am Anfang stehende Zahlungsdienstleister unseriös ist, wollen Banken in der Regel mit derlei Geschäften nichts am Hut haben und drehen den Geldfluss bei Vorlage von Beweisen schnell ab.

Das trifft nicht nur das Geschäft des Verkäufers empfindlich, sondern reduziert das Spamaufkommen deutlich, da die Bewerbung von Waren ohne Zahlungsmöglichkeit keinen Sinn macht. Für den User selbst gelten die bekannten Hinweise: Keine verdächtigen Links anklicken oder gar per Spam empfohlene Produkte kaufen. "Eine gut gemachte Phishing-Mail funktioniert immer noch exzellent", meint Schischka.

Mobiler Spam im Aufwind

Trotz aller Maßnahmen wird uns Spam aber auch in Zukunft begleiten, selbst wenn fortschrittliche Filtersysteme das Problem großteils unsichtbar machen. Schischka und Breyha sind überzeugt, dass das Problem auch bald auf mobilen Plattformen – etwa über diverse Messenger – deutlicher wahrzunehmen sein wird. "Vertrauensvorschuss mag in manchen Dingen gut sein", so Breyha, "ist aber im Internet fehl am Platz." (gpi, derStandard.at, 16.07.2013)

  • Gegen die tägliche Verstopfung des E-Mail-Posteingangs hilft nur ein Spamfilter. Bei Briefpost steht diese Option nicht offen.
    foto: laynecom / sxc.hu/photo/139263

    Gegen die tägliche Verstopfung des E-Mail-Posteingangs hilft nur ein Spamfilter. Bei Briefpost steht diese Option nicht offen.

  • Wolfgang Breyha erklärt das E-Mail-System der Uni Wien.
    foto: derstandard.at

    Wolfgang Breyha erklärt das E-Mail-System der Uni Wien.

Share if you care.