Spammer verwenden spezielle Programme und Technologien, um die Milliarden von Spam-Mails zu generieren und zu übertragen, die täglich verschickt werden (60 bis 90 Prozent des gesamten Mail-Verkehrs). Das benötigt viel Zeit und Geld.
Die Spammer-Aktivitäten können in folgende Schritte eingeteilt werden:
- Sammeln und Bestätigen von Empfängeradressen und Sortieren der Adressen in Zielgruppen
- Erstellen von Plattformen für Massen-Mailings (Server und/oder individuelle Computer)
- Schreiben von Massen-Mailing-Programmen
- Bewerbung der Spammer-Dienste
- Entwickeln der Texte für spezielle Kampagnen
- Spam-Versand
Jeder Schritt in diesem Prozess wird unabhängig von den anderen Schritten durchgeführt.
Sammeln und Bestätigen von Adressen; Erstellen von Adresslisten
Der erste Schritt im Spammer-Geschäft ist es, eine E-Mail-Datenbank anzulegen. Die Einträge bestehen nicht nur aus E-Mail-Adressen. Zu jedem Eintrag können auch weitere Informationen wie Standort, Geschäftsbereich (bei Firmeneinträgen) oder Interessen (bei privaten Einträgen) vorhanden sein. Eine Datenbank kann auch Adressen bestimmter Mail-Provider wie Yandex, Hotmail, AOL usw. enthalten oder auch von Online-Diensten wie PayPal oder eBay.
Es gibt verschiedene Methode, die Spammer normalerweise zum Sammeln von Adressen verwenden:
- Erraten von Adressen durch weit verbreitete Kombinationen aus Worten und Zahlen, zum Beispiel john@, destroyer@, alex-2@
- Erraten von Adressen durch Ähnlichkeiten: Wenn es einen Anwender mit der bestätigten Adresse joe.user@hotmail.com gibt, kann man auch nach joe.user@yahoo.com, @aol.com, bei Paypal usw. suchen.
- Durchsuchen öffentlicher Ressourcen, inklusive Webseiten, Foren, Chats, Whois-Datenbanken, Usenet-News und andere, nach Wortkombinationen wie wort1@wort2.wort3, wobei wort3 eine Top-Level-domain wie .com oder .info ist
- Diebstahl der Datenbanken von Webdiensten, Internet-Providern, usw.
- Diebstahl persönlicher Daten von Anwendern über Computerviren und andere schädliche Programme.
Thematische Datenbanken werden meist mit der dritten Methode erstellt, da öffentliche Ressourcen meist Informationen über die Vorlieben der Anwender sowie persönliche Daten wie Geschlecht, Alter usw. enthalten. Gestohlene Datenbanken von Webdiensten und Internet-Providern enthalten solche Informationen manchmal ebenfalls, was den Spammern ermöglicht, ihre Spam-Mails besser zu personalisieren und die Zielgruppe besser zu bestimmen.
Der Diebstahl persönlicher Daten, etwa das Adressbuch des Mail-Programms, ist eine relativ neue Entwicklung, die sich als hocheffizient erwies, da der Großteil der damit gesammelten Adressen aktiv ist. Leider haben viele Virenepidemien gezeigt, dass es immer noch viele Computer ohne zuverlässigen Schutz gibt – daher wird diese Methode auch weiterhin erfolgreich sein, bis der Großteil der weltweiten Computer adäquat geschützt ist.
Wurden einmal E-Mail-Datenbanken erstellt, müssen die Adressen vor dem Massenversand verifiziert werden:
- Erstes Test-Mailing. Eine Testnachricht mit zufälligem Text, der dazu dient, Spam-Filter zu umgehen, wird an die gesamte Adressliste geschickt. Die Mail-Server-Logdateien werden auf aktive und inaktive Adressen analysiert und die Datenbank wird entsprechend gesäubert.
- Sobald die Adressen verifiziert wurden, wird meist eine zweite Nachricht verschickt, die prüfen soll, ob die Empfänger die Mail lesen. Dafür kann sie zum Beispiel einen Link zu einem Bild auf einem bestimmten Web-Server enthalten. Sobald die Nachricht geöffnet wird, wird das Bild automatisch heruntergeladen und die Webseite trägt die Adresse als aktiv ein.
