Damaschkes Daily abonnieren (RSS 2.0)
Ein Bild spamt mehr als tausend Worte
Kein Tag vergeht, an dem nicht etliche unerwünschte Mails versuchen würden, bis zu meinem Posteingang vorzudringen. Die meisten dieser Spammails werden bereits auf dem Server abgefangen, doch einer Handvoll Mailmüll gelingt es regelmäßig, sich bis zu meinem Computer durchzuschlagen. Dort werden sie nun allerdings von einem lokalen Spamfilter in Empfang genommen, der mit hoher Treffsicherheit dafür sorgt, dass der Müll dahin befördert wird, wo er hingehört: in die Mülltonne.
Ein paar Spams schaffen es allerdings doch, diese doppelte Abwehrmauer zu durchbrechen und sich bis zu meinem Posteingang durchzumogeln. Dabei handelt es sich fast ausschließlich um so genannten „Image-“ oder „Bilder-Spam“, also um E-Mails, die ausschließlich oder zum größten Teil aus Grafiken bestehen – auch dann, wenn sie scheinbar nur Text zu bieten haben.
In den letzten Wochen hatte ich den Eindruck, dass die Anzahl dieser Bilder-Spams ansteigt – und siehe da, eine neue Statistik von Secure Computing unterstützt meinen ersten Eindruck. Danach hat sich der Bilder-Spam in den letzten Wochen verdoppelt. Inzwischen, so die Sicherheitsexperten, macht dieser Mailmüll rund 30 Prozent des gesamten Spams aus – Tendenz stark steigend.
Das kann kaum überraschen, sind Bilder-Spams doch derzeit eine der besten Methoden, selbst die bislang leistungsfähigsten Spamfilter auszutricksen. Diese basieren auf einer statistischen Analyse des Textkorpus’ einer Mail – nur: wenn es keinen erkennbaren Text mehr gibt, dann gibt es da auch nichts zu analysieren. Und die betreffenden Mails dürfen passieren.
Da Bilder in E-Mails inzwischen ein weitgehend akzeptiertes Gestaltungsmittel sind (von dem auch dieser Newsletter Gebrauch macht). ist die Entwicklung vom Text- zum Bilderspam also nur logisch.
Kein Wunder, dass die Hersteller von Anti-Spam-Software eifrig an Filtern basteln, die auch diesen Bilderspam erwischt. Dabei werden hauptsächlich zwei Verfahren: Prüfsummen und OCR.
Mit einer Prüfsumme wird ein digitaler Fingerabdruck einer Grafik erzeugt, so dass diese Grafik beim nächsten Auftauchen wieder erkennt werden kann. Bei OCR (optical character recognition) wird der im Bild enthaltene Text extrahiert und anschließend durch einen textbasierten Spamfilter geschickt.
Diese Verfahren sind natürlich ganz erheblich aufwendiger als die klassische Spam-Analyse und leider recht fehleranfällig.
Ein Trick besteht zum Beispiel darin, den Text in der Grafik möglichst so zu gestalten, dass er für das menschliche Auge zwar lesbar, vor dem ein OCR-Programm allerdings fast chancenlos bleibt. Außerdem werden die eingesetzten Spamgrafiken bei jedem Versand minimalst verändert – hier ein Pixel mehr, dort ein Farbtupfer weniger: Wir nehmen keine Veränderung zwischen den Grafiken wahr, doch ihr digitaler Fingerabdruck unterscheidet sich grundlegend. So ist es für einen Spamfilter unmöglich, eine einmal als Spam klassifizierte Grafik beim nächsten Mal wiederzuerkennen und auszusortieren.
Der jüngste Spammertrick setzt auf animierte GIFs. Das sind Grafiken, die aus mehreren Bildebenen bestehen, die der Reihe nach angezeigt werden und so den Eindruck von Bewegung erzeugen. Selbst kleinste Varianten bei der Farbgebung, der Einsatz transparenter Bereiche und von unscharfen Übergängen trägt die Bilder-Erkenner bislang zuverlässig aus der Kurve.
Nachdem die Anti-Spam-Fraktion durch Bayes-Filter und ähnliche Verfahren, die mit Worthäufungs-Analysen arbeiten, einige recht spektakuläre Erfolge im Kampf gegen Spam erzielt hat, scheint die Spammer-Front mit Bilder-Spams zum Gegenschlag auszuholen.
Ring frei zu nächsten Runde!