Versender von unerwünschten Werbe-E-Mails haben pdf-Dateien
als neue Spam-Wunderwaffe entdeckt. Mit dieser Methode werden derzeit einige
klassische Anti-Spam-Lösungen ausgetrickst, warnt der
Antivirensoftware-Hersteller Ikarus http://www.ikarus.at. "Die Methode scheint auf den
ersten Blick so einfach, dass es sogar ein wenig verwunderlich ist, warum
Spammer nicht schon viel früher auf diese Idee gekommen sind", meint Joe
Pichlmayr, Geschäftsführer von Ikarus Software.
Die an
die Spam-E-Mails angehängten pdf-Dateien haben eine Größe von etwa 120
Kilobyte. Die bislang gängigen Arten von Werbemüll sind dabei deutlich
platzsparsender. Text-Spam hat etwa vier Kilobyte, während Bilder-Spam rund 40
Kilobyte in Anspruch nimmt. Die Botnetze, über die Spam versendet wird verfügen
mittlerweile zum Großteil über Breitbandzugänge, wodurch der pdf-Versand kein
großes Problem mehr darstellt, so Pichlmayer. Mit den großen Dateien treffen
die Spammer zudem eine Schwachstelle bei den Anti-Spam-Programmen. Diese haben
nun mit mindestens der dreifachen Datenmenge zu kämpfen, was sich auch deutlich
auf die Zeit auswirkt, die die Filterprogramme benötigen, um die Dateien zu
öffnen und den Inhalt zu analysieren.
Herkömmliche Lösungen können bei dieser neuen Spam-Variante
nicht die Inhalte der pdf-Dokumente überprüfen, sondern müssen sich auf
Signaturen der Dateien und Mails verlassen. "Die derzeit einzige
Möglichkeit dieser Art von Spam Herr zu werden ist, sie über ‘lernende Filter’
zu identifizieren. Dabei kommt der ‘Bayessche Filter’ zur Anwendung. Von
charakteristischen Eigenschaften und Wörtern in einem E-Mail wird darauf geschlossen,
ob es sich um Spam handelt. Weist eine E-Mail viele dieser eindeutige
Eigenschaften auf und erreicht damit eine gewisse Punkteanzahl, so ist der
Spamverdacht erhärtet", so Pichlmayer. Diese Methode ist jedoch stark von
der Anzahl an Mails, die dem Filter zum "Lernen" zur Verfügung
stehen, abhängig. "Bei zwei bis drei Mails am Tag bleibt der Erfolg
gering. Die über zwölf Mio. E-Mails, die täglich von unseren Scancentern
überprüft werden, verschaffen uns dabei einen klaren Vorteil bei der Erkennung
von pdf-Spam", sagt Pichlmayr. "Dazu sind die zentralen
Mailscanner-Dienste unserer Scancenter natürlich ideal."
"Beim Spam-Versand handelt es sich um ein sehr schnelllebiges Business.
Spammer beschäftigen sich stark mit den Lösungen, die gegen sie eingesetzt
werden, um sie immer wieder auszuhebeln", so Pichlmayer. Spamfilter kommen
mit Text- und Bilder-Spam, der erst vor etwa einem Jahr erstmals aufgetaucht
ist, mittlerweile gut zu Recht. Zu befürchten ist allerdings, dass es nur eine
Frage der Zeit ist, bis die Spammer dazu übergehen, pdf-Files aber auch andere
Dateiformate dynamisch zu generieren. Dann würde jede Datei anders aussehen,
wodurch Signatur-basierte Filter Probleme bekämen.