- Eine erfolgreichere Methode, festzustellen, ob eine Mail-Adresse aktiv ist, ist Social Engineering. Die meisten Anwender wissen, dass sie das Recht haben, sich aus unerwünschten Mailing-Listen löschen zu lassen. Die Spammer nutzen das aus, indem sie Nachrichten mit einem „Abbestellen“-Knopf verschicken. Die Anwender klicken darauf und eine angebliche Abbestell-Nachricht wird verschickt. Doch stattdessen erhalten die Spammer die Bestätigung, dass die entsprechende Adresse nicht nur richtig ist, sondern der Anwender die Mails auch aktiv liest.
Allerdings ist keine dieser Methoden narrensicher und jede Spammer-Datenbank wird immer eine große Zahl inaktiver Adressen enthalten.
Erstellen der Plattformen für Massen-Mailings
Heutige Spammer nutzen eine der folgenden drei Massen-Mailing-Methoden:
- Direkt-Mailings von gemieteten Servern
- Verwendung von Open-Relay- und Open-Proxy-Servern, die schlecht konfiguriert und deshalb frei zugänglich sind
- Bot-Netze – Netzwerke aus Zombie-Computern, die mit Schadprogrammen infiziert sind (meist Trojaner), die es den Spammern ermöglichen, die infizierten Computer als Plattformen für Massen-Mailings zu missbrauchen, ohne dass der Anwender das bemerkt
Das Mieten von Servern bringt Probleme mit sich, da Anti-Spam-Organisationen Massen-Mailings überwachen und entsprechende Server schnell auf Blacklisten hinzufügen. Die meisten Internet-Provider und Anti-Spam-Lösungen verwenden Blacklisten zur Identifizierung von Spams: Das bedeutet, dass ein Server, der auf der Blacklist steht, nicht länger von den Spammern verwendet werden kann.
Die Verwendung von Open-Relay- und Open-Proxy-Servern ist zeitaufwändig und teuer. Die Spammer müssen zuerst Roboter schreiben und pflegen, die das Internet nach anfälligen Servern durchsuchen. Dann muss in die Server eingedrungen werden und schließlich werden auch diese Server entdeckt und auf die Blacklisten genommen werden.
Daher ziehen es moderne Spammer vor, Bot-Netze aufzubauen oder zu kaufen. Professionelle Virenautoren verwenden verschiedene Methoden, um solche Netzwerke aufzubauen und zu pflegen:
- Raubkopien ist einer der meistgenutzten Verbreitungswege für Schadprogramme. Da Raubkopien oft über File-Sharing-Netzwerke verbreitet werden, dringen die Kriminellen auch in die Netzwerke selbst ein und sogar Anwender, die keine Raubkopien herunterladen sind dem Risiko ausgesetzt.
- Das Ausnutzen von Sicherheitslücken in Browsern, vor allem dem Internet Explorer. Es gibt zahlreiche solcher Lücken, die es möglich machen, von einer geöffneten Webseite aus in den Computer einzudringen und die Hintermänner der Schadprogramme erhalten damit vollen Zugriff auf und volle Kontrolle über die infizierten Computer. So sind Pornoseiten und andere häufig besuchte halblegale Webseiten oft voll schädlicher Programme. Im Jahr 2004 wurde eine Vielzahl von Seiten, die unter dem Microsoft-IIS-Server laufen, mit Trojanern infiziert. Diese Trojaner attackierten dann die Computer der Anwender, die davon ausgingen, die besuchten Seiten seien sicher.
- Verwendung von E-Mail-Würmern und Ausnutzen von Sicherheitslücken in Windows, um Trojaner zu verbreiten und zu installieren: Windows-Systeme sind generell anfällig und Hacker sowie Virenautoren stehen immer bereit, um das auszunutzen. Unabhängige Tests zeigten, dass zum Beispiel ein Windows-XP-Computer ohne Firewall oder Antivirus-Software innerhalb von 20 Minuten nach Verbindung mit dem Internet angegriffen wird.
Moderne Schadprogramme sind technologisch sehr hoch entwickelt. Die Autoren scheuen weder Zeit noch Arbeit, um die Entdeckung ihrer Machwerke so schwer wie möglich zu machen. Trojanerkomponenten können wie ein Web-Browser arbeiten und Webseiten um weitere Instruktionen fragen, unter anderem ob eine DoS-Attacke oder ein Spam-Versand gestartet werden soll (die Anweisungen können sogar Informationen zur Zeit und dem „Ort“ der nächsten Anweisung enthalten). Auch IRC-Chats werden verwendet, um Anweisungen weiterzugeben.
