Besuchen Sie uns auf der it-sa 2024!

Home>

Spam Bot

Was ist ein Spam Bot?

Der Begriff Spam Bot setzt sich aus dem Wortbestandteil „Spam“ – unerwünschte elektronisch übertragene Nachrichten – und „Bot“, der Bezeichnung für ein weitgehend autonom agierendes Computerprogramm, zusammen. Spam Bots dienen zu massenhaften und automatisierten Verbreitung von Nachrichten und Kommentaren auf Webseiten und Social Media.

Auf einen Blick

  1. 01. Spam Bot: Eine Definition
    1. 02. Wie gelangt ein Spam Bot auf einen Computer?
      1. 03. Funktionsweisen unterschiedlicher Spam Bots
        1. 04. Methoden zur Identifizierung von Spam Bots
          1. 05. Wie kann man sich gegen Spam Bots schützen?
            1. 06. Spam Bot: Das müssen Sie wissen
              Funktionsweise eines Spam-Bots

              01

              Spam Bot: Eine Definition

              Bots sind Computerprogramme, die sich wiederholende Aufgaben ohne menschliche Überwachung ausführen und über das Internet agieren. Ein Spam Bot ist eine schädliche Art von Bot, der speziell für den Massenversand von Spam-Nachrichten programmiert wurde. Ein Spam Bot kann auch selbstständig an verschiedenen Stellen im Internet, an denen Menschen online interagieren, Spam posten, beispielsweise in sozialen Medien oder Foren.

              Unter Spam versteht man unangemessene oder unerwünschte Nachrichten, die an eine große Anzahl Empfänger:innen verschickt werden. Sie enthalten in der Regel nicht erwünschte Produktwerbung, irrelevante Backlinks, die dazu dienen, die verlinkte Website in den Suchmaschinenergebnissen ein besseres Ranking zu verschaffen, betrügerische Mitteilungen mit gefährlichen Links oder Malware-Anhänge.

              02

              Wie gelangt ein Spam Bot auf einen Computer?

              Bei einem Spam Bot handelt es sich um ein Schadprogramm, das Systeme heimlich infiziert und ohne Wissen der Anwender:innen agiert. Gängige Methoden zur Infektion eines Opfersystems umfassen unter anderem:

              • Installation via Trojaner: Der Anwender oder die Anwenderin selbst lädt sich ein scheinbar harmloses Programm herunter, das einen Bot im Gepäck hat und diesen im Hintergrund installiert. Dieses Vorgehen ist am weitesten verbreitet.

              • Exploits: Der Angreifer erkennt eine Sicherheitslücke im Betriebssystem oder einer Anwendungskomponente, etwa dem Browser. Durch Ausnutzen derselben installiert er unbemerkt den Bot auf dem Opfersystem.

              • Installation via E-Mail: Der Nutzer erhält eine E-Mail mit einem Link und wird aufgefordert, die verlinkte Software zu installieren. Mitunter führt der Link nicht zum versprochenen Programm, sondern auf eine bösartige Webseite, die dann im „Drive-by-Infection“-Verfahren versucht, über verschiedene Sicherheitslücken im Browser einen Exploit auszuführen und damit einen Bot zu platzieren.

              • Automatische Verbreitung via Bots: Es gibt Bots, die eigens dafür programmiert wurden, nach weiteren anfälligen Systemen zu suchen und auszuloten, ob sich via Exploits neue Bots einschleusen lassen.

              03

              Funktionsweisen unterschiedlicher Spam Bots

              Formular-Spam

              Bots sind im Grunde nichts anderes als Skripte, die selbstständig vorgegebene Aufgaben abarbeiten. So können sie das Internet automatisiert nach Websites durchforsten, die Formulare, E-Mail-Adressen sowie andere Informationen enthalten. Dabei springt der Spam Bot von Seite zu Seite, indem er die enthaltenen Links weiterverfolgt. Hier unterscheiden sich Spam Bots nicht von ihren gutartigen „Kollegen“: Der Google Spider, um nur ein Beispiel zu nennen, macht nichts anderes: Er besucht eine Webseite, analysiert den Inhalt, sendet Informationen an die Google Server und springt anschließend zur nächsten Seite. Ein wichtiges Unterscheidungsmerkmal zwischen den beiden Bot-Arten ist das Verhalten in Bezug auf Formulare. Google Bots füllen keine Formulare aus, bestimmte Spam Bots hingegen schon.

              Account Creation & Takeover

              Auf diese Weise können bösartige Bots gefälschte Konten in Foren, auf Social-Media-Plattformen, in Messaging-Apps oder bei E-Mail-Hosting-Anbietern erstellen. Das ist möglich, da die Erstellung eines Benutzerkontos oft nur das Ausfüllen einiger weniger Felder wie Name oder E-Mail-Adresse erfordert. Angreifer programmieren ihre Spam Bots so, dass sie diese Formulare automatisch ausfüllen. Einige Plattformen setzen CAPTCHAs oder ähnliche Hürden ein, um genau dies zu verhindern, aber diese Schutzmaßnahmen sind nicht narrensicher. Ist das Fake-Konto durch den Spam Bot erst einmal erstellt oder ein anderer Zugang zu einer Plattform gefunden, starten die Bots nach einem vom Bot-Programmierer zuvor festgelegten Regelwerk den Versand von Spam-Nachrichten.

              Damit dies möglich ist, leisten andere Spam-Bot-Arten wichtige Vorarbeit und sammeln E-Mail-Adressen oder Telefonnummern, die dann für den Spam-Versand missbraucht werden. Dazu durchsuchen sie das Internet, tragen Kontaktinformationen zusammen und speichern sie in einer Datenbank.

              Spam Bots sind darauf programmiert, rasant zu arbeiten und dabei so wenig Ressourcen wie möglich zu verbrauchen. Das hat wirtschaftliche Gründe: Der Betrieb eines Spam-Servers verursacht Kosten, die nach dem Prinzip „Masse statt Klasse“ wieder eingespielt werden müssen. Ziel ist es also, so viele Spam-Nachrichten wie möglich abzuschicken. Pro Server laufen gleichzeitig eine Vielzahl an Bot-Instanzen, die parallel das Internet durchstöbern. Um mehr Bots pro Server ausführen zu können, nutzen Bots einfache Anfragen, die an Webserver geschickt werden. Der zurückgegebene HTML-Code wird anschließend analysiert. Mitgelieferter CSS oder JavaScript Code wird dabei meist nicht interpretiert, um Ressourcen und Zeit zu sparen.

              04

              Methoden zur Identifizierung von Spam Bots

              Spam Bots sind nur dann erfolgreich, wenn sie ihre Aufgaben unentdeckt verrichten können. Bei der Ausführung – beispielsweise bei der Eingabe von Spam-Nachrichten in ein Kommentarformular – ahmen sie das Verhalten menschlicher Nutzer:innen nach. Dennoch lassen sich die Aktivitäten von Spam Bots mittels verschiedener Methoden erkennen:

              Timestamps

              Gerade die Schnelligkeit, die Spam Bots an den Tag legen, kann dabei helfen, die Malware-Zugriffe von denen echter Menschen zu unterscheiden: Menschliche Seitenbesucher:innen benötigen typischerweise eine bestimmte Zeitspanne, um ein Kontakt- oder Kommentarformular auszufüllen. Zwischen dem Besuch einer Seite und dem Abschicken eines Formulars sollten auf jeden Fall mehr als zehn Sekunden vergehen, wenn ein Mensch am Werk ist. Bots hingegen benötigen für denselben Vorgang nur wenige Sekunden. Mittels Timestamps kann gemessen werden, wie viel Zeit Anwender:innen auf der Webpräsenz verbracht haben, bevor sie schlussendlich das Formular ausfüllen. Dieses Zeitintervall lässt Rückschlüsse darauf zu, ob das Formular tatsächlich von einem Menschen ausgefüllt wurde oder nicht. Der Einsatz von Timestamps stellt eine effektive Methode dar, Spam Bots zu identifizieren und beispielsweise am Absetzen eines Kommentars zu hindern. Da menschliche Website-Besucher:innen bei diesem Verfahren nicht aktiv werden müssen, handelt es sich um eine anwenderfreundliche Alternative zu Captchas.

