http://www.faz.net/-gwz-7rt3i

Spam-Mails : Im Netz der bösen Jungs

  • -Aktualisiert am

Ein Comic in sechs Bildern Bild: Universal Uclick/Bulls

Jeder, der eine Emailadresse hat, findet Unerwünschtes in seinem Postfach. Verschickt von zwielichtigen Absendern, die auf krumme Geschäfte hoffen. Wer steckt hinter diesem Spam? Und was kann man dagegen tun?

          Am Ende ist dieser Text doch noch angekommen. Wenn auch auf Umwegen. Der Autor hatte den Artikel pünktlich per Email (auch die Schreibweise „E-Mail“ ist noch gebräuchlich) in die Redaktion geschickt. Dort wartete man. Und wartete. Im Postfach tat sich nichts. Auch unter einer anderen Mailadresse nicht. Bis jemand auf die Idee kam: Vielleicht ist er im Spam gelandet? Und so war es. Der strenge Filter, „Mailmarshal“ genannt, hatte zugeschlagen und das Schreiben aussortiert. Vermutlich war er über Begriffe wie „Viagra“ und „Kontodaten“ gestolpert.

          Manchmal irren sich die Filter eben. Aber sie sind wichtig. Allzu oft erreicht einen sonst der letzte Schrott. So erging es vielen Brasilianern vor der Weltmeisterschaft: „Herzlichen Glückwunsch, Sie haben Tickets gewonnen!“, stand da in der Betreffzeile. Doch gewonnen hatten die Empfänger natürlich gar nichts. Sie konnten nur verlieren: Wer das Ticket herunterladen wollte, handelte sich einen Computer-Wurm ein. Der spionierte den Rechner des Opfers aus und sandte dessen Finanzdaten an die Hintermänner der Aktion. Spezialisiert war der Wurm auf Daten brasilianischer Banken.

          29 Milliarden Spam-Mails täglich

          Bei diesem Beispiel handelt es sich um typischen Spam. Die Sicherheitsfirma Symantec schätzt, dass täglich 29 Milliarden solcher unerwünschter Botschaften durch das Internet jagen. Anders ausgedrückt: Von drei verschickten Mails sind zwei Spam. Am häufigsten tauchen momentan gefälschte Benachrichtigungen von Banken auf. Diese Methode nennt sich „Phishing“, sie hat es auf Kontodaten abgesehen. Auf dem Rückgang ist Spam, der für nichtlizenzierte Pharmaprodukte wirbt – meistens für Viagra.

          Und wer erinnert sich nicht an die Emails nigerianischer Prinzen oder nahöstlicher Ölmogule? Das sind mittlerweile echte Klassiker: Die angeblich schwerreichen Absender versprechen dem Empfänger Millionenbeträge, dummerweise brauchen sie dazu aber erst mal selbst einige hundert Dollar. Das ist in Wahrheit ein uralter Trick, unter Kriminalisten Vorschussbetrug genannt, nur übertragen ins digitale Zeitalter.

          Jedem, der eine Emailadresse besitzt, flattert irgendwann Spam ins Postfach. Für die meisten ist das lästig. Nicht so für Tobias Knecht. Er freut sich über jede unerwünschte Nachricht. „In den vergangenen 24 Stunden haben wir knapp 220 Millionen Spam-Emails erhalten“, sagt er. Ein guter Wert, im Durchschnitt kämen etwas weniger als 200 Millionen zusammen. Knecht leitet die Firma Abusix, die sich darauf spezialisiert hat, möglichst viel Spam zu sammeln.

          „Harvester“ durchforsten das Internet nach Mailadressen

          Knecht benutzt sogenannte „Spamtraps“, also Emailadressen, die nicht der Kommunikation dienen, sondern exklusiv Spam anziehen sollen. Er plaziert die entsprechenden Mails so, dass normale Nutzer sie nicht finden. „Eine der ganz klassischen Geschichten ist weiße Schrift auf weißem Grund“, sagt er. Auf diese und andere Weise will er „Harvester“ anlocken. Das englische Wort für Erntemaschine steht im Internetjargon für Programme, die das Internet systematisch nach Mailadressen durchforsten. Weil Knecht die Adressen so ins Internet stellt, dass nur eine Maschine sie findet, weiß er: Alles, was bei ihm ankommt, ist Spam.

          Doch die Adresssammler fallen nicht auf jeden Trick herein: „Wir müssen den bösen Jungs unsere Daten so unterschieben, dass die denken, sie haben legitime Adressen“, sagt Knecht. Dazu mietet er auf der ganzen Welt Computerkapazitäten an. Ständen seine Fallen nur in einem einzigen Land, würden die Spam-Hintermänner Verdacht schöpfen. Außerdem würde ihm Spam durch die Lappen gehen, der nur in bestimmten Ländern kursiert. Das Geschäftsmodell von Knecht besteht darin, dass er die gesammelten Betrüger-Mails an Hersteller von Spamfiltern verkauft, die die Posteingänge ihrer Kunden abschirmen sollen. Manche Filter erkennen bestimmte Begriffskombinationen, die typisch für Spam sind, etwa „Angebot“ und „Penisverlängerung“. Andere suchen nach Internet-Links in den Emails, die auf schädliche Seiten verweisen.

          Spam bildet die Ausnahme im Postfach

          Alle Spamfilter haben eines gemeinsam: Immer wieder rutscht ihnen etwas durch. Darum brauchen die Hersteller viel Spam, um ihre Filter zu testen. Sie schicken die Emails von Knecht durch ihre Filter, prüfen, was durchkommt, und bessern nach. Dabei sind sie schnell: „Die kommerziellen Anbieter aktualisieren alle zehn Sekunden ihre Filter“, sagt Knecht, also fast in Echtzeit.

          Wie gut die Filter sind, erkennt man daran, dass der Spam im Postfach mittlerweile die Ausnahme bildet – obwohl er doch eigentlich die Mehrzahl aller versendeten Emails ausmacht. Doch die bösen Jungs geben nicht auf. Genau wie die Filterhersteller werden auch sie immer professioneller. Es findet ein globales Wettrüsten statt. Hinter dem Spam ist ein Schwarzmarkt entstanden, den man nicht so leicht beobachten kann.

          Studie untersucht Infrastruktur der Spam-Mails

          Doch genau dieser Aufgabe hat sich der Informatiker Oliver Hohlfeld von der RWTH Aachen verschrieben. Vor kurzem hat er eine Studie veröffentlicht, bei der er die Akteure und ihre zwielichtigen Geschäfte nicht in Internetforen oder Chats verfolgt, sondern stattdessen ihre Infrastruktur unter die Lupe genommen hat.

          Folgender Gedanke steckte dahinter: Wer Spam verschicken will, braucht Emailadressen, Rechenleistung und Inhalte der Emails. Die Emailadressen besorgen sich die Adresssammler mit Hilfe ihrer Harvester. Eine große Rechenleistung ist nötig, um Millionen Nachrichten in kurzer Zeit abfeuern zu können, bevor die Filter darauf reagieren. Diese Rechenleistung liefern sogenannte Botnetze. Bots sind Programme, die unbemerkt auf fremde Rechner eingeschleust werden. Die Besitzer merken normalerweise nichts davon. Botnetze können gewaltige Ausmaße annehmen, die größten unter ihnen kapern Millionen von Computern.

          Oliver Hohlfeld wollte nun herausfinden, welche Verbindung zwischen Spammern, Adresssammlern und den Betreibern von Botnetzen, den Botmastern, besteht. Auch er stellte Spamfallen auf. Dabei konstruierte er seine Köder-Emailadressen so, dass sie nur ein einziges Mal abgerufen werden konnten. Weil sich ein Harvester automatisch zu erkennen gibt, sobald er in eine Falle tappt, wusste Hohlfeld, welcher Harvester welche Emailadresse eingesammelt hatte.

          Dann musste er nur noch warten. Mehr als zwei Jahre dauerte die Studie, am Ende hatte Hohlfeld knapp 2200 Spam-Emails empfangen. Er konnte feststellen, von welchen Botnetzen sie verschickt worden waren und welche Emails zu welcher Spam-Kampagne gehörten, also vom selben Spammer stammten. Und er sah jeder einzelnen Mail an, welcher Spammer dabei mit welchem Adresssammler und welchem Botmaster zusammengearbeitet hatten.

          Professionelle Adressensammler

          Hohlfeld beobachtete auch, wie lange der erste Spam auf sich warten ließ. Manchmal sei er bereits nach einigen Sekunden hereingekommen, sagt er. „In solchen Fällen kann man davon ausgehen, dass Adresssammler und Spammer dieselbe Entität sind.“ Dauerte es länger, etwa Monate oder sogar Jahre, zog Hohlfeld daraus den Schluss, dass ein professioneller Adressensammler die Emailadressen an einen Spammer verkauft hatte. Außerdem fand er heraus, dass manche Sammler ihre Daten an mehrere Spammer verkauften. Das unterstützte seine These, dass sich die einzelnen Akteure für bestimmte Aufgaben spezialisierten.

