Was kommt dir in den Sinn, wenn du an Spam denkst? Wunderpillen von digitalen Ärzten und Internetapotheken, die garantieren, dass deine Haare und andere Dinge wachsen? Wie wäre es mit Ketten-E-Mails wie der, die dir einen Teil des Vermögens von Bill Gates verspricht, wenn du die E-Mail an deine Freunde weiterleitest? Was ist mit der allgegenwärtigen Werbung für XXX, den härtesten der Hardcore-Videoseiten für Erwachsene? Oder hörst du das Wort “Spam” und denkst, was gibt es zum Mittagessen?
In diesem Artikel dreht sich alles um Spam – und das ist Spam mit einem kleinen “s”. Nicht zu verwechseln mit dem polarisierenden Mittagsmahl. Denn viele Menschen auf der Welt lieben Spam (vor allem in Guam), aber jeder hasst Spam.
Trotz der großen Fortschritte, die die Welt im Kampf gegen Spam gemacht hat, macht Spam laut Cisco Talos im Jahr 2018 85% aller täglichen E-Mails aus, wobei die meisten aus den Vereinigten Staaten stammen, dicht gefolgt von Brasilien und China. Laut Forbes macht Werbung für Produkte und Dienstleistungen 98 Prozent des versendeten Mülls aus.
Aber es sind die restlichen zwei Prozent der Spam-E-Mails, die Cybersecurity-Forscher nachts wach halten. Dinge wie Phishing-E-Mails, die unsere Logins klauen. Sogenannte nigerianische Prinzen, die uns große Reichtümer versprechen und am Ende unser Geld stehlen. Und Malspam, der uns dazu verleitet, Anhänge herunterzuladen, die mit zerstörerischer Malware geladen sind.
Wir neigen dazu, Cyberkriminalität als etwas zu betrachten, das anderen Menschen passiert – Menschen, die einfach nicht vorsichtig mit ihren Online-Aktivitäten waren. Die Realität ist, dass wir alle ständig von Cyberkriminellen angegriffen werden und der Beweis dafür ist in deinem Posteingang.
Lies weiter und erfahre alles, was du schon immer über Spam wissen wolltest, was du tun kannst, um ihn zu stoppen und die Do’s und Don’ts beim Umgang mit deinem Posteingang.
Aktuelle Nachrichten über Spam
Telefonspampokalypse: Zurückschlagen im Zeitalter der unerwünschten Anrufe
Emotet auf dem Vormarsch mit schwerer Spam-Kampagne
Ein Monat mit Werbegeschenk-Spam auf Twitter
Was ist die Definition von Spam?
Spam ist jede Art von unerwünschter, unaufgeforderter digitaler Kommunikation, oft eine E-Mail, die in Massen verschickt wird. Spam ist eine riesige Verschwendung von Zeit und Ressourcen. Die Internet Service Provider (ISP) tragen und speichern die Daten. Wenn Hacker die Datenbandbreite nicht von den ISPs stehlen können, stehlen sie sie von einzelnen Nutzern, indem sie Computer hacken und sie in einem Zombie-Botnetz versklaven. Softwareanbieter investieren Ressourcen in die Entwicklung von E-Mail-Anwendungen, die versuchen, den Großteil des Spams herauszufiltern. Die Verbraucher verschwenden Zeit damit, alles zu durchforsten, was es an den Spamfiltern vorbei schafft. Laut Oracle Dyn belaufen sich die Gesamtkosten von Spam, in Bezug auf Produktivität, Energie und Technologie, auf 130 Milliarden Dollar. Es ist ein nerviger und endloser Kreislauf.
Wenn es einen Posteingang gibt, werden Spammer einen Weg finden, ihn zu verstopfen. Spam kann auch in Internetforen, Textnachrichten, Blog-Kommentaren und sozialen Medien gefunden werden. E-Mail-Spam ist jedoch bei weitem am weitesten verbreitet und oft die größte Bedrohung für Verbraucher.
Bevor wir uns mit den Gefahren befassen, die in deinem Posteingang lauern, lass uns einen Schritt zurückgehen und einen Blick auf den Spam vergangener Zeiten werfen, um herauszufinden, wie wir hierher gekommen sind.
