Spam - Die Tricks der Spammer und die

SPAM
Die Tricks der Spammer und die Gegenmittel
v1.2
Für das
Digital-Library Projekt
- digilib.happy-security.de -
Erstellt von der
Parallel Minds Cooperation
- www.paramind.info -
Geschrieben von [ CONVEX ]
Seite 1
Vorwort:
Für Behörden und grossen Unternehmen, sowie auf für auch viele mittelständische
Unternehmen ist das Thema Spam-Prävention inzwischen ein fester Beststandteil der
täglichen Arbeit geworden. Geht man nach Schätzungen von „The Spamhaus Project“
sind etwa 80% des E-Mail Verkehrs auf Spam zurückführen. Die Spam-Prolematik ist an
sich, wenn sie nicht eine so Zeit-, Geld- und Ressourcenfressende Angelegenheit wäre,
ein recht spannendes Thema. Tatsächlich ist das Thema derart komplex geworden, dass
man hierzu ein ganzes Buch schreiben könnte. Eine interessante Studie zum Thema
Spam hat das Bundesamt für Sicherheit herausgegeben
(www.bsi.de/literat/studien/antispam/antispam.pdf).
Dieses Dokument gibt u.a. eine kompakte Übersicht auf die Praktiken von Spammern
wieder und zeigt bewährte Möglichkeiten zur Vermeidung von Spammails bei den
Anwendern. Dieser Bericht basiert auf eigenen Beobachtungen und Erfahrungen bei der
Arbeit in verschiedenen Behörden, wo Spam-Prävention ein heikles Thema ist, da
sensible Bereiche wie Daten- und Virenschutz berührt werden. Bei einem Mailverkehr von
fast einer Million e-Mails pro Woche, die manche Behörden zu bewältigen haben, ist
tatsächlich zu beobachten, dass fast 80% davon auf Spammails zurückzuführen sind.
Zum Verständnis:
Was ist Spam? Mit Spam bezeichnet man die Menge aller unerwünschten und
belästigenden Mails, zu denen in der Regel unseriöse Werbemails gehören.
Die dafür verwendete Bezeichnung "Spam" leitet sich dabei von einem Sketch aus der
englischen Comedy-Serie "Monty Phyton" ab, in dem ein Restaurant-Besucher dadurch
geplagt wird, das sich in jedem Essensgericht Spam befindet und die restlichen Gäste
lauthals ihre Lobeshymnen auf Spam besingen, so dass kein ordentliches Gespräch mehr
zustande kommt.
SPAM ist übrigens eine Abkürzung für Spiced Pork and HAM, in deutschen Landen auch
besser bekannt als "Sülze".
Wie gehen Anti-Spam Filter vor?
Inzwischen liegen verschiedene Methoden und Strategien zur Bekämpfung von
Spammails vor. Moderne Anti-Spam Tools kombinieren inzwischen mehrere Methoden,
um Spammails korrekt identifizieren zu können und sie von regulären Mails zu trennen.
Hier eine Auflistung und Beschreibung der einzelnen Methoden:
Name
Blacklists
Beschreibung
In einer sog. Schwarzen Liste
werden E-Mail-Adressen gesammelt,
die dafür bekannt sind, von
Spammern verwendet zu werden.
Damit können Mails, die von
bestimmten Absendern stammen,
direkt ausgefiltert werden.
Seite 2
Bemerkungen
Da Spammails i.d.R.
gefälschte AbsenderAdressen verwenden,
sind Blacklists nicht
unbedingt effektiv.
Ausserdem verwenden
die meisten Spammer
eine Absender-Adresse
nie zweimal.
Whitelists
In einer sog. Weißen Liste werden
die E-Mail-Adressen eingetragen, die
als vertrauenswürdig gelten. Nur
Mails mit gültigen, in der whitelist
eingetragene Absenderadressen
werden durchgelassen.
Im Grunde ein
Authentifizierungsverfahren, das
eine E-Mail an den unbekannten
Absender schickt, mit der Bitte sich
zu identifizieren und eine
Bestätigungsmail mit einem
Challenge Response
entsprechenden Betreff
zurückzuschicken. Erst bei einer
korrekten Erwiderung kann die
unbekannte Mail in eine whitelist
eingetragen werden und wird
daraufhin dem Empfänger zugestellt.
