Nachgefragt Archive

Schlussspurt am letzten Tag der Spam-Woche. Wie es scheint, haben das auch die Spammer erkannt und schossen heute nochmals so richtig aus allen Rohren Spam auf mich ab. Nicht nur das die Wochenend-Ruhe vorbei ist, nein, die wollten wohl auch noch schnell einen neuen Rekord hinlegen. Das haben sie dann mit 112 Spammails auch geschafft: In den letzten Tagen war die Zahl stets tiefer.

Zur heutigen Rangliste:

• China: 37 Mails
• USA: 19 Mails
• Südkorea: 7 Mails
• Polen: 4 Mails
• Spanien: 4 Mails
• Singapur: 4 Mails
• Brasilien: 3 Mails
• Deutschland: 3 Mails
• Argentinien: 3 Mails
• Länder mit 2 Mails:
  Bulgarien, Frankreich, Israel, Japan, Kanada, Mexiko, Niederlande, Russland, Taiwan, Türkei, Vietnam
• Länder mit 1 Mail:
  Chile, Grossbritannien, Italien, Panama, Schweiz, Venezuela

Heute ging dann endlich auch noch ein Schweizer Spammer, die Firma Socks & more AG, ins Netz, die ja bereits einige andere Blogger mit ihrem Werbemüll nervt. Dieses Mail habe ich dann auch voller Freude an den zuständigen Provider Bluewin weitergeleitet und harre da mal der Dinge.
Abuse-Mitarbeiter haben übrigens durchaus auch mal Ferien, schliesslich muss man bei so viel eingehenden Meldungen auch mal wieder ausspannen. Aber dass ich dann auf meine Abuse-Meldung an den deutschen Provider Celox einfach nur einen Auto-Reply mit dem Inhalt

Vom 20.02.06 bis zum 03.03.06 bin ich urlaubsbedingt nicht im Büro erreichbar und werde Ihre Nachricht erst danach erhalten.

erhalte, stimmt mich etwas nachdenklich.

So, und nun heisst es ab sofort wieder „Shields Up“, bzw. den Spam-Filter auf dem Mailserver wieder aktivieren, denn nach dieser Spam-Woche kann ich Spam schon bald nicht mehr sehen.

In den nächsten Stunden folgt zudem noch eine Zusammenfassung zur Spam-Woche.

 
Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3
• Spam-Woche: Tag 4
• Spam-Woche: Tag 5
• Spam-Woche: Tag 6
• Spam-Woche: Was ist Spam?
• Spam-Woche: Scam
• Spam-Woche: Das Wort Spam
• Spam-Woche: Das Spam-Problem

Unerwünschte eMails zerren nicht nur an Nerven der Empfänger, sondern verursachen auch hohe Kosten bei den Schweizer Providern. Während Bluewin keine Detailangaben zum Spamaufkommen bekanntgibt, spricht Sunrise von mehreren Millionen Spammails, die pro Tag zurückgewiesen werden.

Die Abuse-Teams, die sich neben sicherheitsrelevanten Themen auch mit Spam befassen, sind zudem durchaus kostenrelevant. Das Team von Bluewin beispielsweise beschäftigt gemäss Christian Neuhaus, Mediensprecher der Swisscom, rund 15 Personen, und der Gesamtbereich Abuse verursacht jährliche Kosten von mehreren Millionen Franken. Sunrise möchte dazu keine Angaben machen, man darf jedoch sicherlich davon ausgehen, dass auch dort Kosten in Millionenhöhe entstehen.

Da haben es kleinere Provider wie Frey Künzler’s Init7 schon aufgrund ihres kleineren Marktanteils einfacher. So erhält Init7 nur zwischen zehn und fünfzig Abuse-Meldungen täglich, währenddem sich Bluewin mit 70 bis 120 Meldungen täglich befassen muss.