          „Allein die Tatsache, dass man diese drei Akteure hat, ist schon eine Professionalisierung“, sagt Hohlfeld. Er fand auf dem Schwarzmarkt für Botnetze und Adressen auch ein Merkmal normaler Märkte: Kundentreue. Spammer arbeiteten längere Zeit mit denselben Adresshändlern und denselben Botnetzen zusammen. Hohlfeld vermutet, dass sie bevorzugt bei Akteuren einkauften, die sich in der Vergangenheit bewährt haben.

          Auch Tobias Knecht erkennt diese drei Akteure bei seiner Arbeit. Und auch er sieht eine Professionalisierung. Ein Trend sei es, dass der Spam immer gezielter verschickt wird. Ein Beispiel dafür waren die vermeintlichen WM-Tickets, die ein aktuelles Ereignis zum Anlass hatten und sich speziell an Brasilianer richteten. Solche gezielten Spam-Kampagnen kommen mit weniger Emails aus. „Die Spammer versuchen, den Schnelligkeits-Joker zu spielen. Auf diese Weise landen die ersten paar hunderttausend Mails bei den Leuten im Postfach, bevor die Filter reagieren“, sagt Knecht. Früher habe die Strategie eher „fire and forget“ gelautet – möglichst viele Emails rausfeuern, irgendwas wird schon durchkommen, irgendwer wird drauf reinfallen.

          Wer fällt überhaupt auf Spam rein?

          Es sind zumindest nicht viele. Das zeigt jedenfalls eine Studie von Christian Kreibich vom International Computer Science Institute der University of California in Berkeley. Kreibich hat herausgefunden, wie viel Werbung für Pharmaprodukte ein Spammer verschicken muss, damit jemand etwas kauft. „Die grundlegende Frage, wie erfolgreich Spam ist, ging uns schon lange im Kopf rum“, erinnert er sich. Was fehlte, war eine wissenschaftlich fundierte Messmethode. Auf die stieß er erst, als er mit Kollegen an der University of California in San Diego die Architektur von „Storm“ studierte, einem großen Botnetz. „Plötzlich wurde uns klar, dass wir da eine Idealkonstellation vor uns hatten“, sagt Kreibich. Er beschloss, das Botnetz zu infiltrieren und so selbst zum Spammer zu werden.

          Das Botnetz Storm teilt die infizierten Computer in zwei Gruppen auf: Arbeiter, die Spam versenden, und Mittelsmänner, die die Kommandos der Botmaster weiterleiten. Kreibich und sein Team installierten die Schadsoftware, über die sich Storm verbreitet, auf einigen Rechnern. Sie infizierten ihre Rechner sozusagen mutwillig. Dabei richteten sie die Computer so ein, dass diese zu Mittelsmännern wurden. Jetzt konnten sie die Kommandos der Botmaster mitverfolgen und im Zweifelsfall sogar verändern. Sie hatten die Kontrolle über 1,5 Prozent des Botnetzes übernommen.

          Zwölf Millionen Emails für einen Kauf

          Durften sie das überhaupt – selbst zu Spammern werden? Kreibich und sein Team haben dieser ethischen Frage ein eigenes Kapitel ihrer Studie gewidmet. Kreibich argumentiert, dass er keinen Spam im eigentlichen Sinne erzeugt habe. „Wir haben nur existierende Instruktionen verändert.“ Außerdem sei letzten Endes Schaden von Menschen abgewendet worden, weil die Opfer nicht auf Seiten mit Computerwürmern oder illegalen Pharmaprodukten weitergeleitet wurden.

          An den Kommandos der Botmaster veränderte das Team nämlich eine Kleinigkeit: In den ursprünglichen Spam-Mails standen Links zu Internetseiten, die tatsächlich Pharmaprodukte verkauften. Diese Links wurden so umgeschrieben, dass sie auf Duplikate dieser Seiten verwiesen. Die sahen genauso aus wie das Original. Einziger Unterschied: Man konnte hier nichts erwerben. Wenn jemand auf „Kaufen“ klickte, passierte nichts. Außer, dass die Forscher diesen Klick registrierten.