“Spam ist jede Art von unerwünschter, unaufgeforderter digitaler Kommunikation, oft eine E-Mail, die in Massen verschickt wird.”
Was ist die Geschichte von Spam?
Die Geschichte von Spam beginnt 1864, über hundert Jahre vor dem Internet, mit einem Telegramm, das massenhaft an eine Reihe britischer Politiker geschickt wurde. In einem vorausschauenden Zeichen der Dinge, die da kommen sollten, war das Telegramm eine Werbung für Zahnaufhellung.
Das erste Beispiel einer unerwünschten E-Mail stammt aus dem Jahr 1978 und dem Vorläufer des Internet-ARPANET. Dieser Proto-Internet-Spam war eine Werbung für ein neues Computermodell der Digital Equipment Corporation. Es funktionierte – die Leute kauften die Computer.
In den 1980er Jahren trafen sich die Menschen in regionalen Online-Communities, genannt Bulletin Boards (BBS), die von Hobbyisten auf ihren Heimservern betrieben wurden. Auf einem typischen BBS konnten die Nutzer Dateien austauschen, Nachrichten veröffentlichen und Nachrichten austauschen. Während hitziger Online-Austausche tippten die Benutzer immer wieder das Wort “Spam”, um sich gegenseitig zu übertönen. Dies geschah in Anlehnung an einen Monty Python Sketch aus dem Jahr 1970, in dem ein Ehepaar, das in einem Arbeitercafé isst, feststellt, dass fast alles auf der Speisekarte Spam enthält. Als die Frau mit der Kellnerin über das Übergewicht von Spam auf der Speisekarte streitet, übertönt ein Chor von Wikingern das Gespräch mit einem Lied über Spam.
Die Verwendung des Wortes “Spam” in diesem Zusammenhang, d.h. laute, nervige Nachrichten, hat sich durchgesetzt – zum Leidwesen von Hormel Foods, dem Hersteller von Spam.
Im Usenet, einem Vorläufer des Internets, der ähnlich wie die heutigen Internetforen funktioniert, wurde “Spam” für exzessive Mehrfachpostings in mehreren Foren und Threads verwendet. Der früheste Usenet-Spam beinhaltete ein fundamentalistisches religiöses Traktat, eine politische Tirade über den Völkermord an den Armeniern und eine Werbung für Greencard-Rechtsdienstleistungen.
Spam begann erst mit dem Aufkommen des Internets und der Instant-E-Mail-Kommunikation in den frühen 90er Jahren ernsthaft. Spam erreichte epidemische Ausmaße mit hunderten von Milliarden von Spam-E-Mails, die unsere Posteingänge überschwemmten.
Im Jahr 1999 wurde Melissa, der erste Virus, der sich über makroaktivierte Word-Dokumente im Anhang von E-Mails verbreitete, auf die digitale Welt losgelassen. Er verbreitete sich, indem er die Kontaktlisten der Opfer plünderte und sich selbst an jeden schickte, den das Opfer kannte. Am Ende verursachte Melissa laut dem FBI einen Schaden von 80 Millionen Dollar.
Ohne jegliche Anti-Spam-Gesetzgebung stiegen professionelle Spammer zur Berühmtheit auf, darunter der selbsternannte “Spam King” Sanford Wallace. Getreu seinem Spitznamen war Wallace zu einer Zeit der größte Versender von Spam-E-Mails und Social Media Spam auf Seiten wie Myspace und Facebook.
Erst in den frühen 2000er Jahren begannen Regierungen auf der ganzen Welt, sich ernsthaft mit der Regulierung von Spam zu beschäftigen. Alle Mitgliedsländer der Europäischen Union und das Vereinigte Königreich haben Gesetze erlassen, die Spam einschränken. Auch die Vereinigten Staaten haben im Jahr 2003 eine Reihe von Gesetzen erlassen, die frecherweise CAN-SPAM Act genannt werden (wieder einmal kann Hormel einfach keine Pause bekommen). Diese Gesetze, sowohl in den USA als auch im Ausland, legen Beschränkungen für den Inhalt, das Sendeverhalten und die Einhaltung von Abmeldefristen für alle E-Mails fest.
Gleichzeitig arbeiteten die Top-E-Mail-Anbieter Microsoft und Google hart an der Verbesserung der Spam-Filtertechnologie. Bill Gates sagte bekanntlich voraus, dass Spam bis 2006 verschwinden würde.
Unter diesen Gesetzen wurde eine Schurkengalerie von Spammern, einschließlich des Spam-Königs, verhaftet, strafrechtlich verfolgt und ins Gefängnis gesteckt, weil sie uns Penny Stocks, gefälschte Uhren und fragwürdige Medikamente untergeschoben haben. Im Jahr 2016 wurde Sanford Wallace für das Versenden von Millionen von Spam-Nachrichten auf Facebook zu 30 Monaten Gefängnis verurteilt und zur Zahlung von Hunderttausenden von Entschädigungen verurteilt.
Und trotzdem ist Spam immer noch ein Ding. Sorry, Bill.
Trotz der besten Bemühungen von Gesetzgebern, Strafverfolgungsbehörden und Technologieunternehmen kämpfen wir immer noch gegen die Geißel der unerwünschten, bösartigen E-Mails und anderer digitaler Kommunikation. Tatsache ist, dass das Geschäft mit Spam wenig Aufwand für die Spammer erfordert, nur wenige Spammer tatsächlich ins Gefängnis kommen und es viel Geld zu verdienen gibt.
In einer gemeinsamen Studie über Spam zwischen der University of California, Berkeley, und der University of California, San Diego, beobachteten Forscher ein Zombie-Botnetz in Aktion und fanden heraus, dass die Betreiber des Botnetzes im Laufe eines Monats 350 Millionen E-Mails verschickten. Aus diesen hunderten Millionen von E-Mails erzielten die Spammer 28 Verkäufe. Das ist eine Konversionsrate von 0,00001 Prozent. Das heißt, wenn die Spammer weiterhin Spam mit dieser Rate verschicken würden, würden sie innerhalb eines Jahres 3,5 Millionen Dollar einnehmen.
Was genau sind also die Arten von Spam, die unsere Postfächer weiterhin bis zum Rand füllen und was können wir dagegen tun?
Was sind die Arten von Spam?
Es gibt mehrere Arten von Spam, die man in Betracht ziehen kann. Am einen Ende des Spamspektrums gibt es meist harmlosen Marketing-Spam von skrupellosen Verkäufern, die uns mit dubiosen “Werde reich”-Systemen und verschiedenen Pillen, die nicht von der FDA zugelassen sind, belästigen.
Am anderen Ende des Spam-Spektrums gibt es die ernsthaften Bedrohungen – Cyberkriminelle, die versuchen, in deine Online-Konten einzubrechen, deine Daten zu stehlen, dein Geld zu stehlen und Malware zu verbreiten.
Marketing-Spam ist zwar lästig, aber keine große Bedrohung. E-Mails dieser Art werden meist von deiner E-Mail-Software herausgefiltert, und was auch immer es an den Filtern vorbei schafft, ist leicht genug, um es als Spam zu identifizieren und zur Entfernung zu markieren.
Die letzte Gruppe von Bedrohungen ist schwieriger zu bekämpfen und viel gefährlicher.
Vorschuss-Betrügereien
Der erste in unserer Liste der E-Mail-Bedrohungen sind die Vorschussbetrügereien. Sie sind auch als Nigerianer-Betrug oder 419-Betrug bekannt, da sie ihren Ursprung in Nigeria haben (419 bezieht sich auf den Abschnitt des nigerianischen Strafgesetzbuches, gegen den die Betrügereien verstoßen). Trotz des Namensgebers des berüchtigten Scams stammt nur ein kleiner Teil des Spams aus Nigeria. Das Land rangiert laut Cisco Talos auf Platz 68 der Top-Spam-Versender.
Wie der Name schon sagt, bietet dir ein mysteriöser Absender eine große Belohnung im Austausch für einen Vorschuss an, der in der Regel eine Art Bearbeitungsgebühr darstellt, um die größere Summe freizuschalten. Sobald du das Geld an den Cyberkriminellen überwiesen hast, verschwindet der Absender mit deinem Geld. Ein fürstliches Vermögen oder eine geheime Erbschaft hat es nie gegeben.
Eine andere Variante des Vorschussbetrugs verwandelt ahnungslose Opfer in Geldkuriere. Oft von den Betrügern als “Lohnmanagement”-Jobs beschrieben, werden die Bankkonten der Opfer benutzt, um schmutziges Geld zu waschen und zu transferieren. Im Gegenzug dürfen die Opfer einen Teil der unrechtmäßigen Gewinne behalten, weil sie als Mittelsmann fungieren. Wenn die Polizei anklopft, steht sie normalerweise vor der Tür des unglücklichen Mittelsmannes, da die kriminellen Drahtzieher nirgendwo zu finden sind.
Betrügereien wie diese scheinen ziemlich durchschaubar zu sein, dennoch fallen jeden Tag Menschen auf sie herein, was zum großen Teil an der tiefen Trickkiste liegt, die Betrügern zur Verfügung steht. Diese Tricks werden Social Engineering genannt. Social Engineering bezieht sich auf die Methoden, die Betrüger benutzen, um ihre Opfer unter Druck zu setzen, damit sie eine bestimmte Aktion durchführen. Social Engineering beinhaltet oft psychologische Manipulation, die mit der Gier, der Eitelkeit oder der Empathie des Opfers spielt.
Phishing ist die einfachste Art des Cyberangriffs und gleichzeitig die gefährlichste und effektivste. Das liegt daran, dass sie den verletzlichsten und mächtigsten Computer auf dem Planeten angreift: den menschlichen Verstand.
Phishing-E-Mails verleiten ihre Opfer durch Social Engineering und E-Mail-Spoofing dazu, sensible Informationen preiszugeben, z.B. Website-Logins und Kreditkarteninformationen. Gefälschte E-Mails imitieren eine E-Mail von einem legitimen Absender und fordern zu einer bestimmten Handlung auf. Gut gemachte Spoofs enthalten vertraute Marken und Inhalte und klingen dringend – sogar bedrohlich. Übliche Phishing-Methoden sind:
Eine Aufforderung zur Zahlung einer ausstehenden Rechnung.
Eine Aufforderung, dein Passwort zurückzusetzen oder dein Konto zu verifizieren.
Verifizierung von Käufen, die du nie getätigt hast.
Eine Anfrage nach aktualisierten Rechnungsinformationen.
Indem sie uns dazu bringen, wertvolle Informationen preiszugeben, sind Cyberkriminelle in der Lage, die Online-Dienste zu hacken, die wir tagtäglich nutzen, ohne dass wir wirklich technisch versiert sind. Anders ausgedrückt: Warum das Schloss knacken, wenn man einfach den Schlüssel stehlen kann?
Malspam
Malspam ist jede Art von Malware, die über Spam verbreitet wird. Ähnlich wie Vorschusslorbeeren und Phishing-E-Mails setzt Malspam auf Social Engineering, um die Empfänger zu einer Handlung zu verleiten, die oft wider besseres Wissen erfolgt, wie z.B. das Klicken auf einen Download-Link oder das Öffnen eines Anhangs in der E-Mail, der deinen Computer mit Malware infiziert.
In jedem Fall kommen diese Downloads und Anhänge oft in Form von Word-, Powerpoint- oder PDF-Dateien mit bösartigem Code, der in den Skripten/Makros (d.h. automatisierten Aufgaben) versteckt ist. Wenn das Dokument geöffnet wird, laufen die Skripte ab und holen die Malware-Nutzlast von den Command and Control (C&C) Servern, die von den Cyber-Kriminellen betrieben werden.
Malware Payloads variieren stark. Die Malware-Nutzlast kann deinen Computer in ein Botnetz einbinden, um mehr Spam zu versenden. Meistens ist die Nutzlast ein Trojaner. Wie wir in unserem Cybercrime Tactics and Techniques Report festgestellt haben, wurde die Mehrheit der Malware-Angriffe im Jahr 2018 sowohl für Unternehmen als auch für Verbraucher als Trojaner irgendeiner Art identifiziert.
Banking-Trojaner zum Beispiel sind darauf ausgelegt, sensible Finanzdaten von deinem Computer zu stehlen. Und in einer interessanten Wendung werden einige Trojaner, z.B. Emotet und TrickBot, nun als Übertragungsmechanismus für andere Malware, wie Ransomware, Adware, Spyware oder Cryptojackers, genutzt.
Spam auf Handy/Android
Hast du jemals einen Robocall erhalten? Das ist Anrufspam. Was ist mit einer Textnachricht von einem unbekannten Absender, der versucht, etwas zu verkaufen, vielleicht sogar mit einem Link zu wer weiß was? Das ist Textnachrichten-Spam. Willkommen in der höllischen Welt des mobilen Spams.
Jetzt, wo mobile Geräte alltäglich sind und Internetanrufe (VOIP) billig sind, haben Spammer eine ganz neue Möglichkeit, unerwünschte Kommunikation auszuspucken. Allein die Android-Nutzerbasis umfasst mehr als 2 Milliarden Nutzer, auf die es Cyberkriminelle abgesehen haben.
Die häufigsten Handybetrügereien, wie USA Today berichtet, sind voraufgezeichnete Betrugsnachrichten, die angeblich von Banken, Kreditkartenunternehmen, Kabelgesellschaften und Schuldeneintreibern stammen. Ein weiterer Robocall-Betrug, der auf die chinesisch-amerikanische Community abzielt, beinhaltet eine aufgezeichnete Nachricht, die behauptet, vom chinesischen Konsulat zu kommen und dem Empfänger mitzuteilen, dass ein wichtiges Dokument für ihn vorliegt. Natürlich kostet die Beschaffung des Dokuments Geld. Alles in allem hat dieser Betrug ungefähr 3 Millionen Dollar eingebracht.
Sofern sie nicht von einer Wohltätigkeitsorganisation, einer politischen Kampagne, einem Gesundheitsdienstleister oder einem reinen Informationsanruf eines Unternehmens oder einer Dienstleistung kommen, die du nutzt, sind Robo-Anrufe illegal. Das Gleiche gilt für Textnachrichten.
Wie kann ich Spam stoppen?
Jetzt, wo du über Spam informiert bist, sind hier einige Tipps, wie du Phishing-E-Mails und Malspam erkennen und verhindern kannst, dass du ein Opfer wirst.
Reagiere nicht auf Spam. Unser erster Tipp, um Spam zu stoppen, lautet: Höre auf, auf Spam zu antworten. Hast du jemals eine komisch schlechte Spam-Mail gelesen und dich gefragt: “Wer klickt oder antwortet eigentlich auf so etwas?” Nun, wundere dich nicht mehr. In einer Spam-Umfrage, die von der Messaging, Malware and Mobile Anti-Abuse Working Group durchgeführt wurde, gaben 46% der Befragten an, dass sie aus Neugierde auf Spam klicken oder antworten, um sich abzumelden oder um mehr über die angebotenen Produkte/Dienstleistungen zu erfahren. Gehöre nicht zu diesen Leuten. Indem du auf Spam antwortest, zeigst du den Spammern, dass deine E-Mail gültig ist und sie werden dir mehr Spam schicken.
Der gleiche Rat gilt für Handy-Spam. Lege einfach auf und füge den Anrufer zur Liste der blockierten Nummern deines Smartphones hinzu. Wenn es sich um eine Textnachricht handelt, kannst du sie kopieren und an die Nummer 7726 (SPAM) weiterleiten, das verbessert die Fähigkeit deines Telefonanbieters, Spam-Nachrichten herauszufiltern.
Indem du die “Eins” drückst, um dich abzumelden, oder dich in irgendeiner Weise mit Betrügern einlässt, zeigst du, dass deine Telefonnummer gültig ist und dass du antworten wirst. Außerdem können Betrüger deine Stimme aufzeichnen und Hörproben davon verwenden, wie du “Ja” sagst, um Gebühren für Dinge und Dienstleistungen zu autorisieren, die du nicht willst.
