computerwoche.de

Web

e

US-Forscher: Warum Spam nicht mal ganz anders bekämpfen?

08.08.2007
Forscher der University of California (UC) in San Diego sind zu dem Schluss gekommen, dass man Spammer unterm Strich viel effektiver bekämpfen könnte, würde man die Websites blockieren, auf denen sie ihre Waren feilbieten.

Zu diesem Schluss kamen sie durch eine Untersuchung der Netzinfrastruktur, die Spammer nutzen. Zwar benutzen die Versender der unerwünschten Werbe-Mails zumeist eine Vielzahl von (oft durch so genannte Bot-Netze nichtsahnenden) Rechnern, doch das andere Ende - also die Website, auf der gefälschte Edeluhren oder Produkte zur Steigerung der Männlichkeit dann angeboten werden - ist meist weniger üppig ausgestattet.

"Würde man bei der Bekämpfung dieser Websites sorgfältiger zu Werke gehen, würde sich das auf Spam ingesamt auswirken", ist sich UC-Wissenschaftler Chris Fleizach sicher. "Viele der Leute, die Spam verwenden, um ihre Seiten zu bewerben, sind nicht besonders gut ausgestattet. Würde man sich auf diese Bottlenecks konzentrieren, hätte das eine schädliche Wirkung auf die Spam-Kampagne."

Die UC-Forscher fanden bei ihren Untersuchungen heraus, dass in 94 Prozent aller Fälle die Masche zu einem einzigen Webserver führt. "Die meisten Scams sind auf einer einzigen IP-Adresse gehostet", schreibt Fleizach in einem Forschungspapier, das morgen auf der Usenix Security 2007 in Boston präsentiert wird. "Das bietet eine bequeme Möglichkeit für netzbasierende Unterbindung durch entweder IP-Blacklisting oder Netzfilterung."

Oft würden solche Websites von Graumarkt-Anbietern betrieben, die dabei komplexe E-Commerce-Systeme aufsetzen müssten, erläutert Stephen Pao vom Antispam-Anbieter Barracuda Networks: "Die Jungs mit ihren Diätpillen und falschen Uhren, sie alle müssen Kreditkartennummern sammeln", sagt der Experte. "Und sie alle brauchen zentrale Rechenzentren."

Die kalifornischen Forscher verfolgten im vergangenen Jahr eine Woche lang mehr als eine Million Spam-Nachrichten. Diese führten zu über 36.000 Web-Adressen (URLs). Über eine spezielle Datenanalysetechnik, das so genannte Image Shingling, wurden sie schließlich 2334 unterschiedlichen Spam-Kampagnen auf 7029 Computern zugeordnet.

Image Shingling wurde bislang vor allem von Suchmaschinen verwendet. Die Technik untersucht den Screenshot einer Website und analysiert deren grafische Elemente. In fast 40 Prozent aller Fälle wurde die Website eines Spammers von mindestens einer weiteren Kampagne benutzt. Das lässt vermuten, dass die Maschinen oftmals an mehr als einen Spammer vermietet werden.

Browser-Hersteller wie Microsoft und Mozilla haben im vergangenen Jahr ihre Phishing-Filter deutlich ausgebaut. Laut Fleizach gibt es aber keine vergleichbaren Anstrengungen, um Leute zu warnen, wenn sie eine Spam-Seite ansteuern. "Es gibt keine breiten Community-Bemühungen, um Spamsites zu blockieren. Vielleicht gibt unsere Forschung ja einen Anstoß dazu."

Unternehmen haben laut Barracuda-Manager Pao wenigstens die Möglichkeit, den Zugriff auf Spammer-Seiten durch den Kauf von Web-Filterprodukten mit "Absichtsanalyse" zu blockieren. Für "Endverbraucher stehen solche Werkzeuge aber grundsätzlich nicht zur Verfügung". (tc)