Wer morgens den Rechner hochfährt und in seinen Posteingang guckt, kennt es: Rund 80 Prozent aller eingehenden Nachrichten sind Spam. Von günstiger OEM-Software bis zu den diversen Pillen und Mittelchen, die eine gesteigerte Potenz versprechen, ist alles drin. Wer auf die entsprechenden Links klickt, erlebt dann seine böse Überraschung: Meist fängt sich der Anwender einen Virus ein, der den PC lahmlegt oder ein Trojaner installiert sich, um Passwörter auszuspionieren.
Gefährliche Dateianhänge
In letzter Zeit verwenden Spam-Versender statt Image-Spams auch immer häufiger Dateianhänge im PDF-, Excel- oder ZIP-Format, um ihre unverwünschten Werbebotschaften unters Volk zu bringen. Gemessen am gesamten Aufkommen an Spam-Mails verzeichnete der E-Mail-Sicherheitsspezialist Marshal für diese Art von Spam in der Woche zwischen dem 24. Juli und dem 1. August einen Anstieg von bisher zwei auf knapp 25 Prozent.
Laut Marshal sank der Anteil an Junk-Mails mit Image-Spams auf nur noch sechs Prozent und erreichte damit den niedrigsten Stand seit zwölf Monaten. Image-Spams umgehen, als gestörtes und verzerrtes Bild getarnt, die Spam-Filter von Programmen und E-Mail-Anbietern.
PDF trickst Spam-Filter aus
Speziell PDF-Anhänge sind eine der beliebtesten Spamming-Methoden. Der Sicherheitsanbieter Messagelabs geht in einer aktuellen Schätzung davon aus, dass etwa 20 Prozent aller Spam-Mails mittlerweile PDF-Dateien beinhalten.
Um Spam-Filter auszutricksen, wurden die PDF-Spams sogar so modifiziert beziehungsweise mit aktivierten Dokumenten-Schutzprogrammen erstellt, dass ein Ausdruck oder die Kopie in die Zwischenablage nicht möglich waren.
Nach Analysen von Messagelabs enthielten die PDFs auch "Bayes Poison“ also lange Listen zufällig ausgewählter Wörter, die in Spam-Nachrichten normalerweise nicht auftauchen. Für die Zukunft befürchtet der Security-Spezialist, dass Spammer Schad-Code in PDFs einbetten könnten, der dann automatisch auf den Computer des Opfers heruntergeladen wird.
Messagelabs teilt die Spammer in zwei Typen ein: Amateure und Profis. Erstere erstellen PDF-Dokumente mit einfachen Tools wie Microsoft Word und nutzen ein- und dasselbe PDF für den gesamten Spam-Aussand. Profis hingegen wenden technisch ausgefeilte Methoden an und versenden jeweils unterschiedliche Dokumente. Jedes PDF wird zufällig generiert und ist üblicherweise nicht textbasiert. Stattdessen fügen die Spammer zufällig ausgewählte Bilder in PDF-Dokumente ein oder arbeiten mit ebenfalls zufälligen Seitengrößen.
Aktienkurs manipulieren
In letzter Zeit versuchen Spam-Kriminelle verstärkt, mit Spam-PDF-Dateien Aktienmärkte zu manipulieren. Diese so genannte Pump-and-Dump-Masche zielt darauf ab, potenzielle Investoren zu täuschen und sie zu verleiten, in bestimmte Aktien zu investieren. Basis dieser "Stock-Spams" sind vorgebliche Insider-Tipps, etwa über eine kurz bevorstehende technische Erfindung.
Der Aktienbetrug geht dann wie folgt: Die Kriminellen kaufen Aktien relativ unbekannter Firmen zu einem günstigen Preis und veröffentlichen dann erfundene beziehungsweise gefälschte Informationen über diese Unternehmen mit dem Ziel, den Aktienkurs künstlich in die Höhe zu treiben (Pump). Anschließend verkaufen sie die Aktien gewinnbringend (Dump), was sofort zum Kursabsturz führt.
In den USA sind solche Praktiken schon seit längerem bekannt. Die US-amerikanische Börsenaufsicht SEC stellte seit Jahresbeginn den Handel der Aktien von 35 Unternehmen ein, die Opfer von Pump-and-Dump-Kampagnen wurden.
Pump und Dump
Im März 2007 meldete der Sicherheitsspezialist Sophos eine Pump-and-Dump-Kampagne, die sich zum ersten Mal auf eine nicht in den USA gelistete Firma bezog. Zu diesem Zeitpunkt gab das US-amerikanische Energieunternehmen Stonebridge Resources Exploration seine Notierung an der Frankfurter Börse bekannt. Über mehrere Tage hinweg waren E-Mails im Umlauf, in denen die Empfänger aufgefordert wurden, Aktien dieses Unternehmens zu kaufen.
In einer aktuellen Spam-Kampagne werden Nachrichten mit einer angehängten PDF-Datei an deutsche Internet-Nutzer gesendet. Ein von den Sophos entdecktes Beispiel hat den skurrilen Namen "sexy_ganja_report.pdf". Die angehängte Datei fordert die Nutzer dazu auf, in ein Unternehmen namens Talktech Media zu investieren. Diese Firma ist ebenfalls an der Frankfurter Börse gelistet.