Kaspersky Security Bulletin 2006: Spam in 2006

  1. Entwicklung der Schadprogramme
  2. Schadprogramme für Unix-ähnliche Systeme
  3. Schadprogramme für mobile Geräte
  4. Internet-Attacken
  5. Spam in 2006

Wichtige Ergebnisse des Jahres

  1. Der Spam-Anteil im RuNet schwankt zwischen 70% und 80%, ähnlich ist der Anteil auch in Deutschland. Der kleinste Wert des Spam-Anteils (44,1%) wurde am 04. Januar 2006 registriert, der maximale Wert (91%) am 26. November 2006.
  2. Die meisten Spams werden aus Russland, den USA und China an die Nutzer des RuNet geschickt.
  3. 2006 – das Jahr der grafischen Spams.
  4. Die Spammer tarnen Spam-Mitteilungen nach wie vor als persönlichen Briefwechsel, um den Nutzer zu zwingen, die erhaltene Mitteilung aufmerksam zu lesen und so zu reagieren, wie es der Spammer will (per Telefon anrufen, auf einen Link gehen usw.).
  5. Spam in verschiedenen Sprachen unterscheidet sich voneinander:
    • russischsprachige Spams enthalten Angebote von Bildungsdienstleistungen und verschiedenen Waren: von der Büste Putins bis zum Hundegebellübersetzer
    • englischsprachiger Spam enthält Werbung von Aktien, Angebote von Viagra und billiger Software
  6. Juristische Dienstleistungen und Audit – ein neues russisches Spam-Thema.
  7. Die Kriminalisierung von Spam verschärft sich. Die Spammer des RuNet nutzen SMS-Services.

Kaspersky Lab erhält und analysiert ungefähr zwischen 300.000 und 600.000 Spam-Mitteilungen am Tag, an einigen Tagen erreicht die Anzahl die Millionengrenze. Als Quelle des zu analysierenden Spam-Traffics dienen spezielle Mailboxen zum Abfangen von Spam-Mails sowie Ausschnitte verschiedener E-Mail-Ströme, die sich in Qualität und Dichte voneinander unterscheiden und von unseren Kunden und Partnern bereitgestellt werden. Der gesamte im System eingehende Spam-Traffic wird automatisch klassifiziert. Ein Teil wird zusätzlich manuell analysiert. Ein einzigartiger Spam-Rubrikator gestattet es, die mengenmäßige und thematische Verteilung von Spam-Mitteilungen bis ins Detail zu untersuchen.

Der Spam-Anteil im E-Mail-Traffic: 70% – 80%

Das vergangene Jahr zeigte, dass Spam nicht die Absicht hat, seine Macht aufzugeben. Nach Angaben von Kaspersky Lab beträgt sein Anteil nicht weniger als 70% vom allgemeinen E-Mail-Traffic (mit Ausnahme einiger Feiertage).

Zweifellos sind das Mittelwerte. Auf den Servern der kostenlosen E-Mail-Dienste, die beliebte Zielscheiben der Spammer sind, kann der Spam-Anteil auch höher sein, und auf einzelnen Firmen-Mail-Servern niedriger. Doch niedriger als 50% der gesamten Post sinkt der Spam-Anteil schon nicht mehr ab. Das ist ein hoher Wert, der sowohl im RuNet gilt, als auch in westlichen Netze.

Der geringste Wert des Spam-Anteils – 44,1% – wurde am 4. Januar 2006 registriert. Der maximale Wert des Spam-Anteils im RuNet betrug 91% und wurde am 26. November 2006 festgestellt. Im Ganzen gesehen zeigte sich die Grafik der anteiligen Verteilung von Spam im Jahr 2006 ausgeglichener als in den Jahren 2003 bis 2005: Er enthält praktisch keine scharf ausgeprägten Steigerungen oder Rückgänge mit einer Dauer von mehr als 1-2 Tagen. Der einzige bemerkbare Rückgang in der Grafik zeigt sich beim Jahreswechsel.

  • im Januar Rückgang des Spam-Anteils bis zum niedrigsten Wert von 44% vom Gesamtumfang des E-Mail-Verkehrs (4. bis 5.Januar)
  • danach sprunghafter Anstieg bis zur Spitze von 86,4 % im Februar (14. bis 17. Februar)
  • noch einige scharfe Sprünge mit Schwankungen zwischen 63,8 % und 81,2 %
  • Rückgang des Spam-Anteils in die stabile Zone von 70 bis 80 %, in der er von März bis Mitte November verbleib
  • dabei wurde eine allgemeine unbedeutende Erhöhung des Spam-Anteils zum Ende des Monats Juli 2006 registriert
  • in dieser Periode kam man auch um einige Sprünge nicht herum, die mit besonders massenhaften Spam-Sendungen verbunden waren
  • von Mitte November bis Ende des Jahres liegt der Spam-Anteil um 80%. Die Spitze von 91 % der gesamten Post wurde am 26. November erreicht