Spammer-Software
Ein durchschnittliches Massen-Mailing enthält etwa eine Million Mails. Das Ziel ist es, ein Maximum an Nachrichten in möglichst kurzer Zeit zu verschicken. Es gibt einen beschränkten Zeitraum, bevor die Datenbanken von Anti-Spam-Lösungen aktualisiert werden und auch die neuesten Spam-Typen erkennen.
Der Versand einer so großen Zahl von Nachrichten in kürzester Zeit benötigt entsprechende Technologien Es gibt daher einige, die extra für professionelle Spammer entwickelt wurden. Solche Programme müssen Folgendes können:
- Versand von Mails über zahlreiche Kanäle, inklusive Open Relays und individuelle, infizierte Computer
- Erstellen dynamischer Texte
- Fälschen legitimer Mail-Header
- Nachverfolgen der Richtigkeit von E-Mail-Datenbanken
- Feststellen, ob individuelle Nachrichten ausgeliefert wurden oder nicht, und erneuter Versand, wenn die Original-Plattform auf Blacklisten hinzugefügt worden ist
Solche Spammer-Software gibt es als Abo-Dienste oder eigene Programm mit einmaligen Kosten.
Marketing für Spammer-Services
Interessanterweise bewerben Spammer ihre Dienste auch per Spam. Und die Werbung von Spammern ist eine eigene Spam-Kategorie. Spammer-Spam enthält auch Werbung für Spammer-Software, Bot-Netzwerke und E-Mail-Datenbanken.
Erstellen des Mail-Textes
Spam-Filter können heute sofort eine große Menge gleich aussehender Nachrichten entdecken und blockieren. Deshalb stellen Spammer sicher, dass die Mails in Massenaussendungen zwar E-Mails mit ähnlichen Inhalten, aber leicht veränderten Texten enthalten. Sie haben zahlreiche Methoden entwickelt, um die Ähnlichkeiten in den Mails zu verbergen:
- Einbauen von zufälligen Textstellen, zusätzlichen Wörtern oder unsichtbarem Text. Dabei kann es sich einfach um zufällige Wort- und/oder Buchstabenreihen handeln, oder auch um echten Text aus einer echten Quelle, der entweder am Anfang oder am Ende der Mail hinzugefügt wird. Eine HTML-Nachricht kann auch unsichtbaren Text enthalten – kleine Zeichen oder Text, die in der Hintergrundfarbe eingefärbt sind. All diese Tricks stören das Fuzzy Matching und die Bayes-Filtermethoden von Anti-Spam-Lösungen. Allerdings haben die Entwickler von Spam-Filtern schnell darauf reagiert und Zitat-Scanner, eine detaillierte HTML-Code-Analyse und andere Techniken entwickelt. In vielen Fällen entdecken Spam-Filter einfach, dass solche Tricks in einer Mail angewendet werden und kennzeichnen diese als Spam.
- Grafischer Spam. Das Einbauen von Text in Grafiken verhindert die automatische Textanalyse für eine gewisse Zeit, auch wenn hochwertige Anti-Spam-Lösungen es schaffen, Grafiken zu entdecken und zu analysieren.
- Dynamische Grafiken. Spammer verwenden heute auch komplizierte Grafiken mit zusätzlichen Informationen, um Spam-Filter zu umgehen.
- „Fragmentierte“ Bilder. Diese Grafiken bestehen aus mehreren kleineren Bildern, sehen in der Mail aber wie ein einziges großes Bild aus und der Anwender sieht sie als einen einzigen Text. Animationen sind eine weitere Art der Fragmentierung, bei der die Bilder in übereinander gelagerte Einzelbilder aufgeteilt werden, so dass im Endergebnis wieder der komplette Text sichtbar ist.
- Umschreibende Texte. Eine einzige Werbung kann endlos umgeschrieben werden, und jede individuelle Nachricht scheint dann eine legitime Mail zu sein. Spam-Filter müssen eine große Menge von Beispielen solcher Texte sehen, um sie als Spam erkennen zu können.
