UM - Erweiterte E-Mail Gefahren Teil 3
In den Teilen 1 und 2 haben Sie bereits Grundlagen zu den E-Mail Gefahren und Erkennungsmöglichkeiten erfahren. Die Teile 1 und 2 finden Sie hier --> „Interne Links“.
In diesem Teil soll auf neue Arten von Spam und E-Mail Gefahren eingegangen werden.
Themen dieses Berichts (was Sie erwartet):
Allgemeine Entwicklungen --> Vorurteil Rechtschreibung / Vorurteil schlechte Aufmachung / Vom offenen Relay zum Spam-Bot / Ausnutzung von aktuellen Nachrichten
Bilder Spam --> Random Image Spam
Bounce Attacken --> Soft Bounce / Hard Bounce / Bounce Attacke
Directory Harvest Attacken
Phishing --> Speer Phishing
Interne Links
Allgemeine Entwicklungen:
Die Verteilung und Art von Spam E-Mails hat sich die letzte Zeit gravierend entwickelt. Gängige und verbreitete Meinungen müssen deshalb revidiert werden!
Vorurteil Rechtschreibung:
Viele hegen noch die Meinung, Spam an der schlechten Rechtschreibung zu erkennen. Dies ist nicht mehr so! Die Spam-Verbreiter setzen nur noch selten automatisierte Übersetzungswerkzeige ein. In Folge sind die Spam-Nachrichten mittlerweile sowohl von der Rechtschreibung, als auch von der Grammatik perfekt.
Vorurteil schlechte Aufmachung:
Spam-Nachrichten enthalten mittlerweile perfekte Kopien der Firmenlogos. Die ganze Aufmachung wirkt immer professioneller.
Vom offenen Relay zum Spam-Bot:
Wurden früher schlecht gesicherte Mailserver als Spamverteiler genutzt, sind es nun Zusammenschlüsse von entführten und ferngesteuerten Rechnern, die zum Spamversand missbraucht werden. Aufgrund dieser Entwicklung musste Ende 2006 die ORDB (Open-Relay-Data-Base) nach 5-jähriger Arbeit ihren Dienst beenden, da DNS-basierte schwarze Listen kaum noch Erfolg versprechen.
Ausnutzung von aktuellen Nachrichten:
Spam, aber insbesondere Phishing E-Mails nutzen in letzter Zeit vermehrt politische-, gesellschaftliche- oder wirtschaftliche aktuelle Themen, um den Empfänger zu Handlungen zu bewegen. Auch werden Naturkatastrophen und grosse Unfälle als Ansatzpunkt genutzt. Beispiele hierfür sind z.B. angebliche Anklagetexte in E-Mail Anhängen, angebliches Update zur Erkennung von aktuellen Virenausbrüchen oder Vermisstenmeldungen bei Naturkatastrophen.
Bilder Spam:
Bilder Spam oder Image Spam wurde entwickelt, um gängige Anti-Spam Lösungen auszutricksen. Bilder Spam beruht auf der Tatsache, das der Mensch fähig ist Textnachrichten in Bildern lesen zu können.
Bilder Spam wird seit Ende 2005 beobachtet und hatte bereits im Jahr 2006 eine 600 prozentige Steigerung zu verzeichnen. Da Bilder auch speicherintensiver sind, als reine Textnachrichten ist die Grösse der einzelnen Nachrichten von durchschnittlich ca. 5 KB auf über 80KB angestiegen. Dies hat weitreichende Folgen für E-Mail Provider und Firmen durch strenge Aufbewahrungs- und Sicherungsrichtlinien.
Als Gegenmassnahme wurden Texterkennungsmethoden (OCR – Optical Character Recognition) in die Anti-Spam Filter integriert. Leider haben diese Lösungen noch nicht die erwarteten Erkennungsraten erreicht und stellt viele Hersteller vor Probleme. Dies wurde uns auch bei diversen Gesprächen auf der Cebit2007 bestätigt.
Zusätzlich setzten Spammer neue Methoden ein, um auch die OCR-Erkennung zu umgehen. Dazu dient „Random Image Spam“.
Random Image Spam:
Bei dieser Weiterentwicklung von Bilder Spam werden die Ränder und Hintergrüden mit zufälligen Pixelfehlern versehen, um eine checksummenbasierte Erkennung zu umgehen. Weiterhin wird der Text variiert, um auch hier unterschiedliche Checksummen (Hash-Werte) zu erreichen.
Ein Nachteil für Spammer ist momentan, das nur reine „Textnachrichten“ in Bildern verschickt werden können. Das Einfügen von funktionierenden Links ist noch nicht möglich.
Als Gefahr sehe ich aber die Integration von Schadcode in Bilddateien (z.B. animierte *.gif-Dateien). Aber auch andere Bildformate sind als Trägerdatei denkbar.
Bounce Attacken:
Bounce Attacken haben im vergangenen Jahr um ca. 100 Prozent zugenommen. Bounce bezeichnet eine Unzustellbarkeitsnachricht für den Empfänger. Bei den Bounce-Nachrichten unterscheidet man „Soft Bounce“ und „Hard Bounce.
Soft Bounce:
Soft Bounce ist eine temporäre Unzustellbarkeit, z.B. durch ein überfülltes Postfach.
Hard Bounce:
Hard Bounce ist eine Unzustellbarkeit, weil die Empfängeradresse wirklich nicht existiert.
Bounce Attacke:
Eine Bounce Attacke ist ein DoS-Angriff – also ein Angriff auf die Verfügbarkeit (DoS-Angriff Erklärung – siehe --> „Interne Links“).
Bei Einer Bounce Attacke sendet ein Angreifer mit gefälschter aber existierender E-Mail Adresse massenhafte Nachrichten an einen unbekannten Empfänger. Die zurückkommenden Unereichbarkeitsmeldungen belasten / verstopfen den Mailserver bzw. das Postfach des durch den Angreifer gefälschten Absenders.
Directory Harvest Attacken:
Bei Directory Harvest Attacken (DHA) werden alle theoretisch möglichen Adressen einer Internet-Domäne durch die Spammer ausprobiert. Nicht existierende Adressen werden in Folge von dem empfangenden Mailserver durch eine Unzustellbarkeitsnachricht quittiert (NDR – No Delivery Report). Somit weiss der Spammer, welche Mailadressen in einer Domäne existent sind.
Dies Massnahme dient infolge dem Sammeln von gültigen Mail Adressen. Der Ansturm von E-Mails kann aber den empfangenden Mailserver derart be- bzw. überlasten, das dies wiederum einem DoS-Angriff gleich kommt.
Phishing (Speer Phising):
Phishing ist immer ein Angriff mit Social Engineering Techniken. Während aber Phishing massenhaft versendet wird ist Speer Phishing genau das Gegenteil.
Speer Phising:
Beim Speer Phishing wird nur ein ganz spezieller, kleiner Personenkreis angeschrieben. Dies kann eine Organisation, Abteilung, Behörde oder Firma sein. Der Angreifer versucht dabei im Vorfeld möglichst viele „Insider Informationen“ über das / die Opfer zu erhalten, um durch persönliche Anrede und interne Einzelheiten das Vertrauen bzw. das Gefühl der Rechtmässigkeit zu provozieren. In Folge wird (wie beim normalen Phishing) versucht, das Opfer zum Ausführen von Anhängen oder den Besuch von präparierten Webseiten zu bewegen.
Nachdem Sie nun spezielle Techniken von Spam kennengelernt haben, möchte ich in den nächsten Teilen auf Schutzmöglichkeiten eingehen.
Interne Links:
Teil 1 – UM-Grundlagen zu E-Mail Gefahren: http://www.security-dome.eu/UM-Spamgrundlagen_Teil_1.html
Teil 2 – UM-Techniken zur Spam-Erkennung: http://www.security-dome.eu/UM-Spamerkennung_Teil_2.html
Teil 3 – UM-Erweiterte E-Mail Gefahren: dieser Bericht
Teil 4 – UM: folgt in Kürze
DoS Grundlagen: http://www.security-dome.eu/DoS_Grundlagen.html
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 01.06.07
Letzte Aktualisierung: 01.06.07