Embed Size (px)
Citation preview
Und Sie dachten, Ihr Postfach wäre sicher…
10 Tricks, mit denen Spammer arbeiten
Inhalt
Eine endlose Flut an Spam-Mails 1
Warum gibt es Spam und warum gibt es so viel davon? 2
10 Tricks 1. Trick: Botnets, Zombies und Ihr Netz 32. Trick: Eine Reputation leihen 43. Trick: Auch Spammer können sich
authentifizieren 54. Trick: Wortsalat 65. Trick: Leichte Lektüre 76. Trick: Winzige Schriftgröße 87. Trick: Rechtschreibung 98. Trick: Wie schreibt man \/!AGr/-\ ? 109. Trick: Der Schein trügt 1110. Trick: Social Engineering 12
Wie man Spammern das Handwerk legt 13
SonicWALL Anti-Spam/Email Security-Lösungen 14
30 Milliarden
55 Milliarden
90 Milliarden
120 Milliarden
Juni 2005 Juni 2006 Juni 2007 Juni 2008 Juni 2009
Virus SpamPhishing Virus
NDR SpamVirus Regeln
Phishing Spam NDRPhishing DoSSpam Regeln
DHA SpamSPhishing Spam Virus
Phishing SpamPhishing DoS NDR SpamDHA Virus
Phishing Regeln Phishing Spam Virus
Virus Phishing DoS Spam DoS NDR
Phishing DHA VirusPhishing Spam
140 Milliarden
Spam-Mails sind ein ständiges Ärgernis.
Sie kosten Zeit, beanspruchen Festplattenplatz und können unter Umständen sogar die Netzwerkperformance herab-setzen.
Es gibt hunderte von Firmen, die davon leben, Spam zu bekämpfen – oder zumindest zu reduzieren. Doch die Zahl der unerwünschten Mails nimmt nach wie vor weiter zu.
Eine endlose Flut an Spam-Mails
1
...aber warum gibt es so viel Spam?
Geld Ja, Spammer können mit Spam-Mails Geld verdienen. Die meisten Spam-mer sind Verkäufer, die nach einer Absatzmöglichkeit für ihre Produkte und Services suchen. Der Versand von E-Mails ist billig und obwohl es schwer zu glauben ist, gibt es immer wieder Menschen, die auf Spam-Werbung her-einfallen. Selbst wenn nur ein paar wenige Empfänger auf eine Spam-Mail antworten, lohnt sich das Geschäft für die Spammer. Daher versuchen sie eine möglichst große Zielgruppe zu erreichen, um ihre Antwortquote zu erhöhen.
Die ZielgruppeSpammer betreiben Marketing nach dem „Schrotflintenprinzip“ (bei einer ausreichend großen Streuung ist die Wahrscheinlichkeit groß, einen Treffer zu landen). Demnach ist es kein Wunder, dass es immer mehr unerwünschte E-Mails gibt. Um ihre Erfolgs-Chancen weiter zu verbessern, arbeiten die Spammer ständig an neuen Methoden, um Spamfilter zu umgehen. Auf den folgenden Seiten zeigen wir einige der Tricks, die sich Spammer einfallen lassen, um eine möglichst große Zielgruppe zu erreichen.
2
Warum gibt es Spam und warum gibt es so viel davon?
BotnetEin „Botnet“ ist eine Gruppe gekaperter Computersysteme, die über eine gemeinsame Kontrollstruktur gesteuert wird. Mithilfe der manipulierten Systeme, den sogenannten „Zombies“, können Spam- und Phishing-Mails, sowie Viren und andere Malware versendet werden.
Botnet-AngriffeMit einem Botnet lassen sich Spam-Angriffe mit Millionen von Spam-Mails realisieren. Selbst wenn jeder Zombie pro Angriff nur 1.000 Mails versendet, kommt man bei 10.000 Zombies in einem Botnet schnell auf 10 Millionen Mails.
Die Reputation eines ZombiesWenn ein Zombie eine Spam-Mail versendet, geschieht das über eine zugewiesene Internet-Adresse – der „Absender“-IP-Adresse. Um zu verhindern, dass die IP-Adresse eines Zombies eine „schlechte“ Reputation erhält, versuchen Spammer nicht zu viele Spam-Mails über ein und den- selben Zombie-Rechner zu senden.
1. Trick: Botnets, Zombies und Ihr Netz
3
???
Spammer passen sich an Viele Spamfilter analysieren die Reputation der Absender-IP-Adresse, um Spam-Mails zu blockieren. Spammer „leihen“ sich IP-Adressen mit einer guten oder zumindest mit einer neutralen Reputation, um Systeme auszutricksen, die auf die Reputation der Absender-IP-Adressen vertrauen.
