Image-Spam: Die Mail-Epidemie in 2006
Übersicht
Endbenutzer in der ganzen Welt berichten über den Anstieg von Spam. Ein Großteil des registrierten Anstiegs in 2006 ist auf das Auftauchen von neuen, raffinierteren Formen von Spam zurückzuführen - wie beispielsweise dem Image-Spam!
Image-Spam ist eine Technik, mit der Spammer mit ihrer Mitteilung zu einer "Reaktion aufrufen". Dies geschieht eher durch einen eingebetteten Dateianhang (wie beispielweise ein .gif oder .jpeg) als im Textkörper der E-Mail. Die Bilder werden den Endbenutzern automatisch angezeigt, dennoch bleibt der Inhalt des Bildes selbst den meisten Spam-Filtern verborgen.
Der Anstieg komplexerer Angriffe durch Image-Spam hat dazu geführt, dass die Erkennungsraten und damit die E-Mail-Sicherheit zurückgegangen sind. Produktivität wird verschwendet und die Unzufriedenheit der Endbenutzer wächst, je mehr Spam in ihren Inboxen landet. Der bloße Anstieg des Spam-Volumens zusammen mit einem höheren Prozentsatz an Spam größeren Formats beeinträchtigt die E-Mail Infrastruktur zusätzlich, da viele Mailsysteme nicht in der Lage sind, dieses Spam-Aufkommen zu bewältigen.
Dieses Dokument gibt Ihnen Überblick über die neuesten Trends beim Image-Spam, warum er schwierig zu entdecken ist und wie IronPort Unternehmen vor dieser wachsenden Bedrohung schützt.
Durch einen weltweiten Anstieg beim Image-Spam erhöhte sich das Spam-Aufkommen im zweiten Quartal 2006 insgesamt.
Trends & Lösungen
Laut dem SenderBase® Netzwerk von IronPort pendelte sich das Spam-Volumen 2005 ein, stieg aber während des zweiten Quartals 2006 erneut an. Wie die linke Achse im obigen Diagramm zeigt, bestätigt SenderBase, dass sich das weltweite Spam-Volumen von etwa 30 Milliarden Mitteilungen täglich auf über 50 Milliarden innerhalb der letzten 12 Monate erhöht hat. IronPort verzeichnete alleine im zweiten Quartal einen Anstieg des Spam-Aufkommens von 40 Prozent. Das bedeutet, dass ein Endbenutzer selbst bei konstanter Spam-Erkennungsrate seit April 2006 durchschnittlich 40 Prozent mehr Spam in seiner Inbox vorgefunden hat.
Ein Großteil dieses Anstiegs beim Spam-Volumen insgesamt ist auf den vermehrten Image-Spam zurückzuführen. Wie die rechte Achse des obigen Diagramm beweist, stieg der Image-Spam von etwa 3 Prozent des Spams im letzten Jahr auf über 20 Prozent aktuell. Als sich das Spam-Volumen im 4. Quartal 2005 und im 2. Quartal 2006 erhöhte, trieb Image-Spam diesen Anstieg noch weiter an.
Die Hauptursache für den extremen Anstieg des Spam-Aufkommens ist Geld. Spammer sind zielstrebig: Sie versenden Spam, um Geld zu machen. Je mehr Mitteilungen in den Inboxen landen, desto besser stehen die Chancen, dass Empfänger davon Notiz nehmen - und somit für mehr Gewinn für die Spammer sorgen.
Wie der nächste Abschnitt zeigt, ist willkürlicher Image-Spam für die meisten Spam-Filter besonders schwer zu erkennen - so dass mehr Spam zugestellt wird. Spammer können ihre Bilder entweder ganz normal oder aber besonders attraktiv für den Endbenutzer aussehen lassen, so dass sie eine höhere Antwortrate erzielen. Da sich keiner dieser Faktoren in der nahen Zukunft ändern wird, rechnet IronPort damit, dass Image-Spam auf absehbare Zeit ein Problem bleiben wird. IronPort hat ebenso bemerkt, dass Spammer bei ihrem Gebrauch von Image-Spam äußerst innovativ sind, so dass Image-Spam zukünftig noch schwerer erkennbar sein wird.