              Honeypots

              Als Honeypot bezeichnet man einen Bereich einer Website, der für menschliche Besucher gezielt unsichtbar gemacht wurde. Dazu wird beispielsweise in ein Formular ein Honeypot in Form eines zusätzlichen Eingabefelds eingebaut und anschließend per CSS oder per JavaScript ausgeblendet. Menschen orientieren sich immer am Layout der Webseite – was sie nicht sehen können, füllen sie demnach auch nicht aus. Ein Spam Bot hingegen orientiert sich am Quelltext der Onlinepräsenz. Da er so nicht erkennen kann, welche Eingabefelder sichtbar oder unsichtbar sind, füllt er immer alle Eingabefelder aus, einschließlich des Honeypots. Bei der anschließenden Verarbeitung des Formulars reicht dann eine kurze Abfrage, ob das Honeypot-Eingabefeld ausgefüllt wurde oder nicht, um einen Bot zu erkennen.

              Fingerprinting

              Problematische, unerwünschte und gefährliche Zugriffe von Spam Bots lassen sich auch anhand von sogenannten Fingerprints erkennen. Bei jedem Zugriff auf die Webseite gehen bei Einsatz der Myra Hyperscale WAF beispielsweise über 50 Attribute des Zugriffs zur eindeutigen Identifikation des verwendeten Systems in diesen Fingerprint ein. Über drei Millionen solcher digitalen Fingerabdrücke hat Myra inzwischen gespeichert. Sobald der Fingerprint vorliegt, können entsprechende Maßnahmen durchgeführt und Schutzmechanismen gestartet werden. Unerwünschte und verbotene Zugriffe können dann eindeutig identifiziert, geblockt, mit Human-Interaction-Challenges wie Captcha konfrontiert oder anderweitig kontrolliert oder umgeleitet werden.

              Code auf einem Bildschirm

              05

              Wie kann man sich gegen Spam Bots schützen?

              Botnetze stellen eine erhebliche Gefahr dar. Unternehmen sollten eingehende Anfragen unbedingt unterteilen, klassifizieren und analysieren, um einen Angriffsversuch mit Spam-Malware frühzeitig zu bemerken und entsprechende Maßnahmen ergreifen zu können.

              Das Myra „Web Application Security“-Portfolio enthält alle Produkte und Dienstleistungen für einen effektiven Schutz von Websites und Anwendungen vor schädlichen Bot-Zugriffen:

              • Das modular aufgebaute Myra Deep Bot Management ermöglicht volle Flexibilität bei der Erkennung und Kontrolle von Bots: entweder basierend auf Bot-Kategorien oder als Gesamtpaket. Integraler Bestandteil ist das Myra Multi-Fingerprinting zur zuverlässigen Erkennung der automatisierten Bot-Zugriffe.

              • Die Myra Hyperscale WAF filtert, überwacht und kontrolliert ein- und ausgehenden Web-Traffic auf der Inhaltsebene. Damit lassen sich Applikationen u. a. vor dem Einschleusen schädlicher Daten und dem Ausspähen sensibler Informationen schützen.

              Person arbeitet an einem Laptop

              06

              Spam Bot: Das müssen Sie wissen

              Ein Spam Bot ist eine schädliche Art von Bot, der speziell für den Massenversand von Spam-Nachrichten programmiert wurde. Ein Spam Bot kann selbstständig an verschiedenen Stellen im Internet, an denen Menschen online interagieren, Spam posten, beispielsweise in sozialen Medien oder Foren. Spam Bots arbeiten im Verborgenen und lassen sich durch ihre nicht-menschliche Vorgehensweise erkennen, etwa beim automatisierten Ausfüllen von Web-Formularen. Aber auch Bots hinterlassen Spuren. Ihre eindeutige Identifikation ist die Basis für ihr effektives Management, beispielsweise durch Schutzlösungen mit Fingerprinting-Erkennung: Man kann sich präventiv gegen diese Form der Malware schützen.

              © Myra Security GmbH 2024, alle Rechte vorbehalten

              Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB