Teil von  SELFPHP
  +++ SELFPHP CronJob-Service :: Jetzt auch als Professional-Version verfügbar! +++



:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: SELFPHP Forum ::

Fragen rund um die Themen PHP? In über 120.000 Beiträgen finden Sie sicher die passende Antwort!  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

:: Qozido ::

Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.   

 
 
Wissenswertes über Spam


Internet Security / Wissenswertes über Spam / Spam Technologien

Moderne Spam-Technologien

Gegenwärtig nimmt der Spam-Versand außerordentliche Maßstäbe an. Täglich werden in der Welt Milliarden Spam-Mitteilungen verschickt (ca. 40 - 70 % der gesamten elektronischen Post). Diese Maßstäbe erfordern wesentliche Investitionen in die Entwicklung der Versand-Technologien.

Die Technologie-Kette der Spammer sieht folgendermaßen aus:

  1. Sammlung und Verifikation der E-Mail-Adressen der Empfänger, Klassifizierung der Adressen nach Typen
  2. Vorbereitung der Plattformen - der Server und/oder individuellen Computer - für den Spam-Massenversand
  3. Programmerstellung für den Massenversand
  4. Suche nach Klienten
  5. Entwicklung geeigneter Texte für konkrete Versand-Aktionen
  6. Durchführung des Versands

Jeder einzelne Schritt dieser Technologie-Kette kann unabhängig von den anderen durchgeführt werden.

Einrichtung einer Adress-Datenbank

Der erste Schritt im Spammer-Geschäft ist die Erstellung einer E-Mail-Datenbank. Die Einträge enthalten jedoch nicht nur die Adressen der potentiellen Empfänger, sondern auch diverse Informationen zur geographischen Lage, zum Tätigkeitsbereich (insbesondere für Unternehmen) oder zu den persönlichen Interessen (bei Einträgen von Einzelpersonen). Die Datenbank kann die Adressen spezieller E-Mail-Provider beinhalten, solche wie Yandex, Hotmail, AOL etc. oder diverser online Service-Anbieter wie PayPal oder eBay.

Nachfolgend aufgelistet finden Sie eine Reihe typischer Spammer-Methoden für die Sammlung der Empfänger-Adressen:

  • Adressen - Spoofing nach Eigennamen aus Wörterbüchern oder nach häufigen Wort-Zahl-Verbindungen: john@, destroyer@, alex-2@
  • Adressen - Spoofing nach der Analog-Methode: wenn es Joe.User@hotmail.com gibt, dann macht es durchaus Sinn nach joe.user@yahoo.com oder @aol.com, @Paypal zu suchen
  • Scannen aller zugänglichen Informationsquellen - Webseiten, Foren, Chats, Usenet News, Whois-Datenbanken - nach den Wortkombinationen (z.Bsp. Wort1@Wort2.Wort3... (wobei dabei am Ende der Kombination die Haupt-Domäne erscheint, wie - .com, .ru, .info usw.)
  • Datenraub von Datenbanken der Web-Service-Anbieter, Provider usw.
  • Datenraub von persönlichen Angaben der Anwender durch Trojaner und andere Schadprogramme

Beim Scannen zugänglicher Informationsquellen (3. Methode) kann man versuchen, den Interessenkreis der gegebenen Quelle zu definieren. Dadurch erhält man thematisch geordnete Datenbanken. Im Falle des Diebstahls der Providerdaten erhält man ziemlich oft zusätzliche Informationen über den Anwender, was wiederum eine Personalisierung ermöglicht.

Der Diebstahl der persönlichen Daten der Anwender, wie der Adressbücher der Mail-Klienten oder anderer persönlicher Daten, ist schon ziemlich lange verbreitet. Die Massen - Epidemien der letzten Jahre zeigen leider, dass die Verbreitung der Antiviren-Mittel nicht ausreichend ist, folglich wird die Verbreitung dieser Methode der Sammlung persönlicher Daten weiterhin anwachsen.

Verifikation der Adressen

Sobald E-Mail-Datenbanken angelegt werden, sollten die Adressen verifiziert werden, bevor sie verkauft oder für den Massenversand verwendet werden.

  1. Probeversand von Nachrichten: für gewöhnlich sind das Nachrichten mit einem zufälligen Text, die die Spam-Filter durchlaufen. Ob die jeweiligen Adressen funktionieren oder nicht, kann man feststellen, indem man die Antwort des Mailservers analysiert; ob die Post angenommen wurde oder nicht.
  2. In den Text einer weiteren Spam-Nachricht wird ein Link eingebaut, der zu einem Bild führt, dass sich auf dem angezeigten Webserver befindet. Beim Lesen der Nachricht wird das Bild geladen (viele moderne Mail-Programme blockieren diese Funktion), und der Inhaber der Webseite erfährt so, dass die Adresse aktiv ist.
  3. Nutzung des Links 'Abmelden' von Spam-Nachrichten: Wenn der Empfänger auf diesen Hyperlink drückt, so passiert keine Abmeldung, sondern seine Adresse erscheint als rechtskräftig. Diese Methode weist auf die Aktivität des Empfängers hin.

Wie auch immer, alle drei Methoden der Verifikation sind nicht besonders gut. Entsprechend erscheinen in der E-Mail-Datenbank eine Vielzahl inaktiver Adressen.

Vorbereitung der Absender-Plattformen für den Massenversand

Der Spam-Massenversand wird heutzutage hauptsächlich durch 3 verschiedene Methoden verwirklicht:

  1. durch den direkten Versand von gemieteten Servern
  2. durch die Nutzung 'offener Relais' und 'offener Proxy's', die von ihren Besitzern fehlerhaft konfiguriert sind, sodass man über sie Spam versenden kann
  3. durch das versteckte Installieren von Dienstprogrammen auf dem Anwender-PC, der den unerwünschten Zugang zu Ressourcen dieses PC's ermöglichen

Um von gemieteten Servern zu versenden, muss man ständig eine bestimmte Anzahl von Servern vorrätig haben. Seit Anti-Spam-Organisationen diesen Massenversand beobachten, wurden schnell schwarze Listen angelegt. Die meisten ISPs und Antispam-Lösungen nutzen diese schwarzen Listen, um Spam zu identifizieren: wenn ein Server einmal in die schwarzen Listen eingetragen ist, kann er von Spammern nicht mehr verwendet werden.

Die Nutzung offener Relais und offener Proxy-Server ist zeitaufwändig und kostenintensiv. Die Spammer müssen zunächst die speziellen Programme schreiben, weiterhin die durchlässigen Server suchen, um sie im Anschluss daran anzugreifen. Wie auch immer, nach einigen erfolgreichen Mailings werden auch diese Server erkannt und in die schwarzen Listen aufgenommen.

Resümee: die meisten Spammer bevorzugen es, Webagenten zu kreieren oder zu erwerben. Professionelle Virenschreiber nutzen ein Methoden-Mix, um diese Webagenten zu schaffen und zu betreiben:

  1. Ausnutzung der Angreifbarkeiten der Internet-Browser, vorrangig des MS Internet Explorer. Es gibt eine Reihe von Browser-Fehlern, die es ermöglichen, die Computer von einer Webseite aus zu attackieren und dabei für den Anwender unsichtbar zu sein. Die Virenschreiber nutzen diese Lücken aus und schreiben Trojanerprogramme und andere Schadprogramme.
    Der Anwender lädt diese hauptsächlich über die besuchten Seiten (vorrangig pornografischen Inhalts) auf seinen Computer, wobei danach der Computer für den remote Zugriff der Übeltäter zugänglich ist. Im Sommer 2004 wurde ein zweistufiges Schema bemerkt - ein Masseneinbruch auf Webseiten, die MS IIS gesteuert werden, Modifizierung von bestimmten Seiten dieser Webseiten durch das Einschleusen eines Trojaners, was dann wiederum zur Infizierung des Anwender-PCs führte beim Besuch dieser angeblich 'sicheren' Seiten.
  2. Nutzung von Computerviren, die sich insbesondere über die elektronische Post verbreiten und die Angriffsmöglichkeiten im Netzservice von MS Windows ausnutzen:
    1. alle großen Virenepidemien, die im vergangenen Jahr stattfanden, wurden von Viren initiiert, die den remote-Zugang zum Anwender-PC ermöglichten;
    2. die Intensität der Versuche, Windows-Angreifbarkeiten zu nutzen, ist derzeit ungeheuerlich - das ans Internet angeschlossene Windows XP ohne installierte Firewall und Service Packs wird innerhalb nur weniger Minuten infiziert
  3. Einschleusen von Trojanern in Piraten-Software: Modifizierung von verbreiteten Programmen durch das Einschleusen der Trojaner-Komponenten in die 'Schlüssel-Generatoren', in 'Programme zum Provider-Betrug' usw. Ziemlich häufig werden diese Programme über Dateiaustauschnetze verbreitet (wie eDonkey, Kazaa).

