Anfang November 2013 wurde über eine Welle seltsamer
Spam-Mails berichtet.
Betreffzeilen und Inhalt bestanden aus zufällig wirkenden
Buchstabenfolgen. Die Mails enthielten keine Links oder
Anhänge.
In der Berichterstattung wurde über die Gründe für diese
scheinbar sinnlosen Spam-Mails spekuliert.
Nicht erwähnt wurde bisher die Möglichkeit einer simplen
Falle zur Überlistung des Benutzers, bei der der
"Köder" völlig anders funktioniert
als üblich und deshalb nicht als solcher erkannt wird.
Wenn ein Angreifer sein Opfer auf eine bestimmte Seite im Netz locken will, spielt es für ihn im Ergebnis keine Rolle, ob das Opfer die Zielseite erreicht durch
Der Spammer hat die gleichen Möglichkeiten wie beim Anklicken eines Links in einer Mail:
Es handelt sich um die schlichte Kombination folgender
Sachverhalte:
Wichtig:
Die Formulierung "ein einziges Dokument" (Punkt 3 der
folgenden Liste) dient nur zur Verdeutlichung des
Gedankengangs.
Im Abschnitt "Diskussion" wird dargelegt, warum der Spammer
auf dieses Optimum verzichten und stattdessen auf
Suchergebnis-Listen variabler Länge setzen
muß.
Der Grund ist aus technischer Sicht nicht naheliegend, aus
strategemischer Sicht ("Kriegslistenaspekt")
jedoch absolut zwingend.
Diese Anmerkung wurde eingefügt, weil mehrere Leser an
dieser Stelle die Suchmaschine ihrer Wahl angeworfen, deutlich
mehr als ein Suchergebnis gefunden und die Lektüre vor
Erreichen des Abschnitts "Diskussion" abgebrochen haben.
Spammer sind professionelle List-Anwender,
man darf ihnen vorausschauende strategemische Handlungsweise
also zutrauen.
Die technische Seite dieses indirekten Angriffs erscheint leider
überraschend einfach realisierbar und automatisierbar.
Der Spammer benötigt administrativen Zugang zu
Servern. Erfahrungsgemäß bedeutet dies
nicht unbedingt, daß der Spammer für die Server
reguläre Gebühren bezahlt. Eine parasitäre Nutzung
unbemerkt gekaperter Server ist auch bei diesem Anwendungsfall
möglich.
Der Spammer muß auf den Servern Software
installieren, die auf bestimmte Seitenzugriffe reagiert. Alternativ
sind Szenarien denkbar, bei denen dem Spammer bereits die von den
Servern ohnehin erzeugten Protokolle der Seitenzugriffe ausreichen.
Die zufälligen Buchstabenfolgen müssen
erzeugt werden.
Die Seiten, auf denen die Buchstabenfolgen plaziert
werden, müssen generiert werden. Alternativ können
bestehende Seiten modifiziert werden. Letzteres schließt die
Plazierung der Buchstabenfolgen in von Benutzern erzeugten Inhalten
(z. B. in Kommentaren) ein. Seiten können jeweils
mehr als eine Kombination der Buchstabenfolgen enthalten.
Eine Datenbank für die Zuordnung von
Buchstabenfolgen zu Seiten muß angelegt werden.
Es müssen einfache Maßnahmen aus dem Bereich der
Suchmaschinenoptimierung durchgeführt werden,
um die Aufnahme der Seiten in die sogenannten Indices der
Suchmaschinen zu erreichen. Da nicht für umkämpfte
Begriffe optimiert werden muß, sondern lediglich die Aufnahme
in den Index erreicht werden soll, hängt der Aufwand nicht vom
Wettbewerb, sondern von der Seitenmenge ab. Die Verwendung
bestehender Seiten kann diesen Aufwand erheblich verringern.
Der Spammer kann prüfen, ob sich bestimmte
Seiten bereits in den Indices befinden. Dieser Vorgang bedeutet in
Abhängigkeit von der Länge des Zeitraums, der Anzahl der
zu überprüfenden Seiten und den Ressourcen des Spammers
ein gewisses Risiko, die Aufmerksamkeit der
Suchmaschinen zu erregen. Der Spammer kann auf diese Prüfung
verzichten und stattdessen Streuverluste durch nicht auffindbare
Kombinationen akzeptieren.
Der Spammer versendet Mails, die Kombinationen der
zufälligen Buchstabenfolgen enthalten. Die Kombinationen werden
nicht mehrfach verwendet. Damit ist jede Kombination
einzigartig und kann einer bestimmten
Mail an einen bestimmten Empfänger
zugeordnet werden.
Wenn mit einer Suchmaschine nach einer solchen
Kombination gesucht wird, ist die Wahrscheinlichkeit sehr hoch,
daß nur sehr wenige Ergebnisse angezeigt werden und die
entsprechende Seite des Spammers darunter ist.
Wenn dieses Suchergebnis angeklickt wird,
schnappt die Falle zu.
Infektionen mit Schadcode sind möglich, außerdem
übermittelt der Browser beim Seitenabruf normalerweise
verschiedene Daten an den Server, auf dem sich die aufgerufene Seite
befindet.
Diese Daten enthalten den sogenannten Referrer, der die einzigartige
Kombination der Buchstabenfolgen beinhaltet. Der Referrer wird vom
Server protokolliert und erlaubt dem Spammer damit die
eindeutige Zuordnung des Aufrufs der Seite zur
vorangegangenen Spam-Mail.
Die Vermeidung der Referrer-Übertragung durch Auswahl einer
entsprechenden Suchmaschine (z. B. Ixquick) oder per
Abschaltung in der Browserkonfiguration bietet keinen
vollständigen Schutz. Es sind Szenarien denkbar, in
denen die betreffenden Seiten mit extrem hoher Wahrscheinlichkeit
ausschließlich durch die Spider der Suchmaschinen abgerufen
werden, aber nicht zufällig durch normale Besucher. Einen
"normalen" Seitenabruf kann der Spammer dann als Nachweis der Suche
interpretieren.
Nicht für plausibel halte ich die Annahme
einer in dieser Form nicht beabsichtigten Spamwelle durch ein
"wildgewordenes Botnetz".
Zum einen habe ich den Eindruck, daß sich der Algorithmus zur
Mailerzeugung geändert hat, während die Spamwelle lief,
zum anderen nehme ich an, daß Botnetzbetreiber über die
Möglichkeit einer "Notabschaltung"
verfügen.
Wie sollten sie sich sonst eines Spaßvogels erwehren, der
Teile ihrer Infrastruktur von ihnen mietet, um damit andere Teile
ihrer eigenen Infrastruktur oder die Infrastruktur
ihrer Kunden anzugreifen?
Ich gehe bei der weiteren Argumentation von einer in genau
dieser Form beabsichtigten Spamwelle aus.
Da auch Versender solcher Mails "ökonomisch"
denken, ist davon auszugehen, daß durch diese Mails
irgendjemand direkt oder indirekt einen Vorteil oder Nachteil hat.
Ein solcher Vorteil könnte übrigens auch in der
Verschleierung von Kommunikation liegen.
Obwohl ich diesen Gedanken hier nicht detailliert verfolgen
möchte, sei kurz auf die Probleme derjenigen
verwiesen, die nicht nur für ihre eigenen Mailboxen oder die
ihrer Kunden zuständig sind, sondern für alle
Mailboxen weltweit gleichzeitig.
Als nur auf den ersten Blick plausibel betrachte ich einige weitere
Erklärungsversuche.
Für eine Reichweitendemonstration hätte die Welle lange
angehalten. Gleiches gilt für das reine Austesten der
Spamfilter, insbesondere vor dem Hintergrund zeitlich
beschränkter Gültigkeit der Testergebnisse.
Spammer leben davon, durch ihre Mails Menschen zu Handlungen
zu verleiten.
Es liegt also nahe, auch den Buchstaben-Spam unter diesem Aspekt zu
betrachten.
Die einfachste Erklärung für Mails ohne erkennbaren
sinnvollen Inhalt läge in der Provokation einer Antwort.
Die Penetranz dieser Spamwelle würde dazu passen (in Foren
berichteten manche Nutzer, daß sie Hunderte solcher Mails
erhalten hätten).
Allerdings gehört "Antworte niemals auf Spam" bereits seit
vielen Jahren zu den Grundregeln, die Mailbenutzer zuerst lernen.
Der Erfolg einer ausschließlich auf solche Antworten
abzielenden Spamwelle ohne sinnvollen Mailinhalt wäre daher
mehr als fraglich.
Vor diesem Hintergrund halte ich die Erklärung, daß hier
mittels Manipulation über Bande gespielt wird,
für die naheliegendste.