Der Umfang der Spam-Mails

Der Umfang der Spam-Briefe wie auch der legitimen E-Mails variiert:

Sowohl in Spams als auch in der legitimen Post sind die meisten Briefe – ungefähr 35 % – Mitteilungen, deren Größe zwischen 1 bis 5 KB liegt. Außerdem stellt man bei der Verteilung der Größe von Spam-Mails eine zweite scharf ausgeprägte Spitze (28,4 %) fest, die zwischen 10 und 20 KB beträgt. Bei legitimer Post gibt es eine solche Spitze nicht. Die große Anzahl von Spam-Mails, deren Größe zwischen 10 und 20 KB beträgt, ist teilweise mit Versand grafischen Spams (siehe unten) verbunden.

Die Größe der absoluten Mehrzahl von Spam-Mails (95,6 %) fällt in das Intervall von 5 bis 40 KB. Im Spam gibt es bedeutend weniger leichte Mails, deren Größe 1 KB nicht überschreitet (1 % im Spam, 13,7 % in der legitimen Post), und schwerer Mails, deren Größe 80 KB übersteigt (3,4 % im Spam und 16,3 % in der legitimen Post).

Woher kommt Spam?

Unter den Spammer-Ländern, die das RuNet attackieren, nimmt Russland die Führung ein (22%), 20 % der Spam-Mails werden aus den USA gesendet, 11 % aus China (diese beiden Länder führen auch die Welt-Ratings der Spammer-Länder an).

Spammer-Technologien 2006

Die wichtigen Technologien für Generierung und Versand von Spam-Mitteilungen im Jahr 2006 blieben die gleichen:

  • Zum Versand von Spam-Mitteilungen wurden hauptsächlich Zombie-Netze genutzt, das heißt von Übeltätern gesteuerte infizierte Computer, vorwiegend von Privatanwendern.
  • Die Tricks zum Umgehen von Antispam-Software bestehen noch immer in der automatischen Generierung des Textes nach vorbereiteter Schablone, der Nutzung von HTML zum Verstecken spezieller Inhalte, und der Platzierung von Werbetext in Bildern, die im Brief eingefügt sind.

Das folgende Diagramm zeigt die Verteilung von Zombie-Computern, die von Kaspersky Labs entdeckt wurden:

Nach der Zahl entdeckter Zombie-Maschinen, von denen aus Spam an Nutzer des Runet verschickt wurde, fällt Russland auf Platz drei hinter den USA und China zurück. Möglicherweise ist das damit verbunden, dass in Russland ein breit gefächerter Zugang zum Internet bisher nur Einwohnern großer Städte möglich ist. Für die Spammer lohnt es sich aber nicht, zum Versand von Spam die häuslichen PCs von Nutzern zu verwenden, die in ihrer Umgebung keinen schnellen Internet-Anschluss haben.

2006 – das Jahr der grafischen Spams

Obwohl im Jahr 2006 keine prinzipiell neuen Spammer-Technologien auftauchten, blieb das Jahr nicht ohne Neuheiten: Die Spammer vervollkommneten wesentlich die Versandtechnik von Spam in Form grafischer Anlagen. An sich ist die Idee nicht neu. Die Technologie des modifizierten grafischen Spams wurde 2003/2004 erprobt und zur gleichen Zeit praktisch eingefroren, vor allem aufgrund fehlender Rechnerressourcen zur Generierung verschiedener Bilder im Verlaufe einer Sendung. Damals kehrten die Spammer ziemlich schnell zur HTML-Nutzung zurück.

Im Jahr 2005 strebten die Spammer hauptsächlich danach, Spam-Filter auf Kosten der Erhöhung der Schnelligkeit des Spam-Versands zu umgehen. Doch im Jahr 2006 erhielt der Großteil der Antispam-Module die Fähigkeit, schneller als früher auf Spam zu reagieren. Daher mussten die Spammer alte Tricks zur Veränderung jeder E-Mail-Mitteilung wiederbeleben und entwickeln.

2006 setzten die Spammer erneut auf die Grafik. Man kann sogar behaupten, dass 2006 unter dem Zeichen grafischer Spams stand.

Am erfolgreichsten bei der Nutzung grafischer Spams erwiesen sich zwei Technologien:

  • bis zur Vollkommenheit geführte Modifizierungen grafischer Anlagen innerhalb einer Sendung (in jedem einzelnen Beispiel der Spam-Sendung ändern sich die Parameter des angehängten Bildes)
  • und die Neuheit von 2006: animierte Spams

Außer an der Vervollkommnung des Formats von Spam-Sendungen arbeiteten die Spammer im Laufe des Jahres an der Verringerung der Dauer der einzelnen Spam-Sendung (neueste Spam-Technologien gestatten es, hunderttausende Mitteilungen innerhalb einiger Dutzend Minuten zu versenden), und eigneten sich psycho-linguistische Methoden der Einwirkung auf die Spam-Leser an. Mit anderen Worten, die Spammer fuhren fort, mit Text zu arbeiten, indem sie erfolgreich Spam als persönliche Mitteilungen tarnten.

Grafische Anlagen im Spam: Experimente mit Farbe und Text

Von Beginn des Jahres 2006 an versuchten die Spammer, die Elemente der grafischen Darstellung zu verbessern. Unter anderem durch Austausch einzelner Buchstaben im Text durch ihre Bilder, die Nutzung seltener Schriften und die Neigung des Textes um einige Grad. Die Spammer gingen praktisch erneut den Weg, den sie im Jahr 2003 schon eingeschlagen hatten. Dem Ganzen nach zu urteilen waren diese Versuche im letzten Jahr von keinem besonderen Erfolg gekrönt und wurden deshalb kaum fortgesetzt.

Gegen Ende des Jahres führten die Spammer die Generierung polymorpher „Bilder“ fast bis zur Vollkommenheit – mit verschiedenem dynamisch sich änderndem Hintergrund, verschiedenem Text usw. Das Hauptziel der grafischen Experimente bestand darin, zu erreichen, dass die Spam-Filter:

  1. einzelne Mitteilungen innerhalb der Spam-Sendung nicht als einheitliches Werbeangebot erkennen
  2. typische Spam-Schlüsselwörter und –sätze im Text der Abbildung nicht herausfiltern können (die OCR-Technologie nicht anwenden können)

Mit diesem Ziel verändern sich grafische Anlagen mit identischem Werbeangebot in der Farbe des Hintergrunds, der Schrift, der Größe und sogar nach Aufteilung des Textes in Zeilen. In ihren Versuchen, Bilder zu generieren, die von Spam-Filtern nicht erfasst werden, gingen die Spammer zum Ende des Jahres soweit, dass der Text in einigen E-Mails nur sehr schwer von den Empfängern gelesen werden konnte. Damit geriet grafischer Spam wieder einmal in eine Sackgasse.

Hier ein einige Beispiele von Mitteilungen mit identischem Spam-Angebot, die die neue Technologie der Spammer in Aktion zeigen:


Das Filtern derartiger E-Mails war auch dadurch erschwert, dass es sowohl hinsichtlich der Struktur der Mitteilungen als auch ihrer Gestaltung nach keine Möglichkeit gab, an ihnen etwas zu kritisieren:

  • die Betreffs der E-Mails waren fast ideal gefälscht, als ob sie mit einer der verbreitetsten Versionen von MS Outlook versandt worden wären
  • genau so imitierte die Art des Einfügens des Bilds in die Postmitteilung das Ergebnis der gleichen Outlook-Version. Die E-Mail unterschied sich nicht von einer E-Mail, die ein Nutzer mit Outlook erstellt hätte
  • innerhalb der E-Mails waren außer den Bildern mit Werbung verschiedene Texte, die automatisch von populären Seiten geholt wurden

Die Hersteller von Antispam-Software und große E-Mail-Provider blieben jedoch nicht auf der Stelle stehen und gingen mit neuen Methoden gegen die Spams vor. Erstens kann man eine Anzahl von Merkmalen bestimmen, die Spam-Bilder von denen unterscheiden, die gewöhnlich in normalen Mails anzutreffen sind. Etwa durch viel Text, die Nutzung weniger Farben im Bild, eine ungewöhnliche Verteilung der Farben in der Palette usw.

Im Wesentlichen setzten die 2006 entstandenen neuen Technologien für den Kampf mit grafischen Spams die Entwicklungen fort, die schon seit 2003 existieren.

Grafische Anlagen im Spam: Animation

Im August 2006 führten die Spammer animierte Spams ein. Die ersten animierten Sendungen wurden Ende August von Kaspersky Lab registriert. Der Höhepunkt wurde im September und Oktober erreicht, von November bis Ende des Jahres verringerten sich Anzahl und Anteil der Animationen spürbar.

Die Spammer nutzten GIF-Animation, weil sie von allen populären Browsern angezeigt werden kann. Eine animierte Anlage enthielt drei bis Dutzende Einzelbilder. Dabei waren ein oder mehrere Bilder wichtig, das heißt, nur sie enthielten den informativen Bestandteil. Alle anderen Bilder waren zum Vergrößern der Animation bestimmt. Sie waren ohne Inhalt und enthielten nur grafische Elemente oder geometrische Figuren.

