Image Spam

STAT
ISTICS
m
a
p
S
e
g
a
Im
Eine wachsende Bedrohung
Eine wachsende Bedrohung
Noch nie war es so einfach, direkt und unmittelbar mit
der Mehrheit der Weltbevölkerung zu kommunizieren.
Für Unternehmen jeder Größe hat sich Email zur
Kommunikationsform Nummer eins entwickelt.
Die meisten guten Dinge haben auch ihre Kehrseite,
und mit den Emails kommen auch Spam-Nachrichten.
Wie wir beobachtet haben, macht Spam über 80% des
gesamten Email-Verkehrs aus, und diese Zahl ist weiterhin ansteigend. Einer der Schlüsselfaktoren für diesen
dramatischen Zuwachs ist bildbasierter Spam, ein
zunehmend häufiges und hochentwickeltes Übel, das
mehr als 25% des gesamten Spam-Volumens ausmacht.
Bildbasierter Spam lässt sich nur schwer blocken, da
Email-Filter die in einem Bild enthaltenen Mitteilungen
nicht lesen können. So können Spammer die Filter
einfach umgehen, indem Sie für jede Spamkampagne
eine Variation des gleichen Bilds verwenden.
Spammer kombinieren diese Technik, die als Image
Serializing bezeichnet wird, mit dem Einsatz von Spamzombies oder Bots (infizierten Desktop-PCs, die heimlich gekapert werden). Durch die Kombination dieser
beiden Methoden gelingt es den Grafik-Spammern, die
meisten der heute angebotenen Spamtechnologien zu
überlisten.
Für Unternehmen ist Spam nicht mehr bloß ein
Produktivitätsproblem. Durch Spam werden Mitarbeiter
der Gefahr von Betrug ausgesetzt, und es ist die Pflicht
eines Unternehmens, seine Mitarbeiter zu schützen.
Systemadministratoren müssten bildbasierten Spam an
mehreren Fronten eindämmen:
u Bildbasierter Spam ist schwieriger zu erkennen.
• Die IT verbringt mehr Zeit mit der Fein einstellung herkömmlicher Email-Filter.
v Eine bildbasierte Spam-Nachricht ist normalerweise deutlich größer als eine textbasierter Spam.
• Textbasierter Spam ist ca. 5 bis 10 KB groß,
während bildbasierte Spam-Nachrichten
etwa zwischen 10 und 70 KB liegen.
• Daher muss die IT deutlich mehr Bandbreite
und Speicherkapazität für die Email Infrastruktur aufwenden.
w Die Analyse bildbasierter Spam-Nachrichten
dauert länger.
• Die IT muss vorhandene Plattformen
möglicherweise erweitern oder ersetzen,
damit die erforderliche Verarbeitungsleistung
zur Verfügung steht.
Wenn bildbasierter Spam nicht richtig
behandelt und verwaltet wird, kann es Netzwerke überschwemmen, Reaktionszeiten
drastisch reduzieren und andere entscheidende
Geschäftsanwendungen beeinträchtigen.
Spam macht
über 80%
des gesamten Email-Verkehrs aus
– diese Zahl
steigt weiterhin an.
Eine Bedrohung, die sich weiterentwickelt
Bildbasierter Spam ist noch relativ neu. Anfangs
enthielten Spam-Nachrichten noch keine Bilder.
Stattdessen wurden Bilder über verborgene URLs
aus dem Internet geladen. Da die meisten EmailFilter nach Schlüsselwörtern suchten, wurden diese
Spam-Nachrichten nicht abgefangen.
Als bei Email-Filterlösungen „Spam URL Realtimeblock-lists“ (SURBLs) oder Datenbanken mit
zulässigen URLs zum Einsatz kamen, waren
Grafik-Spammer gezwungen, ihre Methoden zu
überdenken. Zunehmend wurden Bilder in die
Nachrichten eingebettet und keine URL-Links mehr
verwendeten, um diese Filter zu umgehen.
Dieser letzte Punkt wirft eine Frage auf: Warum
sollte jemand, der diese Art von bildbasiertem Spam
erhält, die beworbene URL in seinen Webbrowser
eingeben oder kopieren? Diese Frage lässt sich damit
beantworten, worauf bildbasierte Spam-Nachrichten
abzielen. Einige bewerben beispielsweise günstiges
Viagra, meistens geht es jedoch um Aktienbetrug
(pump and dump stock scams), bei dem Spammer
erst in eine Aktie investieren und dann Spam verschicken, um diese anzupreisen (pump). Ziel ist es,
den Aktienkurs hochzutreiben und anschließend die
Aktien zu überhöhten Preisen abzustoßen (dump).
Dazu ist kein Link erforderlich – nur ein Köder, der
den Empfänger drängt, seinen Makler anzurufen.
Viele Opfer fallen auf das Versprechen von leicht
verdientem Geld herein. Verschlimmert wird die
Situation dadurch, dass Spekulanten die Aktienbewegungen im Umfeld der Spamkampagne ausnutzen,
um Gewinne zu machen.
Nicht in allen Fällen von Aktienbetrug kommt bildbasierter Spam zum Einsatz, aber der Trend ist da,
wie unser Whitepaper zu „pump and dump“ dargelegt. Diese Fälle häuften sich derart, dass die SEC
am 8. März 2007 den Handel von 35 Unternehmen
aussetzte, die bereits wiederholt Gegenstand von
Spam-Email-Kampagnen waren1.
Hierdurch wird potenzieller Profit solcher Betrugsfälle deutlich, und es wird klar, warum Spammer so
einfallsreich sind, wenn es darum geht, Filtertechniken
zu umgehen. Um beispielsweise die FingerabdruckTechnik zu umgehen, begannen Spammer, jedes
Mal ein einzigartiges, geringfügig verändertes Bild
zu verschicken, indem sie das Bildformat änderten,
Pixel hinzufügten, Bilder kippten usw. Verschiedene
Email-Filter versuchen, durch Zeichenerkennung
(OCR) Nachrichten in Grafiken zu erkennen.
Dafür ist zwar deutlich mehr Verarbeitungsleistung
erforderlich, Spammer haben es trotzdem geschafft,
OCR-Technologien zu umgehen, indem sie Schriftart und Hintergrund variieren oder Muster verwenden, bei denen die Nachricht für das menschliche
Auge vollständig lesbar, aber für eine Maschine
nicht erkennbar ist – ein endloses Katz-und-MausSpiel! Bei bildbasiertem Spam werden jetzt Schlüsselwörter oder -formulierungen in einem Bild versteckt
oder Text, der nicht als Spam gilt, ans Ende der
Nachricht angehängt. Dieser Textteil, der oft auch
als Wortsalat bezeichnet wird, enthält aneinandergereihte Wörter, die allerdings keine Bedeutung
haben. Häufig verwenden Spammer Abschnitte aus
der Literatur oder Kopien von Pressemitteilungen.
Diese Technik führt die meisten Spamfilter in die
Irre, da aufgrund der hohen Anzahl an Wörtern
mit Bedeutung die Wahrscheinlichkeit verringert
wird, dass es sich um Spam handelt. Eine weitere
Methode, die sich wachsender Beliebtheit erfreut,
ist die Verwendung animierter und mehrschichtiger
GIF-Dateien, bei denen die Nachricht in mehrere
Bilder unterteilt ist, die übereinanderliegen.
Spammer kombinieren diese Techniken mit dem
Einsatz von Spam-Bots oder – was noch schlimmer
ist – sie verwenden Botnets für die Serialisierung
von Spam-Bildern.
Bildbasierter Spam
macht mehr als 25%
des gesamten Spam-Volumens aus.