Die menschliche Neugier spielt dem Spammer in die
Hände, hier insbesondere in Verbindung mit einer durch die
extrem erscheinende Aufdringlichkeit
möglicherweise ausgelösten Gereiztheit.
Gegenläufig wirkt die menschliche
Bequemlichkeit (das Benutzen einer Suchmaschine
erfordert höheren Aufwand als das bloße Anklicken eines
Links in einer Mail).
Die geringe Länge der verwendeten Buchstabenfolgen spricht nur
auf den ersten Blick gegen die "Suchmaschinen-Theorie" (längere
Zeichenfolgen würden Spammern die suchmaschinenspezifischen
Arbeitschritte erleichtern).
Auf den zweiten Blick werden kurze Zeichenfolgen mit einer
höheren Wahrscheinlichkeit bei einer Suchmaschine eingegeben.
Überraschend viele Benutzer benutzen nämlich nicht
"Copy & Paste", sondern tippen ab. Längere
Zeichenfolgen sind dann weniger bequem.
Außerdem kann es sich bei der Verwendung kürzerer
Zeichenfolgen um eine Verschleierungstaktik
handeln.
Die beschriebene indirekte Vorgehensweise hat aus Sicht des
Spammers nämlich eine entscheidende
Schwachstelle: Wenn die Suchmaschinen bei der Suche
nach "sinnlosen" Zeichenfolgen unabhängig von der
"Auffälligkeit" der Suchergebnisse Warnhinweise einblenden,
sinkt die Erfolgsquote erheblich.
Der Spammer hat also größtes Interesse daran, daß
der Zusammenhang zwischen den verwendeten
Zeichenfolgen und den Suchergebnissen nicht
offensichtlich wird. Wenn für jede in
seinen Mails verwendete Kombination nur maximal ein Suchergebnis
angezeigt wird, bedeutet das anfangs zwar eine höhere Ausbeute
für ihn, fällt aber bei einer Recherche über kurz
oder lang als Gemeinsamkeit auf.
Zur Verschleierung kann er Streuverluste einkalkulieren, die durch
die teilweise Verwendung von Buchstabenkombinationen mit einer
größeren Anzahl von Suchergebnissen entstehen. Diesen
Streuverlusten kann er durch den Versand zusätzlicher Mails an
den gleichen Empfänger begegnen.
Es liegt in der Natur indirekter Angriffe,
daß der Beweis der tatsächlich erfolgten
Planung und Durchführung schwieriger sein kann
als bei direkten Angriffen (oder sogar unmöglich).
Bei hinreichender Entkopplung der Komponenten eines Angriffs kann
sich der dazugehörige Plan im Kopf einer
einzigen Person befinden, ohne jemals kommuniziert worden zu sein.
Der Nachweis der Durchführung der in diesem
Artikel beschriebenen Methode würde mindestens folgende
Nachweise erfordern:
Der Rat, diese seltsamen Spam-Mails zu ignorieren,
sollte exakt befolgt werden.
Geben Sie die seltsamen Buchstabenfolgen also auch nicht
in Ihre Suchmaschine ein.
Das Suchergebnis könnte genau die Seite sein,
die der Spammer passend zu Ihrer Mail
präpariert hat.
Betrachten Sie auch nicht die Seite im Cache Ihrer
Suchmaschine. Es könnte sein, daß sich nicht alle
Bestandteile der Originalseite im Cache befinden. Ihr Browser
würde den Rest regulär laden.
Abhängig von den Werkzeugen, die Ihre Suchmaschine Webmastern
und Werbetreibenden zur Verfügung stellt, können Spammer
möglicherweise sogar feststellen, ob und wann bestimmte
Suchbegriffe gesucht worden sind, auch ohne daß Sie
eines der Suchergebnisse angeklickt haben.
Die Angriffsmethode ist prinzipiell auch für gezielte Angriffe auf
bestimmte Personen oder Gruppen geeignet und kann variiert werden.
Deswegen sollte man auch dann vorsichtig sein, wenn die Verlockung
zur Suche in anderer Form oder auf anderen Kommunikationskanälen
eintrifft.
Es kann nahezu unmöglich sein, die
tatsächliche Anwendung der Methode
nachzuweisen.
Für die Mahnung zur Vorsicht reicht der Nachweis
der Durchführbarkeit aus.