Ein gutes Spammer-Programm bringt all diese Methoden zur Anwendung, da verschiedene Anwender auch verschiedene Spam-Filter verwenden. Werden mehrere der genannten Methoden verwendet, stellt das sicher, dass eine wirtschaftlich rentable Zahl von Nachrichten die Spam-Filter umgehen und die Empfänger erreichen kann.
Spam und Psychologie
Schneller Versand und die Fähigkeit, Spam-Mails an den Spam-Filtern vorbei zu schmuggeln, ist wichtig beim Spam-Versand – aber es gibt noch andere wichtige Punkte. Spammer müssen auch sicherstellen, dass der Anwender die Mail liest und macht, was der Spammer verlangt (zum Beispiel eine bestimmte Nummer anrufen, auf einen Link klicken, usw.).
Spammer entwickeln die psychologischen Methoden zur Manipulation der Spam-Empfänger immer weiter. So haben Spammer schon versucht, die Empfänger davon zu überzeugen, die Nachricht sei persönlich und keine Spam-Mail. Schon lange nutzen sie dafür primitive Ansätze, wie das Hinzufügen eines „RE“ oder „FW“ am Anfang der Betreffzeile, um damit anzuzeigen, die Mail sei eine Antwort auf eine vom Empfänger geschickte E-Mail oder komme von einem bekannten Kontakt. Später kamen subtilere Methoden hinzu.
Die Spammer begannen sich mehr mit ihren Texten zu beschäftigen. Heute sind manche Spams stilistisch und lexikalisch so gestaltet, dass sie wie persönliche Korrespondenz aussehen. Es gibt einige überzeugende Exemplare, die auf den ersten Blick sogar Experten täuschen können, ganz zu schweigen von unerfahrenen Anwendern. Diese Spams sind oft sehr unpersönlich (ohne direkte Anrede oder Anreden mit Worten wie „Freundin“ oder „Süßer“, usw.), um die Illusion zu schaffen, die Mail wäre nur für den Empfänger bestimmt. Manchmal werden in gefälschten persönlichen Kommunikationen Namen verwendet. In jedem Fall soll die Neugier des Empfängers angeregt werden, so dass er herausfinden will, woher die Mail kam, ob er sie weiterleiten soll, usw.
Ein weiterer Trick der Spammer ist es, Social Engineering zu verwenden – in diesem Fall die Nutzung aktueller Nachrichtenthemen (die manchmal von den Spammern frei erfunden werden).
Die Struktur des Spam-Geschäfts
Für die oben aufgeführten Schritte benötigt man ein Team verschiedener Spezialisten oder man gibt einzelne Aufgaben an Andere. Die Spammer selbst, also die Menschen, die die Dienste anbieten und Geld von ihren Kunden verlangen, kaufen oder mieten meist Programme und Dienstleistungen, die sie für ihre Massen-Mailings benötigen.
Spammer können eingeteilt werden in professionelle Programmierer und Virenschreiber, die selbst die Software für den Spamversand entwickeln und einsetzen, sowie in Amateure, die selbst nicht programmieren und weniger IT-Erfahrung haben, aber möglichst einfach Geld verdienen wollen.
Zukünftige Trends
Spammer machen heute einen Umsatz von mehreren Hundert Millionen Dollar pro Jahr. Wie kommt man zu dieser Zahl? Man teilt die Zahl der täglich entdeckten Spam-Mails durch die Zahl der Nachrichten in einem Standard-Mailing und multipliziert das Ergebnis mit den durchschnittlichen Kosten für ein Standard-Mailing: 30 Milliarden (Nachrichten) geteilt durch 1 Million (Nachrichten) multipliziert mit 100 Dollar multipliziert mit 365 (Tagen) = durchschnittlicher Jahresumsatz 1.095 Millionen Dollar.
So ein lukrativer Markt ermutigt viele eine richtige Firma daraus zu machen, die den gesamten Geschäftskreislauf selbst in professioneller und kostensparender Weise abwickelt. Aber es gibt rechtliche Probleme: Das Sammeln persönlicher Daten und Versenden unverlangter Mails ist in vielen Ländern illegal. Doch man kann damit gut genug Geld verdienen, dass risikobereite Menschen, die schnellen Gewinn machen wollen, davon angezogen werden.
Die Spam-Branche wird also in die Fußstapfen anderer illegaler Aktivitäten treten: Sie wird in den Untergrund gehen und einen langen Kampf mit den Strafverfolgungsbehörden führen.