Die Werbe-Bilder wurden dem Nutzer von einigen Sekunden bis zu 10 Minuten lang gezeigt, die Hilfsbilder lediglich Zehntelsekunden und das menschliche Auge schaffte es einfach nicht, diese wahrzunehmen. So sehen drei Bilder aus einem animierten GIF aus:

Zum Oktober hin vervollkommneten die Spammer die Technologie: Der Text des Spam-Angebots wurde auf verschiedene Bilder verteilt, auf jedes 1 bis 2 Zeilen. Die Bilder werden übereinander gelegt und lassen den Nutzer den vollständigen Text des Spam-Angebots erkennen. In der Animation blieben zusätzliche leere Bilder am Anfang und am Ende erhalten.

Wahrscheinlich war diese Maßnahme für das Aushebeln von OCR-Technologien vorgesehen, die die Hersteller der Spam-Filter den Spammern entgegensetzen konnten.

Ungeachtet dessen, dass mit dem Erscheinen der Spam-Animation alle Hersteller von Antispam-Software auf bestimmte Schwierigkeiten stießen, erwies sich das Problem aus technischer Sicht als nicht so kompliziert, und animierter Spam stellt keine ernsthafte Bedrohung dar. Natürlich nur, wenn beim Anwender ein Spam-Filter eingesetzt wird.

Spam und Psychologie

Eine Mitteilung schnell abzusenden und sie zuzustellen, indem alle Filter umgangen werden – das ist ein wichtiger Teil des Versandprozesses von Spam, doch das reicht nicht aus. Den Spammern ist es wichtig, dass der Nutzer die Spam-Mail liest und auch darauf reagiert, etwa mit einem Anruf oder einem Klick auf den angegebenen Link.

Im Jahr 2006 setzten die Spammer weiterhin psychologische Methoden ein. Um ihre Aufmerksamkeit auf sich zu ziehen und das Lesen der E-Mails zu provozieren, versuchten die Spammer, die Nutzer glauben zu lassen, dass kein Spam vorliegt, sondern eine persönliche Mitteilung. Am Anfang des Jahres nutzten sie vorwiegend primitive Methoden: Sie fügten dem Betreff die Zeichen RE oder FW hinzu als Merkmal dafür, dass die vorliegende Mitteilung die Antwort auf einen vorangegangenen Briefwechsel sei oder von einem bekannten Absender stamme. Doch bereits Mitte des Jahres wurden diese einfachen Methoden durch raffiniertere Tarnung ergänzt.

Die Spammer wandten sich unmittelbar dem Text der Mitteilung zu. Jetzt waren einige Spam-Texte stilistisch und textlich wie ein persönlicher Briefwechsel gestaltet. Es gibt derart überzeugende Beispiele, dass sich sogar ein Spezialist beim ersten Blick irren kann, geschweige denn die nicht so erfahrenen Nutzer. Oft ist derartiger Spam möglichst unpersönlich (enthält entweder keine Anreden oder Anreden der Art „Freundin“, „Kleine“), um beim Nutzer die Illusion hervorzurufen, dass die E-Mail genau an ihn adressiert wurde. Manchmal werden in der Imitation eines persönlichen Briefwechsels auch Namen erwähnt. In jedem Fall möchte sich der Nutzer klar werden, um welche Mitteilung es sich handelt, woher sie kommt und ob man sie weitersenden muss – dabei wird er das Spam-Exemplar zumindest lesen.

Hier einige Spam-Beispiele, die als persönliche Mitteilung getarnt sind:

Hallo, gute, liebe Mama!

Es schreiben Dir Deine Kinder Sascha und Maschenka. Ich weiß, du hast viel Arbeit… möchte dich nur daran erinnern, dass Mascha morgen Geburtstag hat und in diesem Jahr die 1. Klasse besucht… Vergiss bitte nicht, ihr zu gratulieren…

Unser Leben hat sich so verändert, seit du die neue Arbeit angetreten hast. Papa sagt, dass du einen wichtigen Posten hast: HAUPTBUCHHALTER. Wir sind stolz auf dich, Mama!

Wir vermissen dein warmes Lächeln, die liebevolle Stimme und Zärtlichkeit sehr… Papa kocht wie immer geschmacklos, und dazu schimpft er ständig mit unverständlichen Worten: Debitoren, Kreditoren…

Außerdem erzählt er, wenn erfahrene Spezialisten unter Nutzung moderner Technologien dein Programm 1C betreuen würden, würdest du nicht an der Arbeit aufgehalten werden.

Ruf sie an {xxx-xx-xx}, sie helfen dir, und komm früher nach Hause, wir machen dir Abendessen… Bitte… Ja?!!

