Teil 3: Die Bulkcheck-Technologie

Anti-Spam-Lösungen gibt es viele, doch die meisten arbeiten mit einer von zwei grundsätzlichen Verfahrensgruppen, nicht wenige sogar mit einer Kombination aus beiden. Das eine sind die reputationsbasierten Filter, die E-Mail-Absender in „gute“ und „schlechte“, also Nicht-Spammer und Spammer, einteilen. Die andere Gruppe bilden inhaltsbasierte Verfahren, die im E-Mail-Inhalt nach Spam-typischen Wörtern oder Phrasen suchen. Beide haben den Nachteil, dass sie auf Tricks und Techniken der Spammer reagieren müssen und dadurch meist einen Schritt zurück sind.

Einen grundlegend anderen Ansatz verfolgt das vom Berliner E-Mail-Sicherheitsanbieter eleven entwickelte Bulkcheck-Verfahren. Statt den Inhalt der E-Mail zu durchsuchen oder die Absender in „gut“ und „böse“ zu unterteilen, überprüft das eleven Verfahren E-Mails auf die zentrale Eigenschaft von Spam: ihre Verbreitung als Massen-E-Mail. Dazu wird jede E-Mail auf einen Fingerprint von nur wenigen Bytes reduziert. Dieser wird dann in einer zentralen Datenbank mit den Fingerprints anderer E-Mails verglichen. Tritt eine gleiche oder ausreichend ähnliche E-Mail sehr häufig auf, besteht die hohe Wahrscheinlichkeit, dass es sich um Spam handelt. Mit Hilfe zusätzlicher Kriterien kann das Verfahren dann unerwünschte von erwünschten Massen-E-Mails (zum Beispiel Newsletter) unterscheiden.

Weiterlesen

Teil 2: Inhaltsbasierte Verfahren

Bei der Bekämpfung von Spam wird eine Reihe unterschiedlicher Verfahren eingesetzt, die Spam auf möglichst zuverlässige und fehlerfreie Weise erkennen sollen. Eine Gruppe bilden dabei die so genannten Reputationsfilter. Diese unterteilen E-Mail-Absender in „gute“ und „schlechte“, also Nicht-Spammer und Spammer. Da spammende IP-Adressen heute nur kurze Zeit verwendet werden, hat die Treffgenauigkeit dieser Verfahren deutlich abgenommen. Zudem gelingt es Botnets zunehmend, reputationsbasierte Verfahren zu umgehen, indem legitime Infrastrukturen zum Spam-Versand eingesetzt werden.

Einen anderen Ansatz verfolgen inhaltsbasierte Filter. Diese suchen im E-Mail-Inhalt nach Wörter und Phrasen, die häufig in Spam-E-Mails vorkommen, zum Beispiel „Viagra“ oder „Replica Watches“. Das Spektrum der Technologien reicht dabei von der einfachen Suche per Wortliste bis hin zu Filtern, die mittels komplexer statistischer Verfahren die Spam-Wahrscheinlichkeit einer E-Mail errechnen, beispielsweise mit Hilfe Bayesscher Filter. Inhaltsbasierte Methoden sind die ältesten und bis heute am weitesten verbreiteten Anti-Spam-Verfahren.

Weiterlesen

97,5 Prozent aller E-Mails sind Spam – Phishing-Kampagnen gegen VISA und PayPal-Konten – Trojaner dominieren Malware-Bereich

Mit einem Anteil von 97,5 Prozent am gesamten E-Mail-Aufkommen hat das weltweite Spam-Volumen im Dezember 2009 und Januar 2010 einen neuen Rekordwert erreicht. Das geht aus dem eleven E-Mail Security Report Februar 2010 hervor, den der führende deutsche E-Mail-  Sicherheitsspezialist eleven heute vorstellte. Als größter Spam-Versender löst die USA den bisherigen Spitzenreiter Brasilien ab. Der Jahresanfang war geprägt von Pharma-Spam sowie sehr kurzen, aber hochprofessionellen Phishing-Kampagnen, die sich vor allem auf Kreditkartenkonten und Bezahlsysteme, aber auch soziale Netzwerke konzentrierten.