Warum Image-Spam schwierig zu erkennen ist
Image-Spam gibt es schon seit mehreren Jahren. Er entstand ursprünglich, um an "heuristischen" Filtern vorbeizukommen, die Mitteilungen mit Wörtern oder Phrasen, die oftmals in Spam zu finden sind, blockieren. Da Bilddateien ein gänzlich anderes Format haben als der Text, der in einer E-Mail zu finden ist, konnten heuristische Filter nie den Inhalt der Mitteilung "sehen". Daher ließen sich derartige Filter von dieser Sorte Spam leicht austricksen.
Um dieses Problem zu lösen, entwickelten die Anbieter von Anti-Spam-Lösungen Technologien mit "unscharfen Signaturen". Diese signaturbasierten Technologien sammeln Muster von bekanntem Spam und klassifizieren dann "fast identische" Mitteilungen als Spam. Diese Signaturen wurden manchmal nur für den Mail-Anhang geschrieben, so dass Mitteilungen mit unterschiedlichem Inhalt, aber identischem Anhang immer noch als Spam markiert werden.
Signaturbasierte Verteidigungen funktionierten jahrelang einwandfrei. 2006 fingen Spammer jedoch damit an, willkürlich Bilder anzuordnen, die für den menschlichen Betrachter auch genau so aussehen, für den Spam-Filter jedoch komplett anders. So versenden einige Spammer beispielsweise Mitteilungen, die den Kauf von Aktien mit einer angehängten .gif-Datei bewerben, die beliebige "Punkte" im Bild und Ränder mit fast unmerklich unterschiedlichen Farben und Stärken hat. Die Signaturen, auf die sich die meisten Anbieter von Anti-Spam verlassen, variieren erheblich - und greifen bei minimalen Änderungen am Bild vielleicht nicht. Das bedeutet, dass Anbieter eine Regel veröffentlichen, die für den einen Fall funktioniert, aber den ganzen Rest der Spam-Mitteilungen des Angriffs nicht blockiert.
Es gibt fast unendlich viele Möglichkeiten, wie Spammer Bilder verändern können. Neben dem Einfügen von Punkten haben Spammer kürzlich auch andere Techniken verwendet, wie beispielsweise die im Bild verwendeten Farben zu ändern, die Breite und das Muster der Ränder zu verändern, die Schriftgröße zu wechseln oder die Bilder in kleinere Stücke zu "schneiden" (die dann aber dem Empfänger wie ein einziges, großes Bild erscheinen). Nachfolgend zwei Beispiele der vielen Techniken, die Spammer einsetzen, um signaturbasierte Verteidigungen zu überwinden:
Beispiel 1
"Punktmuster"
Eine eingebettete .gif-Datei, die den gesamten "Text" mit willkürlich eingefügten Punkten im Bild enthält, um jede Mitteilung scheinbar einzigartig für die Spam-Filter zu machen
Beispiel 2
"Slice & Dice"
Bilder werden in viele kleinere Dateien unterschiedlicher Größe aufgeteilt und dann im Mail-Client wieder zusammengesetzt, so dass sie dem E-Mail-Empfänger wie ein einziges Bild erscheinen. Das markierte Rechteck stellt den Rand einer der mehr als ein Dutzend Bilddateien dar, die für den Aufbau dieser Mitteilung eingesetzt wurden. Diese Technik wird dafür verwendet, signaturbasierte Verteidigungen zu bezwingen und Wörter zu zerstückeln, die andernfalls von der OCR gefunden werden könnten.
Einige Anbieter haben kürzlich die Optical Character Recognition (OCR), die optische Zeichenerkennung eingeführt, um Image-Spam zu erkennen. Bei der OCR handelt es sich um eine Technologie, die verwendet wird, um maschinengeschriebenen Text aus einem Bild zu extrahieren. Obwohl OCR effektiver als signaturbasierte Lösungen allein ist, hat sie dennoch auch ihre Grenzen. Zunächst ist OCR von der Rechenleistung her sehr teuer. Die Wiedergabe jeder Mitteilung und die nachfolgende Suche nach Word-Matches im Abgleich mit unterschiedlichen zeichendefinierten Bibliotheken kann mehrere Sekunden pro Mitteilung dauern. Dies senkt den Systemdurchsatz unterhalb die Grenzen, die für die meisten Service-Provider und Unternehmen akzeptabel sind. OCR ist außerdem extrem anfällig für Verschleierungen. Zwar findet die moderne OCR-Technologie zuverlässig getippte Buchstaben und Zahlen, lässt sich aber einfach durch die grundlegenden Techniken der Spammer in die Irre führen. So kann OCR beispielsweise keinen Image-Spam finden, der handschriftlichen Text, Grafiken oder andere abstrakte Daten enthält.
