Spammer setzen verstärkt auf GIF-Dateien

Internet Security Systems ist einem neuen Trick auf die Spur gekommen, mit dem Spammer gängige Anti-Spam-Technologien auszuhebeln versuchen. Es handelt sich um aus verschiedenen Bildfragmenten zusammengesetzte animierte GIF-Grafikdateien. Diese überlisten selbst die auf die Erkennung von Bild-Spams ausgerichteten Lösungen.

Grund hierfür ist, dass die Bildpunkte oder Objektübergänge der einzelnen Frames beständig variieren oder aber bestimmte Palettenfarben als transparent definiert werden. Dem seien selbst fortschrittliche bildorientierte Filtertechniken, die auf mathematischen Verfahren wie der Berechnung von Prüfsummen aufsetzen, bislang nicht gewachsen, so ISS.

Bereits seit geraumer Zeit machen sich Spammer die zunehmende Akzeptanz von Grafiken zu Nutze, um herkömmliche Spam-Filter auszutricksen. Reichte es zunächst aus, Bilddateien anstelle von Text zu verwenden, kommen inzwischen ausgeklügeltere Techniken zum Einsatz. Beispielsweise lassen sich Fehlinformationen wie zufällige Pixel oder Objektkanten in die Grafiken einfügen oder einfarbige Flächen ungleichmäßig eingefärbt wiedergeben („Rauschen“).

Diese Methoden stellten noch bis vor kurzem einen wirkungsvollen Weg dar, um die Prüfsummentechnik zu überlisten. Denn für die Bilddateien errechnet sich bei jeder neuen Spam-Mail ein anderer Wert, die Filter greifen daher ins Leere. Inzwischen reagierten einige Hersteller von Anti-Spam-Produkten und integrieren in ihre Lösungen Verfahren zur Bildvorverarbeitung. Mit den neuen Routinen lassen sich zufällig erzeugte Pixel und Rahmen analysieren und entsprechende Spams aussortieren.

Dass dies jedoch nicht ausreiche, so ISS, bewiesen die jetzt kursierenden animierten GIF-Dateien. Die Spam-Entwickler machen sich die zahlreichen modernen Möglichkeiten zu Nutze, die ihnen dieser Grafikstandard bietet. Sie kombinieren unterschiedliche Techniken, um ihre unerwünschten Nachrichten zu tarnen. So legen sie beispielsweise bei der Erstellung von Frames mehrere Bildebenen übereinander, die jeweils bestimmte Elemente der Grafik enthalten. Dabei machen sie von der Option Gebrauch, transparente Hintergrundfarben zuzuweisen.

ISS erwartet, dass das Aufkommen an animierten GIF-Spams in den kommenden Monaten deutlich zunehmen wird. „Spam-Nachrichten, die sich in animierten GIF-Bilddateien verbergen, werden wahrscheinlich das Blatt zu Gunsten der Spammer wenden“, so Carsten Dietrich von ISS. „Dies zwingt die Anbieter von Antispam-Lösungen, ihre für den Schutz vorgesehenen Produkte neu zu überdenken. Bis es jedoch soweit ist, eröffnet sich den Spammern eine neue Spielwiese, um ihre Nachrichten erfolgreich zu tarnen und die elektronischen Postfächer zu erobern.“

Als Zwischenschritt empfiehlt ISS, sämtliche eingehenden E-Mails darauf zu prüfen, ob sie GIF-Bilddateien enthalten. Kunden, die Systeme von ISS einsetzen, seien bereits vor dieser neuen Spam-Masche gefeit. (Detlef Scholz)