1
Weitere Informationen in der Pressemitteilung der SEC: http://www.sec.gov/news/press/2007/2007-34.htm
Eine unbesiegbare Bedrohung
Um bildbasierten Spam einzudämmen, könnten
Unternehmen jede Nachricht mit Bildern oder Anhängen sperren, damit diese nicht in die Posteingänge
der Benutzer gelangen. Für die meisten Unternehmen wären dies jedoch zu drastische Maßnahmen,
da die Mitarbeiter möglicherweise selbst Mails mit
Bildern versenden und/oder empfangen (beispielsweise Signaturen mit Unternehmenslogo).
Angesichts der verschiedenen Techniken zur Umgehung der Spamfilter sollten bei einer erfolgreichen
Lösung verschiedene Methoden kombiniert werden.
Es sollte auf bewährte sowie neue und anpassungsfähige Methoden, die auf bestimmte Bedrohungen
abzielen, zurückgegriffen werden. Zur Bekämpfung
von bildbasiertem Spam sind drei Filterstrategien
wesentlich:
u Perimeterschutz: Durch eine einzige Zugangsmöglichkeit wird die Gefahr eingegrenzt, dass SpamNachrichten in das Netzwerk gelangen Es gibt eine
Reihe von Funktionen zur Prüfung des Absenders,
z.B. auf Absenderauthentifizierungs-, Validierungsund Akkreditierungsebenen.
v Nachrichtenprüfung: Es wird nach bekannten
Spam-Mustern (einschließlich eingebetteter URLs)
gesucht, der Aufbau von Nachrichten wird analysiert,
und die Netzwerkeigenschaften, die bei ihrer
Zustellung beteiligt waren, werden untersucht.
w Bildprüfung: Bildformat und -inhalt werden
untersucht, und das Bild wird mit bekannten SpamBildern oder mit Folgebildern verglichen, um neue
Spam-Wellen zu verhindern.
Diese Filtertechniken sind zwar unverzichtbar,
sollten jedoch beim Kampf gegen bildbasierten
Spam nicht ausschließlich eingesetzt werden. Zwei
weitere wichtige Aspekte sind von großer Bedeutung:
u Analyse durch den Benutzer: Es wird nicht
empfohlen, sich bei der Bekämpfung bildbasierten
Spams nur auf OCR-Technologie zu verlassen, da
ausschließlich maschinengestützte Lösungen selten
narrensicher sind. Eine Analyse durch den Benutzer
ist erforderlich, um die Erfassungsraten zu verbessern
oder um unvermeidlichen Fehler auf Grundlage
maschineller Entscheidungen zu korrigieren.
v Zukunftsorientierte Technologie: Bildbasierter Spam ist nur die bisher letzte Runde im
Kampf zwischen Spammern und Email-Benutzern.
Da Spammer laufend ihre Taktiken und Techniken
ändern, müssen sich Email-Filterlösungen auf
flexible Strukturen stützen und damit sowohl die
erforderlichen Fähigkeiten, um mit den Bedrohungen
von heute fertig zu werden, als auch die nötige
Flexibilität und Skalierbarkeit bieten, um es auch
mit den Bedrohungen von morgen aufzunehmen.
Analysen durch den
Benutzer
sind zur Verbesserung
der Erfassungsraten erforderlich.
Norman ASA
Norman ASA wurde 1984 in Oslo, Norwegen, gegründet und ist Weltmarktführer und Vorreiter im Bereich proaktiver Content-Sicherheitslösungen und
forensischer Malware-Tools. Norman bietet Malware-Analyse-Tools, Netzwerksicherheits- und Endpoint-Protection-Lösungen, um den Sicherheitsanforderungen seiner Kunden gerecht zu werden. Die Lösungen von Norman
sind in den Norman-Niederlassungen und über ein weltweites Partnernetzwerk
zu beziehen.
STAT
ISTICS
[email protected] • www.norman.de