Das amerikanische Marktforschungsunternehmen Radicati Group schätzt in einer Studie, dass im Jahr 2006 pro Tag 116 Milliarden Spammails verschickt werden, im Jahr 2009 sollen es sogar 331 Milliarden sein. Wie hoch der Spam- und Virenanteil in den täglichen Emailmassen ist, zeigt auch das Beispiel von Cleanmail, einem Schweizer Dienst, welcher eMails zentral auf Spam und Viren filtert: Von täglich ca. 1,5 Millionen kontrollierten eMails sind im Durchschnitt 82% Spam und weitere 2 bis 5% virenverseucht.
Damit dürfte Spam auch in den nächsten Jahren weiterhin ein grosses Problem bleiben, denn nicht nur die Provider, sondern auch die Spammer und deren Helfer rüsten auf. Wurden die unerwünschten eMails bisher vorwiegend per Software versandt, kommen heute immer mehr Bot-Netze zum Einsatz, wie mir Andreas Reinhard von Apexis Cleanmail erklärt:

Unzählige Computer werden ohne das Wissen ihrer Besitzer mittels Trojanern gekapert und zu riesigen Botnetzen zusammengeschaltet. Diese Botnetze werden dann wiederum an Spammer vermietet und zum Mailversand missbraucht. Da der E-Mail Versand so ab immer neuen IP-Adressen erfolgt, können damit viele Blacklist-gestützte Filterlösungen umgangen werden. Innerhalb der Botnetze erhalten die Computer sogar unterschiedliche Aufgaben – einige versenden Spam, andere hosten die Spammer-Websites und wieder andere agieren als dynamische DNS-Server, um das Routing zu den Websites sicherzustellen.

Inzwischen, so Reinhard weiter, dürften mehr als 50% aller Spammails über infizierte Zombies verschickt werden. Solche Botnetze wurden zu Beginn vorwiegend für Phishing-Attacken genutzt, da die Rückverfolgung von Botnetz-Spam praktisch unmöglich ist. Vor allem wegen der verstärkten strafrechtlichen Verfolgung greifen nun aber auch immer mehr „normale“ Spammer auf diese Netze zurück, da sie so ihre Identität weitgehend verstecken und praktisch die ganze Welt zum Versandstandort erklären können.

Da bleibt den hiesigen Provider nichts anderes übrig, als ständig nachzurüsten: Neben der Sensibilisierung der eigenen Kunden setzen diese vor allem auf technische Massnahmen wie Spamfilter etc. Alle Provider weisen überdies darauf hin, dass spammende Kunden zuerst informiert, dann schriftlich verwarnt werden und als letzte Massnahme auch die Sperrung des Internetzugangs in Betracht gezogen wird.

Weitere Links zum Thema:

• Init7: Email SPAM Filter (SPAM Tagger) und Virenfilter
• Bluewin: Sicherheit im Internet
• Sunrise: Spam
• Cleanmail: Sicherheit

 
Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3
• Spam-Woche: Tag 4
• Spam-Woche: Tag 5
• Spam-Woche: Tag 6
• Spam-Woche: Was ist Spam?
• Spam-Woche: Scam
• Spam-Woche: Das Wort Spam

Das Wort Spam benutzen wir heutzutage schon ganz selbstverständlich, doch nicht allen dürfte bekannt sein, woher das Wort ursprünglich stammt. Der erste Spam tauchte in Newsgroups des Usenets auf, wo die immer gleichlautende Werbung in Tausende von Newsgroups gepostet wurde. Wie mehrere Websites schreiben, warb einer der ersten Spams für die Teilnahme an der Verlosung von Greencards via der Anwaltskanzlei Canter & Siegel aus den USA.

Wie es zum Begriff „Spam“ kam, ist nicht endgültig zu klären. Fest steht, dass Spam ursprünglich eine Produktbezeichnung ist. Die Firma Hormel Foods Corporation aus den USA vertreibt seit 1936 gewürztes Schweinefleisch und Schinken in einer Dose mit dem Markennamen „Spam„. Dabei handelt es sich um ein Kunstwort aus den Anfangsbuchstaben der englischen Bezeichnung „spiced pork and ham“.