Die wichtigsten Trends im Überblick:

• Spam erreichte im Dezember und Januar mit 97,5 Prozent des gesamten E-Mail-Verkehrs einen neuen Rekordstand.
• Im Januar übernahm die USA wieder den Spitzenplatz unter den Spam-Versendern, gefolgt von Brasilien und Deutschland.
• Pharmazeutische Angebote waren das Spam-Top-Thema im Dezember und Januar, während Casino-Spam deutlich zurückgegangen ist.
• Beim Phishing dominierten Kampagnen zu Kreditkarten (VISA) und Bezahlsystemen (PayPal).
• Trojaner machten über 75 Prozent des Malware-Aufkommens aus. Dabei dominierten Dropper, die Malware auf dem betroffenen Rechner „abladen“ und Backdoor-Trojaner, die wiederholt Malware herunterladen.

Weiterlesen

Gemeinsam mit unserem Partner von eleven möchte wir Sie in den nächsten Wochen mit dem Thema Spam etwas tiefgreifender vertraut machen.

Teil 1: Reputationsbasierte Verfahren

In den vergangenen Jahren ist Spam von einer Belästigung der Anwender zu einer echten Gefahr geworden. Seit 2005 wuchs das durchschnittliche Spam-Aufkommen um mehr als 20.000 Prozent. Heute sind mehr als 95 Prozent des gesamten E-Mail-Verkehrs Spam. Hinzu kommen immer häufiger auftretende Spam-Wellen, die innerhalb kürzester Zeit das E-Mail-Volumen verfünf- oder versechsfachen. Angesichts dieser Entwicklung ist der Einsatz einer Anti-Spam-Lösung für Unternehmen wie für Privatanwender unerlässlich. Dabei gibt es mehrere gängige Verfahren, die bei der Erkennung und Bekämpfung von Spam Anwendung finden. Die wichtigsten Gruppen sind inhaltsbasierte Verfahren und Reputationsfilter. Ein alternativer Ansatz erkennt Spam dagegen an seiner zentralen Eigenschaft: die Aussendung als Massenmailing. Weiterlesen

Spam-Welle verweist auf Microsofts Social Network Plattform Windows Live

Auch in diesem Jahr nutzen die Spammer den Valentinstag, um ihre Botschaften an den Mann zu bringen. Der Berliner E-Mail- Sicherheitsspezialist eleven beobachtet zurzeit eine Häufung von E-Mails, die auf Webseiten des Social Networks Live von Microsoft weisen. Mitglieder können dort unter anderem Profile erstellen, Fotos tauschen und auch Blogs schreiben. Auf eben diese Blogseiten verweisen die Links in den E-Mails.

Von Social Networking wie es sich Microsoft dachte, keine Spur. Die Profile werden unter Fantasienamen angelegt, die Blogs haben meist nur einen Eintrag. Aus dem Microsoft-Angebot führen Sie dann zu bekannten Anbietern von Potenzmitteln. Viele herkömmliche Spam-Filter prüfen die Links in E-Mails und versuchen, auf
diese Weise Spam zu erkennen.

Verweisen die Links auf scheinbar seriöse Angebote – wie eben zu Microsoft Live – kommen die unerwünschten E-Mails zu den Nutzern. Durch die Nutzung der Bulkcheck-Technologie prüft eleven unabhängig von diesem Kriterium der Links und kann Spam wirksam ausschließen.

Botnets, illegale, meist weltweite Zusammenschlüsse oft hunderttausender gekaperter Rechner, sind heute nicht nur das Hauptinstrument des Spam-Versands, sondern auch das wichtigste Hilfsmittel der Internetkriminalität überhaupt. Umso wichtiger ist es für Unternehmen wie Privatnutzer, sich so gut wie möglich zu schützen.

