Image Spammern das Handwerk legen
30 Prozent aller Junk Mails besteht aus Bildern – Tendenz bedrohlich steigend. Einer Studie von Secure Computing zufolge hat Image Spam in den letzten Monaten um 200 Prozent zugenommen. Die Gründe: Spammer machen sich die Tatsache zu nutze, dass viele Filtersysteme nur Text-Spams erkennen können. Nun verstecken sie ihre Spam-Nachricht in einem Bild bzw. als Text in einem Bild. Werden diese Bildinformationen immer wieder leicht verändert, versagen auch die Verfahren, die mit Hilfe von Signaturen solche Image-Spams identifizieren können. Für Unternehmen hat das fatale Folgen: Die großen Spam-Dateien verstopfen Server- und E-Maileingänge, Bandbreiten und Speicherkapazitäten werden enorm belastet.
Die mathematischen und grafischen Möglichkeiten Image-Spams zu generieren, sind ebenso zahlreich wie fortschrittlich. So lassen sich von einem Bild unterschiedliche Versionen erstellen, die für das menschliche Auge zwar gleich aussehen, von den Filtern aber nicht als identisch erkannt werden. Bilder können beispielsweise immer wieder neu zerlegt und stückwerkartig zusammengesetzt werden, die Pixel über einen Zufallsgenerator modifiziert oder Farben und Schriftarten verändert werden. Werden Images aus handgeschriebenen Texten erstellt, können die Buchstaben weder als TrueType-Schriften noch als andere bekannte Schriftarten erkannt werden – eine besonders effektive Möglichkeit, Optical Character Recognition (OCR) und die Suche nach Schriftzeichen in Bildern zu umgehen.
Ein Bild dynamisch aus mehreren Komponenten zusammenzusetzen, ist eine der neuesten Arten des Image-Spammings. Dabei werden aus Frames, die mit einigen Farbpixeln nur einen Hintergrund darstellen, und Frames, die Text enthalten, Image-Spams generiert. Der Empfänger erhält den Spam als animierte gif-Datei, wobei die Frames so schnell rotieren, dass der Leser die Animation nicht wahrnimmt, sondern nur das entstehende Textbild. Bei all den aufgeführten Beispielen greift keiner der üblichen Content-Filter, also weder die Suche nach Schlüsselbegriffen noch eine Bayessche Analyse oder OCR und auch kein Signaturverfahren.
Eine Reputation für jeden Sender
Welche Möglichkeiten gibt es also, Image-Spam zu entlarven? Lässt man den Content außen vor, bleiben noch das WER und das WIE, also der Sender sowie die Art und Weise, wie die elektronische Nachricht generiert wurde. Zunächst zum Sender: Ist es möglich, eine Art Auskunftei zu schaffen, in der sämtliche E-Mail-Sender als gut, schlecht oder verdächtig klassifiziert werden, also quasi mit einer Reputation belegt werden? Secure Computing hat hierfür eine Lösung entwickelt, die sich nicht nur auf den Fundus bereits bekannter Spammer-Adressen verlässt: Mit einem weltweiten Netz von über 7000 Sensoren, die in Unternehmen und Regierungen von über 48 Ländern verteilt sind, sammelt und bewertet TrustedSource fortlaufend Daten zu Sendern und deren Mails. Unter Einbezug von Informationen wie White- und Blacklists, Datenverkehr und Netzwerkdaten erhält jeder einzelne Sender eine Art virtuelle Identität, die wiederum IP-Adressen, Domains und URLs zugeordnet wird. Wichtige Informationen hierfür sind unter anderem, wann der Sender seine erste E-Mail verschickt hat, wie viel E-Mail-Verkehr er verursacht, ob er E-Mails nur verschickt oder auch empfängt und ob er sporadisch oder regelmäßig E-Mails sendet. Faktoren wie diese geben Aufschluss über Spamming-Aktivitäten. Das Nutzungsverhalten wird fortlaufend beobachtet, ändert es sich, wird die Reputation sofort in Echtzeit angepasst. Die dahinterliegende Datei weist also eine enorme Lernkurve auf.
Elektronische Nachrichten: Aufschlussreiche Fingerabdrücke
Ähnlich wie der Sender, kann auch die elektronische Nachricht mit einer Reputation belegt werden. Dafür wird für jede Message zunächst eine Art Fingerabdruck erstellt. Mit Hilfe spezifischer Algorithmen werden tausende von digitalen Signaturen und Hashes erzeugt, wobei auch Images und Attachments berücksichtigt werden. Diese Fingerabdrücke geben Aufschluss darüber, wie die Nachricht generiert wurde und inwieweit bzw. bis zu welchem Grad sich E-Mails und deren Bildbestandteile gleichen. Durch dieses Fingerprinting können selbst Verschleierungstaktiken in Image-Spams aufgedeckt werden.
Doppelt moppeln für den bestmöglichen Schutz
Doch ließe man die bloßen Informationen über Sender bzw. deren Messages für sich stehen, brächten sie noch nicht die volle Ausbeute bei der Jagd auf Image-Spam. Erst durch die sinnvolle Verknüpfung der Informationen entsteht eine wirklich zielsichere und effektive Anti-Spamming-Lösung. Eine komplementäre Auswertung der Daten über Sender und Messages macht es möglich, dass bis dato unbekannte Absender bzw. IP-Adressen aufgrund eines dubiosen E-Mail-Inhaltes mit einer negativen Reputation belegt werden. Das gleiche gilt für unbekannte Messages: Kommen diese von einer „gebrandmarkten“ IP-Adresse, wird die Message blockiert. Wird der E-Mail-Verkehr fortlaufend in einem weltweit aufgestellten Sensorennetz beobachtet und ausgewertet, gelingt es, Spam-Lawinen - ob nun mit oder ohne Bilder - mit sehr hoher Erfolgsrate und einer extrem niedrigen Fehlerrate abzuwehren.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER