Spamverteilung über Unternehmenswebseiten

12 Aug 2019

Spammer sind stetig auf der Suche nach neuen Wegen, harmlosen Empfängern lästige Spamnachrichten zukommen zu lassen und jegliche Filter, auf die sie bei ihrer Mission stoßen, zu umgehen. Im Idealfall möchten sie den Eindruck erwecken, dass die Nachricht von einem legitimen Absender stammt. So wird beispielsweise versucht, Spam von einer Ihrem Unternehmen zugeordneten Adresse über Ihre eigene Website zu versenden. Diese Methode – die wir im Anschluss genauer erläutern werden – wird bei Betrügern mittlerweile immer beliebter.

Heutzutage ist fast jedes Unternehmen daran interessiert, Feedback von seinen Kunden zu erhalten, um angebotene Dienstleistungen zu verbessern, neue und alte Kunden zu halten usw. Um dieses Feedback zu erhalten, platzieren Unternehmen in der Regel ein speziell darauf ausgerichtetes Formular oder sogar mehrere solcher Formulare auf der Unternehmenswebsite. Nutzer können diese Formulare dann verwenden, um Fragen zu stellen, ihr Feedback zu hinterlassen, sich für Unternehmensveranstaltungen anzumelden und Newsletter zu abonnieren, um spezielle Angebote zu erhalten. In der Zwischenzeit versuchen Angreifer, diesen Mechanismus auszunutzen, um Spam an völlig unabhängige Personen oder Unternehmen zu senden.

 

So können Angreifer Ihre Website zum Nachrichtenversand nutzen

Der Mechanismus ist in der Tat ziemlich simpel. In der Regel müssen sich Nutzer, die einen bestimmten Onlinedienst nutzen, sich in eine Mailingliste eintragen oder eine Frage auf einer Unternehmenswebsite stellen möchten, in der Regel zuerst registrieren. Das heißt, sie müssen mindestens ihren Namen und ihre E-Mail-Adresse angeben. Nachdem der Benutzer eine Registrierungsanfrage gestellt hat, lässt ihm das Unternehmen eine Bestätigungsnachricht per E-Mail zukommen. Lange Rede, kurzer Sinn: Spammer haben mittlerweile herausgefunden, wie sie ihre eigenen Informationen zu diesen Bestätigungsnachrichten hinzufügen können.

Sie geben die E-Mail-Adresse des Opfers als Registrierungsadresse an und geben eine spezifische Werbebotschaft in das Namensfeld ein – zum Beispiel: „Wir verkaufen Eisenbleche zum Spitzenpreis. Besuchen Sie http://sheetiron.su!“ Der Registrierungsmechanismus sendet daraufhin eine Bestätigungsnachricht an das Opfer. Die Nachricht erscheint dann folgendermaßen im Postfach das Empfängers: „Hallo, wir verkaufen Eisenbleche zu einem Spitzenpreis. Besuchen Sie http://sheetiron.su! Bitte bestätigen Sie Ihre Registrierungsanfrage …“ Wenn nun jemand versucht, jemandem diesen Streich über das Registrierungsformulars auf der Website eines Bauunternehmens zu spielen, kann das Ergebnis relativ überzeugend sein.

Damals & heute: So nutz(t)en Angreifer Feedback-Formulare

Es ist bemerkenswert und vor allem ironisch, dass dieses neue, von Spammern ausgenutzte Tool, ursprünglich aus dem Kampf gegen Spam hervorgegangen ist. Als das Internet noch in Babyschuhen steckte, war das Feedback-Tool einer Website wie ein Gästebuch konzipiert, in dem jeder eine Nachricht hinterlassen konnte. Scherzkekse und Spammer nutzten diese Tatsache schamlos aus und verwandelten Gästebücher auf diese Weise in ein chaotisches Durcheinander. Website-Sicherheitsexperten beschlossen dann die primäre Registrierung der Nutzer zu fordern, um eine Nachricht hinterlassen zu können. Die Angreifer antworteten mit Programmen, mit denen Benutzer automatisch unter fiktiven E-Mail-Adressen registriert wurden, sodass sie das Unternehmen, dem die Website gehörte, auch weiterhin mit Spam bombardieren konnten.

Folglicherweise begannen die Website-Entwickler damit, die Benutzer dazu aufzufordern, ihre E-Mail-Adressen zu bestätigen. Genau diesen Mechanismus können Spammer jetzt zum Nachrichtenversand ausnutzen. In diesem Fall werden keine Spammails an das Unternehmen selbst gesendet, sondern die Benutzerdaten, die während des Registrierungsprozesses erfasst werden, schlichtweg in einer Datenbank gespeichert. Die Opfer erhalten dann eine Nachricht, die ungefähr so aussieht:

Vorteile der Spamverteilung über Unternehmenswebseiten

Praktisch jedes Unternehmen, das daran interessiert ist, die Neukundengewinnung über das Internet zu fördern und die Loyalität des bereits bestehenden Kundenstammes zu wahren, widmet seiner Website viel Aufmerksamkeit. Das Design, der Inhalt und die Benutzerfreundlichkeit der Website sind dabei von großer Bedeutung und in der Regel überwachen Unternehmen die Reputation ihrer Websites sorgfältig. Doch gerade ein tadelloser Ruf zieht Angreifer magisch an.

Nachrichten, die von einer (scheinbar) vertrauenswürdigen Ressource stammen, bestehen in der Regel problemlos jegliche Antispam-Filter. Im Wesentlichen wird ihnen der Status „offizieller Nachrichten von einem seriösen Unternehmen“ verliehen. Zudem sind alle technischen Header in der Message selbst absolut legitim. Gleichzeitig ist die Menge an tatsächlichem Spam-Inhalt in der Nachricht (auf den die Filter reagieren könnten) relativ gering. Das Spam-Rating basiert auf einer Vielzahl von Faktoren, sodass die Gesamtauthentizität der Nachricht erhalten bleibt und die Nachricht den Filter problemlos passiert.

Diese Methode der Spamverteilung ist besonders in letzter Zeit bei Betrügern immer beliebter geworden. Mittlerweile haben sie sogar damit begonnen, die Methode als offizielle Dienstleistung zu vermarkten: „Werbeauslieferung via Feedback-Formulare.“

Der Versand von Spamnachrichten bedroht Ihr Unternehmen

Nicht nur der Ruf Ihres Unternehmens, sondern auch das Wohl Ihrer Kunden ist gefährdet. Wenn Registrierungsbenachrichtigungen, die aufdringliche Werbung enthalten, in Ihrem Namen gesendet werden, denken die Nachrichtenempfänger möglicherweise, dass Ihr Unternehmen für den Versand der Spamnachrichten veranwortlich ist.

Darüber hinaus fügen Spammer manchmal einen Phishing-Link in das Namensfeld ein und gefährden Ihr Unternehmen zusätzlich, indem sie den Empfänger zu betrügerischen Inhalten oder sogar zu bösartigem Code führen, was für das Opfer noch schlimmere Folgen haben kann.

Manchmal können Betrüger den Namen des Unternehmens gezielt ausnutzen und damit seinen Ruf nachhaltig schädigen. Diese Methode kann beispielsweise verwendet werden, um Unternehmenskunden Nachrichten über gefakte Angebote und Gewinnspiele Ihres Unternehmens zukommen zu lassen.

So verhindern Sie, dass Ihre Website zum Spammingtool wird

Finden Sie zunächst mit einem kurzen Test heraus, wie Feedback-Formulare auf Ihrer Website überhaupt funktionieren. Gehen Sie dazu einfach zu dem entsprechenden Formular auf Ihrer Website und registrieren Sie sich dort mit Ihrer privaten E-Mail-Adresse. Geben Sie dabei jedoch die folgende Nachricht in das Namensfeld ein: „Ich verkaufe meine Garage …“ Website-Adresse und Telefonnummer sollten ebenfalls angegeben werden. Überprüfen Sie anschließend, was genau in Ihrem E-Mail-Postfach landet, um festzustellen, ob für diese Art der Informationen jegliche Prüfmechanismen vorhanden sind.

Wenn Sie eine Nachricht erhalten, die mit „Hallo, ich verkaufe meine Garage …“ beginnt, sollten Sie sich an die Personen wenden, die für die Instandhaltung und Wartung Ihrer Website verantwortlich sind, und sie daran erinnern, dass die Namen authentischer Personen keine Zahlen, Semikolons, „http: //“ oder ähnliche Symbole oder Zeichenfolgen enthalten dürfen. Dazu müssen ganz einfach Eingabeprüfungen erstellt werden, die einen Fehler erzeugen, wenn ein Benutzer versucht, sich unter einem Namen mit ungültigen Zeichen etc. zu registrieren. Entwickler können diese Eingabeüberprüfungen auf Ihrer Website oder im Mailing-Mechanismus integrieren.

Für den Fall der Fälle, sollten Sie Ihre Website zudem auf Sicherheitslücken überprüfen lassen.