Methoden zum Tarnen von Spam-Text in E-Mails

Spam-Filter analysieren den Text eingehender E-Mails und überprüfen, wie vielen Empfängern diese zugestellt werden sollen. Identische Nachrichten, die an viele unterschiedliche Adressen gehen, lassen sich so aussortieren. Die Filtersysteme durchsieben Mitteilungen auch anhand von Wortlisten, die charakteristische Spam-Begriffe enthalten. Damit blockieren sie beispielsweise tausende von E-Mails, die den einschlägigen Ausdruck „Viagra“ enthalten. Doch die Spammer reagieren darauf und versuchen nicht nur, ihren Werbemüll an möglichst viele Adressaten zu schicken, sondern auch den Reklamecharakter ihrer Nachrichten zu verschleiern.

Um Spam-Filter zu umgehen, greifen die Spammer zu diversen Tricks. Sie verfremden zum Beispiel den E-Mail-Text so, dass ein Schutzmechanismus den zweifelhaften Inhalt nicht erkennt, der Empfänger den Brief aber durchaus lesen kann. Oftmals scheitern die Spammer aber an ihrem eigenen Anspruch, möglichst „progressives Internet-Marketing“ zu betreiben. Sie verfremden den Text nicht selten so stark, dass Empfänger ihn nicht mehr lesen können.

Spammer erweitern herkömmlichen E-Mail-Text mit HTML-Tags und greifen außerdem zu diversen Hilfsmitteln, um ihre Sendungen zu maskieren.

Tarnen eines gewöhnlichen E-Mail-Textes

Ein falsch geschriebenes Wort kann ein Mensch ohne weiteres verstehen. Reklame-Filter, die mit Wörterbüchern arbeiten, können damit jedoch nichts anfangen. Da viele Spammer orthografisch nicht sehr sattelfest sind, geschieht diese Tarn-Methode eher unfreiwillig und ist stark verbreitet. In diesem Beispiel ist das fehlerhafte Wort rot dargestellt.

Миссия программы:

пoмочь поиметь постояннyю высокодоходнyю работу,
c перспектuвoй развuвающегося дoлгocpoчнoгo
рocта c 3арабoтком нe нuже 1000-1500$ ежемeсячно,
всем желающuм 3акалачивать бабки в Internet…

Die deutsche Übersetzung der E-Mail lautet in etwa folgendermaßen:

Programmmission:

Wir verschaffen Ihnen eine sichere und hoch bezahlte Arbeit,
mit der Aussicht eines sich stetig weiterentwickelnden langfristigen
Wachstums sowie ein Gehalt von nicht weniger als 1000-1500 Dollar im Monat,
und das gilt für alle Interessenten, die Geld im Internet verdienen wollen …

In der Hoffnung, diejenigen Filtersysteme zu täuschen, die bei der Textanalyse zwischen Klein- und Großbuchstaben unterscheiden, gingen Spammer zuerst dazu über, Buchstabenfolgen auszutauschen:

FrEE PoRno

Da moderne Textanalyse-Algorithmen derartige „Provokationen“ problemlos erkennen, maskierten Spammer ihre Slogans daraufhin mit Leerzeichen. Das erschwert es Filtersystemen, gefundene Wörter mit den Listen „verdächtiger“ Begriffe zu vergleichen, da formell jeder einzeln stehende Buchstabe als Wort zählt. Ein Beispiel dafür ist folgender Spam-Text:

C H E A P V I A G R A

Mittlerweile werden neben Leerzeichen alle möglichen Satzzeichen verwendet, um die Buchstaben einer Spam-Mail zu gliedern:

S~E~M~I~N~A~R~E

Diese Methode wird besonders gerne bei Telefonnummern eingesetzt. Anstelle des Bindestrichs nutzen die Spammer verschiedene Trennzeichen, wodurch sich eine Nummer in vielen unterschiedlichen Schreibvarianten darstellen lässt:

8*012*345~67.89
8 =0 1 2= 345:67^89

Die Tarnung funktioniert ebenfalls, wenn Buchstaben und Wörtern als „Füllmaterial“ verwendet werden. Während derartige Raffinessen manchen Spam-Filter überfordern können, ist ein Mensch durchaus in der Lage, den Sinn des Geschriebenen – wenn auch mühsam – zu erfassen:

Subject: 11ВеБ САЙ55Т Б3З ПР3ДВА88РИТ3ЛЬН0Й 0ПЛ9АТЫ!!! Вы не 0плачив4аете разра60тку Ваш5его сай3та и размещ3ние ег0 в Инте66рнете , а пла1тите то1лько а60нентскую пла9ту в раз$$мере 1.500 р./месяц с м0ме11нта ег0 зап3уска

Die deutsche Übersetzung lautet folgendermaßen:

Thema: Webseite ohne zusätzliche Kosten! Sie bezahlen keinerlei Einrichtungsgebühren und müssen monatlich nur 1500 Rubel für Ihren Internetauftritt zahlen.

Anmerkung: Fast alle Wörter enthalten Zahlen, die teils als Füllmaterial dienen und teils ähnliche Buchstaben ersetzen. Zum Beispiel erscheint die Null anstelle des Buchstabens „O“.

Wer Russisch spricht, hat hier keinerlei Leseprobleme. Das gilt auch dann, wenn sich die Wörter aus den Buchstaben des russischen und lateinischen Alphabets zusammensetzen. Kyrillische Zeichen tauschen die Spammer dabei durch ähnlich aussehende lateinische Buchstaben aus. Im nächsten Beispiel sind die Buchstaben des lateinischen Alphabets rot dargestellt:

MACCOBЫE PACCЫЛKИ

auf Deutsch:

Massenversand

Der Trick funktioniert jedoch nur in eine Richtung. Die wenigsten Rechner, die englischsprachigen Spam erhalten, können russische Buchstaben richtig darstellen. Solcher Werbemüll wäre ähnlich unlesbar wie russische Reklame-Mails, die mit Hieroglyphen durchsetzt sind. Der clevere Spammer greift deshalb zu Ziffern. In seinen E-Mails ersetzt die Null den Buchstaben „O“ und die Zahl Eins steht für die Buchstaben „l“ und „I“:

Subject: C1ALIS – From a pharmacy that believes in providing excellent
services and the cheapest pri_ces

Russischsprachige Spammer machen nicht selten genau das Gegenteil. Für Datumsangaben und Telefonnummern verwenden sie Buchstaben anstelle von Ziffern:

8 (Ol2) ЗЧ5-б7-89

Anmerkung: Die Buchstaben des russischen Alphabets sind rot dargestellt.

Mit der Schreibweise von Telefonnummern gehen viele Spammer-Tricks einher. Beispielsweise findet man neben Kniffen wie Trennung mittels Bindestrichen oder Verfremden durch Buchstaben auch Fälle, in denen Zahlwörter ausgeschrieben sind:

8 (012) 345-6-семь-8-девять
8 (012) 345-6-sieben-8-neun

8 (ноль-12) три-45-67-89
8 (Null-12) drei-45-67-89

Spammer, die großen Wert auf die schnelle Zustellung ihrer E-Mails legen, tarnen ihren Werbemüll auch nicht besonders aufwändig. Ihre E-Mails sind so lakonisch verfasst, dass es an ihnen praktisch nichts zu tarnen gibt. Sie bestehen häufig aus drei bis fünf Wörtern und einem Weblink, der sich im Durchschnitt stündlich ändert. Solche Werbeprofis tarnen nicht die Botschaft ihrer E-Mails, sondern verschleiern sie mit variablen Textfragmenten. Dazu setzen Spammer eine willkürliche Folge von Buchstaben und Zahlen an das Ende des Briefes oder in seine Betreffzeile. Diese Zeichenkette ist für jede verschickte Mail einzigartig. Unerfahrene Spammer, die ihre versierten Kollegen nachahmen wollen, fügen ihren Sendungen eine identische Auswahl von Symbolen hinzu und haben damit natürlich keinen Erfolg. In untenstehendem Beispiel ist eine variable Zeile in rot dargestellt:

ПОВЫШЕНИЕ КЛАССА РЕКЛАМИСТА ЗА ДВА ДНЯ !!!!!
пo материалам известнoгo в Рoссии сериала книг
{name}
22 – 23 марта 2008 года (суббота – воскресенье), 10:30 – 18:30, г. Киев.
Проводит автор совместно с {name}.
{tel}
чZХКSФWМ9НФПGЗДYKsЗяИEцЬшPрюяЖEУЦuCDл7DЯrIжtЦЛNнГvOвНФРьЧУxьSуКЮБ

Qualifizierung für den Werbefachmann in zwei Tagen !!!!!
Nach Materialien der in Russland populären Bücherreihe
{name}
22 – 23 März 2008 (Samstag – Sonntag),
10:30 – 18:30, Kiew.
Die Veranstaltung führt der Autor gemeinsam mit {name} durch.
{tel}
чZХКSФWМ9НФПGЗДYKsЗяИEцЬшPрюяЖEУЦuCDл7DЯrIжtЦЛNнГvOвНФРьЧУxьSуКЮБ

Linguistische Analysemethoden gestatten es, derartige offenkundig „vermüllte“ E-Mails von seriöser Post zu trennen. Aus diesem Grunde fügen Spam-Profis jeder ihrer E-Mails zufällig ausgewählte Wörter hinzu. Einen solchen Anhang geben sie als „Schlüsselwörter der Sendung, die nicht beachtet werden müssen“ aus. In folgendem Beispiel sind diese rot hervorgehoben:

Unsere Organisation für Rechtsverträge stellt ohne Vorauszahlung Ausweise METRO Cash and carry im weltweit bekannten Netz deutscher Geschäfte METRO Cash and Carry für Privatpersonen und Firmenmitarbeiter aus! In nur 5 Tagen! Der persönliche Ausweis ist unbedingt mit Ihrem Foto ausgestattet (wird bei uns im Geschäft METRO Cash and Carry angefertigt), mit einer Identnummer, einem Strichcode, einem Magnetstreifen, der Bezeichnung der Firma, über die Sie bei uns registriert und ausgestellt werden. Die Ausweise werden für Bürger Russlands und für Ausländer ausgestellt. Die Ausstellung und Registrierung erfolgt ohne Vorauszahlung, das heißt, zunächst registrieren wir Sie, Sie erhalten Ihre Karte und danach bezahlen Sie.
Metro cash
Karten für Metro-Geschäfte
{site}
Lesen Sie nicht diese Schlüsselwörter:
Gestiftet durch das Ausland bezahlt erweitern zweifelte Russische Verbraucheraufsicht gemäß den Gruppen Spielzeug hochwertige Ablehnung Ziffer Interesse zeigt Europa erahnen zwiesel produziert theoretische gebaut Befehl der Kaliningrader schauen deckte unterstützen ausdrücken Objektivität Einsatzvertrag Bestimmung logistisch Medienkunde Saratower Steven acht erklärbarer Erfolg hingegen Rating machen geschätzt Randgebiet Presse gegenwärtige Mappe Administration
{site}

Das Einbinden von Buchstabensammlungen oder gar ganzer Sätze in Spam-Mails dient nicht nur dazu, sie einmalig und unverwechselbar zu machen. Es ist kein Geheimnis, dass die Arbeit vieler Spam-Filter auf den Bayes-Algorithmen basiert. Mittels eines statistischen Verfahrens analysieren diese, wie häufig bestimmte Wörter in Werbe-Mails auftauchen und können anschließend „gute“ von „schlechten“ E-Mails unterscheiden. Spammer wirken dem entgegen, indem sie ganze Absätze aus populären Büchern und Schlagzeilen von Nachrichtenblättern in ihren Mitteilungen zitieren und so die Grenzen zwischen „typischem Spam-Text“ und „uncharakteristischem Text für Spam“ aufweichen. Der Empfänger der folgenden Nachricht kann nur erraten, warum im Dienstleistungsangebot für Spam-Mails Zeilen aus Alexander Puschkins Gedichtzyklus „Eugen Onegin“ erscheinen

Die deutsche Übersetzung der E-Mail lautet in etwa folgendermaßen:

E-Mail-Werbeversand
Qualitative und effektive Werbung
mit schneller Abgabe
8 (985) 363 46 13
Exklusive eigene Datenbanken mit E-Mail-Adressen
Bester Programm-Apparate-Komplex
Bargeldlos und andere Zahlungsmöglichkeiten

Im „geschäftlichen Moskau“ – 1,57 Millionen zugestellte Briefe –
einmal – 2999 Rubel, zweimal 3999 Rubel, dreimal 4999 Rubel
in „ganz Moskau“ – 4,63 Millionen zugestellte Briefe –
einmal – 3999 Rubel, zweimal 5499 Rubel, dreimal 6999 Rubel
in „Geschäftskreisen Moskaus und Russlands“ – 3,95 Millionen zugestellte Briefe –
einmal – 3999 Rubel, zweimal 5499 Rubel, dreimal 6999 Rubel
an „juristische und physische Personen in Moskau und Russland“ – 12 Millionen zugestellte Briefe
einmal – 7999 Rubel, zweimal 12499 Rubel, dreimal 14999 Rubel*
* insgesamt in Russland 27 Millionen Adressen
Zu uns schifft übers Baltische Meer
„Platz!, Platz!“ – von allen Seiten gellt‘s;
Schlafloser Nächte, zarter Muse;
Tat ihm vielleicht der Kopf auch weh;
Und richt auf eine fremde Welt;
Sich anzueignen fremden Geist;
Für den gibt‘s nie Begeisterung;
In des Vergnügens Tagereisen?
Schlafmütze auf, schlägt immerzu
Zunächst lässt er sich mal frisieren;

Tarnen von Spam-Mails mittels HTML-Tags

Die meisten aktuellen E-Mail-Clients gestatten es, HTML-Tags in Textpassagen einzubauen und diese auch passend darzustellen. Mit diesem Code lassen sich Texte unterschiedlich formatieren, Bilder in E-Mails einfügen und Weblinks einbauen. Außerdem erlaubt HTML dutzende weiterer Kniffe, um Text einerseits zu verfremden und ihn an Spam-Filtern vorbeizumogeln. Andererseits können Spammer ihre E-Mails auch so formatieren, dass viele Empfänger keinen Unterschied zu regulären E-Mails erkennen.

Der möglicherweise bekannteste HTML-Trick besteht darin, der E-Mail „unsichtbaren Text“ hinzuzufügen. Dessen Farbe stimmt mit der Farbe des E-Mail-Hintergrundes überein und erscheint zum Beispiel als weiße Schrift auf weißem Grund. Auf diese Art kann man jeden beliebigen Text maskieren. Dank der großen Verbreitung dieser Methode erkannten viele Filtersysteme aber schon bald derartige E-Mails, indem sie die HTML-Formatierung von Hintergrundfarbe und Textfarbe miteinander verglichen. Deshalb gehen die Spammer in letzter Zeit dazu über, die Schriftgröße des Fülltexts extrem zu verkleinern. Die passende HTML-Formatierung bestimmt dabei nicht nur die Fontgröße, sondern gibt dem Text außerdem eine blasse Färbung. Der Haupttext erscheint dagegen in maximaler Schriftgröße. Im Endeffekt liest der Empfänger ohne Schwierigkeit das, was die Spammer ihm mitteilen wollten.

лыовапыолпрыловрпыволапрылвоапрылвоэтотвыаопрлыовапрлывоапысайты

оварплыовапрылотолькоыолвапрлыовапдляоварплоывпрлыо

женщинлвоыапрлор

рфлорафррмялочсмрялосмрялоловарфлыовафрырекомендуемпыдлваопдыоп

дылопыдл ksdjfgksdjfghskjdfghskjdfghksjdfhgskjdfhk -site-
kdjgheitwieghskdjfhgskjdfhgksjdfhgskjdhgksjdfh
ptzawjlhkmvo
xgПочти в каждом обществе=существует строгий запретdrdmjnx
pougна вн=F3трисемейные сексуальные о=F2ношения.q
xawbjbfq=font size=4>Его часто называют табу на
инце=F1т
. Имеется множе=F1тво теорий,svervlmeou
dweобъясняющи=F5, почему это табу существуе=F2;lfkj
fhpyyut<=ont size=4>одна из самых популяр=EDых связывает егоgj
nkpluoumwwс желанием избежать=разрушения семейной
систем=FB.kognnbxsuzkxevuhvne=q
vspwvmzjdzltrxrx
ggvqfyboiuskocgrmqu=
vxcbi -site-
khgwvdwoqhkhsifapru=/b

Die deutsche Übersetzung der E-Mail lautet folgendermaßen:

Schwarz und in größerer Schrift steht:

diese Webseite ist nur für Frauen wir empfehlen -site-

Vor und nach diesen Wörtern finden sich zahllose aneinander gereihte Buchstaben ohne Sinn.

In hellgelber Schrift geschrieben, unterbrochen durch hinzugefügte Buchstaben:

In fast jeder Gesellschaft gibt es ein strenges Verbot

In roter Farbe und von Symbolen bzw. Zahlen unterbrochen steht:

Innerfamiliäre sexuelle Beziehungen Tabu für Inzest

Wieder in hellgelb geschrieben:

Theorien, die erklären, warum dieses Tabu existiert.
Eine der bekanntesten verbindet es
mit dem Wunsch, die Zerstörung des familiären Systems zu vermeiden

darunter folgen in hellgelb erneut Ansammlungen wahllos ausgewählter Buchstaben.

Die HTML-Tags „table“, „tr“ und „td“ definieren eine Tabelle. Spammer nutzen diesen Code, um den Inhalt ihres Werbemülls zu verschleiern. Platziert man zum Beispiel den Beginn eines Wortes in einer Zelle, das Ende jedoch in die Nachbarzelle, lässt es sich problemlos lesen. Spam-Filter erkennen darin aber nur eine zusammenhanglose Sammlung von Buchstaben.

E-Mail in der HTML-Darstellung


Zum Tarnen der E-Mails füllen die Spammer ihren HTML-Code mit so genannten Kommentaren über das Kommando „!– –“ auf. Darin enthaltener Text ist zwar für für Spam-Filter sichtbar, nicht aber für den Empfänger. So können zum Beispiel in den Kommentaren willkürliche Sammlungen von Buchstaben platziert werden, die häufig aus verschiedenen Sprachen stammen. Im nächsten Beispiel sind die Kommentarzeilen in roter Schrift hervorgehoben:

E-Mail in der HTML-Darstellung


E-Mail, wie sie der Empfänger sieht

Sie haben eine virtuelle Karte erhalten.
Zum Abrufen gehen Sie auf die Webseite
www.postcard.ru/card.php?289723****
und klicken Sie auf den Link „Postkarte erhalten“
Service des Glückwunschkarten-Anbieters POSTCARD.RU

Auch beliebige Symbole, die in eckigen Klammern stehen, gehen als Kommentare durch. Für E-Mail-Clients und Browser stellen sie erfundene Tags dar und werden deshalb ignoriert.

E-Mail in der HTML-Darstellung

Миgpnни-игрушxки на uma***.info =

E-Mail, wie sie der Empfänger sieht

Миgpnни-игрушxки на uma***.info =

Ein beliebiges Symbol, wie ein gewöhnlicher Buchstabe oder diakritisches Zeichen, lässt sich in UTF-8-Codierung darstellen. Gerissene Spammer kamen deshalb darauf, beliebige Symbole im Text einer Spam-Mail gegen ihre UTF-8-Codes auszutauschen. Indem sie ihre E-Mails mit jeweils unterschiedlichen Symbolen ausstatten, bringen sie Spam-Filter dazu, jede Nachricht als einzigartig einzustufen. Der Empfänger sieht dabei jedes Mal den gleichen Text. In untenstehendem Beispiel sind die UTF-8-Codes rot dargestellt:

2 Varianten einer E-Mail in der HTML-Darstellung

Экслюзивные фут&#x4=1;олки от: Наша &#x420=аша, Камеди кл&#=430;б и Нинавижу &=x434;ом2 к праздника=EC на www.хххma&=101;k.info

Экслюзивные футболки от: Наша Раш&#=430;, Камеди клаб и Нин&#=430;вижу До=EC2 к праздникам на www.хххmaek.info

E-Mail, wie sie der Empfänger sieht

Экслюзивные футболки от: Наша Раша, Камеди клаб и Нинавижу Дом2 к праздникам на www.хххmaek.info

Mit einem Weblink versehene Spam-Mails versuchen, den Empfänger dazu zu bringen, auf eben diesen Link zu klicken. Die Webadresse ist häufig das ausschlaggebende Kriterium, anhand dessen ein Spam-Filter die Zustellung blockiert. Natürlich versuchen Spammer, genau das zu vermeiden. Allerdings eignen sich die oben beschriebenen Tarnmethoden nicht dazu, einen Weblink zu tarnen, da ihn schon ein einziges verändertes Zeichen ins Leere laufen lässt. Um die URL trotzdem für jede E-Mail einzigartig zu machen, maskieren sie die Spammer mit verschiedenen Methoden.

Um mehr oder weniger einmalige Links zu schaffen, wechseln die Spammer keineswegs die Web-Domäne, weil das auf Dauer zu teuer wäre. Stattdessen sie fügen zu ihrer Domäne zweiten Grades wie zum Beispiel хххххviagra.info eine Domäne dritten Grades (http://dksj1.хххххviagra.info) oder einen Katalog (http://хххххviagra.info/lfk85) mit beliebigen Namen hinzu. Der Weblink führt den Nutzer anschließend auf die Hauptseite der Spammer-Domäme, auf der auch die Werbeinformation platziert ist.

Viele populäre Antispam-Dienste wie SURBL (Spam URI Realtime Blacklist) vernachlässigen beim URL-Test Domänen-Namen zweiten Grades, was die Bemühungen der Spammer zunichte macht. Deshalb verwenden sie wiederum andere Dienste wie www.tinyurl.com, um eine kürzere Adresse ihres Domänen-Namens zu erhalten. Klicken Empfänger auf so einen Weblink, wird dessen Browser automatisch auf die Reklame-Webseite umgeleitet. Beispiel: Der Link in der Spam-Mail http://tinyurl.com/ххххх führt zu einer Pornoseite namens http://privateххххх.biz.

In letzter Zeit gingen Anbieter von Webdiensten wie www.tinyurl.com aktiv gegen die unrechtmäßige Nutzung ihrer Angebote vor. Daher werden künftig weniger Spam-Mails mit „Kurzadressen“ arbeiten.

Man darf allerdings nicht die Könner verschweigen, die in ihren Spam-Mails Google-Links zu ihrer Webseite einbauen. Sucht man in Google zum Beispiel nach „хххххporno.su“, erhält man als erstes Suchergebnis die Adresse dieser Seite. Spammer bekommen in diesem Fall einen direkten Link zu ihrer Webseite wie zum Beispiel http://www.google.com/pagead/iclk?sa=l&ai=urggt&num=9550427&adurl=http://хххххporno.su. Für Filtersysteme ist der Domain-Name google.com unverdächtig, obwohl der Link direkt auf die Seite хххххporno.su verweist.

Zusammenfassung

Spammer setzen viele unterschiedliche Methoden ein, um Textpassagen in E-Mails zu tarnen. Dabei sind ihnen – vorerst – sicherlich nicht alle verfügbaren Tricks bekannt.

Viele Spammer-Tricks verfremden die Werbemails mitunter bis zur Unkenntlichkeit. Das belegt einerseits die Kreativität der Spammer, da manche Tarnmethoden ineffektiv werden, wenn man sie zu häufig einsetzt. Andererseits treibt sie das wiederum zu neuen Experimenten. Ihre Bemühungen, die Spam-Filter auszutricksen, werden sie jedenfalls auch künftig nicht einstellen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.