2009 - der Sommer des Spams

Die massiven Störungen im E-Mail-Verkehr zwischen Providern wie unlängst bei GMX und Aon waren nur Symptome eines Trends, der immer deutlicher wird. Der absurd hohe Anteil von Spam - über 90 Prozent des gesamten E-Mail-Verkehrs - wird noch steigen, denn leider sprechen alle Anzeichen dafür.

Die Schließung des in kriminelle Spam-Aktivitäten verwickelten Internet-Service-Providers (ISP) Pricewert in Kalifornien hatte Anfang Juni das globale Spam-Aufkommen zwar ein paar Tage lang deutlich sinken lassen.

Mit dem ISP Pricewert (auch bekannt als 3FN) gingen nämlich auch die Bot-Nets Cutwail und Pushdo vorübergehend vom Netz, wobei das Erstere laut Symantec und anderen Anti-Virus-Firmen für 35 bis 45 Prozent des weltweiten Spams verantwortlich sein soll.

Die Fall-Back-Lösung

Die US-Behörde Federal Trade Commission (FTC) hatte als Grund für die Schließung angeführt, dass die Cutwail-Steuerrechner, die Millionen Zombie-PCs weltweit kontrollierten, beim mittlerweile geschlossenen ISP Pricewert angesiedelt waren.

Doch offensichtlich hatten die Betreiber des Cutwail-Netzes eine Fall-Back-Lösung parat, um die zeitweilig steuerlosen Zombies zum Großteil wieder einzufangen und von einem anderen Ort aus zu dirigieren.

Nach Schätzungen der Experten von Symantec und Co. verfügen die Herren von Cutwail immer noch über ein stehendes Heer in der stattlichen Größe von ein bis zwei Millionen Zombierechnern und bleiben damit Weltmarktführer in Sachen Spam-Vertrieb.

Die Ökonomie des Untergrunds

Eine neue Studie von Microsoft Research über die Untergrundökonomie räumt mit dem Mythos auf, dass Spam und seine Folgedelikte wie Phishing für alle Involvierten "Muss-Geschäfte" seien. Das Gros der Möchtegerntäter wird in den einschlägigen IRC-Kanälen nämlich selbst abgezockt, echte Profite schreiben nur wenige: professionell organisierte Gangs.

• Profigangs zocken Möchtegern-Spammer ab

Probleme der großen Provider

Da Spam stets mit gefälschten Absenderadressen verschickt wird - der Fachbegriff dafür lautet "Spoofing" -, sind große Provider, die viele E-Mail-Accounts hosten, gleich mehrfach davon betroffen.

Zum einen belastet natürlich die schiere Menge an E-Mail-Müll die Infrastruktur. Weiterhin erfordert die Analyse teure Filtermaßnahmen. Beides schlägt sich in den Kosten nieder. Benutzt der Spammer - wie gehabt - zum Beispiel gefälschte GMX-Adressen als Absender, dann landen alle Spam-Mails, die nicht zugestellt werden konnten ("Bounces"), als "nicht zustellbar" wiederum bei GMX.

Am Beispiel GMX

Beim kostenlosen Webmail-Service GMX seien alleine 40 Personen damit beschäftigt, "mehrstufige Filter- und Blockmechanismen, mit denen wir Spam-Mails herausfiltern, kontinuierlich weiterzuentwickeln", schrieb Eva Heil, Geschäftsführerin von GMX, am Mittwoch an ORF.at.

Da sich bei GMX jeder einfach anmelden kann, kommt noch ein weiteres Problem hinzu. "Professionelle Spammer registrieren sich dafür oftmals bei einem Webmail-Dienst und verschicken Spam- und Phishing-Mails über 'normale' Adressen", so die GMX-Geschäftsführerin.

Dort weiß man über die Komplexität des Themas Bescheid, denn Spam - der zu über 80 Prozent von Bot-Nets in die Welt gespuckt wird - ist nur ein Teil des Pandämoniums der Cyberkriminellen.

Kreislauf des Bösen

Heil: "Spam, Viren, Trojaner und Phishing können nicht mehr gesondert betrachtet werden: Spam-Mails, die mittlerweile über 90 Prozent des E-Mail-Aufkommens ausmachen, werden benutzt, um Viren und Trojaner zu verschicken. Trojaner bilden Bot-Netze, diese verschicken Spam- und Phishing-Mails oder hosten Phishing-Seiten, auf denen dann wieder Trojaner heruntergeladen werden."

Hier beißt sich die Schlange der Cyberkriminalität in den Schwanz: Bot-Nets erzeugen Spam, der vertreibt Schadsoftware, die neue Zombierechner rekrutiert, die wiederum mehr Spam generieren.

Krimineller B2B-Service

Die klassische Frage bleibt aber: Wo wird bei alledem das Geld lukriert?

Vor allem im B2B-Bereich, indem Vertreibern von gefälschten Potenzpillen, Pornografie und ähnlichen "Produkten" oder Phishern Webspace auf Rechnern ahnungsloser Eigentümer zur Verfügung gestellt und diese Websites mit Abermillionen Spam-Mails "beworben" werden.

Dazu werden gegen Entgelt ebenfalls als "B2B-Service" selbst entwickelte Software-Suites angeboten, die Customer-Relationship-Management-Systeme (CRMs) der Schattenwirtschaft in den dunklen Gassen des Internets.

Diese Erträge, über deren Ausmaß es widersprüchliche Ansichten gibt, werden jedenfalls auf Kosten gesetzestreuer Netzteilnehmer lukriert. Enormer Bandbreitenverbrauch und Schutzmaßnahmen schlagen bei Providern wie GMX, Aon und Co. zu Buche, deren Kunden wiederum werden durch E-Mail-Probleme aufgehalten, womit Produktivitätsstunden en gros verloren gehen.

Ein Rechenbeispiel

240.000 User in Firmen aller Art, die Kunden eines großen Internet-Providers sind, bringen nur eine einzige E-Mail nicht an 240.000 geschäftliche Adressaten durch, die ein anderer Großprovider versorgt.

Rechnet man gerade einmal fünf Minuten zur Klärung des Sachverhalts jeweils auf beiden Seiten, so sind insgesamt 80.000 Arbeitsstunden unproduktiv den großen Datenstrom hinuntergegangen, nur weil ein Spammer davor den E-Mail-Verkehr zwischen den beiden Providern massiv gestört hatte.

Auch wenn es keine harten Zahlen dazu gibt, machen diese Kollateralschäden jedenfalls ein Vielfaches der möglichen Gewinne für die Cybergangster aus.

Anfang Juli legten Google und die Spam-Experten von Postini die neuesten Spam-Statistiken vor. Obwohl mit McColo und 3FM (Pricewert) zwei bedeutende Bot-Net-Betreiber vom FBI einkassiert wurden, stieg das Spam-Volumen im zweiten Quartal 2009 gegenüber dem Vorjahr um 53 Prozent.

Mehr zum Thema:

• Mail-Störungen: "Der ganz normale Wahnsinn"

• Google meldet dramatischen Anstieg von Spam

Trend: Unerfreulich

Was den Ausblick in die nähere Zukunft der E-Mail-Kommunikation zusätzlich trübt, sind die jüngsten Erkenntnisse der Spezialisten von Fortinet. Deren "Threatscape"-Report für Juni zeigt einen sehr unerfreulichen Trend: Die Zahl der bekannten Exploits stieg im Verhältnis zu den bekannten Windows-Sicherheitslücken rasant.

Am Anfang allen Spams steht nämlich eine Sicherheitslücke auf einem schlecht gewarteten Windows-System. Der nächste Schritt ist ein Exploit, ein Stück Code, das diese Lücke ausnützt, um Administratorrechte auf diesem Rechner zu erlangen. Fehlt noch ein Skript, das im Netz systematisch nach Computern sucht, die diesbezüglich angreifbar sind, und den Exploit als Türöffner einsetzt, um Schadsoftware aller Art nachzuladen.

Zombies als Verkaufsplattform

Der Zombierechner wird dann entweder zum Spam-Relay, und/oder er dient als Webserver für den Vertrieb von gefälschten Medikamenten, Kinderpornografie und neuer Schadsoftware.

Ins legale Geschäftsleben "übersetzt" funktioniert der Zombie als Sales-Plattform, die noch dazu neue Vertriebswege generiert, wenn die PCs der überwiegend nicht freiwillig gekommenen Besucher dieser Website mit Schadsoftware verseucht werden, die sie zu Zombies macht.

Dabei hatten die Benutzer doch nur auf einen interessant aussehenden Link geklickt, zum Beispiel um ein unveröffentlichtes Video von Michael Jackson anzusehen.

Böser Ausblick

Laut Fortinet stieg das Verhältnis von bekannten Sicherheitslücken und bekannten Exploits zwischen März und Juni von 31 auf 57 Prozent. Statt eines Drittels werden mittlerweile mehr als die Hälfte aller Lücken ausgenützt, um Angriffe vorzubereiten.

Da Windows-Sicherheitslücken nun einmal die Aufhängpunkte für die Achsen sind, um die das gesamte kriminelle Karussell rotiert, verheißt das definitiv nichts Gutes für die nächsten Monate.

Wie das Vorgehen der US-Behörden gegen Pricewert/Cutwail gezeigt hatte, bringen Maßnahmen auf nationaler Ebene, wie das Kassieren einer Garnitur von Steuerrechnern, allenfalls kurzfristigen Erfolg. Gegen eines der völlig ineinander verschachtelten Delikte isoliert vorzugehen ergibt jedenfalls keinen Sinn.

(futurezone/Erich Moechel)