Schutz mit IronPort Anti-Spam
IronPort Anti-Spam™ nutzt einen einzigartigen, mehrstufigen Ansatz, der über 98 Prozent des Image-Spams blockiert - ohne dabei die bei IronPort so äußerst geringe False-Positive Rate (1 zu einer Millionen!) zu beeinflussen. Die erste Verteidigungsstufe läuft mit der Context Adaptive Scanning Engine™ (CASE). Danach folgt eine innere Schutzschicht vor Image-Spam durch die zum Patent angemeldete IronPort Multidimensional Pattern Recognition™ (MPR) Technologie.
Kontextadaptives Scanning
Die meisten Spam-Filter verlassen sich im Wesentlichen auf eine Kontextanalyse, um Spam zu stoppen. All diesen Filtern ist eine Schwäche gemeinsam - sie verlassen sich grundlegend auf etwas, das von den Spammern selbst ganz einfach manipuliert werden kann. Image-Spam ist nur ein Beispiel dafür, dass inhaltsbasierte Filter versagen. Die obigen Abbildungen zeigen, dass der "Inhalt" des Spams vielen Filtern verborgen bleibt, da er in das Bild selbst eingebettet wurde.
Um Image-Spam zu erkennen, hat IronPort die konventionellen inhaltsbasierten Methoden durch Techniken ersetzt, die den vollständigen Kontext analysieren, mit dem die Mitteilung empfangen wurde. Die IronPort CASE Engine erkennt Bedrohungen insbesondere dadurch, dass vier große Bereiche analysiert werden:
- Wer schickt die Mitteilung und was wissen wir über diesen Absender?
- Wo erhalten wir die Aufforderung zur Reaktion in der Mitteilung?
- Welcher Art ist der Inhalt der Mitteilung?
- Wie wurde die Mitteilung technisch aufgebaut?
Anstatt eine Signatur auf Basis des Inhalts der Mitteilung zu generieren, erzeugt IronPort ein spezifisches Spam-Profil des Angriffs durch Image-Spam, das die Fragen "wer, wo, welcher und wie" einer Mitteilung kombiniert.
So kann beispielsweise ein Profil für eine Mitteilung erstellt werden, die von einer dynamischen IP-Adresse kam, ein bestimmtes Header-Muster enthält, ein eingebettetes Bild mit spezifischer Größe und Art zeigt und wenig oder keinen Text im Textkörper selbst enthält. Vermutlich wird keiner dieser Faktoren für sich allein mit Sicherheit angeben, dass es sich bei einer Mitteilung um Spam handelt, aber sie sind äußerst präzise, wenn sie kombiniert werden. Kontextadaptives Scanning ermöglicht IronPort, einen Großteil der Angriffe durch Image-Spam ohne eine Entschlüsselung der Bilddatei zu filtern. Die zweite Schutzschicht liefert die Multidimensionale Mustererkennung (Multidimensional Pattern Recognition, MPR).
Multidimensionale Mustererkennung
Für das menschliche Auge ist Image-Spam sehr leicht erkennbar. Tatsächlich ist das genau eine der Eigenschaften, die Image-Spam so attraktiv für den Spammer machen - sie haben längst nicht den Aufwand wie bei herkömmlichem Text-Spam, ihre Inhalte zu verschleiern, wenn sie Image-Spam zur Umgehung der Filter versenden. Warum aber können Spam-Filter Image-Spam nicht erkennen, wo er doch so offensichtlich für den Endbenutzer ist?
Die Schwierigkeit liegt darin, dass ein Mensch den Inhalt einer Mitteilung mit einem sehr viel reichhaltigeren Datensatz interpretiert als lediglich dem dargestellten Text. Attribute wie Bildfarbe, Format, Schriftgröße und -art, Grafiken und viele andere Merkmale beeinflussen unsere Wahrnehmung. Diese Informationen bleiben den konventionellen Content-Filtern vollständig verborgen - und Technologien wie OCR erfassen nur einen Bruchteil davon.
