Verhasstes Business

Milliardengeschäft: So füllen Spammer ihre Taschen

16.07.2013 13:21

Gefälschte Markenprodukte, dubiose Potenzmittelchen und vermeintliche Erbschaften vom reichen Onkel aus Nigeria – die Liste der Dinge, die Spammer tagtäglich in Millionen E-Mails anpreisen, ist lang. Wer aber glaubt, Spam sei das Werk einiger weniger Cyberkrimineller, die damit ein bescheidenes Auslangen finden, der irrt. Es ist ein globales Milliardengeschäft und hält Systemadministratoren auf der ganzen Welt in Atem.

"Ich glaube nicht, dass wir einmal arbeitslos werden", sagt Wolfgang Breyha, Administrator an der Universität Wien, bei einem Expertengespräch zum Thema Spam in der Bundeshauptstadt. Der Herr über die 100.000 Postfächer der Studenten und Mitarbeiter der Uni Wien weiß, wovon er spricht. Nicht nur, weil Internetkriminalität pro Jahr beängstigende 750 Milliarden Euro Schaden verursachen soll und deshalb in aller Munde ist, sondern vor allem, weil er selbst dagegen ankämpft.

Tagtäglich wehren er und seine Kollegen Hunderttausende Mails ab, in denen Spammer nichtsahnende User zu dubiosen Geschäften verleiten wollen. 400.000 Mails gehen derzeit pro Tag auf den Servern der Uni Wien ein. Nur 125.000 davon werden tatsächlich zugestellt, der Rest wird abgefangen, bevor er die Postfächer erreicht. Fast drei von vier E-Mails sind also Spam.

Spam als Vertriebsnetz der Schattenwirtschaft
Spam sei nichts anderes als ein Vertriebsnetz, das die Hersteller von dubiosen Medikamenten und Produktfälschungen zum Verkauf ihrer Produkte nutzen. Letztlich verfolgen Spammer mit ihren lästigen Mails immer die gleichen Ziele, weiß Robert Schischka, Leiter der österreichischen Cyber-Eingreiftruppe CERT.

Spammer konzentrieren sich auf Pharma- und Luxusgüterfälschungen, Raubkopien und gefälschte Antivirensoftware. Gerne locken sie User auch auf Websites, die mit Malware verseucht sind, oder nehmen ihnen auf Phishing-Seiten Konto- und Kreditkartendaten ab.

"Wikileaks der Underground-Economy" ausgewertet
Das weiß Schischka aus der wissenschaftlichen Spam-Forschung, die zuletzt von einem Glücksfall profitiert und zahlreiche neue Erkenntnisse gewonnen hat. Eine Spammer-Datenbank, die an die Öffentlichkeit gelangt ist, hat über drei bis vier Jahre gesammelte Informationen zu Spam-Aktivitäten zutage gefördert. "Das Wikileaks der Underground-Economy" nennt Schischka den Datenschatz, der zeigt, wie der Markt funktioniert.

Die Auswertung der Daten habe interessante Einblicke in die Pharma-Spam-Industrie geliefert. "Auch die Schattenwirtschaft lebt von zufriedenen Kunden", so Schischka. Der Großteil der in Spam-Mails angepriesenen Produkte existiere nämlich tatsächlich und werde auch an die Besteller versandt - aus Ländern wie Indien zum Beispiel. Die Besteller kaufen oft mehrmals bei den gleichen Spammern ein.

Besonders beliebt seien sogenannte "Lifestyle Drugs", also Potenz- und Diätmittelchen oder Vitamine. Opiate und Kopien echter Medikamente gebe es zwar auch, in Europa würden jedoch vor allem "Lifestyle Drugs" nachgefragt. In den USA gebe es eine Vorliebe für echte Medikamentenkopien – möglicherweise, weil Medikamentenversand dort eine längere Tradition als diesseits des Atlantiks hat, möglicherweise auch wegen Unterschieden in der medizinischen Versorgung.

75 bis 90 Prozent aller Mails sind Spam
"Wir haben es beim gesamten weltweit versendeten Mailaufkommen mit 75 bis 90 Prozent Spam zu tun", sagt Schischka. Dahinter steckt eine milliardenschwere Spam-Industrie, bei der die eigentlichen Spammer nur die Spitze des Eisbergs darstellen.

Grundsätzlich sei das Spam-Geschäft nämlich dreiteilig organisiert, wobei die Spammer zunächst mit unerwünschten Werbemails Kunden anlocken sollen. Diese werden auf Internetseiten gelotst, auf denen sie zweifelhafte Produkte kaufen können. Der ursprüngliche Spam, der Nutzer auf dubiose Websites locken soll, wird dabei längst auch über die sozialen Netzwerke verbreitet.