Da es häufig der Fall ist, dass SpamMails ungültige Absenderadressen
verwenden, können Mails ausgefiltert
Reverse LookUp
werden, sofern die verwendete
Domain nicht existiert oder an der
Domain kein aktiver Mail-Server
anhängt.
Analysiert den E-Mail Header und
versucht in Stellen wie der Von-, An
und der Betreffzeile, sowie auch an
weiteren Stellen des Headers,
Header-Filter
bestimmte Muster zu finden, die für
eine Aussortierung der Mail sorgen.
Damit auch legitime
Kontaktsuchende eine
Chance bekommen, um
in die whitelist
aufgenommen zu
werden, kann ein
Challenge Response
Verfahren angewendet
werden.
Theoretisch dürfte auf
eine Spammail keine
Rückbestätigung zu
erwarten sein. Es stellt
sich jedoch die Frage, ob
jedoch auch ein legitimer
Absender bereit ist, sich
auf ein Challange
Response einzulassen.
Kann unter Umständen
eine Menge ServerRessourcen verbrauchen.
Stellt ein nützliches
Werkzeug bei der ersten
Vorab-Filterung
eingegangener Mails dar.
Als alleiniges Mittel zur
Spamprävention sind
Header-Filter nur wenig
effektiv.
Der Inhalt einer Mail wird nach
Über eine vorgegebene
Schlüsselwörtern durchsucht.
Wortliste, die man selbst
verändern oder erweitern
kann, wird eine Mail nach
verräterischen
Schlüsselworten
Statische Wortfilter
durchsucht. Ist die Suche
positiv, wird die Mail
ausgefiltert. Das können
Worte wie Viagra,
Schnellkredite oder
"Blind Date" usw. sein.
Lernende Filter, die nach für
Stellen momentan das
Spammails charakteristischen
effektivste Mittel zur
Bayes-Filter
Wortzusammenstellungen suchen.
Erkennung von
Spammails dar.
Vorgegebene Schlüsselworte können Mit dem umgekehrten
dazu dienen, Mails direkt für legitim Weg zu ausschliessenden
zu erklären.
Wortfiltern, versucht man
Magnete
hier Mails direkt für den
Empfänger zugänglich zu
machen, wenn
Seite 3
bestimmte Schlüsselworte in der Mail fallen
und dessen Legitimität
bestätigen.
Beispielsweise kann das
Vorhandensein des
Namens eines vertrauten
Geschäftspartners von
vornherein ausschliessen,
dass Spam vorliegt.
Durch Magnete brauchen
diese Mails nicht
analysiert und bewertet
zu werden, die
Möglichkeit für
Positivtreffer wird
reduziert.
Welche Tricks benutzen Spammer?
Genauso wie es viele Methoden gibt, um Spammails auszufiltern, gibt es eine Vielzahl an
Methoden, um deren eindeutige Erkennung zu umgehen. Die folgende Liste enthält eine
Reihe beliebter Methoden, um Spammails als eine reguläre Mail zu maskieren und die
Strategien, um Spammails zu verbreiten und verräterische Spuren zu verwischen.
Vorgehen
Ziel
Fremden Proxy
Open Relay
nutzen, um
Proxy
darüber Mails zu
Hijacking
verteilen
Fremden SMTPServer nutzen,
Open Relay
SMTP Hijacking um darüber Mails
zu verteilen
Mailback-Scripte,
die auf diversen
Unsichere
Websites laufen,
Mailback
werden
Scripts
missbraucht um
darüber Mails zu
verteilen.
Mit Hilfe von
Wörterbüchern
gültige
Emailadressen
erzeugen.
WörterbuchAttacke
Beschreibung
Nicht sorgfälitg konfigurierte Proxies leiten meist
jede TCP-Verbindung weiter und werden gerne von
Spammern für SMTP-Transaktionen missbraucht.
Nicht sorgfältig konfigurierte SMTP-Server können
Mails aus externen IP-Adressbereichen weiterleiten.
Solche sogenannten Open-Relays sind beliebte
Opfer für Spammer.
Unsichere Scripte erlauben die Ausführung von
Shellbefehlen auf dem Server. Sogenannte
Spambots scannen zugängliche Web-Verzeichnisse
nach solchen Scripts.
