Intelligent Defence

Kunst der Manipulation

Wie man jemanden dazu bringt, auf einen Link zu klicken, der (noch) gar nicht da ist

Neue Theorie zu Buchstaben-Spam

Anfang November 2013 wurde über eine Welle seltsamer Spam-Mails berichtet.

Betreffzeilen und Inhalt bestanden aus zufällig wirkenden Buchstabenfolgen. Die Mails enthielten keine Links oder Anhänge.

In der Berichterstattung wurde über die Gründe für diese scheinbar sinnlosen Spam-Mails spekuliert.

Nicht erwähnt wurde bisher die Möglichkeit einer simplen Falle zur Überlistung des Benutzers, bei der der "Köder" völlig anders funktioniert als üblich und deshalb nicht als solcher erkannt wird.

Um die Ecke gedacht

Wenn ein Angreifer sein Opfer auf eine bestimmte Seite im Netz locken will, spielt es für ihn im Ergebnis keine Rolle, ob das Opfer die Zielseite erreicht durch

In den folgenden Abschnitten wird deutlich, daß der Angreifer unerkannt im Hintergrund die Fäden ziehen kann, während das Opfer den Link sogar unwissentlich selbst erzeugt, um danach arglos in die Falle zu tappen.

Was hat der Spammer davon?

Der Spammer hat die gleichen Möglichkeiten wie beim Anklicken eines Links in einer Mail:

Auch ohne die Verbreitung von Schadcode sind solche Daten für Spammer wertvoll.

Grundlagen

Es handelt sich um die schlichte Kombination folgender Sachverhalte:

Wichtig:
Die Formulierung "ein einziges Dokument" (Punkt 3 der folgenden Liste) dient nur zur Verdeutlichung des Gedankengangs.

Im Abschnitt "Diskussion" wird dargelegt, warum der Spammer auf dieses Optimum verzichten und stattdessen auf Suchergebnis-Listen variabler Länge setzen muß.

Der Grund ist aus technischer Sicht nicht naheliegend, aus strategemischer Sicht ("Kriegslistenaspekt") jedoch absolut zwingend.

Diese Anmerkung wurde eingefügt, weil mehrere Leser an dieser Stelle die Suchmaschine ihrer Wahl angeworfen, deutlich mehr als ein Suchergebnis gefunden und die Lektüre vor Erreichen des Abschnitts "Diskussion" abgebrochen haben.

Spammer sind professionelle List-Anwender, man darf ihnen vorausschauende strategemische Handlungsweise also zutrauen.

So funktioniert der Angriff

Die technische Seite dieses indirekten Angriffs erscheint leider überraschend einfach realisierbar und automatisierbar.

Der Spammer benötigt administrativen Zugang zu Servern. Erfahrungsgemäß bedeutet dies nicht unbedingt, daß der Spammer für die Server reguläre Gebühren bezahlt. Eine parasitäre Nutzung unbemerkt gekaperter Server ist auch bei diesem Anwendungsfall möglich.

Der Spammer muß auf den Servern Software installieren, die auf bestimmte Seitenzugriffe reagiert. Alternativ sind Szenarien denkbar, bei denen dem Spammer bereits die von den Servern ohnehin erzeugten Protokolle der Seitenzugriffe ausreichen.

Die zufälligen Buchstabenfolgen müssen erzeugt werden.

Die Seiten, auf denen die Buchstabenfolgen plaziert werden, müssen generiert werden. Alternativ können bestehende Seiten modifiziert werden. Letzteres schließt die Plazierung der Buchstabenfolgen in von Benutzern erzeugten Inhalten (z. B. in Kommentaren) ein. Seiten können jeweils mehr als eine Kombination der Buchstabenfolgen enthalten.

Eine Datenbank für die Zuordnung von Buchstabenfolgen zu Seiten muß angelegt werden.

Es müssen einfache Maßnahmen aus dem Bereich der Suchmaschinenoptimierung durchgeführt werden, um die Aufnahme der Seiten in die sogenannten Indices der Suchmaschinen zu erreichen. Da nicht für umkämpfte Begriffe optimiert werden muß, sondern lediglich die Aufnahme in den Index erreicht werden soll, hängt der Aufwand nicht vom Wettbewerb, sondern von der Seitenmenge ab. Die Verwendung bestehender Seiten kann diesen Aufwand erheblich verringern.