Angenommen wird, dass der Begriff „Spam“ seinen „Siegeszug“ um die Welt antrat, weil in einem Sketch der englischen Komiker Monthy Python der Begriff in wenigen Minuten über 100 mal verwendet wurde:

In Anlehnung daran bezeichneten die Usenet-Benutzer das massenhafte posten von immer demselben Artikel als „Spam“ bzw. „spamming“. Das Wort verbreitete sich später auch auf andere Medien wie E-Mail und Internet.

 
Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3
• Spam-Woche: Tag 4
• Spam-Woche: Tag 5
• Spam-Woche: Tag 6
• Spam-Woche: Was ist Spam?
• Spam-Woche: Scam

Auch am vorletzten Tag der Spam-Woche hält der zahlenmässige Einbruch der Spammails an, die Zahl sank sogar gegenüber Samstag nochmals, wenn auch nur um zwei Mails.

Die Länder-Rangliste heute:

• China: 31 Mails
• USA: 12 Mails
• Südkorea: 10 Mails
• Polen: 4 Mails
• Länder mit 2 Mails:
  Brasilien, Frankreich, Grossbritannien, Spanien, Singapur, Vietnam
• Länder mit 1 Mail:
  Argentinien, Bulgarien, Hongkong, Israel, Japan, Kanada, Niederlande, Rumänien, Norwegen

Der heutige Lichtblick im „Spam-Krieg“ war sicherlich das Mail des französischen Providers clubinternet, welcher auf ein Abuse-Mail von Donnerstag reagierte und mitteilte, dass der betreffende Abonnent informiert wurde und sein Account gesperrt worden sei. Ein Mail das zudem zumindest danach aussieht, als dass es kein automatisch ausgelöstes Mail ist.

Nachdem ich nun seit sechs Tagen „SpamStats“ sammle, gibt es morgen somit das letzte Update, welches unter anderem auch eine Zusammenfassung der Spamzahlen der der gesamten „Spam-Woche“ beinhalten wird.

 
Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3
• Spam-Woche: Tag 4
• Spam-Woche: Tag 5
• Spam-Woche: Was ist Spam?
• Spam-Woche: Scam

Viele verstehen beim Wort Scam nur Bahnhof, und doch hat fast jeder, der eine eMail-Adresse besitzt, wohl schon einmal ein Mail erhalten, wo es um Scam ging. Der auch unter „Nigerianischer Brief“ oder „Nigeria Connection“ bekannte Vorschussbetrug basiert auf einem einfachen Prinzip:

Man erhält ein eMail (nigeria-connection.de zeigt über 760 solcher Mails), in dem einem vorgegaukelt wird, dass der Absender ein grosses Vermögen (schwarz) aus einem Land transferieren müsse und er dabei auf die Hilfe Aussenstehender angewiesen sei. Versprochen wird einem für die Hilfe ein hoher Geldbetrag. In Tat und Wahrheit existiert das Vermögen aber gar nicht, die Absicht besteht lediglich darin, das Opfer zur Zahlung von fiktiven Kosten zu veranlassen, z. B. für einen Rechtsanwalt, damit der Geldtransfer abgeschlossen werden kann.

Der Betrug gemäss Strafgesetzbuch besteht also darin, dass es gar nie zu einer Auszahlung des Millionenvermögens kommt, sondern stets weitere Zahlungen seitens des Opfers nötig sind, da „neue“ Probleme auftauchen. So überweist das Opfer den Betrügern immer wieder neues Geld, nur um dann feststellen zu müssen, dass sich die Überweisung des (fiktiven) Vermögens erneut verzögert.