Die Software der Spammer

Ein durchschnittlicher Spam-Versand hat heutzutage einen Umfang von mindestens einer Million Nachrichten. Ein Maximum an Nachrichten muss in kürzester Zeit verschickt werden - noch vor der nächsten Aktualisierung der Antispam-Filter (bzw. noch vor dem nächsten Update der Datenbanken).

Der zügige Versand einer großen Zahl von E-Mail-Nachrichten stellt ein technologisches Problem dar, dessen Lösung wiederum umfangreiche Ressourcen erfordert. Jedoch nur wenige Programme entsprechen den Anforderungen der Profi-Spammer. Diese Programme müssen in der Lage sein:

  1. E-Mails über verschiedenste Wege zu verschicken, unter anderem über offene Relais, wie auch über infizierte Anwender PC's,
  2. einen dynamischen Brieftext zu kreieren,
  3. ziemlich genaue Nachrichtenthemen zu erfinden,
  4. die Gültigkeit der E-Mail-Adressdaten zu überwachen,
  5. den Nachrichtenstatus an jede einzelne Adresse zu verfolgen, um im Falle der Aufnahme in die schwarze Liste, die Nachricht über andere Versandplattformen zu verschicken.

Derartige Programme sind entweder als Service-Programme zum Abonnieren eingerichtet, oder aber käuflich zu erwerben.

Erstellen des Brieftextes

Heutzutage ist die einfache Versendung gleicher (oder fast gleicher) Spam-Nachrichten nicht effektiv. Diese Nachrichten werden durch die verschiedensten Filter aufgefangen (insbesondere aufgrund der Wiederholung der gleichen Nachrichten), wobei die Einstellung der Inhaltsfilter auch ziemlich trivial ist. Deshalb sind Spam-Nachrichten jetzt sehr individuell, jede folgende unterscheidet sich von den vorhergegangenen. Es gibt eine Reihe verschiedener Technologien für die 'Individualisierung' dieser Nachrichten:

  • Einfügen zufälliger Texte, 'Geräusche', Wörter oder unsichtbarer Texte. An den Anfang oder das Ende des Briefes kann der Spammer einen Abschnitt aus einem klassischen Text oder einfach eine zufällige Anreihung von Wörtern platzieren. In eine HTML-Nachricht kann er einen 'unsichtbaren' Text einfügen mit sehr kleiner Schrift oder in der Farbe des Hintergrunds.
    Diese Ergänzungen erschweren die Arbeit der ungenauen Signaturen oder statistischen Methoden. Als Reaktion darauf entwickelten die Anti-Spammer den Zitate-Scanner, eine HTML-Detail-Analyse und verschiedene andere Tiefenanalysen der Inhalte der Nachrichten. In vielen Fällen kann bereits allein der Fakt der Anwendung eines 'Spammer-Tricks' erkannt werden und die Nachricht wird als Spam eingestuft, ohne den Textinhalt oder bestimmte Details zu analysieren.
  • Grafischer Spam. Das Versenden des Textes im Grafikformat erschwerte die automatische Analyse für eine gewisse Zeit erheblich, doch heute ist eine gute Antispam-Lösung in der Lage, auch eingehende Grafiken zu analysieren und den darin enthaltenen Text zu erkennen.
  • Dynamische Grafiken. Die Spammer bedienen sich nun immer komplizierteren Grafiken. Sie fügen zusätzliche Informationen ein und 'Geräusche', um so den Antispam-Filtern zu entweichen.
  • Dynamische Texte. Ein und dieselbe Nachricht wird in vielen verschiedenen Text-Variationen erstellt. Jeder einzelne Brief sieht wie ein gewöhnlicher zusammenhängender Text aus, und nur, wenn man viele Kopien der Nachricht hat, kann festgestellt werden, dass ein und derselbe Text nur verschieden formuliert wurde. Eine effektive Einstellung der Filter ist demnach nur nach Erhalt eines wesentlichen Teils der Spam-Nachrichten möglich.