In Liebe,

deine Kinder Sascha und Maschenka.


Hi, altes Haus!

Erinnerst du dich, du hattest dich beklagt über den Kostenanstieg bei deinem Büro?

Ich habe Leute gefunden, die einem helfen, super zu sparen.

Stell dir vor, sie haben mir für 900 Rubel 3 Farbkartuschen gefüllt, die Bezahlung erfolgte bargeldlos, sie hatten alle Papiere mitgebracht und mein Buchhalter ist einfach happy.

Ihre Nummer {xxx-xx-xx}, Ruf an und zier dich nicht 🙂

Bis bald!

Thematische Spam-Verteilung im Jahr 2006

Eine Vorstellung über die häufigsten Themengruppen1 von Spams gibt folgendes Diagramm:

№№ Themengruppe Spam, der den „Kern“ dieser Gruppe bildet %%
1 Medikamente, Waren / Dienstleistungen für die Gesundheit Werbung für Viagra, Cialis und andere Tabletten 16,0
2 Computerbetrug Phishing, Nigeria-Connection, gefälschte Meldungen über Lotteriegewinne u.a.m. 14,3
3 Bildung Werbung für Seminare und Trainings 13,2
4 Persönliche Finanzen Angebote günstiger Aktien 8,6
5 Computer und Internet Werbung für billige Software und Druckerpatronen 8,3

Führende Themengruppen im Jahre 2006

Alle thematischen Kategorien dieser Liste sind vorwiegend englisch, mit Ausnahme der Gruppe „Bildung“, die im Wesentlichen russischsprachige Angebote einschließt.

Die Analytiker von Kaspersky Lab nehmen an, dass die Nutzer des RuNet keine Zielgruppe für englischsprachigen Spam darstellen. Treffen englischsprachige Mitteilungen in ihrem Postkasten ein, so erklärt sich dies durch den allgemeinen Maßstab von Spam-Angriffen. Ein Spam-Versand ist kein punktgenauer Angriff, sondern eher so etwas wie ein Flächen-Bombardement, das Ziel wird aufgrund der Anzahl der verschickten Mitteilungen erreicht. Heutzutage werden Millionen Spams verschickt: Das typische Angebot aus der Werbung für Spam-Dienstleistungen, die auch per E-Mail verschickt wird ist, Spam an 3-5 Millionen E-Mail-Adressen zu versenden.

Das größte Segment wird von der Themengruppe „Andere Waren und Dienstleistungen“ dargestellt. Im Wesentlichen ist das Warenwerbung kleiner Hersteller und Verkäufer: Autositzheizung, Malachit-Aschenbecher, Büsten Putins und seine Portraits aus Bernsteinsplittern, ewig brennende Taschenlampen, Füller mit verschwindender Tinte, Geräte zum Flechten von Zöpfen sowie Übersetzer für Hundegebell in 5 Sprachen und vieles mehr.

Lange Zeit waren Spams zu verschiedenartig und vielfältig, um genau beschriebene Themenuntergruppen zu ermöglichen, doch gegen Ende des Jahres 2006 bildeten sich neue Themengruppen heraus, die typisch für das RuNet sind. Das waren Angebote von juristischen und grafischen Dienstleistungen sowie Maklern. In den letzten 3 Monaten des Jahres 2006 wuchsen die Anteile dieser Angebote zu wesentlichen Werten und verteilten sich folgendermaßen (in Bezug auf den gesamten Spam-Umfang):

Themenkategorie Oktober November Dezember Mittelwert der drei Monate
juristische Dienstleistungen und Audit 8,0% 2,1% 2,1% 4,0%
Makler 5,0% 2,5% 2,3% 3,3%
Grafik 2,0% 2,0% 2,3% 2,1%

Die Liste der führenden Themengruppen von Spam in russischer Sprache wird durch folgende Themen vertreten:

  1. Bildung
  2. Erholung und Reisen
  3. elektronische Werbedienste
  4. juristische Dienstleistungen und Audit (im Diagramm in der Themengruppe „Andere Waren und Dienstleistungen“ enthalten)
  5. Makler (im Diagramm in der Themenkategorie „Andere Waren und Dienstleistungen“ enthalten)

Die weitere Kriminalisierung von Spam

Die Kriminalisierung von Spam ist ein Prozess, der sich mit dem Entstehen der Spam-Industrie entwickelte. Voraussetzungen für die Kriminalisierung sind Merkmale von Spam-Sendungen wie Anonymität und Fehlen effektiver gesetzlicher Kontrolle.