Eine Vorgehensweise von Spammern ist es, Namen
und Wörter aus Wörterbüchern zu ziehen, um diese
dann als Absenderadresse zu verwenden. In der
Hoffnung, möglichst viele Treffer zu erzielen und
nicht von Adressenhändlern abhängig zu sein.
Wörterbuch-Attacken haben als natürlichen
Nebeneffekt, dass zahlreiche ungültige Adressen
erzeugt werden. Als Folge davon muss der
betroffene Mailserver ständig Error-Mails an den
"vermeintlichen" Absender zurück zu schicken.
Dieser sogenannte Bounce-Effekt frisst nicht nur
jede Menge Ressourcen, im Falle einer gefälschten
Absenderadresse, die tatsächlich existiert, kann im
Extremfall der Mailserver des Empfängers seinen
Dienst quittieren. Für Spammer sind es so oder so
Seite 4
meist akzeptable Kollateralschäden.
Der Verzeichnis-Angriff ist die etwas unauffälligere
Variante der Wörterbuch-Attacke. Anstatt eine
komplette Spammail ins Leere laufen zu lassen,
verwerten manche Adressensammler erstmal nur
die SMTP-Dialog Fehlerantworten. Bevor über das
Protokoll eine Mail an einen Server verschickt wird,
Directory
muss zuerst überprüft werden, ob die
Empfangsadresse gültig ist. Dies geschiet über eine
Harvest Attack
/
"delivery attempt"-Anfrage. Emailserver sind so
Verzeichnisprogrammiert, dass bei Nicht-Vorhandensein einer
Angriff
Adresse eine Fehlermeldung vom Typ Error 500
ausgegeben wird. Für den Adressensammler sind
nur jene erzeugten Adressen verwertbar, auf die es
kein Fehler-Feedback gibt. Nachdem das ganze
Verzeichnis der auf dem Server vorhanden
Emailadressen durchsucht wurde, können danach
gezielt Spammails verschickt werden.
Blacklists
Einmal in eine Blacklist aufgenommen, ist eine
umgehen durch
Spam-Absenderadresse nicht mehr von Nutzen.
automatische
Durch einfache Variationen versucht man diese
Generierung
Restriktionen zu umgehen. Sofern nicht die ganze
Nummerische
verschiedener
Domain gesperrt ist, können über Programme
Adressformate
Absenderadressen beliebig viele gültige Adressen erzeugt werden. Das
.
würde dann in etwa so aussehen:
[email protected]; [email protected];
[email protected];...
Spuren
Links bzw. URLs können in ein anderes gültiges
verwischen durch Format umgewandelt werden. Ohne
Kodierung
Hintergrundwissen, sind diese Angaben für Laien
verräterischer
nicht zu entziffern. Tatsächlich sind Mischformen
URLs
denkbar, die auch zur als alternative IP-Adresse
anwendbar sind.
 Dezimale IP-Adresse
URL Encoding
http://7763631671
 Hexadezimale IP-Adresse
http://0xD186A123
 Octale IP-Adresse
http://0321.0206.0241.0043
 Escaping;
siehe nächste Zeile
Spuren
Mit dem als Escaping bezeichneten Verfahren wird
verwischen durch über vorangesetzte Prozentzeichen und
Kodierung
nachfolgende Hexadezimalwerte jedes einzelne
verräterischer
Zeichen einer kompromitierenden URL kodiert. Eine
URLs
derart kodierte URL kann dann so aussehen:
http://%77%77%77%2E%70%61%72%61%6D%69%6E
Escaping
%64%2E%64%65 .
Charakteristisch die Zeichenfolge "www" die mit
drei "%77"-Folgen kodiert wird. Diese Form der
Kodierung wird vom Browser akzeptiert und intern
interpretiert.
Spuren
spammer@123456789 Sollte die URL ein @verwischen durch Zeichen enthalten, einfach alles was links davon
Kodierung
steht ignorieren. Dieser "Trick" wird meist
Der @-Trick
verräterischer
verwendet um den unwissenden User zu verwirren.
URLs
Auch hier sind Mischformen mit anderen URLEncoding Methoden denkbar.
Gültige
Emailadressen
durch
Fehlerantworten
des SMTP-Servers
herausfinden.
Seite 5
Forgery /
Fälschen
Personalisierte
Nachrichten
oder
provokative
Betreffzeilen
Spuren
verwischen
Interesse
erwecken durch
vermeintlich
"wichtige"
Mitteilungen.
Austricksen von
Anti-Spam
Programmen.
Hashbusters Umgehen von
Header-Filtern
und allgemeinen
Wortfiltern.
Absichtlich
eingebaute
Schreibfehler Schreibfehler
sollen ContentFilter austricksen.
Austricksen von
Anti-Spam
Programmen.
Umgehen von
Mime-kodierte
Wortfiltern.
Nachrichten
HTMLEinfügungen
Austricksen von
Anti-Spam
Programmen.
Umgehen von
Wortfiltern.
Gültige Adressen
in Erfahrung
bringen, um an
diese später
Spammails
Beacon URLs / verschicken zu
Rückmelder
können
Unsubscribe
Links
Gültige Adressen
in Erfahrung
bringen, um an
diese später
Spammails
verschicken zu
können
Email Header, speziell die Absenderadresse, ist in
Spammails oftmals gefälscht, eine Rückverfolgung
kaum möglich.
Durch geschickt gewählte Betreffszeilen soll der
User zum Lesen der Mails "verführt" werden.
Beispiele dafür wären:
"Lange nichts mehr von Dir gehört!"
"Sie werden beobachtet"
"Sie haben gewonnen!"
"Letzte Mahnung"
Zufällige Zeichen oder Zeichenketten werden in der
Betreffszeile oder im Body der Mail verwendet und
umgehen so die Filterregeln von Anti-SpamProgrammen.
Beispiel: H/\RD P0rn, \/1rg1n 5EX
Schlüsselworte wie Viagra oder Direktversand
lassen Wort-Filter Alarm schlagen. Doch durch
gezielte Schreibfehler können diese Filter
umgangen werden.
Beispiel: Viaggra, Direktversannd
Nachrichten im Body-Teil der Mail werden Mimeverschlüsselt. Mit dieser Vorgehensweise sollen
wohl vor allem Netzwerk basierende Anti-Spam
Programme getäuscht werden. Man geht davon
aus, dass die Spam-Filter den Inhalt der Mail
analysieren und wahrscheinlich nicht Mimeentschlüsseln (Dies geschieht i.d.R erst beim
Empfänger). Auf diese Weise wird nur ein
unverfänglicher Zeichensalat geprüft.
Je nach Einstellung und dem verwendeten
Mailclient oder Browser werden HTML-typische
Notationen verwendet, um Wortketten
aufzubrechen und für Wortfilter unbrauchbar zu
machen. Auf dem Bildschirm werden diese nicht
interpretierbaren Einfügungen ausgeblendet.
Beispiel:
Ero<asdsf>tische<dsdfa> Pho<dsfsa>tos
Es gibt verschiedene raffinierte Methoden, um über
HTML-Mails oder Websites an gültige Adressen zu
kommen. So kann schon durch das Nachladen von
Grafiken die eigene E-Mail-Adresse an den
entsprechenden Server übermittelt werden, wenn
der Aufruf über "anonymes FTP" realisiert wird. Ist
in den Browser-Einstellungen die eigene E-Mail
Adresse vermerkt, könnte diese automatisch
ausgelesen werden.
Beispiel:
<IMG SRC="ftp://ftp.spamserver.de/grafik.gif"
WIDTH="1" HEIGHT="1">
Hier wird dem Empfänger vorgegaukelt, in einer
Mailingliste zu stehen. Um sich von dieser Liste
abzumelden, wird gebeten eine entsprechende
Antwortmail zurück zu schicken. Dies ist jedoch
eine Falle. Die Mailingliste existiert nicht und eine
Antwort bestätigt einem Adressensammler nur die
Gültigkeit der Adresse. Unbekannte Mailinglists-
Seite 6
Bilderspam
Verzerrter
Bilderspam
Mails mit
unsinnigem oder
neutralem Inhalt,
werden mit
Bildern versehen,
in denen die
SpamNachrichten
sozusagen
visualisiert sind.
Um das Erkennen
von Bilderspam zu
umgehen, werden
die Bilder so
entstellt, dass
momentan nur
menschliche
Intelligenz diese
zu entziffern
vermag.
