Suchen

Cutwail – das etwas andere Botnetz Security-Forscher analysieren E-Mail-Spam auf Keyword-Fülle

| Redakteur: Stephan Augsten

Steckt hinter dem Spam-Chaos ein bestimmtes Muster? Dieser Frage haben sich die Security-Forscher von Messagelabs Intelligence angenommen. Und tatsächlich ist in den E-Mail-Betreffzeilen ein Schema zu erkennen. Insbesondere Botnetze setzen auf ganz bestimmte Schlagworte – eine Ausnahme bildet allerdings Cutwail.

Firma zum Thema

Botnets wie in diesem Fall Bagle setzen beim Spam-Versand auf wenige Schlagworte. Illustration: Messagelabs
Botnets wie in diesem Fall Bagle setzen beim Spam-Versand auf wenige Schlagworte. Illustration: Messagelabs
( Archiv: Vogel Business Media )

Eine Woche lang haben Sicherheitsexperten von MessageLabs Intelligence, der Abteilung für Symantec Hosted Services, stichprobenartig ausgewählte Spam-Nachrichten auf ihre bevorzugte Wortwahl hin analysiert. Dabei stellte sich heraus, dass einige der genutzten Keywords in der E-Mail-Betreffzeile sich ständig wiederholen.

Beliebt sind demnach Schlagworte wie today oder fast, die Dringlichkeit vermitteln sollen. Der Empfänger soll gar nicht erst groß über den E-Mail-Inhalt nachdenken, sondern am besten gleich klicken. In dieses Schema passt auch, dass fünf der sechs meistgenutzten Worte mit Ausrufezeichen versehen sind (beispielsweise today! oder shipping!).

Bildergalerie
Bildergalerie mit 6 Bildern

Wie die Tag Cloud in Bild 1 der Bildergalerie zeigt, ist die Bandbreite der verwendeten Worte zwar eingeschränkt, besonders deutlich wird dies aber erst bei Betrachtung der Tag Clouds für individuelle Botnetze. Da ein Botnet in der Regel gleichzeitig nur wenige Spam-Kampagnen unterstützt, ist auch die Wortwahl relativ eingeschränkt. Dies gilt insbesondere für die Botnetze Bagle, Grum und Rustock.

Malware-Versand wirkt sich auf Cutwail-Spam aus

Eine größere Keyword-Variation zeigen demgegenüber die Botnetze Bobax und Cutwail. Im Falle von Bobax sticht allerdings das Schlagwort Free deutlich hervor. Cutwail hingegen bildet eine große Ausnahme der Top-5-Botnetze. Wie die Messagelabs-Forscher herausgefunden haben, beschränkt sich Cutwail im Gegensatz zur Konkurrenz nicht auf eine kleine Anzahl an möglichen Themen. Hier werden die verschiedensten Schlagworte in nahezu identischem Umfang genutzt.

Die Sicherheitsexperten begründen dieses Vorghen damit, dass Cutwail nicht nur reine Werbemails versendet, sondern auch gerne zur Malware-Verbreitung genutzt wird. Es sei sinnvoll den Betreff häufig zu ändern, wenn man Schadcodes wie Bredolab unters olk bringen will. Denn nur mit häufig wechselnden Themen erregt man auch auf Dauer die Aufmerksamkeit der E-Mail-Nutzer und erzielt höhere Klickraten.

Bemerkenswert ist im Falle der Cutwail-Stichproben, dass die Spam-Versender viel mehr Wert auf den E-Mail-Inhalt legen. Während Cutwail-Spam relativ viel Text beinhaltet, bestehen die Spam-Nachrichten aus den anderen großen Botnets vornehmlich aus ein bis zwei Sätzen und einem Link.

Die beliebtesten Wörter der Spammer: MessageLabs Intelligence stellt Tendenzen vor

Die Experten von MessageLabs Intelligence bei Symantec Hosted Services haben eine Woche lang per Stichprobe ausgewählte Spam-Mails aus aller Welt auf deren bevorzugte Wortwahl hin analysiert.

Das Ergebnis: Trotz des Wirrwarrs verschiedenster angepriesener Produkte und Themen ist bei genauerem Hinsehen ein Schema zu erkennen. Einige bestimmte Wörter wiederholen sich immer wieder und stechen hervor. Um dies zu visualisieren, wählten die Spam-Experten für die Auswertung so genannte „Tag Cloud“-Grafiken. Darin repräsentiert die Schriftgröße eines Begriffs die Anzahl der jeweiligen Nennungen (Grafiken siehe Link unten).

Am häufigsten werden demnach Begriffe verwendet, die den Nutzer unmittelbar zu einer Handlung auffordern, indem sie Eile oder Dringlichkeit suggerieren („today“, „fast“ etc.). Deutlich wird dies auch dadurch, dass fünf der sechs am häufigsten verwendeten Worte mit einem Ausrufezeichen versehen wurden. Beispiele hierfür sind etwa „here!“ oder „shipping!“. Dies soll zusätzlichen Druck auf den Empfänger ausüben. Die Spammer verfolgen dabei ein einfaches Ziel. Denn je weniger Zeit jemand damit verbringt über den Inhalt einer Nachricht nachzudenken, desto geringer ist die Wahrscheinlichkeit, die betrügerische Absicht einer Nachricht zu durchschauen.

Etwas anders verhält es sich bei der „Wortwahl“ der ebenfalls untersuchten Botnetze. Diese beschränken sich auf ein sehr begrenztes und spezifisches Vokabular, da jedes Botnetz meist nur für einige wenige Spam-Versender gleichzeitig im Einsatz ist. Die grafische Auswertung illustriert anschaulich die unterschiedlichen Vorlieben der großen Botnetze Bagle, Grum, Rustock, Bobax, sowie Cutwail.

(ID:2044096)