In InfoWeek 16/2004 haben wir gezeigt, mit welchen fiesen Tricks Spammer den unbedarften Anwender zu übertölpeln versuchen und wie sie mit Directory-Harvest-Attacken zu neuen Mail-Adressen kommen. In dieser Ausgabe werden wir auf die Tools eingehen, die die Spammer nutzen, um Adressen zu sammeln und ihre Müll-Mails zu versenden.
Wenn ein Spammer seine Botschaft in einer Weise aufbereitet hat, dass sie Spamfilter erfolgreich täuschen kann, benötigt er zum Versand eine Liste mit vielen gültigen E-Mail-Adressen und eine Möglichkeit, seine Nachricht automatisiert, in möglichst kurzer Zeit und vor allem anonym zu verbreiten. Für beide Aufgaben gibt es eine ganze Palette von Tools, die vor allem aus Osteuropa und Russland stammen.
Der typische Kleinspammer, der sich ab und zu mit dem Versand von Müll-Nachrichten ein Zubrot verdienen will, wird die benötigten E-Mail-Adressen wohl noch immer im freien Internetmarkt als vorkompilierte Listen kaufen – mit allen damit verbundenen Risiken, was beispielsweise den Anteil veralteter oder ungültiger Adressen anbelangt. Wer sein Spam-Geschäft dagegen professionell angeht, bedient sich professionellerer Methoden wie dem Directory-Harvesting. Moderne Software zu diesem Zweck beherrscht dabei nicht nur die im letzten Heft beschriebene Attacke, sondern bietet verschiedene weitere Methoden bis hin zur Erstellung von Zielgruppen-basierten Listen an.
Zwei der verbreitetsten Adress-Sammeltools sind Atomic Email Hunter und Power Email Harvester. Von beiden Anwendungen sind Trial-Versionen verfügbar, und die Konfiguration ist schnell erledigt – optimal für Profi-Spammer.
Beide Tools beherrschen denn auch die wichtigsten Adress-Sammelmethoden, als da wären:
•
Directory-Harvest-Attacke: An einer beliebigen Domäne werden zufällige Mail-Adressen ausprobiert, die gültigen Antworten werden gesammelt. Es wird zwischen Brute-force-sequence- und Dictionary-mashing-Attacken unterschieden; erstere probiert zufällige Kombinationen von Zeichen aus (aaa@do main.ch, aab@domain.ch etc.), letztere macht dasselbe mit Namen (ot tomeier@domain.ch, omeier@do main.ch, ottom@domain.ch etc.).
•
Zielgruppen-orientierte Sammlung: Gewisse Spam-Mails sind auf Zielgruppen spezialisiert und benötigen entsprechendes Adressmaterial. Die Sammelsoftware erlaubt deshalb die Eingabe von Kriterien (z.B. «Hausbesitzer»), worauf mit Google und weiteren Suchtools automatisch nach passenden Sites gesucht wird und darauf die Mail-Adressen eingesammelt werden.
•
Abgrasen des Web: Die rudimentärste Sammelmethode wird von fast allen Adress-Sammeltools geboten. Dabei surft das Programm automatisch durchs Web, aber auch durch Blogs, Foren und Newsgroups, und sammelt dabei sämtliche auffindbaren Mail-Adressen ein – simpel, aber äusserst effektiv, da sich auf praktisch jeder Website irgendwo eine Mail-Adresse findet.
Sind auf diese Weise erst einmal genügend aktuelle Mail-Adressen zusammengekommen, zündet die nächste Stufe der Spam-Rakete: der anonyme Massenversand.
Technisch gesehen handelt es sich dabei um zwei Prozesse, die nacheinander abgearbeitet werden: zum einen die Technologie, die den schnellen Versand von vielen Mails erledigt, zum anderen diejenige, die die Mails anonymisiert. Den ersten Teil beherrschen alle Massenmailer und Newsletter-Agenten (auch solche, die legale Zwecke verfolgen) – im Prinzip benötigt man bloss einen Multi-thread-fähigen Message Transfer Agent (MTA). Der zweite Teil ist umständlicher, da dafür ungenügend geschützte Server (offene Proxies oder Relays) benötigt werden, über die der Absender gefälscht wird.
Beide Techniken werden in modernen Software-Tools für Spammer kombiniert und automatisiert. Die beiden beliebtesten Tools sind StealthMail Master und Send-Safe Mail, die je nach Anforderungen und integrierten Services zwischen 50 und 1500 Dollar kosten.
StealthMail Master bezieht die Liste der offenen Proxies von seinem Hersteller und kann auch automatisch aufdatiert werden. Während des Downloads der Liste überprüft das Programm, ob die Proxies noch ungeschützt sind und wie hoch ihre Performance ist. Darauf wird die zuvor vorbereitete Spam-Nachricht versandt, wobei auch mehrere gleichzeitige Verbindungen genutzt werden können.
Ähnlich funktioniert auch Send-Safe Mail, allerdings haben die Anwender hier die Wahl, ob sie die vom Programm entdeckten offenen Relays benutzen wollen oder lieber auf eine eigene Liste von Proxies vertrauen. Send-Safe-Mail verfügt über einen integrierten Proxy-Scanner, der einen beliebigen Bereich von IP-Adressen automatisch nach ungeschützten Mailservern abgrast.
Auf diese Weise verfügen Spammer stets über eine aktuelle Liste von offenen Relays. Auch wenn Administratoren alles daran setzen, ihre Server zu schützen – im Internet tauchen ständig neue Server auf, und manch einer wird erst abgesichert, wenn er auf Black Lists auftaucht oder der Admin unter der Last der Reklamationen fast zusammenbricht. Dann ist der Schaden allerdings bereits entstanden.
•
Tarnen Sie Ihre Mail-Adresse auf Ihren Webseiten, in Gästebüchern, Foren etc. (z.B. otto.meier (at) domain.ch).
•
Benutzen Sie mehrere Mail-Adressen für verschiedene Zwecke.
•
Vermeiden Sie den Eintrag Ihrer Adresse in öffentlichen Verzeichnissen.
•
Reagieren Sie niemals auf Spam-Mails, schalten Sie die HTML-Voransicht
im Mail-Client ab.
•
Schliessen Sie offene Proxies und Relays.
