pdf-Dateien als Wunderwaffe der Spammer

«Die Methode scheint auf den ersten Blick so einfach, dass es sogar ein wenig verwunderlich ist, warum Spammer nicht schon viel früher auf diese Idee gekommen sind», meint Joe Pichlmayr, Geschäftsführer von Ikarus Software, im Gespräch mit pressetext.

Die an die Spam-E-Mails angehängten pdf-Dateien haben eine Grösse von etwa 120 Kilobyte. Die bislang gängigen Arten von Werbemüll sind dabei deutlich platzsparender. Text-Spam hat etwa vier Kilobyte, während Bilder-Spam rund 40 Kilobyte in Anspruch nimmt. Die Botnetze, über die Spam versendet wird verfügen mittlerweile zum Grossteil über Breitbandzugänge, wodurch der pdf-Versand kein grosses Problem mehr darstellt, so Pichlmayer.

Kampf mit dreifacher Datenmenge

Mit den grossen Dateien treffen die Spammer eine Schwachstelle bei den Anti-Spam-Programmen. Diese haben nun mit mindestens der dreifachen Datenmenge zu kämpfen, was sich auch deutlich auf die Zeit auswirkt, die die Filterprogramme benötigen, um die Dateien zu öffnen und den Inhalt zu analysieren.

Herkömmliche Lösungen können bei dieser neuen Spam-Variante nicht die Inhalte der pdf-Dokumente überprüfen, sondern müssen sich auf Signaturen der Dateien und Mails verlassen. «Die derzeit einzige Möglichkeit dieser Art von Spam Herr zu werden ist, sie über 'lernende Filter' zu identifizieren. Dabei kommt der 'Bayessche Filter' zur Anwendung.

Von charakteristischen Eigenschaften und Wörtern in einem E-Mail wird darauf geschlossen, ob es sich um Spam handelt. Weist eine E-Mail viele dieser eindeutige Eigenschaften auf und erreicht damit eine gewisse Punkteanzahl, so ist der Spamverdacht erhärtet», so Pichlmayer.

Spammer im Vorsprung

Diese Methode ist jedoch stark von der Anzahl an Mails, die dem Filter zum «Lernen» zur Verfügung stehen, abhängig. «Bei zwei bis drei Mails am Tag bleibt der Erfolg gering. Die über zwölf Mio. E-Mails, die täglich von unseren Scancentern überprüft werden, verschaffen uns dabei einen klaren Vorteil bei der Erkennung von pdf-Spam», sagt Pichlmayr. «Dazu sind die zentralen Mailscanner-Dienste unserer Scancenter natürlich ideal.»

«Beim Spam-Versand handelt es sich um ein sehr schnelllebiges Business. Spammer beschäftigen sich stark mit den Lösungen, die gegen sie eingesetzt werden, um sie immer wieder auszuhebeln», so Pichlmayer. Spamfilter kommen mit Text- und Bilder-Spam, der erst vor etwa einem Jahr erstmals aufgetaucht ist, mittlerweile gut zu Recht. Zu befürchten ist allerdings, dass es nur eine Frage der Zeit ist, bis die Spammer dazu übergehen, pdf-Files aber auch andere Dateiformate dynamisch zu generieren. Dann würde jede Datei anders aussehen, wodurch Signatur-basierte Filter Probleme bekämen.

(ht/pte)