Merkmale der sich fortsetzenden Kriminalisierung von Spam 2006:

  • Anwachsen des Anteils der Themenkategorie „Computerbetrug“2 im Verhältnis zum gesamten Spam
  • das Auftauchen neuer Arten betrügerischen Spams
  • die Entwicklung anderer Themengruppen zur Kriminalisierung (wie gegenwärtig mit der Themengruppe „Persönliche Finanzen“)
  • die Nutzung von Methoden zur Verbreitung von Spam (z.B. Zombie-Netze), die gegen die Gesetzgebung verschiedener Länder verstoßen
  • die sich fortsetzende Nutzung von Spam als Instrument zur Verbreitung schädlicher Programme
  • die Nutzung von Spam zum Diebstahl persönlicher Daten (Phishing)
  • die Demonstration der Spammer, Antispam-Programme umgehen zu können oder deren Hersteller anzugreifen – wie die erfolgreichen Angriffe auf den Antispam-Service Blue Frog, die zum Schließen des Projektes geführt haben3

einige dieser Merkmale wird nachfolgend konkreter berichtet.

Spam der Kategorie „Persönliche Finanzen“

Das heftige Wachstum von Spam der Themengruppe „Persönliche Finanzen“ begann im August 2006 und setzte sich bis Ende des Jahres fort. So sieht das Wachstum dieser Gruppe für 2006 aus:

Den Hauptteil von Spam der Kategorie „Persönliche Finanzen“, die das Anwachsen der gesamten Themengruppe hervorrief, stellten Sendungen mit dem Aufruf, Geld in Aktien anzulegen (Stock Spam). Zum Beispiel betrug im September (Beginn des Fonds-Booms) der Anteil von Finanz-Spam 66 % der Kategorie „Persönliche Finanzen“ und ungefähr 9 % des gesamten Spam-Umfangs.

Die Spammer riefen dazu auf, Aktien wenig bekannter Unternehmen zu kaufen. Ungeachtet dessen, dass die Experten diesen Spam vorläufig der Themengruppe „Persönliche Finanzen“4 zuordneten, tendiert diese Spam-Art deutlich zum kriminalisierten Spam. Diese Werbemails enthalten unglaubwürdige Informationen und bewusst überhöhte Bewertungen des möglichen Gewinns:

Kriminalisierter Spam

Eine der verbreitetsten Arten von Betrug im RuNet, wie auch in westlichen Netzwerken, wurde 2006 die Ausnutzung angeblicher Schwachstellen in Geldsystemen wie WebMoney und Yandey. Solche Schwachstellen sollen es ermöglichen, die Nutzerkonten auf bestimmte Geldsummen zu erhöhen – die Nutzer müssen lediglich Geld auf eine im Brief angegebene Börsennummer setzen und den Gewinn abwarten. Es ist nicht bekannt, woher dieser Mythos stammt, aber die Märchen über die „Wunderbörsen“ in WebMoney verbreiteten sich schnell und brachten den Spammern einen beträchtlichen Gewinn:

Wunderbörsen funktionieren tatsächlich!!!

Ich habe schon einige der „Wunderbörsen“ ausprobiert, einige zahlen wirklich, andere nicht. Es sind Börsen des elektronischen Geldsystems WebMoney, die die angelegte Summe +30% zurückgeben.

Bei vielen muss man sich aber fragen: Woher stammt das Geld? Die Firma, die eine derartige Börse anbietet, arbeitet nach dem Prinzip von Investitionsprogrammen. Nachdem sie eine bestimmte Summe Geld erhalten hat, bringt sie es in Umlauf, einen bestimmten Gewinn erwartend. Hat sie diesen erreicht, gibt sie einen Teil des Gewinns an die Investoren zurück (gewöhnlich nach 1 bis 3 Tagen). Als Investor kann jeder auftreten, der die Nummer der „Wunderbörse“ kennt – und schon erhält er seinen Gewinnanteil.

Nur ein sehr unerfahrener Nutzer kann auf einen solchen Spam reagieren, doch die Zahl der RuNet-Nutzer steigt unaufhörlich und viele von ihnen sind unerfahren, jung und vertrauensselig.

Die Spammer des RuNet haben 2006 neue Betrugsarten erfunden, von denen einige ausschließlich in Russland funktionieren.

Zum Herbst hin wurden die „Wunderbörsen“ von „magischen SMS“ abgelöst. Das Betrugsschema blieb unverändert: Unter verschiedenen Vorwänden brachten die Spammer die Nutzer dazu, Geld vom eigenen Konto auf das Konto des Spammers zu überweisen. Nur erfolgt in diesem Fall die Überweisung nicht mit kostenpflichtigen Online-Systemen, sondern speziellen SMS-Services, mit denen Geld vom Konto des Mobiltelefons auf ein anderes Konto überwiesen werden kann.