ISP – Spammer richten E-Mail-Konten bei großen und kleinen Internet Service Providern (ISPs) rund um den Globus ein. Schließlich ist es unrealistisch, dass alle E-Mails von einem ISP blockiert werden, weil ein einzelner Benutzer Spam-Mails versendet.
Hacks – Es ist bekannt, dass Spammer bereit sind, für den Zugriff auf gehackte E-Mail-Server Geld zu bezahlen. Sie erstellen innerhalb kürzester Zeit zahlreiche Spam-Mails und verwenden die Reputation des Unternehmens, dessen Server gehackt wurde.
Sie – Oder genauer gesagt Ihr Unternehmen. Ein Zombiesystem in Ihrem Netz-werk kann die Reputation Ihrer Absender-Adresse manipulieren, besonders wenn es dort mehrere Zombies gibt.
2. Trick: Eine Reputation leihen
4
Authentifizierung Im Prinzip wird bei der E-Mail-Authentifizierung nachgeprüft, ob die Domäne, auf die eine E-Mail-Adresse verweist, wirklich von der IP-Adresse des Absender-E-Mail-Servers stammt. Damit das funktioniert, müssen Organisationen einen SPF-Eintrag veröffentlichen, der E-Mail-Empfängern bestätigt, dass eine bestimmte IP-Adresse E-Mails für eine bestimmte Domäne versenden darf.
Wie kann ein Spammer die Authentifizierung um-gehen? n Wird ein SPF-Eintrag nach strengen Kriterien eingerichtet,
können externe Dienstleister (z. B. ein E-Mail-Marketing-Unternehmen) normalerweise keine E-Mails im Namen des Unternehmens versenden. Folglich richten viele Unternehmen Authentifizierungssysteme ein, lassen aber eine Option offen, um über andere IP-Adressen E-Mails versenden zu können (z. B. ein externes Marketing-Unter-nehmen oder ein Spammer).
n Wie alle anderen Internetnutzer auch, können Spammer Domänennamen anmelden und diese einrichten, um sich ordnungsgemäß zu authentifizieren und anschlie-ßend von diesen Domänen aus E-Mails zu versenden.
5
3. Trick: Auch Spammer können sich authentifizieren
„Sind Sie mit Ihrem Liebes-leben unzufrieden?“
www.enhanceyourlovelife.tv
Pomm
es Frites Zool
ogie
Löffe
l
Kuh
Umsc
hlag
fette
n
wun
derb
ar
Zuordnunglöschen
Gefrierschrank beschleunigen
rennen
Servietten
Antilope
4. Trick: Wortsalat
Man spricht von „Wortsalat“, wenn Spammer scheinbar zufällige Wörter zu einer Mail hinzufügen.
Was ist der Trick dabei? n Der Spammer ergänzt die Mail um „zusätzliche“ Wörter,
weil er damit rechnet, dass diese vom Spamfilter des Empfängers gelesen und evaluiert werden.
n Die „zusätzlichen“ Wörter sind unbedenkliche Wörter, die normalerweise nicht in Spam-Mails vorkommen.
n Bei der Evaluierung der Nachricht, gibt es nun mehr unbedenkliche als verdächtige Wörter (wie z. B. „Liebesleben“ und „verbessern“). Wenn die Mail mehr unbedenkliche als verdächtige Wörter enthält, kann es sein, dass der Spamfilter sie als unbedenklich einstuft.
6
5. Trick: Leichte Lektüre
Manche Spam-Mails enthalten zusätzlich zu ihrer eigentlichen Nachricht nicht nur einzelne Wörter, sondern ganze Sätze und Abschnitte. Wie beim „Wortsalat“ geht es auch hier darum, die Evaluierung mit unbedenklichen Wörtern und Sätzen zu beeinflussen. Spammer ver-wenden ganze Sätze, da sie wissen, dass es so schwieriger ist, unbedenkliche Wörter von der Evaluierung des Nachrichteninhalts auszuschließen.
7
„Sind Sie mit Ihrem Liebesleben unzufrieden?”
www.enhanceyourlovelife.tv
Es war eine dunkle und regnerische Nacht. Es war die beste aller Zeiten, es war die schlechteste aller Zeiten.
Es war einmal in einem fernen Land. Ich bin ein Niemand! Wer bist Du? Bist Niemand auch benannt?
Wie ich Dich liebe? Laß mich zählen wie.
6. Trick: Winzige Schriftgröße
Wer liest besser – Sie oder Ihr Computer?Ihr Spamfilter untersucht Ihre E-Mails auf verdächtige Wörter und Sätze und wenn genug verdächtiger Inhalt gefunden wird, kann die Mail als Spam eingestuft werden. Spammer versuchen, diese verdächtigen Wörter und Sätze vor dem Filter zu verstecken. Gleichzeitig versuchen sie den Inhalt für Sie als Empfänger lesbar zu machen und hoffen, dass Sie sich für ihre Produkte und Angebote interessieren.
Der Trick mit der Groß- und KleinschreibungSpammer ändern die Schriftgröße, so dass irrelevante Buch-staben „verschwinden“ und Sie die Nachricht leicht lesen kön-nen. Ihr Computer sieht dagegen nur einen sinnlosen Text.
8
Sie sehen: asdVERBESSERN_SIE_IHR_LIEBESLEBEN
Ihr Computer sieht: asdVERBESSERNd�sd�ohSIE_IHRd_sdfLIEBESLEBEN
7. Trick: Rechtschreibung
Können Sie das lesen?
9
S A P M
S C R A B E L
0TP
SAPM
Dilpom-Studuim: Versbesern Sei Irhe Efolgchansen
Shicern Sii sich ien Dilpom vno einre nicht akrediteirten Univeersiiät auf edr Gurndlage Irher prakitschen Efahruug.
S A P M
S C R A B E L
0TP
SAPM
„Spam-Scrabble“Die meisten Menschen können diesen Text lesen, den der Spammer aus fehlerhaft geschriebenen Wörtern zusammengesetzt hat, damit der Spamfilter die Wörter nicht erkennt.
Einige ÜberlegungenWie viele Ihrer E-Mails würden den Spamfilter passieren, wenn der Text keine Fehler enthalten dürfte?Viele Leute benutzen Akronyme, Abkürzungen oder schreiben ihre E-Mails im Stil einer Chat-Nachricht oder SMS.
8. Trick: Wie schreibt man \/!AGr/-\ ?
10
Optische TäuschungenWie beim Spam-Scrabble geht es darum, verdächtige Wörter zu verbergen. In diesem Fall verwendet der Spammer Symbole, Sonderzeichen und sogar alternative Zeichensätze, um verschiedene Variationen zu erstellen. Mit dieser Methode ergeben sich schätzungsweise 600 Billiarden Möglichkeiten, um das Wort „Viagra“ zu schreiben – Sie müssten ziemlich viele Regeln definieren, wenn Sie es selbst machen wollten!
Sie glauben, Sie sehen:
VIAGRAPROZAC
CIALIS
Tatsächlich steht da:
\/!ÄGRÂPRÓZÄÇ
Ç!ÄLÌŠ
11
Tricks mit BildernObwohl Bilder manchmal gleich aussehen, sind sie es oft nicht. Kleine Veränderungen reichen aus, damit sich Bilder voneinander unterscheiden.
9. Trick: Der Schein trügt
KAUF MICH www.cheapdrugs.tv
ERSTER TAG POSTFACH: Sie erhalten eine Spam-Mail mit Bild.
Das Layout des Bildes ist um ein oder zwei Pixel verändert.
Der Hintergrund ist nicht mehr weiß, sondern transparent.
Die Bildgröße hat sich um ein oder zwei Prozent verändert.
SIE: löschen die Mail
ZWEITER TAG POSTFACH: Sie erhalten die „gleiche“ Spam-Mail mit Bild
SIE: löschen die Mail wieder
DRITTER TAG POSTFACH: Sie erhalten die „gleiche“ Spam-Mail mit Bild
SIE: löschen die Mail jetzt aber wirklich
VIERTER TAG POSTFACH: Sie erhalten die „gleiche“ Spam-Mail mit Bild
SIE: rufen jetzt die IT-Abteilung an
KAUF MICH www.cheapdrugs.tv
KAUF MICH www.cheapdrugs.tv
KAUF MICH www.cheapdrugs.tv
Was ist anders?
12
Bei den meisten Tricks versuchen die Spammer den Spamfilter zu umgehen, indem sie das System austricksen. Beim Social Engineering läuft es genau andersherum – die Spammer versuchen sich für einen rechtmäßigen Benutzer auszu-geben, damit sie den Spamfilter passieren können und zum Postfach gelangen.
Unerwünschte FreundeDer Computer einer Ihrer Freunde wird attackiert und Ihr Name befindet sich in seinem Adressbuch? Oh je! Der Name Ihres Freundes steht auf Ihrer weißen Liste? Oh je, oh je!