Diese Methoden werden unmittelbar durch die Programme für den Massenversand unterstützt, und so ist die Nutzung der einen oder anderen konkreten Methode zur 'Individualisierung' der Nachrichten von dem verwendeten Programm abhängig.

Die Werbung der Spammer für ihren Service

Allen Anzeichen nach werben die Spammer für ihren Service über Werbebriefe (Spam). Diese Werbebriefe bilden einen großen Anteil des gesamten Spam. Auch andere verhältnismäßig legale Dienstleister werben auf diese Art und Weise, so zum Beispiel für die Programme für den Versand und für die E-Mail-Adress-Datenbanken.

Die Struktur des Spammer-Business

Aus den Ausführungen ist ersichtlich, dass alle technologischen Bestandteile des Spammer- Business unabhängig voneinander genutzt werden können. Folglich gibt es gegenwärtig unabhängig voneinander die 'Hersteller' der Viren und Trojaner, die Autoren der Versandprogramme, die Adress-Sammler. Spammer, und gerade diejenigen, welche das Geld der Klienten einkassieren und den Versand durchführen, können den für sie erforderlichen Service einfach pachten, Datenbanken und Listen der Versandmaschinen kaufen und all das einfach nutzen. So ist der Eintritt auf diesen Markt ziemlich billig.

Gleichzeitig ist die Einteilung des Marktes in Profis und Laien offensichtlich: Die Für die Profis, die in der Regel auch etwas Eigenes besitzen, wie eine Datenbank, oder ein Versandprogramm, oder gar einen eigenen Virus, ist der Spam-Versand die Haupteinnahmequelle. Die Laien hingegen versuchen ein wenig Geld damit zu verdienen.

Zukunftstrends

Es ist nicht schwer zu erraten, dass der Spam-Markt hunderte Millionen Dollar pro Jahr einbringt. Wie kommt man zu dieser Zahl? Spam-Versand kostet 100$ für eine Million Nachrichten, und es sind ca. 10 Milliarden pro Tag, die weltweit versandt werden.

Bei einem Umsatz in dieser Höhe müssten Kapitalgesellschaften entstehen, die auf einem hohen professionellen Niveau den gesamten Service realisieren. Einziges Problem für dieses Business ist seine Kriminalität - die Verbreitung von Trojanern wird in allen Ländern, in denen es ein Minimum an PCs gibt, als ein strafbares Verbrechen eingestuft. Allein das Einholen von persönlichen Daten ohne Benachrichtigung des Anwenders ist strafbar. Auf der anderen Seite bedeutet diese Kohärenz eine Masse unanfechtbarer technologischer Vorteile. Allem Anschein nach ist die Entstehung derartiger Unternehmen nur noch eine Frage der Zeit. Opfer werden dabei natürlich die E-Mail-Nutzer sein.

Copyright © 1996 - 2009
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

 
 




:: Premium-Partner ::

Webhosting/Serverlösungen


Premium-Partner MECO Systemhaus GmbH & Co. KG
Premium-Partner PSW GROUP GmbH & Co. KG
Premium-Partner BPI-Systeme
Premium-Partner Pixel X
Premium-Partner
 

:: SELFPHP Sponsoren ::


Microsoft Deutschland GmbH
twosteps.net - ...Premium-Webhosting
Sedo - Bei uns wird PHP großgeschrieben
hostfactory.ch - OptimaNet Schweiz AG
ZEND - The PHP Company
Kaspersky Labs
HighText iBusiness
SELFPHP Sponsoren
 

Qozido


© 2001-2009 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt