News

Anti-Spam-Software immer häufiger ausgetrickst

Versender von Spam-Mails lassen sich ständig Neues einfallen, um der Filterung zu entgehen. Image-Spam nimmt rapide zu und wird von Sicherheitsprogrammen kaum erkannt.

29.09.2006, 16:46 Uhr
Arbeitsplatz© Brad / Fotolia.com

Wer regelmäßig per E-Mail kommuniziert, hat sie längst kennen und vor allem hassen gelernt: Die schier unendliche Spam-Flut, die tagtäglich in die elektronischen Postfächer schwappt. Erst kürzlich warnten die Experten des Deutschen Anti-Spam-Kongresses des eco Verbands, dass die Gefahr durch die unerwünschten Botschaften mittlerweile besorgniserregende Ausmaße annimmt.
Spam-Filter ausgetrickst
Die Lösungsansätze der Politik, diesem Problem zu begegnen, halten sie für unbrauchbar. So muss jeder Nutzer selbst ran: Um halbwegs sicheren und stressfreien Mail-Verkehr zu erleben, muss eine Filter-Software her, die gut trainiert den Großteil der Spam-Mails aussortieren kann. Immer häufiger findet Spam jedoch eine Lücke, um ins elektronische Postfach zu schlüpfen. Trotz aller Vorsicht finden heute immer mehr Spam-Mails ihren Weg in die Posteingänge.
Einfallsreichtum, gepaart mit krimineller Energie, bringt die Versender ständig auf neue Ideen, die Filter zu umgehen. So steigt seit dem Sommer die Gefahr durch so genannten Image-Spam rapide an. Die Experten für E-Mail und Web-Sicherheit von IronPort warnten bereits vor dem sprunghaften Anstieg von Image-Spam.
Fünf Milliarden Image-Spams täglich
Während der Anteil der Bilder am weltweiten Spam-Aufkommen im Juni 2005 ihrer Studie zufolge noch unter einem Prozent lag, waren es ein Jahr später bereits über zwölf Prozent. Das entspricht einem Versand von rund fünf Milliarden derartiger Nachrichten pro Tag. Davon werden rund 78 Prozent nicht von herkömmlichen Spam-Filtern erkannt. Die gute, alte Viagra-Werbemail ließ sich noch problemlos vom Filter aussortieren. Die meisten Anti-Spam-Technologien basieren auf Mechanismen, die einzelne Wörter in einer Nachricht analysieren. Tauchen verdächtige Begriffe auf, wie eben der Name einer Potenzpille, so wird die Nachricht als Spam klassifiziert.
Viagra in Bildern
Text in Bildern wird jedoch nicht erkannt. Eine Erweiterung dieser inhaltsbasierten Filter ist die Signaturanalyse. Dabei wird das Datenmuster einer Nachricht mit üblichen Spam-Formen verglichen und bei Übereinstimmung herausgefiltert. Image-Spam umgeht die Sicherheitssoftware, indem die Botschaft mit ständig veränderten Bildern eingebunden wird. Darüber hinaus variieren die Inhalte der Spam-Mails generell permanent.
Der Zeitraum, in dem eine angepriesene Spam-URL Bestand hat, hat sich mittlerweile auf vier Stunden verkürzt. Zudem kommen bereits mehr als 80 Prozent der unerwünschten Nachrichten von so genannten Zombie-PCs, die weniger als zwei Monate alt sind. Dabei rotieren die Spam-Versender innerhalb weniger Stunden zwischen den verschiedenen Stationen der Zombie-Netzwerke, so dass sich die IP-Adressen der Absender kontinuierlich ändern.
Image-Spam fällt auf
Auch die Spezialisten für Risiken von E-Mail- und Internet-basierten Bedrohungen der Firma Marshal haben die wachsende Gefahr des Image-Spams erkannt. Sie haben außerdem eine neue Variante dieser Art entdeckt, die entwickelt wurde, um die meisten modernen Anti-Spam-Produkte zu umgehen. Im Gegensatz zu früherem Image-Spam, der die Botschaften mit einem angehängten Bild übermittelte, enthalten aktuelle Versionen mehrere Bilder, die wie Puzzleteile verwendet werden. Der E-Mail-Client des Empfängers setzt die Teile in der richtigen Reihenfolge zusammen und zeigt sie als vollständiges Bild an. Darüber hinaus verwenden die Versender verstärkt unbekannte Bilddateiformate. Beliebte Formate wie GIF und JPG werden durch PNG-Bilddateien ergänzt. "Wir haben Methoden zur willkürlichen Anordnung von Bildern gesehen, die Punkte wahllos im Bild verteilen oder Farben ändern, um Signatur-basierte Anti-Spam-Produkte zu täuschen", so Bradley Anstis, Produkt-Manager bei Marshal. Sein Unternehmen hat daher SpamCensor entwickelt und in der "MailMarshal SMTP 2006" Software integriert.
Neue Technologie muss her
Die Anti-Spam-Technologie erkennt die Image-Spams anhand charakteristischer Muster und Eigenschaften, die nicht mit dem Inhalt des Texts in Zusammenhang stehen. Die Erkennungsrate soll dabei zwischen 97 und 99,5 Prozent liegen, fehlerhafte Einstufungen sollen nur einen Bruchteil ausmachen. Erleichtert werde die Erkennung dadurch, dass Image-Spam so ungewöhnliche Eigenschaften habe, die normale Geschäfts-E-Mails nicht aufweisen.
Auch IronPort verlässt sich nicht nur auf die Inhalts- und Signaturanalyse. Stattdessen betrachtet ihre "Context Adaptive Scanning Engine" (CASE) den kompletten Kontext einer Nachricht, etwa wer die Nachricht von wo gesendet hat, wo Nutzer adressiert werden, wie der Aufbau aussieht und was die Inhalte sind. Allerdings handelt es sich hierbei um Lösungen für Business-Netzwerke.
Filter zum Selberbasteln
Im Privatkundenbereich arbeiten hingegen die meisten Filter mit Inhalt- und Signaturanalysen. Zudem können die Nutzer meist selbst Regeln aufstellen, mit denen Spam anhand bestimmter Kriterien gefiltert wird. Aus der Riege der Mac-User kommt ein Hinweis, wie eine Regel zur Filterung von Image-Spam funktionieren könnte. Den Nachrichten sei nämlich immer gemein, dass sie bei "Content-Type" im Nachrichten-Header "multipart/related" vermerkt hätten. Setzt man nun manuell einen Filter auf diese Eigenschaft, werden die bildbasierten Botschaften aussortiert. Jedoch landen dadurch teilweise auch harmlose Botschaften im Junk-Ordner, wie etwa Newsletter.
Auch Nutzern mit einem E-Mail Postfach bei web.de wird in Sachen Image-Spam geholfen. Sie können sich mit der angebotenen McAfee Internet Security Suite vor reinen Bild-E-Mails oder Nachrichten mit einem hohen Bildanteil schützen. Die integrierten Spam-Filter bei Outlook und Mozilla Thunderbird reagieren bislang nicht auf die bildbasierte Massenwerbung. Sie können aber anhand eines manuell angelegten Filters die Nachrichten aussortieren.

(Aleksandra Leon)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang