Seit drei Monaten steigt der Anteil unerwünschter Werbe-E-Mails am gesamten Mailverkehr rapide an. Die Ursache ist so genannter Bilder-Spam. Er vermittelt Werbung nicht über Text, sondern über Grafiken, indem zum Beispiel ein Pfeil-Bild auf das Bild einer Viagra-Tablette deutet.
"Das Hauptproblem mit Bilder-Spam ist, dass ihn die meisten herkömmlichen Filter nicht erkennen. Sie untersuchen nur die Text-Bestandteile der E-Mails, können aber die in Bildern - zumeist GIF-Anhängen - enthaltenen Texte nicht auswerten", erläutert Professor Tobias Scheffer von der Humboldt-Universität Berlin. Bereits seit dem Jahr 2005 kooperieren der Experte für maschinelles Lernen und sein Team vom Institut für Informatik bei der Analyse und Bekämpfung von Spam mit dem Webhost-Unternehmen STRATO.
Der Internet-Dienstleister verarbeitet monatlich mehr als zwei Milliarden E-Mails. "Dass es momentan kaum effektive Filter gegen Bilder-Spam gibt, nutzen die Spam-Versender natürlich aus und verschicken derzeit noch mehr Werbemails als sonst", meint René Wienholtz, STRATO Rechenzentrumsvorstand.
Die Folge: Die monatelang recht konstante Spam-Quote von 75 bis 80 Prozent schnellte auf mittlerweile über 90 Prozent in die Höhe. Zusammen mit STRATO hat Scheffer nun eine Methode entwickelt, die einen Schutz vor Bilder-Spam bieten soll, das so genannte „Fingerprinting“. Der Name rührt daher, dass die Bilder jeder Spam-Welle einen individuellen Finderabdruck besitzen, anhand derer sie identifiziert werden können.
Die Fingerprinting-Methode erkennt, ob auf einen Schlag Bilder mit sehr ähnlichen Eigenschaften in großen Mengen versendet werden - ein deutliches Zeichen für Bilder-Spam. Entsprechende Fingerprints lassen sich zum Beispiel aus der Farbverteilung erzeugen: Bei Viagra-Spam würden alle Bilder einen gewissen Blauanteil eines bestimmten Tonwertes aufweisen. Auch der Aufbau der Einzelgrafiken oder deren Struktur verrät oft den gemeinsamen Absender oder identischen Inhalt.
Fingerprinting ist nötig, weil kein Spam-Bild einem anderen hundertprozentig gleicht. In einem automatisierten Prozess erzeugen die Spammer Millionen von Variationen ihrer Botschaften, die sich in Details unterscheiden, am Bildschirm aber fast identisch aussehen. Um jedes einzelne Bild zu analysieren, wäre eine Rechenleistung erforderlich, die kein E-Mail-Dienstleister bewältigen könnte. Mittels Fingerprinting lässt sich jedoch auch Bilder-Spam sehr zuverlässig erkennen.
"Die Spammer werden weiterhin alles daran setzen, den Filter zu überlisten", sagt Wienholtz, dessen Unternehmen sich auch bei der Sicherheitsinitiative "no abuse in internet" (naiin) gegen Spam engagiert, "deshalb entwickeln auch wir unsere Systeme laufend weiter." In der nächsten Evolutionsstufe soll sich der Filter sogar selbst verbessern können: Er versucht dabei, sich selbst permanent zu überlisten - gelingt ihm das, entwickelt er die entsprechenden Gegenmaßnahmen. "So können wir morgen schon den Spam von übermorgen erkennen", verspricht Professor Scheffer.
Dieser Beitrag gibt den Stand der Dinge vom 14. Dezember 2006 wieder.
|