Der Versuch, Botnets auszuschalten, indem man ihre Webhoster und ISPs abschaltet, ist gescheitert. Führte die Abschaltung des Webhosters McColo 2008 noch zu einem Einbruch des weltweiten Spam-Aufkommens um über 60 Prozent, hatten ähnliche Maßnahmen 2009 fast gar keine Wirkung mehr. Die Botnetbetreiber haben ihre Infrastrukturen mittlerweile so ausgestaltet, dass sie über eine hohe Ausfallsicherheit verfügen und den Ausfall eines Teils ihrer Kontrollinstanzen innerhalb kurzer Zeit kompensieren können.

Erfolgversprechender sind Versuche, die Kontroll- und Steuerungsebene von Botnets zu infiltrieren und zu übernehmen. Auf diese Weise kann es gelingen, ganze Botnets außer Gefecht zu setzen – erste Erfolge sind bereits zu verbuchen.

Weiterlesen

Botnets sind in den vergangenen Jahren zum wichtigsten Instrument des Versands von Spam und Malware geworden. Für die Spammer hat die moderne Botnet-Generation eine Reihe wesentlicher Vorteile, die Ihnen ermöglichen, Ihre Nachrichten kostengünstig, schnell und in großen Mengen zu verbreiten.

So haben sich Botnetbetreiber zunehmend darauf spezialisiert, legitime Infrastrukturen zum Spam-Versand zu nutzen. Dazu werden beispielsweise Rechner in Unternehmensnetzwerken gekapert oder auch solche, die ihre E-Mail über E-Mail-Dienste großer ISPs oder E-Mail-Services versenden und empfangen. Die Spam-Nachrichten werden dabei zunächst an den ISP oder den E-Mail-Server des Unternehmens zugestellt und von diesem dann an die Empfänger versandt. Eine Folge dieses Trends ist der deutliche Rückgang des Spam-Volumens an Wochenenden, wenn die meisten Unternehmensrechner ausgeschaltet sind. Der große Vorteil: Reputationsbasierte Spam-Filter, die E-Mail-Absender mit Hilfe von White- oder Blacklists in „gut“ oder „schlecht“ einteilen, sehen, dass die E-Mails aus legitimen Quellen kommen und stufen sie daher als „gut“ ein. Auf diese Weise gelingt es Spammern immer wieder, Spam-Filter zu umgehen.

Botnets sind heute zunehmend ausfallsicher ausgelegt. Redundante Infrastrukturen, flexible Kontrollinstanzen, die in kürzester Zeit gewechselt werden können, und die Verteilung auf unterschiedliche ISPs und Webhoster führen dazu, dass beispielsweise Abschaltungen Spam-freundlicher ISPs und Hoster heute kaum noch zu Kapazitätseinschränkungen oder gar dem Zusammenbruch von Botnets führen, wie dies beispielsweise noch im November 2009 bei der Abschaltung des Webhosters McColo der Fall war. Die heutigen Botnets sind größer, flexibler und widerstandsfähiger als ihre Vorgänger.

Weiterlesen

Das Jahr 2009 stand im Jahr der Botnets: Hatte die Abschaltung des Spam-Hosters McColo im November 2008, der die Kontrollinstanzen einiger der weltweit größten Botnets zum Opfer gefallen waren, Hoffnungen geweckt, die illegalen, Spam-versendenden Netzwerke wirksam und dauerhaft außer Gefecht setzen zu können, bewies die Entwicklung im Jahr 2009 das Gegenteil. Die Botnetbetreiber haben die bei der McColo-Abschaltung verloren gegangenen Kapazitäten nicht nur wieder hergestellt: Die heute aktiven Botnets sind größer, leistungsfähiger, widerstandsfähiger und vielseitiger als ihre Vorgänger.

Botnets sind Netzwerke zusammengeschalteter Rechner, die zuvor mit Hilfe Trojanischer Pferde gekapert wurden. Diese installieren Bots, die von zentralen Kontrollinstanzen gesteuert werden und in deren Auftrag – in der Regel ohne Wissen des Nutzers des gekaperten Rechners – beispielsweise Spam versenden. Weltweit sind mehrere Millionen Rechner infiziert, die größten Botnets sind global aufgestellt und umfassen jeweils mehrere hunderttausend Rechner. Schätzungen zufolge ist heute ein Viertel bis ein Drittel aller Rechner weltweit Teil eines Botnets.