          Nach 28 Tagen hatte der von ihnen kontrollierte Teil des Botnetzes 470 Millionen Spam-Emails verschickt. 347 Millionen davon bewarben Arzneimittel, der Rest verwies auf Seiten, die Schadsoftware verbreiten. Diese Verweise waren ebenfalls manipuliert, so dass sie keinen Schaden anrichteten. Wie viele dieser Emails tatsächlich in Postfächern landeten und wie viele sich stattdessen in Filtern verfingen, weiß Kreibich nur ungenau. Aber er weiß, wie viele Menschen auf die Links in den Emails geklickt haben. Bei den Pharmaprodukten waren es etwas mehr als 10 000. Und nur 28 Personen wollten die Produkte tatsächlich kaufen. Das sind 0,0000081 Prozent. Oder anders ausgedrückt: Die Spammer mussten für einen Kauf mehr als zwölf Millionen Emails verschicken.

          „Harvester“ lernen, sich besser zu verschleiern

          Das illegale Geschäft mit dem Spam ist also nicht ganz so einfach. Die bösen Jungs haben sich zwar einiges einfallen lassen, um die Filter zu überlisten. Nachdem immer mehr Spam abgefangen wurde, verschickten sie Bildformate, die nicht mehr als Text analysiert werden konnten. Aber auch das bekamen die Filterhersteller in den Griff: Sie nutzten eine automatische Zeichenerkennung, um die Texte trotzdem zu verstehen. Daraufhin veränderten die Spammer die Bild-Texte so, dass Computer sie nicht erkennen konnten und kamen wieder durch.

          Eine weitere Schutzmaßnahme, die Oliver Hohlfeld vorschlägt, betrifft nicht die Filter. Sie setzt schon früher bei den Harvestern an. Die legen nicht viel Wert darauf, sich zu verstecken. So können Seitenbetreiber sie erkennen und ihnen den Zugriff verweigern. „Doch wenn jetzt alle anfangen, diese Regeln einzubauen, werden die Harvester nachziehen und sich mehr verschleiern“, befürchtet Hohlfeld. Der Kampf zwischen Gut und Böse geht im Internet weiter.

          Quelle: F.A.S.

          Weitere Themen

          AfD schielt auf Merkels Direktmandat Video-Seite öffnen

          Nordvorpommern-Rügen : AfD schielt auf Merkels Direktmandat

          Bundeskanzlerin Angela Merkel scheint härter als sonst um ihr Direktmandat für den Bundestag kämpfen zu müssen. Denn die AfD hat der Kanzlerin auch in deren Kernland, der Region Nordvorpommern-Rügen, den Kampf angesagt und will Merkel das Direktmandat abnehmen. Dafür schickt die AfD ihren Landesvorsitzenden Leif-Erik Holm ins Rennen.

          Nie mehr gruscheln!

          Pleite von StudiVZ : Nie mehr gruscheln!

          Unbeholfen posteten wir Nachrichten, traten komischen Gruppen bei und fragten uns, ob man den Chef gruscheln darf. Zur Insolvenz von StudiVZ erinnern wir uns an die Anfänge der sozialen Netzwerke.

          Saturnsonde „Cassini“ schweigt für immer Video-Seite öffnen

          Raumfahrt : Saturnsonde „Cassini“ schweigt für immer

          Ende mit Feuerwerk: Die Raumsonde „Cassini“ ist in der Saturn-Atmosphäre verdampft. Das Gefährt erreichte den Gasplaneten 2005 und schickte seither Aufsehen erregende Bilder zur Erde. Nun ging „Cassini“ der Treibstoff aus.

          Topmeldungen

          Schon vor der Wahl alles klar? Mitnichten!

          Von wegen öde : Warum die Wahl doch spannend ist

          Diese Bundestagswahl ist an Langeweile kaum zu überbieten, sagen manche. Aber das ist ein Irrtum: Sie geht am Wahlabend erst richtig los. Und zwar aus vier Gründen.

          Wasserstoffbombe : Nordkorea startet die nächste Stufe

          Sollte Nordkoreas Machthaber Kim Jong-un versuchen, seine Zerstörungskraft mit einer Wasserstoffbombe im Pazifik zu demonstrieren, wären die Folgen unübersehbar. Wie groß ist die Gefahr - abseits der Kriegsrhetorik? Eine Analyse.
          May am Donnerstag in Florenz

          Grundsatzrede : May will zweijährige Übergangsphase nach Brexit

          Die britische Premierministerin Theresa May wirbt für mehr Zeit, um den EU-Austritt ihres Landes umzusetzen. Dafür will sie auf die Europäer zugehen und deutet an, während der Übergangsphase Beiträge zu zahlen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.