E-Mail Sicherheit
Working-Day-Spam: deutsch, ordentlich und mit 5-Tage-Woche
Neue Research-Ergebnisse von 32Guards
Von Dr. Tim Lenzen, Net at Work
Im diesem Beitrag zeigen wir auf, wie die Analyse zeitlicher Muster bei Spam-Attacken genutzt werden kann, um unterschiedliche Angriffsstrategien erkennen und abwehren zu können. Bei unseren Analysen im 32Guards-Lab – pro Woche werten wir rund 42 Millionen E-Mails überwiegend aus dem deutschsprachigen Raum mit mehr als 13 Millionen Anhängen und rund 350 Millionen Links aus – finden wir regelmäßig alte Bekannte, aber auch immer wieder neue Muster. Nutzen Sie unsere Erkenntnisse und Empfehlungen, um Spam und Malware noch besser abzuwehren!
Wie unterscheidet sich Spam im Zeitverlauf?
Schauen wir uns dazu zunächst einige Grundlagen über den Zeitverlauf von E-Mail-Kommunikation und Spam generell an. Die folgende Grafik zeigt exemplarisch das Aufkommen und die Verteilung über einen Monat (obere Zeile) und einen Tag (untere Zeile). Die blauen Kurven zeigen den gesamten E-Mail-Traffic, die gelben Kurven den als bösartig erkannten Traffic.
Grafik 1: Typische Verteilung über die Zeit
Im Monatsverlauf sind beim gesamten Volumen die einzelnen Wochen und Tage klar zu erkennen. Am Wochenende beobachten wir deutlich reduzierten E-Mail-Verkehr. Der Verlauf der von 32Guards als bösartig erkannten E-Mails sieht dagegen unregelmäßiger aus. Das Malware- und Spam-Aufkommen fluktuiert über die Zeit stärker.
Auch im Tagesverlauf werden Unterschiede zwischen gewolltem und bösartigem Traffic deutlich. Beim Gesamttraffic nimmt die Kurve einen regelmäßigen Verlauf, der den Erwartungen entspricht. Die markanten Peaks sind immer zum Anfang einer jeden Stunde zu finden, da hier vermehrt automatisierte E-Mails versendet werden. Beim bösartigen Traffic ist der Verlauf deutlich weniger strukturiert. Hier lassen sich sowohl im Tagestrend als auch innerhalb einzelner Stunden weniger Muster erkennen.
Wir sind der Frage nachgegangen, ob man durch eine detailliertere Analyse noch andere Muster identifizieren kann und ob diese sich dazu eignen, Spamwellen früher oder einfacher zu erkennen. Dabei haben wir folgende Beobachtungen gemacht.
Ein alter Bekannter auf Speed
Herkömmliche Spam-E-Mails versuchen in der Regel, das Opfer auf eine Webseite zu locken, auf der meist ein (Fake-)Webshop zu finden ist. Dafür werden häufig im großen Stil maßgeschneiderte URLs oder URL Shortener Links verteilt. Da diese URLs von Mails-Security-Lösungen recht einfach zu erkennen sind, bleibt den Spammern oft nur ein begrenztes Zeitfenster zur Verteilung.
Als Beispiel für diese bekannte Art von Spam-Attacken beobachten wir seit mehr als einem Jahr verstärkt speziell für den DACH-Raum gefertigte Spamwellen, die wir Pillen-Spam getauft haben, weil sie typischerweise auf Fake-Shops mit Medikamenten führen. Diese Spam-Wellen sind durch die verteilten URLs auffällig. Diese werden relativ schnell durchgewechselt – besucht man die URLs, wird man jedoch immer auf dieselbe Shop-Seite verwiesen – zuletzt war es beispielsweise pillen-apotheke.de. Die Links werden über mehrere Stunden verteilt gesendet und wenn die Welle einmal vorbei ist, werden die Domänen der verteilten URLs nicht wiederverwendet.
Bei diesem Pillen-Spam ist eine beliebte Strategie zur Verschleierung zu beobachten. Die Spam-Kampagnen starten beispielsweise gegen 18 Uhr und laufen dann über Nacht. Die Seiten hinter den verteilten Domänen sind zunächst offline und erzeugen eine entsprechende NX-Domain-Antwort. Somit sehen die URLs für viele Analyse-Mechanismen zum Zustellzeitpunkt der E-Mail völlig unkritisch aus. Erst einige Zeit später am Morgen werden die Domänen dann online geschaltet und leiten auf einen zentralen Fake-Shop weiter. So präsentieren sich die Fake-Shop-Seiten dann den womöglich noch leicht verschlafenen Usern. Ein anderer Zeitverlauf ist bei einer neuen Form dieser alten Bekannten zu beobachten. Sie ist nicht an spezielle Zeiten gebunden und hat eine extrem kurze Laufzeit. Wir haben sie daher Kurzläufer-Spam getauft. Der Großteil einer einzelnen Spam-Welle wird hier innerhalb weniger Minuten versendet. Für eine wirksame Erkennung – und damit Ablehnung der E-Mail – ist also sehr wenig Zeit.
Working-Day-Spam: deutsch, ordentlich und mit 5-Tage-Woche
Als neue Entwicklung konnten wir Spam beobachten, der nach einem gänzlich anderen Muster und in sehr großen Mengen verteilt wird und den wir basierend auf seinem Verbreitungsmuster Working-Day-Spam getauft haben. Anders als sonst üblich, kommt der Working-Day-Spam sehr geordnet daher. Er tritt ausschließlich an Arbeitstagen und nicht am Wochenende auf und folgt so dem Verlauf des gewünschten Traffics. Allerdings wird auch Working-Day-Spam vorwiegend nachts versendet.
Grafik 2: Zwei typische Beispiele für Working-Day-Spam
Die Kampagnen sind mit deutschen Texten und deutschen Landingpages gezielt für den deutschsprachigen Raum aufbereitet. Die verlinkten Fake-Shops verwenden oft klassische Social-Engineering-Tricks wie das Versprechen hoher Rabatte sowie das Erzeugen künstlichen Zeitdrucks durch eingeblendete, herunterzählende Uhren. Bei den beobachteten Domänen werden gleiche Namen mit unterschiedlichen Top-Level-Domänen (TLDs) verwendet und die verschiedenen Domänen im Verlauf der Woche von Tag zu Tag gewechselt. Dabei ist allerdings ungewöhnlich, dass verwendete Domänen wiederverwendet werden und so mehr als an einem Tag auftauchen. Daneben findet sich auch immer wieder ein ähnlicher Satz an charakteristischen TLDs wie .gay, .ink, .yachts und .homes. Die Analyse der Pfade in den URLs legt durch immer wiederkehrende Muster nahe, dass dieser Spam von einem gemeinsamen Cluster ausgeht. Bemerkenswert erscheint auch, dass das Phänomen Anfang Juli 2023 für einige Wochen pausierte. Auch das deutet auf einen zentralen Akteur hin.
Empfehlungen – wie diese Informationen nutzen?
Um vor dieser Art Spam wirksam zu schützen, ist es wichtig, nicht rein reaktiv, sondern vorausschauend zu arbeiten. Mail-Security-Produkte ohne minutenschnellen Zugriff auf eine sehr große Datenbasis tun sich allerdings sehr schwer mit der Erkennung. Die erste wichtige Empfehlung ist deshalb: nutzen Sie eine Schwarmintelligenz mit entsprechend großer Datenbasis, die viele verschiedene Kriterien in der Zusammenschau vergleichen kann und damit hier klar im Vorteil ist. So bewertet beispielweise 32Guards neue Domänen in Links auch danach, wann sie registriert wurden, ob es Ähnlichkeiten zu bekannten Mustern gibt und ob Weiterleitungen (und wenn ja wohin) existieren. Damit können viele Links als verdächtig erkannt werden, bevor die jeweilige Domäne online geht.
Die zweite wichtige Erkenntnis muss sein: mit manuellen Eingriffen wird man Phänomenen wie dem Kurzläufer-Spam aufgrund der kurzen Laufzeit und dem Working-Day-Spam aufgrund der Menge an Attacken nicht begegnen können. Sie müssen die Abwehrmechanismen daher automatisieren können, um diese Art Spam abzufangen.
Ein wirksames Mittel, um sich insbesondere bereits zu Beginn solcher Kampagnen zu schützen, ist, dass Sie eine Regel für Temporary Rejection für bislang unbekannte Domänen formulieren. Dieser Mechanismus basiert darauf, dass das SMTP-Protokoll eine vorübergehende Ablehnung eingehender Nachrichten unter Verwendung der standardmäßigen 4xx-Fehlercodes zulässt. Alle konformen MTAs werden später einen erneuten Zustellversuch unternehmen, viele Spammer und Spambots jedoch nicht. Und falls doch, dann liegen nach dieser Zeitspanne meist genügend Informationen vor, um zu erkennen, ob die Verwendung dieser Domäne nach einem kurzfristigen starken Anstieg wieder komplett eingestellt wurde. Implementieren Sie zudem URL-Safeguarding, das URLs in E-Mails beim Anklicken erneut prüft.
Die dritte Empfehlung ist ebenso wirksam wie einfach: schaffen Sie Awareness bei Ihren Usern zur Vorsicht gegenüber nächtlich erhaltenen E-Mails. Es schadet nicht, morgens besonders vorsichtig zu sein.
Dranbleiben, es lohnt sich
Zusammenfassend haben unsere Analysen gezeigt, dass die Auswertung von Zeitverläufen ein lohnendes Feld ist, um Muster und Strategien von Angreifern besser zu erkennen und zu verstehen. Services wie 32Guards, die enorme Mengen an Mail-Daten übergreifend auswerten, liefern dabei interessante Einblicke und eröffnen neue Möglichkeiten. Da sie zudem in Echtzeit ein breites Spektrum an automatischen Erkennungen – auch gestützt durch Machine Learning – durchführen können, ermöglichen sie damit ein deutlich höheres Schutzniveau.
Wir werden die Auswertungen von Zeitmustern weiterverfolgen und Ihnen die Ergebnisse in unseren Research Notes zur Verfügung stellen. Wenn Sie schon jetzt tiefer einsteigen wollen oder weitere Erkenntnisse aus den Analysen des vergangenen Jahres lesen wollen, können Sie die vollständige 32Guards Research Note #1-2024 kostenfrei herunterladen.