Spezielle Spam-Tricks
Tricks zur Überwindung von Spamwortfiltern oder Bayesian (Lernenden) Filtern
Diese Präsentation der Tricks von Spammern ist nicht als Anleitung gedacht. Eine solche wäre auch völlig nutzlos, da die üblicherweise bei Spamihilator eingesetzten Filter in ihrer Gesamtheit alle diese Spam-Mails filtern.
Tabellen-Trick
| D | i | e | W | ö | r | t | e | r | w | e | r | d | e | n | i | n | e | i | n | z | e | l | n | e | Sil | ben | |||||
| o | d | e | r | B | u | c | h | s | t | a | b | e | n | a | u | f | g | e | t | e | i | l | t | . |
(Screenshot eines Tabellen-Tricks aus einer Spam-Mail)
Bei diesem Trick werden Spam-Wörter in einzelne Silben oder Buchstaben aufgetrennt und in Tabellenfelder eingetragen. Wenn die Tabellenfelder und Wortteile richtig angeordnet werden, entsteht optisch der Anschein eines normal geschriebenen Textes. Für den Empfänger einer solchen Spam-Mail sind die Spam-Wörter also lesbar. Dagegen wird ein Antispam-Programm nur Einzelbuchstaben lesen, die Spamwortfilter oder Bayes-Filter werden diese Spam also nicht als solche erkennen.
Gegenrezept: Die Spammails mit diesem Trick kamen meistens wegen anderer Spam-Merkmale gar nicht bei meinem Mailclient an. Ansonsten könnte man evtl. ein Kriterium wie "alle Mails, die mehr als 10 Wörter hintereinander enthalten, die kürzer oder gleich 3 Buchstaben sind, sind Spam" einsetzen.
Floating-Boxes-Trick
i
t
s
n
r
c
e
h
E
n
r
i
n
i
n
t
e
z
,
b
e
e
l
i
n
b
n
.
u
c
C
h
S
s
S
t
-
a
B
b
o
e
x
n
e
n
g
e
g
-
e
-
(Screenshot eines Floating-Boxes-Tricks aus einer Spam-Mail)
Bei diesem ebenfalls sehr pfiffigen Trick werden CSS-Boxen mit dem "float"-Befehl erzeugt. Der Effekt ist der gleiche, wie oben beim Tabellentrick. Auch als Gegenmaßnahme kommt vermutlich das gleiche Vorgehen wie oben in Betracht.
Image-Trick
Eine Spammail dieser Sorte hält sich an alle technischen Mailing-Regeln. Sie enthält statt der üblichen Werbebotschaften und Hyperlinks, an denen man Spammails leicht erkennen kann, nur ein Bild. Dieses jpg- oder gif-Bild enthält dann einen Werbetext.
Durch diesen Trick wurden früher die üblicherweise eingesetzten Spam-Filter des Spamihilator-Programms (und anderer Spamfilterprogramme) ausgetrickst:
- Der Spamwortfilter und der Bayes-Filter finden keine Wörter, die sie untersuchen könnten.
- Der Distributed Checksum Clearinghouse Filter scheint aufgrund des minimalen Headers und Inhalts keine eindeutige Checksumme bilden zu können.
- Der Hercule-Filter findet keinen Formfehler oder spamtypisches Verhalten.
- Der URL-Filter findet keine URL, die er auswerten könnte.
- Die Blacklist-Filter finden keinen der Absender auf den schwarzen Listen, weil die Absenderangaben teilweise von tatsächlich existierenden Websites gestohlen und mißbraucht wurden.
Lösung: Inzwischen hat der Filterauthor des Empty Mail Filters eine neue Version programmiert. Der neue Empty Mail Filter kann leere Mails als Spam erkennen. Er kann Mails, die nur Html-Code enthalten, aber sonst keinen Text, als Spam erkennenn. Er kann Mails, die keinen Text, sondern nur ein Bild oder nur einen Anhang enthalten, als Spam erkennen. Diese neue Version hat viele Mails mit dem Image-Trick inzwischen erfolgreich gefiltert. Die Fehlerwahrscheinlichkeit für den Falsch-positiv-Fehler ist sehr gering, denn kaum jemand versendet Mails, die nur aus einem Image bestehen.