IronPort Anti-Spam hat eine zum Patent angemeldete Technologie mit dem Namen Multidimensional Pattern Recognition (MPR) entwickelt, um dieses Problem zu lösen. Nach der Entschlüsselung der binären Bilddateien nutzt IronPort MPR, um die dekomprimierten Bilddaten anhand von 13 Dimensionen zu analysieren und so zu entscheiden, ob es sich bei einer Mitteilung um Spam handelt oder nicht.
Farbe ist beispielsweise eine Dimension, die eine Fülle von Informationen über den Inhalt einer Mitteilung liefert. IronPort analysiert die Verteilung der Farben in jeder Mitteilung, um die Wahrscheinlichkeit von Spam festzulegen. So kann die MPR eine .gif-Datei scannen und nach Pixelmustern suchen, die anzeigen, dass die Bilddatei dem Benutzer als Text angezeigt wird - ein Muster, das häufig bei Spam, aber selten bei seriösen E-Mails vorkommt (die meisten seriösen .gif-Dateien enthalten Bilder und keinen Text). MPR kann außerdem ungewöhnliche "Punkte" in Bildern entdecken, die nicht zu dem "glatteren" Lichtverlauf passen, der üblicherweise in seriösen E-Mails zu finden ist (diese Punkte können Versuche der Spammer darstellen, Signaturen zu täuschen).
Um dieses hohe Niveau bei der Prüfung ohne Leistungsminderung zu ermöglichen, verwendet IronPort das Konzept des "vorzeitigen Ausstiegs". Das bedeutet, dass das intensivere MPR-Verfahren nur für Mitteilungen mit Bildern angewendet wird, die bereits den regulären Prozess des kontextadaptiven Scannings durchlaufen haben. Genau dieses Konzept wird auch innerhalb der MPR angewendet. Wenn ein Teil der Bilddatei analysiert wurde und genug Daten vorliegen, die belegen, dass es sich bei Mitteilung um Spam handelt, wird die Bilddatei nicht mehr komplett analysiert. So entsteht ein Prozess, der nicht nur präziser, sondern auch um ein Mehrfaches schneller als die konventionellen OCR-Technologien ist. Entscheidend für die Effektivität dieser Technologie ist, dass IronPort Anti-Spam in Echtzeit arbeitet. Alle fünf Minuten wird das System aktualisiert, so dass ein unmittelbarer und präziser Schutz vor Image-Spam gewährleistet ist.
Fazit
Das Aufkommen von Image-Spam ist 2006 sprunghaft angestiegen, da Spammer darin ein gutes Mittel für die Umgehung der konventionellen Spam-Filter gefunden haben. Die Flut von Image-Spam frustriert die Endbenutzer und belastet die eh schon überforderten E-Mail-Infrastrukturen vieler Unternehmen.
Spammer haben dafür gesorgt, dass die herkömmlichen Technologien zum Schutz vor Spam nicht mehr greifen, indem sie den Inhalt in eingebetteten Bildern verstecken und diese Bilder dann so verändern, dass jede Mitteilung den Spam-Filtern einzigartig erscheint. Einige Anbieter von Anti-Spam denken darüber nach, eine OCR-Technologie einzusetzen, um dieses Problem zu lösen. Leider ist aber diese Technologie für viele Kunden zu langsam und kann durch simple Veränderungen der Taktiken von Spammern ganz einfach getäuscht werden.
IronPort hat einen ganz anderen Ansatz zur Bekämpfung des Problems gewählt. Indem der Bildinhalt eher so interpretiert wird, wie ein Mensch es tun würde, bekämpft IronPort die Spammer durch die Multidimensional Pattern Recognition mit ihren eigenen Methoden. Bei ihren Bemühungen, die herkömmlichen Sicherheitssysteme zu umgehen, hinterlassen die Urheber von Image-Spam winzige Spuren, die IronPort Anti-Spam dazu nutzt, um über 98 Prozent ihrer Mitteilungen zu blockieren.
IronPort Anti-Spam ist für unsere E-Mail Security Appliances erhältlich. Der Erfolg von IronPort, einer Geschäftseinheit von Cisco, spricht eine deutliche Sprache: IronPort-Produkte gewährleisten die Sicherheit der IT-Landschaften von 20% der weltweit größten Unternehmen, 80% der größten unabhängigen Service-Provider und über 300 Millionen Mailboxen. Schützen Sie Ihr Netzwerk und nutzen Sie unsere einzigartigen Technologien.
