6 Feb 2017

Humaschinelle Intelligenz im Kampf gegen Schneeschuhe.

Sicherheit Technologie

Natürlich erhalte ich viel Spam – wahrscheinlich mehr als andere. Jahrzehntelanges Verteilen meiner Visitenkarte; unsere Domain, die in Präsentationsfolien, Veröffentlichungen, Katalogen usw. enthalten ist. Dann ist da die Einfachheit meiner E-Mail-Adresse. Manchmal nutzen wir E-Mail-Adressen von Angestellten als Anziehungsmittel für Spam, während wir den Angestellten eine neue, leicht geänderte E-Mail-Adresse bereitstellen. Aber das können wir bei mir nicht machen, nicht wahr? Nein. Da ich – erstens – nachverfolgen muss, wer genau der Feind ist und ich – zweitens – persönlich die Qualität unseres Antispam-Schutzes überwachen möchte. Und ich habe hin und wieder auch nichts gegen ein paar extra Lacher.

Wie Entomologen bei Schmetterlingen, ordne ich alle eingehenden Spam-Nachrichten in verschiedene Ordner, überprüfe die Entscheidungen und lege Tendenzen und Fehlmeldungen fest, während ich übersehene Beispiele an unser Antispam-Labor weiterleite.

Interessanterweise ist die Spamanzahl seit Beginn des Jahres durch die Decke geschossen! Und nachdem ich die Struktur und den Stil analysiert habe, sieht es so aus, als käme alles von einer (1) Quelle! Fast alle Nachrichten waren auf Englisch (nur zwei waren auf Japanisch), und – die Hauptsache – 100 % dieses Spam wurde von unseren Produkten erfasst! Ich wendete mich an unsere Spezialisten… – und es wurde bestätigt: es handelte sich um eine tsunamiähnliche Art von Spam-Welle – Snowshoe Spam. Das ist ungewöhnlich, da die Menge an Spam-Aktivität um die Jahreswende normalerweise zurückgeht.

* Daten für den 1.-10. Januar

Und hier sind die Daten dazu, wie sich die Verteilung von Snowshoe Spam am aktivsten Tag – 7. Januar – im Posteingang unserer Geschäftsdomain änderte:

Also was ist dieser Schneeschuh genau und wie kann man sich gegen ihn schützen?

Die Snowshoe-Methode ist nichts Neues; wir entdeckten sie das erste Mal 2012. Jedoch ist sie seitdem stets gewachsen, da sie einfach gewöhnliche Spam-Filter überlistet, die keine mehrstufigen Analysen durchführen. Es wird nicht nur von einer oder zwei IP-Adressen aus gesendet, sondern von sehr vielen, wodurch sie die Filterung von IP-Adressen durch bestimmte Muster umgeht. Daher kommt auch zufälligerweise der Name: das Gewicht einer Person mit Schneeschuhen wird über den ganzen Schuh verteilt, wodurch die Person nicht im Schnee versinkt. Nun, dieser Spam wendet das gleiche Prinzip an: Dadurch, dass der Spam über viele IP-Adressen verteilt wird, wird er nicht von den Filtern erfasst.

Die Verwendung von verschiedenen IP-Adressen ist für Spammer nicht komplizierter, aber sie erhalten die erhofften Ergebnisse. Sie müssen durchgängig selbstgenerierte Domains und ihre Provider verwenden (normalerweise durch Wörterbücher) und alte Hosting- und Spam-Proxies schließen. Ja, es muss viel herumgetüftelt werden, aber, wie schon gesagt, es lohnt sich für die Spammer.

Sobald der Empfänger den Spam erhalten hat, beginnt das Social Engineering. Es beginnt mit einem plakativen Betrefftext, während sich im Innern der Mail eine Weiterleitung zu einer Seite befindet, auf der entsprechende Produkte oder Dienste angeboten werden, die man sich nicht einfach entgehen lassen kann – und deren Preisangebot morgen endet. Wundermittel, einmalige Angebote, potenzsteigernde Mittel. All das geschmückt mit klassischen Tricks: rührseligen Geschichten (ich bin sehr krank und habe kein Geld), Happy End (ich habe das Mittel, das hier nur 29,99 € kostet, ausprobiert und alle meine Symptome waren plötzlich weg!) usw.

Sie werden abhängig von der Region weitergeleitet. Kommt der User z. B. aus einem armen Land, wird er einfach zu, sagen wir mal, Google weitergeleitet. Aber wenn der User aus einem Industrieland, wie eins aus Europa oder Nordamerika, kommt, dann werden die Betrugsressourcen erweitert und es kommt zu Geschichten wie… das medizinische Vermächtnis der Apachen oder Teslas Geheimnisse.

Aber es wird nicht nur ausgekochtes Social Engineering genutzt. Diese Art von Spam kann auch Malware umfassen…

Wie steht es mit dem Schutz?

Aus technischer Sicht ist Snowshoe natürlich nicht sehr komplex. Aber das bedeutet nicht, dass es nicht ernstgenommen werden sollte. Einfache Filter, die sich nicht an die Vielseitigkeit von Spam anpassen, lassen ihn einfach durch. Und es gibt keine einzige Technologie, die mit Snowshoe ein für alle Mal fertigwerden könnte. Wir bekämpfen Snowshoe mit mehrstufigem Schutz, mit besonderem Schwerpunkt auf maschinellem Lernen. Das ist logisch, da die Unmengen von Snowshoe-Spam unmöglich manuell bewältigt werden können; Experten sollten ihre Zeit besser mit sinnvolleren Dingen verbringen. Und diese „nützlicheren Dinge“ sind die Erstellung von intelligenten Maschinen, die wiederum Spam automatisch und extrem akkurat und verlässlich analysieren und Algorithmen für Gegenmaßnahmen erstellen. So erkennen und blockieren unsere Maschinen z. B. automatisch neue Spammer-Domains, IP-Adressen und Teilnetzwerke, und führen Inhaltsanalysen durch, die auf verschiedenen Attributen basieren. Und dabei sind sie, wie schon erwähnt, sehr erfolgreich.

Tatsächlich ist der Krieg zwischen Cyber-Gut und Cyber-Böse schon vor langem zu einem Krieg der Algorithmen geworden. Die Kriminellen lernten, wie sie sich erfolgreich tarnen und die Erscheinung/Natur der Cyberangriffe ändern konnten, und dies geschieht ebenfalls immer häufiger automatisch, was zu Angriffen führt, die mit komplexerer Logik durchgeführt werden. Aber für jeden Algorithmus gibt es einen Gegenalgorithmus. Heute hängt Effizient von Flexibilität und Verlässlichkeit selbstlernender Systeme ab, die von Experten erstellt werden. Und erfolgreich sind die, die eine Kombination aus (i) mathematischen Fähigkeiten eines Menschen und (ii) komplexen Infrastrukturen bereitstellen können, mit der neue Algorithmen entwickelt werden können. Und diese Kombination nennen wir Humaschinelle Intelligenz.