Zahlungsabwickler sind Schwachstelle der Spammer
Die dritte Stufe des Spam-Geschäfts sind die Zahlungsabwickler, oft etablierte Kreditkartenunternehmen, immer wieder auch zwielichtige Banken in Schwellenländern oder vermeintlich seriöse Unternehmen, die das Geld dann an die Spammer weiterleiten.

Die Gefahren durch Spam sind vielfältig. Gefälschte Medikamente oder Produktfälschungen können lebensgefährlich sein, entwendete Bank- und Kreditkartendaten existenzbedrohend. Aus diesem Grund führen IT-Experten wie Schischka und Breyha seit Jahren einen erbitterten Kampf gegen die Spammer.

Schlag gegen Geldinstitute und Botnets hilft temporär
E-Mail-Filter wie sie Breyha verwaltet, sollen dabei vor allem Spam abwehren, der bereits verschickt wurde. Um das Übel an der Wurzel zu bekämpfen, sei aber ratsam, die Geldinstitute der Spammer dazu zu bewegen, die Zusammenarbeit einzustellen und die Infrastruktur – früher oft Botnets, heute auch gekaperte Webserver – lahmzulegen, so Schischka.

Vor allem durch das Lahmlegen des Zahlungsverkehrs packe man das Problem an der Wurzel. Dadurch werden Spammer von ihren Einnahmen abgeschnitten, was sich auch auf den Versand der Mails und den Handel mit E-Mail-Adressen auswirkt. Spammer setzen nämlich auf Arbeitsteilung.

Spam-Infrastruktur wird bei Cyberkriminellen angemietet
Manche Cyberkriminelle verkaufen E-Mail-Adressen – eine Million gibt's oft schon für 25 bis 50 Dollar – und andere übernehmen mithilfe von Servern und Botnets den Versand der Mails. Für 100 bis 500 Dollar verschicken Cyberkriminelle eine Million Spam-Nachrichten. Wer mag, kann die Botnets auch selber anmieten. Kostenpunkt: 300 bis 800 US-Dollar.

Weil ausgeschaltete Botnets durch neue ersetzt werden und sich in Ländern wie Aserbaidschan trotz allem immer wieder Kreditinstitute finden, die mit Spammern zusammenarbeiten, lässt sich das Spam-Aufkommen allerdings stets nur temporär reduzieren. Aus diesem Grund kommt Filtermechanismen, die unerwünschte Mails abfangen, bevor sie im Postfach landen, eine umso wichtigere Rolle zu.

Hundertprozentigen Schutz gibt es nicht
"Einen hundertprozentigen Spam-Filter gibt es nicht", sagt Breyha. Auch wenn manche E-Mail-Anbieter damit werben, würde eine hundertprozentige Spam-Erkennungsrate zu viele erwünschte E-Mails mit herausfiltern, was den Nutzern mehr schaden als nützen würde, so der Fachmann. Deshalb konzentriere man sich bei der Spam-Abwehr darauf, möglichst viele Spam-Mails abzufangen, gleichzeitig aber möglichst selten falschen Alarm zu geben.

Bei der Uni Wien, einem der größten E-Mail-Anbieter Österreichs, setze man deshalb auf ein mehrstufiges Erkennungssystem. Eintreffende E-Mails werden dabei zunächst in drei Kategorien eingeteilt. Gute E-Mails werden zugestellt, offensichtlich als Spam zu erkennende Mails abgewiesen und solche, bei denen man nicht sicher ist, temporär abgewiesen.

Die Mailserver von Spammern geben bei temporären Fehlern üblicherweise gleich auf, seriöse E-Mail-Anbieter versuchen nach einiger Zeit noch einmal, die Mail zuzustellen – und dann lassen die Server der Uni die Mails auch durch. In einem letzten Arbeitsschritt werden die zugelassenen Mails dann nochmals auf Auffälligkeiten gescannt und gegebenenfalls als Spam markiert.

Sicherheitsexperten locken Spammer in die Falle
Die Informationen, die Breyha für die Programmierung der Spam-Filter braucht, kommen unter anderem aus sogenannten "Spamtraps". Das sind Postfächer, die eigens dafür eingerichtet wurden, möglichst viel Spam zu erhalten. Der dort ankommende Spam wird dann analysiert und für die Verbesserung der Filter eingesetzt.

Aber auch wenn IT-Experten wie Wolfgang Breyha und Robert Schischka Tag um Tag gegen das Geschäft mit dem Spam kämpfen: Enden wird der Krieg zwischen Cyberkriminellen und IT-Sicherheitsexperten wohl nie. "Spam wird immer zielgerichteter, aber nicht ungefährlicher", warnt Schischka. Und Breyha mahnt: "Es ist immer noch nicht in allen Köpfen, dass man das Internet mit gesundem Misstrauen nutzen sollte." Dass ihnen einmal die Arbeit ausgehen könnte: unwahrscheinlich.