Der Spammer kann prüfen, ob sich bestimmte Seiten bereits in den Indices befinden. Dieser Vorgang bedeutet in Abhängigkeit von der Länge des Zeitraums, der Anzahl der zu überprüfenden Seiten und den Ressourcen des Spammers ein gewisses Risiko, die Aufmerksamkeit der Suchmaschinen zu erregen. Der Spammer kann auf diese Prüfung verzichten und stattdessen Streuverluste durch nicht auffindbare Kombinationen akzeptieren.

Der Spammer versendet Mails, die Kombinationen der zufälligen Buchstabenfolgen enthalten. Die Kombinationen werden nicht mehrfach verwendet. Damit ist jede Kombination einzigartig und kann einer bestimmten Mail an einen bestimmten Empfänger zugeordnet werden.

Wenn mit einer Suchmaschine nach einer solchen Kombination gesucht wird, ist die Wahrscheinlichkeit sehr hoch, daß nur sehr wenige Ergebnisse angezeigt werden und die entsprechende Seite des Spammers darunter ist.

Wenn dieses Suchergebnis angeklickt wird, schnappt die Falle zu.

Infektionen mit Schadcode sind möglich, außerdem übermittelt der Browser beim Seitenabruf normalerweise verschiedene Daten an den Server, auf dem sich die aufgerufene Seite befindet.

Diese Daten enthalten den sogenannten Referrer, der die einzigartige Kombination der Buchstabenfolgen beinhaltet. Der Referrer wird vom Server protokolliert und erlaubt dem Spammer damit die eindeutige Zuordnung des Aufrufs der Seite zur vorangegangenen Spam-Mail.

Die Vermeidung der Referrer-Übertragung durch Auswahl einer entsprechenden Suchmaschine (z. B. Ixquick) oder per Abschaltung in der Browserkonfiguration bietet keinen vollständigen Schutz. Es sind Szenarien denkbar, in denen die betreffenden Seiten mit extrem hoher Wahrscheinlichkeit ausschließlich durch die Spider der Suchmaschinen abgerufen werden, aber nicht zufällig durch normale Besucher. Einen "normalen" Seitenabruf kann der Spammer dann als Nachweis der Suche interpretieren.

Diskussion

Nicht für plausibel halte ich die Annahme einer in dieser Form nicht beabsichtigten Spamwelle durch ein "wildgewordenes Botnetz".

Zum einen habe ich den Eindruck, daß sich der Algorithmus zur Mailerzeugung geändert hat, während die Spamwelle lief, zum anderen nehme ich an, daß Botnetzbetreiber über die Möglichkeit einer "Notabschaltung" verfügen. Wie sollten sie sich sonst eines Spaßvogels erwehren, der Teile ihrer Infrastruktur von ihnen mietet, um damit andere Teile ihrer eigenen Infrastruktur oder die Infrastruktur ihrer Kunden anzugreifen?

Ich gehe bei der weiteren Argumentation von einer in genau dieser Form beabsichtigten Spamwelle aus.

Da auch Versender solcher Mails "ökonomisch" denken, ist davon auszugehen, daß durch diese Mails irgendjemand direkt oder indirekt einen Vorteil oder Nachteil hat.

Ein solcher Vorteil könnte übrigens auch in der Verschleierung von Kommunikation liegen. Obwohl ich diesen Gedanken hier nicht detailliert verfolgen möchte, sei kurz auf die Probleme derjenigen verwiesen, die nicht nur für ihre eigenen Mailboxen oder die ihrer Kunden zuständig sind, sondern für alle Mailboxen weltweit gleichzeitig.

Als nur auf den ersten Blick plausibel betrachte ich einige weitere Erklärungsversuche. Für eine Reichweitendemonstration hätte die Welle lange angehalten. Gleiches gilt für das reine Austesten der Spamfilter, insbesondere vor dem Hintergrund zeitlich beschränkter Gültigkeit der Testergebnisse.

Spammer leben davon, durch ihre Mails Menschen zu Handlungen zu verleiten.

Es liegt also nahe, auch den Buchstaben-Spam unter diesem Aspekt zu betrachten.

Die einfachste Erklärung für Mails ohne erkennbaren sinnvollen Inhalt läge in der Provokation einer Antwort. Die Penetranz dieser Spamwelle würde dazu passen (in Foren berichteten manche Nutzer, daß sie Hunderte solcher Mails erhalten hätten). Allerdings gehört "Antworte niemals auf Spam" bereits seit vielen Jahren zu den Grundregeln, die Mailbenutzer zuerst lernen. Der Erfolg einer ausschließlich auf solche Antworten abzielenden Spamwelle ohne sinnvollen Mailinhalt wäre daher mehr als fraglich.

Vor diesem Hintergrund halte ich die Erklärung, daß hier mittels Manipulation über Bande gespielt wird, für die naheliegendste.

Die menschliche Neugier spielt dem Spammer in die Hände, hier insbesondere in Verbindung mit einer durch die extrem erscheinende Aufdringlichkeit möglicherweise ausgelösten Gereiztheit.

Gegenläufig wirkt die menschliche Bequemlichkeit (das Benutzen einer Suchmaschine erfordert höheren Aufwand als das bloße Anklicken eines Links in einer Mail).

Die geringe Länge der verwendeten Buchstabenfolgen spricht nur auf den ersten Blick gegen die "Suchmaschinen-Theorie" (längere Zeichenfolgen würden Spammern die suchmaschinenspezifischen Arbeitschritte erleichtern).

Auf den zweiten Blick werden kurze Zeichenfolgen mit einer höheren Wahrscheinlichkeit bei einer Suchmaschine eingegeben. Überraschend viele Benutzer benutzen nämlich nicht "Copy & Paste", sondern tippen ab. Längere Zeichenfolgen sind dann weniger bequem.

Außerdem kann es sich bei der Verwendung kürzerer Zeichenfolgen um eine Verschleierungstaktik handeln.

Die beschriebene indirekte Vorgehensweise hat aus Sicht des Spammers nämlich eine entscheidende Schwachstelle: Wenn die Suchmaschinen bei der Suche nach "sinnlosen" Zeichenfolgen unabhängig von der "Auffälligkeit" der Suchergebnisse Warnhinweise einblenden, sinkt die Erfolgsquote erheblich.

Der Spammer hat also größtes Interesse daran, daß der Zusammenhang zwischen den verwendeten Zeichenfolgen und den Suchergebnissen nicht offensichtlich wird. Wenn für jede in seinen Mails verwendete Kombination nur maximal ein Suchergebnis angezeigt wird, bedeutet das anfangs zwar eine höhere Ausbeute für ihn, fällt aber bei einer Recherche über kurz oder lang als Gemeinsamkeit auf.

Zur Verschleierung kann er Streuverluste einkalkulieren, die durch die teilweise Verwendung von Buchstabenkombinationen mit einer größeren Anzahl von Suchergebnissen entstehen. Diesen Streuverlusten kann er durch den Versand zusätzlicher Mails an den gleichen Empfänger begegnen.

Es liegt in der Natur indirekter Angriffe, daß der Beweis der tatsächlich erfolgten Planung und Durchführung schwieriger sein kann als bei direkten Angriffen (oder sogar unmöglich).

Bei hinreichender Entkopplung der Komponenten eines Angriffs kann sich der dazugehörige Plan im Kopf einer einzigen Person befinden, ohne jemals kommuniziert worden zu sein.

Der Nachweis der Durchführung der in diesem Artikel beschriebenen Methode würde mindestens folgende Nachweise erfordern:

Bereits die ersten drei genannten Punkte scheinen (gelinde gesagt) regelmäßig schwierig zu erfüllen zu sein.

Fazit

Der Rat, diese seltsamen Spam-Mails zu ignorieren, sollte exakt befolgt werden.

Geben Sie die seltsamen Buchstabenfolgen also auch nicht in Ihre Suchmaschine ein.

Das Suchergebnis könnte genau die Seite sein, die der Spammer passend zu Ihrer Mail präpariert hat.

Betrachten Sie auch nicht die Seite im Cache Ihrer Suchmaschine. Es könnte sein, daß sich nicht alle Bestandteile der Originalseite im Cache befinden. Ihr Browser würde den Rest regulär laden.

Abhängig von den Werkzeugen, die Ihre Suchmaschine Webmastern und Werbetreibenden zur Verfügung stellt, können Spammer möglicherweise sogar feststellen, ob und wann bestimmte Suchbegriffe gesucht worden sind, auch ohne daß Sie eines der Suchergebnisse angeklickt haben.

Die Angriffsmethode ist prinzipiell auch für gezielte Angriffe auf bestimmte Personen oder Gruppen geeignet und kann variiert werden. Deswegen sollte man auch dann vorsichtig sein, wenn die Verlockung zur Suche in anderer Form oder auf anderen Kommunikationskanälen eintrifft.

Es kann nahezu unmöglich sein, die tatsächliche Anwendung der Methode nachzuweisen.

Für die Mahnung zur Vorsicht reicht der Nachweis der Durchführbarkeit aus.

Impressum + Copyright