Spammer kapern Breitband-PCs
Artikel erschienen in Swiss IT Magazine 2003/22
E-Mail ist eines der zentralsten Kommunikationsmittel im Geschäftsleben. Wenn im Gegensatz zu normalen Arbeitstagen auf einmal keine Mails mehr ankommen und selbst die Werbung ausbleibt, ist es möglich, dass an der Mail-freien Zeit eine neuen Methode der Spammer schuld ist: Distributed SMTP-Harvesting.
Bisher waren bei Spammern sogenannte Open Relays besonders beliebt, um ihre Werbebotschaften unters Volk zu bringen. Denn Open Relays erlauben mangels Schutzmechanismen jedermann, so viele E-Mails über sie zu verschicken, wie man will. Das haben Spammer natürlich exzessiv ausgenutzt, was dazu führte, dass viele Open Relays von den Dienstleistern inzwischen mit Schutzmechanismen ausgestattet worden sind. Zusätzlich überprüft man auf der Seite der Empfänger, ob die Server nicht in schwarzen Listen aufgeführt sind. Sind sie aufgelistet, wird eine Verbindung von diesen Servern gar nicht erst akzeptiert.
So haben die Spammer neue Versandwege suchen müssen und sind bei Breitbandnutzern fündig geworden. Mit Hilfe dieser gekaperten PCs, die meist Home-Usern gehören, bauen die Spammer eine Vielzahl von Verbindungen zum Zielsystem auf. "Sobald die Clients die Verbindung zu den SMTP-Servern aufgenommen haben, beginnen sie damit, an wahllos generierte Aliase auf dem angegriffenen Rechner klassische Spam-Mails zu verschicken", erläutert Ulrich Siegrist von Bluewin den Vorgang. "Dabei erreichen im besten Fall 1 Prozent der generierten E-Mails auch einen lokalen Benutzer. Die Aliase, die nicht erreicht werden, streichen die Spammer aus der Liste, so dass sie gleichzeitig neue Adressen verifizieren", so Siegrist weiter. Das grosse Problem bei diesen Attacken: Weil die angegriffenen SMTP-Server analysieren müssen, ob die E-Mails an existierende lokale Benutzer gehen, erhöht sich die Last der Server dramatisch. "Wenn bis zu 20'000 E-Mails mit je 50 Empfängern an einen Server abgesetzt werden, ist dieser für längere Zeit nicht in der Lage, den regulären E-Mailverkehr zu bearbeiten. Dieser wird bis auf weiteres abgewiesen und kann erst entgegengenommen werden, wenn die Attacke abgewehrt wurde", erklärt Martin Felber von Webland. "Wenn es einen anderen Provider wie etwa Bluewin trifft, sehen wir, dass sich die E-Mails an Bluewin-Accounts für einige Zeit bei uns zurückstauen. Sobald die Attacke abgeebbt ist, werden die Nachrichten wieder normal ausgeliefert."
Dabei machen sich die Spammer ein Verfahren zu Nutze, was man schon von den Distributed Denial of Service (DDos) Attacken auf Webserver kennt: Über Trojanische Pferde erlangen die Spammer die Kontrolle über die PCs. Sobald sie die Kontrolle über ein paar Dutzend Maschinen haben, starten sie ihre Attacken. "Da die Clients oft auf der ganzen Welt verstreut sind, ist es nicht so einfach, die Angriffe zu unterbinden, wie einen bestimmten Open Relay zu blocken", erklärt Ulrich Siegrist die Problematik.
Die Opfer der Trojanischen Pferde sind meist Computer von Home-Usern. Die Benutzer erhalten die Programme entweder per E-Mail, IRC oder Instant Messenger. "Dass PCs mit Breitbandzugängen besonders gefährdet sind, liegt auf der Hand", so Candid Wüest, Sicherheitsexperte von Symantec. "Die PCs der Benutzer sind sehr lange online und oftmals nicht ausreichend geschützt. Spätestens 15 Minuten nachdem sie als potentielle Angriffsziele erkannt worden sind, werden sie attackiert."
Dass sich Distributed SMTP-Harvesting erst im Anfangsstadium befindet, zeigt eine Umfrage bei den Schweizer ISPs. Als einziger Provider meldet bisher Bluewin, dass es merkbare Probleme gibt. "Seit Anfang November hat die Anzahl der Attacken stark zugenommen, allerdings kam es nur ganz selten zu kurzen Verzögerungen", berichtet Bluewin-Pressesprecherin Deborah Bucher. Allerdings darf man das Problem keinesfalls unterschätzen, was die Erfahrungen bei GMX zeigen. Dort kennt man das Problem des Distributed SMTP-Harvesting seit etwas mehr als einem Jahr. Marion Schanzer: "Es ist bisher für uns zu keinem gravierenden Problem geworden, da wir rechtzeitig in der Lage waren, geeignete Gegenmassnahmen zu entwickeln. Die Erkennung solcher Angriffe ist allerdings nicht ganz trivial, da die Clients erst einmal mit Senden beginnen müssen, bevor wir sie erkennen können." Dass die Anzahl derartiger Angriffsversuche stark steigt, bestätigen auch die Erkenntnisse von Symantec. Candid Wüest empfiehlt: "Um nicht Opfer eines solchen Angriffs zu werden, ist es wichtig, dass man sich als Nutzer um Sicherheitsvorkehrungen auf seinem PC oder Laptop kümmert. Neben einer Antiviren-Software sollte man eine Hard- oder Software-Firewall verwenden."