Bei der Nutzung von SMS-Services zur Überweisung von Geld ist es notwendig, eine SMS mit vorgegebenem Inhalt auf eine bestimmte Nummer zu senden. Um den Nutzer dazu überreden, braucht der Spammer einen überzeugenden Vorwand. Zum Beispiel informiert er den Leser über den Gewinn in einer nicht existierenden Lotterie:

Guten Tag, Sie haben einen Tag kostenlose Verbindung vom Provider des Netzes Megafon gewonnen. Um den Dienst zu aktivieren, schicken Sie eine SMS an die Nummer xx/xx mit dem Text: kop+xxxx. Die SMS ist kostenlos.

Widerstand außerhalb der Technik

Unser Bericht berührt in erster Linie die technischen Aspekte der Spam-Sendungen und ihren inhaltlichen Teil. Doch das Problem ist größer. Obwohl es diesen Bericht sprengen würde, alle Seiten dieses Problems aufzuzeigen – vor allem die juristischen und sozialen Aspekte werden hier nicht beleuchtet. Doch im vergangenen Jahr waren einige Ereignisse so wichtig, dass man sie erwähnen muss.

Die russische Gesetzgebung gegen Spam: Der erste Schritt ist getan

Am 1. Juli 2006 trat die Neufassung des Gesetzes „Über die Werbung“ der Russischen Föderation in Kraft, das nun einen Abschnitt enthält, der die Werbung reguliert, „die über Fernmeldenetze verbreitet wird“. Das heißt, dass Spam erstmals teilweise unter den Einfluss der russischen Gesetzgebung fiel.

Die Rede ist hier nur von einem Teil der Spams, da das Gesetz zur Regulierung der Beziehungen im Bereich Werbung und Werbedienstleistungen vorgesehen ist. Nicht alle Spams gehören zur Werbung, wie sie im Gesetz definiert ist. Unter den Spielarten der Spams gibt es auch so genannten politischen Spam, Kontrollsendungen zur Validierung der Spam-Adressdatenbank, Betrug und andere Arten.

Die Spammer reagierten auf die Veränderungen in der Gesetzgebung schneller und aktiver als alle anderen Nutzer des Internets. Ab Mai 2006 verbreiteten sich im RuNet Spam-Sendungen mit Werbung für eigentliche Spam-Dienstleistungen. Der wichtigste Vorwand dafür, dass es notwendig sei, so schnell wie möglich Spam-Versand zu bestellen, war die drohende Erneuerung der Gesetzgebung: „Beeilen Sie sich den Versand zu bestellen, noch bevor das neue Gesetz über die Werbung in Kraft tritt. Arbeiten Sie im Rahmen der Gesetzgebung!“ – schrieben die Spammer mit einem Link auf den Text der Änderungen zum Gesetz. Der Anteil der Werbung für eigentliche Spam-Dienstleistungen wuchs gleichmäßig bis Anfang Juli, und diese Welle steigerte wohl auch die Nachfrage nach Spam im Juni und Juli.

Doch schon ab Ende Juli sank der Anteil von Spams in den Mails. Möglicherweise waren die Spam-Kunden unschlüssig und warteten erste Resultate der Gesetzesänderung ab, oder sie hatten einfach ihr Werbebudget für diese Periode ausgeschöpft. Es ist schwer, dies ganz bestimmt zu sagen, aber Fakt bleibt Fakt – zum Ende des Sommers 2006 wurde Spam weniger und besonders spürbar war diese Verringerung im Segment der Warenwerbung.

Es ist anzunehmen, dass die Spammer angesichts dieses Rückgangs hilflos waren und mit der aktiven Suche nach neuen Kunden beschäftigten. Dieser Prozess ist gut erkennbar auf der Grafik der anteilmäßigen Verteilung von Spam der Themengruppe „Elektronische Werbedienste“ für die drei Sommermonate:

Auch dieses Mal brachten die Spammer die neue Gesetzgebung zur Sprache. Die Spammer beschrieben das Arbeitsschema, nach dem der Spam-Versand durchgeführt, das Gesetz aber nicht gebrochen wird. Diesem Schema liegt ein Vertrag über die Zustellung von Informationsdienstleistungen (keine Werbedienstleistungen) zugrunde, die nicht unter das Gesetz fallen.

Im September 2006 endete diese Phase und bis Ende November wuchs der Spam-Anteil wieder auf bis zu 80 % und mehr.

Man konnte den Eindruck haben, als ob die neue Gesetzgebung nicht ausreicht. Es gibt keine Klarheit darüber, wer dem Nutzer Informationen zu einem Spam-Versand zukommen lassen muss und in welcher Form, damit er sich mit Beweisen an die Gerichte wenden kann. Bisher sind die technologischen Lösungebeim Wachstum der, also Spam-Filter, verständlicher und bequemer für den Nutzer.

Die Spammer schließen sich zusammen … und gewinnen?

