Wenn Sie gehofft haben, eine sensationelle Geschichte zu einem unserer Konkurrenten zu finden, werde ich Sie sofort enttäuschen. Das ist nicht das worum es geht, sonder um etwas, das uns allen passieren kann!

Spam ist etwas, dem jeder begegnet.

Spammer suchen ständig nach neuen Wegen, um ihren Müll zu Ihnen zu bringen und Ihre Spam-Filter zu umgehen.

Bisher unterscheidet sich dies nicht von jedem anderen Katz-und-Maus-Spiel in der Cybersicherheit. Obwohl es einige extrem gute Antispam-Lösungen gibt, werden von Zeit zu Zeit selbst die besten umgangen und müssen ihre Regelsätze anpassen, um sich vor den neuesten Spam-Techniken zu schützen.

Wie bei Antimalware-Produkten werden Antispam-Produkte in Vergleichstests untersucht, die von mehreren unabhängigen und objektiven Testern durchgeführt werden. Das Testen ist ein lukratives Geschäft für die Testorganisationen und teuer für die getesteten Sicherheitsanbieter. Daher sollte es nicht überraschen, dass diese Anbieter die besten Ergebnisse erzielen möchten.

Dies allein schafft ein neues Marketingmodell: Kommerzielle Betreiber versuchen, Feeds mit Spam-Proben sowohl an Tester als auch an Sicherheitsanbieter zu verkaufen. Man könnte argumentieren, dass Antispam-Anbieter, die bereit sind, die Feeds zu kaufen (oder ein Feed kostenlos zu verwenden, wenn der Lieferant aus kommerziellen oder anderen Gründen möchte, dass sein Feed wichtig aussieht), einen unfairen Vorteil bei denjenigen haben, die ihre Produkte testen, aber darum soll es nicht in diesem Blogpost gehen.

Kürzlich hatte ESET mit einem Tester zu tun, der damit begann, ein neues kommerzielles Spam-Feed zu verwenden, um das vorhandene Antispam-Testfeld zu erweitern.

Als ich und andere ESET-Forscher begannen, diesen Feed zu analysieren, waren wir erstaunt. Nicht nur, weil die Proben im kommerziellen Spam-Feed nicht klassifiziert wurden (wer entscheidet, was "Schinken" - also eine legitime Mail - oder Spam ist? Können Sie alle Sprachen lesen, um dies festzustellen?), sondern auch aufgrund des hohen Rauschverhältnisses - es gab viele legitime Nachrichten - das heißt, Sie waren "Schinken", kein Spam! Darüber hinaus fanden wir bei der Analyse dieser Schinken-Nachrichten viele mit persönlichen (und persönlich identifizierbaren) sowie vertraulichen Informationen: (persönliche) Bilder, Kopien von Führerscheinen, Kreditkarteninformationen usw. Wie sind diese legitimen E-Mails in einen Spam-Feed gelangt?

Der Schlüssel hier sind Parked Domains und Sinkholed Domains. Grundsätzlich handelt es sich bei letzteren um Adressen, die normalerweise von Anti-DDoS-Diensten, Strafverfolgungsbehörden oder Forschern kontrolliert werden, damit ihre Betreiber schändliche oder böswillige Aktivitäten abschwächen oder überwachen können, indem sie normalerweise (einen Teil) des Netzwerkverkehrs für diese Domains in den sogenannten Bit-Bucket leiten oder zu Systemen unter ihrer Kontrolle. Parked Domains sind solche, die von Personen registriert werden, normalerweise für nicht legitime Zwecke, mit Domainnamen, die dem Benutzer die Vorstellung vermitteln, dass sie zu einer vermeintlich legitimen Site gehen, z. my-bank-new-card [.] com. Oder die Domains sehen legitimen Domains sehr ähnlich, unterscheiden sich von ihnen jedoch durch Tippfehler. Das wird als "typosquatted" Domains bezeichnet, wie z.B. oulook [.] com statt Outlook [.] com. Manchmal, wie in Betrugsfällen, geschieht dies, um beispielsweise Phishing-Spam mit scheinbar legitimen URLs zu senden. In anderen Situationen, um E-Mails / Daten von Personen zu sammeln, die einen Tippfehler in einer E-Mail-Adresse machen. Solche Betrügereien sind normalerweise sehr kurzlebig, daher registrieren die dahinter stehenden Kriminellen diese Domains nur für 12 Monate (das übliche Minimum) und erneuern ihre Registrierung nicht. Kurz nach Ablauf der Registrierung kann jeder einen solchen Domainnamen (erneut) registrieren, einen E-Mail-Server dafür installieren und alle an die Domain gesendeten E-Mails sammeln, sowohl Spam als auch legitime E-Mail-Nachrichten, die für die richtige, ursprüngliche Domain bestimmt sind.

Der Anbieter des oben genannten Spam-Feeds sammelt alle E-Mails, die an Parked und Sinkholed Domains gesendet werden, und liefert die E-Mails an Sicherheitsanbieter und Tester.

Natürlich kann niemand die Absender daran hindern, E-Mails mit privaten, vertraulichen Informationen an die falsche E-Mail-Adresse zu senden, z.B. mit einem Tippfehler. Um ehrlich zu sein, kann man keinem einen Vorwurf für solch einen Fehler machen, da diese Informationen ja für die richtige Adresse bestimmt waren… Und die Absender dachten wahrscheinlich, dass die Mails korrekt gesendet wurden, da sie keine Bounce-Nachricht erhalten haben!

Die Ethik des Verkaufs eines Spam-Feeds, der solche Nachrichten als "Spam" enthält, ist jedoch zweifelhaft, da diese Nachrichten eindeutig kein Spam sind!

Was ist Spam? Eine gebräuchliche Definition ist "unerwünschte Massen-E-Mail, die normalerweise kommerzieller Natur ist". Von Masse kann hier aber keine Rede sein, da diese Nachrichten eben nicht massenhaft versendet werden. Fast alle werden sicherlich nur einmal und nur an eine Adresse gesendet (naja, vielleicht zwei Adressen - die ursprüngliche und die richtige jeweils einmal - wenn der Absender den Fehler bemerkt). Ja, es ist in gewissem Sinne unaufgefordert, aber das allein macht es nicht zu Spam. Und wohl jeder, der Mailserver in solchen Domains einrichtet, um alle möglichen empfangenen E-Mails zu sammeln, tut dies nur, weil er auf genau solche "fehlgeleiteten" E-Mails aus ist. Das heißt, er möchte diese Nachrichten empfangen, wodurch sie auch nicht wirklich unerwünscht sind.

Abgesehen von diesem technischen Problem, dass diese Nachrichten einfach kein Spam sind, entsteht ein ethisches und moralisches Problem. Die Eigentümer dieser Parked Domains haben sicherlich nicht die Zustimmung der ursprünglichen Absender erhalten, ihre E-Mail-Nachrichten - ganz besonders nicht diejenigen mit privaten, vertraulichen Informationen - für diesen Zweck zu verwenden oder zu verkaufen. Sofern diese Feeds von EU-Bürgern gesendeten Nachrichten enthalten, ist es wahrscheinlich, dass die Bereitstellung eines solchen Feeds ohne Schlüsselelemente der Datenverarbeitung „Rechtmäßigkeit, Fairness und Transparenz“ einen Verstoß gegen die DSGVO darstellt. Wir sind auch neugierig auf die Einhaltung anderer Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten, wie z.B. Zweck und begrenzte Speicherung, sowie ob die Vertraulichkeit von Daten in den Datenschutz- und Datenaufbewahrungsrichtlinien dieses Feed-Anbieters enthalten sind.

Wenn ein Tester einen solchen Feed als Teil seines Testsets verwendet, verschärft sich das Problem.

Zu Validierungszwecken liefern seriöse Tester den Herstellern der von ihnen getesteten Software „Misses“ (nicht erkannte Samples), um diese zu bestätigen. In diesem Moment erhalten (und speichern) Antispam-Entwickler die fehlenden "Spam"-Proben. Ohne angemessene rechtliche Gründe kann jede andere Aktivität als das Löschen und die Benachrichtigung des Testers und des Feed-Anbieters zu einer Verletzung der DSGVO führen, unabhängig vom Standort des Speicherorts oder den Büros des Produktentwicklers.

Darüber hinaus können diese "verpassten" Samples Probleme für das Antispam-Produkt eines Anbieters verursachen. ML-Algorithmen (Machine Learning) werden häufig in Antispam-Produkten verwendet. Wenn Sie solche legitimen Nachrichten zu Ihrem Spam-Set hinzufügen, werden ML-basierte Klassifizierungen von zuvor unbekannten E-Mail-Nachrichten wahrscheinlich weniger genau, wodurch Kunden von Antispam-Produkten einem höheren Risiko ausgesetzt sind. Das Speichern dieser Art von Daten ist definitiv nicht das, was wir wollen. Sofort nach der Entdeckung löschte ESET alle aus diesem Feed stammenden Proben aus unserer Spam-Datenbank.

ESET kontaktierte natürlich den Tester, der den Feed schnell und korrekt aus dem damals aktuellen Test entfernte, während er unsere Ergebnisse untersuchte. Später teilte uns der Tester mit, dass der Feed untersucht worden war, sich unsere Ergebnisse bestätigt hatten und dass dieser Testfeed vollständig verworfen wurde.

Der Anbieter des kommerziellen Feeds wurde ebenfalls kontaktiert. Zum Zeitpunkt der Veröffentlichung ist bisher keine Antwort eingegangen.

Abgesehen von allen Sicherheitshinweisen gibt es kein Mittel, um diese Art von Datenleck außer dem gesunden Menschenverstand zu verhindern: Überprüfen Sie die E-Mail-Adresse zweimal und dann noch zweimal, bevor Sie vertrauliche Daten an sie senden. Nicht nur, um sicherzugehen, dass Sie keinen Tippfehler gemacht haben, sondern auch, um sicherzustellen, dass die E-Mail-Adresse weiterhin von der Organisation verwendet wird, an die Sie die Daten senden. Tools wie 2FA, ein Passwortspeicher usw. sind in diesem Szenario unbrauchbar, da sie Sie trotz aller Möglichkeiten zum Schutz Ihrer Identität nicht davor schützen können, E-Mails an die falsche Adresse zu senden.