Scam Baiting
Dass man mit den (vorwiegend) nigerianischen Betrügern durchaus seinen Spass haben kann, zeigen die sogenannten Scam Baiter im Internet, weche auf die eMails der Betrüger antworten und zum Schein auf das Angebot eingehen. Allerdings erfinden die Baiter dann ihrerseits eine Geschichte, um den Scammer zu betrügen. Beispielsweise wird vom Scammer verlangt, dass er, als Beweis seiner Existenz, ein Foto in einer speziellen Pose oder mit einem Schild mit einem bestimmten Text macht

Da die Betrüger selbst meist kein perfektes Englisch sprechen, präsentieren sie sich manchmal dann auch mit teilweise ziemlich obszönen Texten:

      
(Fotos: 419eater.com)

Ein sehr unterhaltendes Archiv über die Aktivitäten der Scammer liefert 419eater.com, welches nicht nur Hunderte von Foto-Trophäen der Betrüger zeigt, sondern neben Audio-Files auch den Mailverkehr mit den Personen aufzeigt. Auch Frank Rizzo betreibt eine interessante Website zum Thema. Frank hat sogar über 300 Bilder von Reisepässen der Betrüger gesammelt. Doch warum haben die alle ein anderes Design? Ein Schelm, wer böses dabei denkt…

Weitere Links zum Thema:

• The Nigerian Letters
• Webseite der südafrikanischen Polizei zum Thema Scam
• Warnung des Bundesamtes für Polizei
• Warnung des Bundeskriminalamtes

 
Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3
• Spam-Woche: Tag 4
• Spam-Woche: Tag 5
• Spam-Woche: Was ist Spam?

Auch Spammer scheinen sich am Wochenende zu entspannen, denn in den letzten 24 Stunden gingen nur 78 Spammails ein, was der zweitniedrigste Zahl der letzten fünf Tage entspricht. Was sich jedoch seit Tag 2 meiner Spam-Woche nicht geändert hat, sind die Plätze 1 und 2 der Länder-Hitliste, aus welchen die Spammails verschickt werden:

• China: 31 Mails
• USA: 12 Mails
• Südkorea: 10 Mails
• Polen: 4 Mails
• Länder mit jeweils 2 Mails:
  Brasilien, Frankreich, Grossbritannien, Singapur, Spanien, Vietnam
• Länder mit jeweils 1 Mail:
  Argentinien, Bulgarien, Hongkong, Israel, Japan, Kanada, Niederlande, Norwegen, Rumänien

Während ein grosser Teil der Provider nicht einmal eine Eingangsbestätigung der Abuse-Mitteilungen verschickt, liefert die Deutsche Telekom etwas ausführlichere Antwortmails. Auch diese sind natürlich standardisiert, allerdings enthalten diese für jede eingereichte IP-Adresse den entsprechenden Provider. So wurde mir in einem Fall die T-Online International AG und im anderen Fall die 1&1 Internet AG genannt, und die Abuse-Meldung wurde bereits entsprechend weitergeleitet.

Erstaunlich auch das heute eingegange Antwortmail eines brasilianischen Providers, welches offenbar kein Auto-Reply war, sondern von einem richtigen Menschen stammt. Es scheint, seien die Abuse-Meldungen in Brasilien zahlenmässig noch so gering, dass man solche Mails noch „von Hand“ schreiben kann.

 
Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3
• Spam-Woche: Tag 4
• Spam-Woche: Was ist Spam?

Endlich mal ein Tag ohne Steigerung der Mailanzahl, denn so langsam artet das Ganze wirklich in Arbeit aus. Aber auch heute gingen insgesamt 93 Mails ein, die analysiert und weitergeleitet werden mussten.

Zwei etwas seltsame Erlebnisse hatte ich heute nach dem Weiterleiten der entsprechenden Meldungen mit einem Provider aus Trinidad & Tobago sowie mit einem chinesischen Provider.
In Trinidad & Tobago scheint die Sonne und man scheint dort alles ein bisschen lockerer zu nehmen. So, oder zumindest so ähnlich, habe ich die Meldung interpretiert, die mir der Mailserver des Providers zurückschickte:

Your message to [abuse@xxx.xx] was considered unsolicited bulk e-mail (UBE). Delivery of the email was stopped!