Anschreiben sind am besten sofort zu löschen.
Mir dieser relativ neuen Masche wird versucht die
Spamfilter zu umgehen, indem Spamnachrichten in
Bildern dargestellt werden. Inzwischen ziehen
Hersteller von Spamfiltern nach und statten ihre
Produkte mit der Fähigkeit aus, Bildtexte
auszulesen und so darin enthaltenen Spam per
Prüfsumme oder per OCR (optical character
recognition), wie sie bislang erfolgreich bei
Scanneranwendungen zum Einsatz kommt,
erkennen zu können.
Das Verfahren mit Prüfsummen kann so umgangen
werden, dass in einem automatisierten Verfahren
die erzeugten Spambilder mit minimalen
Änderungen erzeugt werden. So kann es
ausreichen, einfach nur ein Pixel eines Bildes in
einer anderen Farbe darzustellen, um die
Prüfsumme zu verändern. OCR-Verfahren werden
mit Störeinflüssen und verzerrten Texten aus dem
Tritt gebracht.
Anti-Spam Tools
Bisherige Tests weisen auf, das eigentlich keines der auf dem Markt erhältlichen AntiSpam Tools oder Plug-Ins in der Lage ist, 100% der ankommenden Spammails
abzublocken oder im umgekehrten Fall nicht in der Lage ist zu verhindern, sich mal einen
oder gar mehrere Positivfehler zu erlauben und eine reguläre Mail als Spammail
einzuordnen. Zumindest aber erreichen einige Produkte schon eine Zuverlässigkeit von
über 95%.
Je nach Anforderung sind aber unterschiedliche Programme für den privaten Nutzer und
für Nutzer eines internen Netzwerkes aus unserer Sicht zu empfehlen. Für die zur Zeit
uns bekannten Spamtricks und den von uns bekannten Anti-Spam Tools bieten sich
folgende für die folgenden Benutzergruppen an:
Die Privatlösung
Für den einzelnen Heimanwender hat sich u.a. Thunderbird hervorgetan. Ein OpenSource Mailclient, der leistungsfähige Mittel zur Ausfilterung von Spammails mit sich
bringt, keinen Cent kostet und nach entsprechendem Training des Bayes-Filters den
Benutzer sehr wirkungsvoll vor der Flut von Spammails schützen kann.
Thunderbird v1.4 - Leistungsmerkmale:
 Hohe Portabilität (Windows 95, 98, NT, ME, 2000, XP, Linux, Mac OS X)
 Beherrscht alle wichtigen Anti-Spam-Techniken
 Effektiver Bayes-Filter (Sehr gute Lernleistung)
 Zukunftssicher, da es ständig weiterentwickelt wird
 Einfach in der Handhabung
 Kostenlos erhältlich
 Open Source
Seite 7
Die Firmenlösung
Mit der Aufgabe, einen effektiven Spamschutz für eine öffentliche Institution einzuführen,
wurden verschiedene Programme auf Effizienz und Wirtschaftlichkeit hin untersucht.
Dabei wurde vorausgesetzt, dass für die 150 Mitarbeiter Outlook 2000 (inzwischen auf
2003 migriert) als Mail-Client erhalten bleiben sollte.
Ein Teil der Spammails konnte schon auf Serverbasis vom verwendeten Antiviren-Schutz
geblockt werden, der zu seinem Funktionsumfang einen statischen Wortfilter und eine
editierbare Blacklist zählt und ausserdem angehängte Dateien mit bestimmten Endungen
verbieten konnte.
Denoch lief hier noch ein grosser Anteil an Spammails bei den Mitarbeitern ein. Die
Lösung, die in dieser Situation als am komfortabelsten angesehen wurde, war die
Verwendung eines Anti-Spam Plug-Ins. Outlook 2000 besitzt zwar Optionen, um Junkbzw. Spammail abzublocken, jedoch sind diese recht rudimentär und beschränken sich
auf die Anwendung einer editierbaren Blacklist.