PhishingPhisher versenden fingierte Mails, die den Anschein er-wecken, von Ihrer Bank oder einer anderen vertrauens-würdigen Quelle zu stammen. Damit versuchen sie an Informationen zu Ihrem Konto, an Finanzdaten oder sogar an Daten zu Ihrer Identität zu gelangen.
Extra, ExtraSpammer schreiben häufig aktuelle Nachrichten in die Betreffzeile. Das lässt die Mail nicht nur seriöser erscheinen, sondern macht uns häufig neugierig, so dass wir die E-Mail öffnen.
Spam im AnhangSpammer hängen echte PDF-Dokumente oder ähn-liche Dateien an eine Spam-Nachricht an. In der eigentlichen E-Mail gibt es wenig Inhalt, außer viel-leicht einen kurzen Text wie „Schau Dir das an“, oder „Umsatzprognose für das 3. Quartal“.
10. Trick: Social Engineering
13
Wie man Spammern das Handwerk legt
ReputationsanalyseHierbei wird die Reputation vieler E-Mail-Attribute abgefragt, u. a. die Absender- IP-Adresse, der Inhalt, Links/URLs, Bilder, Anhänge und die E-Mail-Struktur.
InhaltsanalyseEffektive Methoden wie die Bayes’sche Filtertechnologie, lexikografische Verfrem-dung, Bildinferenz-Analyse und einfache Kontrollen wie weiße/schwarze Listen und SPF-Kontrollen werden kombiniert, um eine E-Mail gründlich zu prüfen und seine eigentliche Bestimmung zu ermitteln.
Spam wird so lange in unseren Postfächern landen, bis es sich für die Spammer nicht mehr lohnt oder bis es effektive Präventionsmethoden gibt, die von allen Nutzern einge-setzt werden. Es gibt keine einzelne Technologie, mit der sich alle Spam-Mails stoppen lassen. Vielmehr ist es so, dass Spammer in der Vergangenheit immer Möglichkeiten ge-funden haben, um funktionierende Abwehrmechanismen zu überlisten. Daher sind kom-binierte Spam-Maßnahmen auf lange Sicht die beste Lösung. Diese Maßnahmen lassen sich in zwei Gruppen aufteilen:
1
2
14
SonicWALL Comprehensive Anti-Spam ServiceSicherheitsservices für Firewalls der TZ-, Network Security Appliance (NSA)- und E-Class NSA-Serie zur Bekämpfung von Spam-Mails, Phishing-Angriffen und Viren.
SonicWALL Email Security für Small Business Server Schutz für ein- und ausgehende E-Mails für Windows SBS- und Windows EBS-Umgebungen.
SonicWALL Email Security SoftwareDie Software bietet umfassenden Schutz vor ein- und ausgehenden E-Mails und lässt sich auf einem Windows-Server installieren.
SonicWALL Email Security ApplianceDie gehärtete Appliance bietet umfassenden Schutz vor ein- und ausgehenden E-Mails.
SonicWALL Anti-Spam DesktopClientbasierter Schutz vor Spam- und Phishing-Mails für Outlook, Outlook Express und Windows Mail.
SonicWALL bietet eine große Auswahl an erstklassigen, mehrfach ausgezeichneten E-Mail- Sicherheitslösungen, die für einen Benutzer bis hin zu einer Million Anwender ausgelegt sind.
SonicWALL Anti-Spam/Email Security-Lösungen
©2009 SonicWALL, das SonicWALL-Logo und Protection at the Speed of Business sind eingetragene Marken von SonicWALL, Inc. Alle anderen hier erwähnten Produktnamen sind Eigentum der jeweiligen Inhaber. Änderung technischer Daten und Produktbeschreibungen ohne vorherige Ankündigung vorbehalten. 07/09 SW 680
Weitere Informationen n Laden Sie das Whitepaper „The SonicWALL GRID Network: Collaborative Cross-vector Protection for Email Security“ herunter.n Laden Sie das Whitepaper „Building a Better Spam Trap” herunter.n Weitere Produktinformationen n Lassen Sie sich unseren SonicWALL-Newsletter zuschicken.
Wenn Sie uns Feedback zu diesem E-Book, anderen E-Books oder Whitepapers von SonicWALL geben möchten, senden Sie eine E-Mail an folgende Adresse: [email protected].
Über SonicWALLAls führender IT-Sicherheitsanbieter sorgt SonicWALL mit seinen intelligenten und dynamischen Service-, Software- und Hardware-Lösungen für den reibungslosen Betrieb von High-Performance-Unternehmens-netzen und senkt nicht nur die Risiken und Kosten, sondern auch die Komplexität. Weitere Informationen erhalten Sie auf unserer Website unter www.sonicwall.com/de.