Und das wohlgemerkt als Reaktion auf einen meiner Abuse-Reports. Auch eine Möglichkeit, sich unerwünschte Mails vom Hals zu halten.
In China hingegen scheint man mit Spammeldungen geradezu überschwemmt zu werden, dies könnte man zumindest aufgrund der folgenden Meldung vermuten:

ErrMsg=mail box space not enough, account=abuse

Tja, dumm gelaufen, dafür mit einigem Unterhaltungswert 🙂

Die heutige Rangliste des Tages:

• China: 34 Mails
• USA: 21 Mails
• Südkorea: 9 Mails
• Brasilien: 4 Mails
• Polen: 3 Mails
• Deutschland: 3 Mails
• Länder mit jeweils 2 Mail:
  Argentinien, Frankreich, Japan, Kanada, Spanien, Vietnam
• Länder mit jeweils 1 Mail:
  Dänemark, Israel, Niederlande, Norwegen, Taiwan, Trinidad & Tobago, Venezuela

Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3

Da ich nun bereits schon mehrmals gefragt worden bin, was ich im Rahmen der Spam-Woche überhaupt als Spam betrachte, hier eine kleine Übersicht über die Variationen, Wikipedia listet insgesamt acht Arten auf. Allerdings möchte ich nur drei davon kurz vorstellen, da ich während der Spam-Woche auch nur die hier genannten Mails als Spam behandle:

Unsolicited Commercial Email (UCE)
„Normale“ Werbung, beispielsweise für Penisverlängerung, Medikamente, aber auch Topfsets oder Heizstrahler.

Phishing Mails
Mails über welche versucht wird, an persönliche und vertrauliche Daten des Empfängers zu gelangen. Meistens vermitteln die Mails dem ungeübten Betrachter den Eindruck, sie stammten von einem bekannten Unternehmen (bspw. Bank, eBay, Paypal etc.).

Scam
Scam wurde vor allem im Zusammenhang mit Nigeria „weltbekannt“. Die Absender geben meist vor, hohe Positionen innerhalb von Firmen oder staatlichen Organisationen zu besetzen und hohe Geldsummen (schwarz) ins Ausland transferien zu müssen. Dem Empfänger wird für die Mithilfe ein hoher Geldbetrag versprochen. Die Betrüger haben es jedoch nur auf das Geld des Empfängers abgesehen.

Definition von Spam (UCE) gemäss Wikipedia:

Der Inhalt der E-Mail muss werbender Natur sein. Enthält der Inhalt nicht wenigstens entfernt Werbung, handelt es sich nicht um UCE. Insbesondere sind die Massenaussendungen, die Würmer und Trojaner erzeugen, keine unerwünschte Werbe-E-Mail, sondern „nur“ Unsolicited Bulk Email, kurz UBE.

Mit 105 Spam-Mails ist der heutige dritte Tag der Spam-Woche der bisherigen Rekordtag. Derzeit sieht es fast so aus, als nehme die Anzahl Spam-Mails proportional zu meinen Spam-Tagen zu: Waren es am ersten Tag lediglich 57 Spam-Mails, erhielt ich gestern bereits 82 Werbemails und heute, wie gesagt, ganze 105 unverlangte Werbe-eMails.