Ins Auge gefallen ist uns das SpamBayes Open-Source Projekt. Unter Python
programmiert, stellen die Entwickler ein Plug-In zur Verfügung, das mit Outlook 2000,
2002 und XP und 2003 arbeitet. Im Praxiseinsatz hat sich gezeigt, das Spambayes seine
Arbeit sehr gut erledigt. Es wird seit Jahren beständig weiterentwickelt und benötigt im
durchschnitt nur eine zweiwöchige Trainingsphase, bevor es sich selbstständig ans Werk
macht und erkannte Spammails automatisch in einen Spamordner verschiebt. Der
Anwender kann dann selbst entscheiden, ob und wann er den Spam-Ordner entleeren
will.
Bei einer Deinstallation von SpamBayes sollte darauf geachtet werden, dass Outlook
nicht im Hintergrund laufen darf.
SpamBayes Outlook v1.0.4 - Leistungsmerkmale:
 Hohe Portabilität (Windows 95, 98, NT, ME, 2000, XP / Outlook 2000, 2002(XP), 2003)
 Beherrscht alle wichtigen Anti-Spam-Techniken
 Effektiver Bayes-Filter (sehr gute Lernleistung)
 Relativ einfach in der Handhabung
 Kostenlos erhältlich
 Open Source
Wieso eigentlich nicht eine zentrale Lösung anwenden, die auf Server-Basis
filtert?
Klingt gut und würde den Benutzern das Trainieren und Einordnen der jeweiligen Mails
abnehmen. Ein entsprechend trainierter Bayes-Filter kann aber unter Umständen nur für
einen Benutzer effektiv arbeiten. In einem Netzwerk, bei dem mehrere hundert
Teilnehmer verschiedenste Arbeiten und Themenschwerpunkte ausführen, können die
jeweils benötigten Filter-Regeln stark variieren.
So empfangen Personal-Sachbearbeiter thematisch ganz andere Mails als technische
Mitarbeiter, wie etwa Administratoren. Leicht kann es da vorkommen, dass beispielsweise
eine Mail mit einer Auflistung an Krankheiten, die als Referenz für entsprechende
Formulare gedacht war, als Spam eingestuft wird, da die Vorgaben der technischen
Mitarbeiter solche Themen nicht vorsehen und leicht zu verwechseln sind mit Angaben
aus Spammails für Gesundheitspillen oder Pornoangeboten.
Eine serverbasierte Lösung ist wohl nur für kleinere oder zumindest eher für thematisch
ähnlich arbeitende Betriebe zu empfehlen. Dennoch scheint dies für einige Institutionen
kein Hinderungsgrund zu sein, um doch voll und ganz auf aufwändig zu konfigurierende
Seite 8
Server-Lösungen zu setzen. Dies bedeutet jedoch, dass hierfür Arbeitsstellen geschaffen
werden müssen, um ständig Anpassungen an den Filtern vorzunehmen.
Regeln für E-Mail Clients
Um schadhaften Mails vorzubeugen, empfiehlt es sich, nach Möglichkeit folgende Regeln
für E-Mails Clients einzustellen.
Keine eingebetteten Grafiken automatisch landen
Keine JavaScripts oder anderen ausführbaren Code automatisch ausführen
Keine anderen Programme (wie beispielsweise Web-Browser) automatisch ausführen
Keine angefügten Dateien automatisch öffnen, oder überhaupt öffnen. (Stattdessen so
einstellen, dass die Datei irgendwo abgespeichert werden muss, um sie dann selbst
auszuführen.)
 Jegliche Netzwerk-Aktionen blocken oder bestätigen lassen, abgesehen von denen, um
die Mail von der eigenen Mailbox abzuholen oder Mails hinaus zu schicken. Dies
bewahrt vor der Gefahr, Opfer von sog. Beacon URLs oder anderen Mitteln zu werden,
die Informationen an den Spammer zurückschicken können.




Begriffe
Ham:
Umgangssprachlich für legitime Emails. Also das Gegenteil von Spammails.
Open (Third Party) Relay:
Mailserver, die ohne Autorisation Mails weiterleiten, egal von welcher Quelle sie
herstammen.
UCE:
Steht für Unsolicited Commercial Email und bezeichnet eine unerwünschte Werbung, die
man per E-Mail erhalten hat.
UBE:
Steht für Unsolicited Bulk Email und bezeichnet massenhaft verschickte UCE.
MMF:
Steht für Make Money Fast und bezeichnet per E-Mail organisierte Schneeballsysteme
oder Kettenbriefaktionen.
Seite 9