Neuer, fieser Trick

Spammer umgehen Filter mit Flash-Dateien

(Bild: APA)

Spammer haben einen neuen Trick entdeckt, um Nutzer auf ihre Webseiten zu locken. Sie versenden Links zu Flash- bzw. SWF-Dateien mit vermeintlichen Multimediainhalten auf verschiedenen Hostingwebsites, die eine Umleitung zu den eigentlichen Werbe- oder Malwareseiten enthalten. „Die Seiten, auf denen die Dateien platziert werden, sind in der Regel legitime Webangebote“, betont Paul Wood, Senior Analyst bei MessageLabs. Dadurch können die Spammer ihre E-Mails eher an Filtersoftware vorbeischmuggeln als mit direkten Links zu ihren eigenen Seiten, warnt das Unternehmen. Denn alle E-Mails mit URLs zu filtern, die zu Media-Hosting-Websites wie ImageShack, Imagevenue und dergleichen führen, würde ein hohes Risiko von Fehlalarmen mit sich bringen.

Die Methode braucht nur eine kleine SWF-Datei, um zu funktionieren. „Das Flash-Programm enthält nur eine einfache Umleitung, durch die der Browser eine neue Seite aufsucht“, erklärt Wood. Noch werde die Methode vor allem für Pharma-Spam verwendet. Allerdings habe MessageLabs auch schon beobachtet, dass sie genutzt wird, um Malware in Form der angeblichen Schutzsoftware „Antivirus XP 2008“ zu verbreiten. Das gefährliche an der Methode ist, dass die Umleitungen auf normalen Websites platziert werden können. „Die Links sind für Anti-Spam-Software kaum zu erkennen, da sie wie vertrauenswürdige URLs aussehen“, erklärt Mark Sunner, MessageLabs Chief Security Analyst. Würde ein Filter die URLs doch abfangen, sei das Risiko von Kollateralschäden sehr hoch, denn auch tatsächlich vertrauenswürdige Links zu dem Webangebot würden abgefangen.

Hoster sichern ihre Angebote zu wenig ab
Mit einem Prozent am gesamten Spam-Aufkommen im August ist die SWF-Methode erst im Kommen und nutzt derzeit vor allem ImageShack als Host, so Wood. Allerdings rechnet MessageLabs mit einer Ausweitung und das nicht nur im Volumen entsprechender Spam-Mails. „Wir erwarten, dass die Kriminellen anfangen werden, auch Microsofts SkyDrive für das Hosting zu nutzen“, meint der Analyst. Das Service werde nämlich schon jetzt für andere Spammer-Tricks verwendet. Generell zeichnet sich ein Trend zum Missbrauch von seriösen Webangeboten durch Spammer ab.

So wurde MessageLabs zufolge Googles Webalbum Picasa im August verstärkt genutzt, um Bilder für HTML-Spam zu hosten. Auch hier profitieren die Spammer davon, dass Filter nicht wahllos E-Mails mit Picasa-Links aussortieren können, da sonst auch erwünschte Nachrichten verloren gehen. Manche Webservices machen es den Cyberkriminellen auch leicht, sie zu missbrauchen. „Bei vielen kostenlosen Image-Hosting-Seiten ist nicht einmal eine Registrierung nötig, um Inhalte hochzuladen“, meint Wood. (pte)