Die heutige Hitparade nach Länder (Standort der Provider):

• China: 33 Mails
• USA: 23 Mails
• Südkorea: 11 Mails
• Deutschland: 5 Mails
• Polen: 5 Mails
• Singapur: 5 Mails
• Grossbritannien: 3 Mails
• Spanien: 3 Mails
• Chile: 2 Mails
• Frankreich: 2 Mails
• Italien: 2 Mails
• Türkei: 2 Mails
• Länder mit jeweils 1 Mail:
  Australien, Bulgarien, Hongkong, Indien, Malaysia, Mexiko, Russland, Südafrika, Taiwan

Ein Trend lässt sich nach drei Spam-Tagen bereits feststellen: Die überaus grösste Zahl an Spam wird über Provider in Ostasien (vor allem China) und den USA verschickt. Die Meldung solcher Spam-Mails gestaltet sich aber gerade bei den ostasiatischen Providern nicht immer ganz einfach, denn im Gegensatz zu den meisten europäischen und amerikanischen Providern publizieren die Asiaten meist keine Abuse-Mail-Adressen. Und wenn eine solche Adresse publiziert ist, muss das noch lange nicht heissen, dass diese Postfächer auch tatsächlich existieren, wie ich mehrfach erstaunt feststellen konnte.
Die meisten deutschsprachigen Werbemails wurden übrigens fast ausschliesslich über das Netz der China Telecom verschickt (allerdings weiss ich nicht, ob es in China überhaupt andere Provider gibt).

Erstaunlich finde ich, dass ich in den bisherigen drei Testtagen noch kein einziges Spam-Mail erhalten habe, das via einem Schweizer Provider verschickt wurde. Entweder ist die Spam-Bereitschaft bei uns tatsächlich kleiner, oder aber die Provider haben mit ihrer harten Haltung den Spammern die Laune vermiest.

Und auf gehts in den Tag 4 der Spam-Woche.

Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2

Nachdem gestern lediglich 57 Spammails eingegangen sind, hat sich die Anzahl heute drastisch erhöht, denn innerhalb der letzten 24 Stunden sind insgesamt 82 Werbemails hier aufgeschlagen. Auch die Anzahl der involvierten Länder (Standort des entsprechenden Providers) hat sich auf 23 erhöht.

Die Rangliste des heutigen Tages:

• China: 24 Mails
• USA: 15 Mails
• Brasilien: 6 Mails
• Frankreich: 4 Mails
• Spanien: 4 Mails
• Südkorea: 4 Mails
• Polen: 3 Mails
• Singapur: 3 Mails
• Indien: 2 Mails
• Israel: 2 Mails
• Italien: 2 Mails
• Japan: 2 Mails
• Länder mit jeweils 1 Mail:
  Chile, Deutschland, Dominikanische Republik, Grossbritannien, Hongkong, Kolumbien, Niederlande, Österreich, Panama, Rumänien, Vietnam

Das technische Problem mit Verizon konnte unterdessen gelöst werden und so übermittelte ich heute auch die ersten zwei Abuse-Reports an den amerikanischen Provider.
Erwähnenswert ist ein das bisher einzige(!) Antwortmail, das nicht automatisch verschickt wurde und Rückschlüsse darauf gibt, wie der Provider mit solchen Spammeldungen umgeht:

We’ve already received many complaints about this ip. The customer has been informed, and has been given time to clean up his machine. If no action is taken by the customer we will take further action, usually blocking outbound connections to port 25 from his machine.

Auffallend ist, bei den meisten Providern in Ostasien die Abuse-Adressen gar nicht funktionieren und das Mail somit als „unzustellbar“ zurückkommt. Auf die Spitze treibt dieses Spiel auch der Provider Telefonica aus Spanien, der zwar explizit eine Abuse-Adresse publiziert, diese offenbar aber nicht funktioniert. Kurz nach meiner Meldung an Telefonica erhielt ich sechs(!) Mails mit Unzustellbarkeitsmeldungen (für sechs interne Telefonica-Mitarbeiter) zurück. Somit kann man annehmen, dass Meldungen an die Abuse-Adresse zwar an sechs Personen weitergeleitet werden, jedoch keine mehr dort beschäftigt ist. Super Service!

Auf gehts in den Tag 3…

Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche Tag 1