Dabei haben die heute aktiven Botnets mit der ersten Generation vor einigen Jahren nur noch wenig zu tun. Gab es damals eine einfache Kontrollstruktur mit einer Steuerungsinstanz auf der einen und den infizierten Rechnern auf der anderen Seite, funktionieren heutige Botnets über mehrere Ebenen, die zwischen der zentralen Steuerinstanz und den kontrollierten Rechnern zwischengeschaltet sind. Dies hat zum einen den Vorteil, dass der Ausfall einzelner Kontrollinstanzen meist keine großen Auswirkungen hat und leicht kompensiert werden kann. Zum anderen ist die eigentliche zentrale Steuerung deutlich besser verborgen und kaum noch auffindbar.

Weiterlesen

Casino- und Pharma-Spam bleiben Spitzenreiter – Trojaner dominieren Viren-E-Mails – Brasilien, Vietnam und Indien größte Spam-Quellen

Spam machte im Oktober und November 2009 97,1 Prozent des gesamten E-Mail Verkehrs aus. Dies geht aus dem eleven E-Mail Security Report für die Monate Oktober und November 2009 hervor, den der führende deutsche E-Mail-Sicherheitsspezialist eleven heute vorstellte. Das Spam-Aufkommen wird dabei weiter von Casino- und Pharma-Spam dominiert. Größter Spam-Versender ist Brasilien, gefolgt von Vietnam und Indien.

Die wichtigsten Trends im Überblick:

• Spam machte im Oktober und November über 97 Prozent des gesamten
• E-Mail-Verkehrs aus, „saubere“ E-Mails lagen bei 1,9 Prozent, Viren-E-Mails
• bei knapp 0,1 Prozent.
• Casino- und Pharma-Spam führen die „Hitliste“ der Spam-Themen an.
• Über ein Sechstel aller Spam-E-Mails kam von IP-Adressen in Brasilien,
• gefolgt von Vietnam und Indien.
• Backdoor-Trojaner, die immer neue Malware auf infizierte Systeme laden,
• machten über 75 Prozent des Viren-Aufkommens aus.
• E-Mails, die Trojaner verbreiten, wurden meist als vermeintlich wichtige
• Nachrichten getarnt. Das Spektrum reichte dabei von E-Cards über
• Versandbenachrichtigungen und Software-Updates bis zu Aufforderungen,
• Accounts zu reaktivieren.

Weiterlesen

Wie kommen Spammer an Ihre E-Mail-Adresse? eleven, führender deutscher E-Mail-Sicherheitsanbieter aus Deutschland gibt hilfreiche Tipps, wie Sie sich vor Spam schützen können.

5. Setzen Sie einen präzisen Spam-Filter ein!

Selbst die beste Vorbeugung kann nicht verhindern, dass tagtäglich zahlreiche Spam-E-Mails ihr Ziel, also Ihr geschäftliches oder privates E-Mail-Postfach erreichen. Von dem Moment an, in dem Sie ihre E-Mail-Adresse für die externe Kommunikation im Internet nutzen, kann sie Spammern in die Hände fallen. Wer die vorangegangenen Tipps beachtet, kann das Spam-Risiko verringern – ausschließen kann er es nicht. Nutzer sollten daher sicherstellen, dass Spam, der an ihre E-Mail-Adresse geschickt wird, ihr Postfach nicht verstopft.

Tipp:
Ein Spam-Filter ist heute für Unternehmen wie Privatpersonen unerlässlich. Dabei sollte darauf geachtet werden, dass nicht nur die Spam-Erkennungsrate hoch ist (über 99%) – es dürfen auch möglichst keine wichtigen E-Mails fälschlich als Spam aussortiert werden (False Positives). Der Filter sollte möglichst bereits auf dem E-Mail-Server installiert sein und idealerweise Spam-E-Mails ablehnen können, bevor sie vom System angenommen werden. Damit wird verhindert, dass Spam Ihr E-Mail-Postfach verstopft und ihre wichtigen Nachrichten in der täglichen Spam-Flut untergehen.