Im Mai 2006 wurde das Projekt Blue Frog eingestellt. Blue Frog war eine Antispam-Lösung, deren Hauptidee in der Schaffung einer Liste von E-Mail-Adressen bestand, deren Inhaber keinen Spam wünschen. Die Idee ist nicht neu, aber die Projektautoren realisierten sie mit einem außergewöhnlichen Maß an Aggression. An die Homepage des Spam-Verwenders, der die Bitte ignorierte, eine Adresse aus der Spam-Adressdatenbank zu löschen, wurden automatisch Tausende Anfragen von den PCs der Projektmitarbeiter geschickt. Eigentlich ist das eine verteilte Attacke, doch im Unterschied zu den anonymen Hackern tarnten sich die Organisatoren von Blue Frog nicht und kündigten vorher ihre Absichten an. Man kann über die Ethik derartiger Methoden streiten, doch in jedem Fall begannen die Spammer die Effektivität des Projekts zu spüren und sie antworteten darauf.

Grund für die Beendigung des Projekts war ein Angriff der Spammer auf den Hauptserver von Blue Frog. Die Inhaber des Servers waren darüber besorgt, dass die Projektteilnehmer, die ihre Adressen in die Datenbank eingetragen hatten, unter den Aktionen der Spammer leiden werden. Ähnliche Befürchtungen wurden auch vom Provider ausgesprochen, vor allem bezüglich der Nutzer, die keine Beziehung zu dem Projekt haben. Im Endeffekt wurde Blue Frog geschlossen.

Der Fall Blue Frog demonstrierte die Fähigkeit der Spammer zur schnellen Reaktion auf Aktionen der Antispam-Hersteller. Das kann als Warnung gesehen werden: Das angebliche Fehlen von Verbindungen zwischen den Spammern ist nur Schein. In Wirklichkeit unterhalten die Spammer gute Kontakte, ansonsten könnten sie nicht so schnell und organisiert ihre Kräfte vereinigen.

Die potenziellen Möglichkeiten der Konsolidierung und Zentralisierung der Spammer im internationalen Maßstab bergen neue Gefahren für die Sicherheit der elektronischen Kommunikation.

Prognosen

Das vergangene Jahr hat gezeigt, dass die Hersteller von Anti-Spam-Programmen in technologischer Hinsicht schon jetzt den Spammern einen wirksamen Schutz entgegensetzen können. Doch Umfang und Anteil von Spam verringern sich nicht und es wäre viel zu früh, das Problem für beendet zu erklären. Die Entwicklungstendenzen für das Jahr 2007 sind offensichtlich:

  1. Ein Verschwinden von Spam aus unseren E-Mails oder ein starker Rückgang ist kaum zu erwarten. Die Spammer werden neue Wege suchen, den Schutz zu umgehen, die Anti-Spam-Hersteller werden dem aber erfolgreich entgegenstehen.
  2. Das Erscheinen prinzipiell neuer Spam-Technologien im Jahr 2007 ist kaum wahrscheinlich, aber existierende Technologien werden sich weiterentwickeln.
  3. Allem Anschein nach werden die Spammer grafische Spams weiterentwickeln, doch man kann sie nicht als besonders wichtig für den Spam-Versand bezeichnen. Große Antispam-Hersteller sind durchaus in der Lage, diese zu blockieren.
  4. Die Entwicklung einer Technologie zum automatischen Generieren vieler zusammenhängender Texte setzt sich fort, möglicherweise unter Einbeziehung linguistischer Algorithmen. Die bisherige Praxis Zufallstexte in Spam-Mails zu verwenden, wird langsam zurückgehen.
  5. Die Kriminalisierung von Spam setzt sich fort, sowohl bei der Anpassung englischsprachiger Spams für verschiedene Länder, als auch im Bereich Computerbetrug.


1 Eine Themengruppe vereinigt Spam-Mitteilungen, die ein und demselben Tätigkeitsbereich zugeordnet werden können. So verbindet die Themengruppe „Bildung“ Spam mit Werbung für Seminare und Trainings, Fremdsprachenkurse, Angebote von Lernmitteln u.a.m.


2 Die Themengruppe „Computerbetrug“ vereinigt Phishing, Nigeria-Connection, gefälschte Meldungen über Lotteriegewinne und ähnliche Mitteilungen, deren Ziel der Erhalt von Geld oder persönlichen Daten auf betrügerischem Wege ist.


3 Genaueres unter anderem bei http://www.spamtest.ru/document?pubid=186922917 und http://www.spamtest.ru/document?pubid=187626850


4 Die Themengruppe „Persönliche Finanzen“ enthält Angebote zu Versicherung, Schuldentilgung, günstigen Darlehen, Aktien, Investitionen usw.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.