Schalte deinen Spamfilter ein. Die E-Mail-Anbieter machen die harte Arbeit, wenn es darum geht, Spam zu stoppen. Die meisten Massen-E-Mails schaffen es gar nicht erst an unseren E-Mail-Filtern vorbei und in unseren Posteingang. Zugegeben, legitime E-Mails landen manchmal fälschlicherweise im Spam-Ordner, aber du kannst dies in Zukunft verhindern, indem du diese E-Mails als “kein Spam” markierst und legitime Absender zu deiner Kontaktliste hinzufügst.
Schalte Makros aus. Aktiviere auf keinen Fall Makros standardmäßig. Und wenn dir jemand eine E-Mail mit einem Anhang schickt und dich auffordert, Makros zu aktivieren, klicke auf “Nein” – vor allem, wenn du den Absender nicht kennst. Wenn du den Verdacht hast, dass es sich um einen legitimen Anhang handelt, frage beim Absender nach und bestätige, dass er dir die Datei tatsächlich geschickt hat.
Lerne, wie du Phishing-E-Mails erkennst. Hier sind die fünf roten Fahnen, um eine Phishing-E-Mail zu erkennen. Wenn du eines davon siehst, dann hast du es wahrscheinlich mit einer Phishing-E-Mail zu tun.
Die Adresse des Absenders ist nicht korrekt. Wenn es sich um eine legitime E-Mail handelt, sollte die Adresse des Absenders mit der Domain des Unternehmens übereinstimmen, das er angeblich vertritt. Mit anderen Worten: E-Mails von PayPal kommen immer von example@paypal.com und E-Mails von Microsoft kommen immer von example@microsoft.com.
Der Absender scheint nicht wirklich zu wissen, wer du bist. Seriöse E-Mails von Unternehmen und Personen, die du kennst, werden dich mit deinem Namen ansprechen. Phishing-E-Mails verwenden oft generische Anreden wie “Kunde” oder “Freund”.
Eingebettete Links haben ungewöhnliche URLs. Überprüfe die URL, bevor du klickst, indem du mit deinem Mauszeiger darüber fährst. Wenn der Link verdächtig aussieht, navigiere mit deinem Browser direkt auf die Website. Dasselbe gilt für Call-to-Action-Buttons. Fahre mit der Maus über sie, bevor du klickst. Wenn du ein mobiles Gerät verwendest, navigiere direkt oder über die entsprechende App zur Website. Textnachrichten-Spam enthält oft Links zu gefälschten Seiten, die darauf ausgelegt sind, deinen Login abzufangen.
Tippfehler, schlechte Grammatik und ungewöhnliche Syntax. Sieht es so aus, als wäre die E-Mail mehrmals durch Google Translate hin und her übersetzt worden? Das war sie wahrscheinlich.
Die E-Mail ist zu gut, um wahr zu sein. Vorschussbetrügereien funktionieren, weil sie eine riesige Belohnung im Austausch für sehr wenig Arbeit anbieten. Aber wenn du dir etwas Zeit nimmst, um tatsächlich über die E-Mail nachzudenken, ist der Inhalt jenseits aller Vernunft.
Es gibt Anhänge. In der Welt der E-Mail-Kommunikation und des Marketings sind Anhänge ein großes No-No, und Unternehmen verschicken generell keine E-Mails mit Anhängen.
Verwende eine Multi-Faktor-Authentifizierung. Mit der Zwei-Faktor- oder Multi-Faktor-Authentifizierung können Cyberkriminelle die zusätzlichen Authentifizierungsanforderungen, die mit deinem Konto verbunden sind, nicht umgehen, selbst wenn dein Benutzername und dein Passwort durch einen Phishing-Angriff kompromittiert werden. Zu den zusätzlichen Authentifizierungsfaktoren gehören geheime Fragen oder Verifizierungscodes, die per SMS an dein Telefon gesendet werden.
Cybersecurity installieren. Für den Fall, dass du auf einen schlechten Link klickst oder Malware herunterlädst, die dir per Spam zugeschickt wurde, erkennt eine gute Cybersicherheitssoftware die Malware und schaltet sie aus, bevor sie deinem System oder Netzwerk Schaden zufügen kann.
Hinweis für Mac-Nutzer: Denke nicht, dass du ungestraft auf Links klicken und Anhänge öffnen kannst. Auch du kannst ein Opfer von Malware werden