IP-Warmup Spammer Phisher
IP-Warmup Spammer Phisher

IP-Warmup: Spammer & Phisher verfeinern ihre Methoden

Spammer haben mit dem sogenannten IP-Warmup ihre Methoden verfeinert, wie ein neues Tutorial beim Untergrund-Forum Crimenetwork erläutert.

Beim Crimenetwork gibt es ein neues SMTP-Setup Tutorial für alle Spammer und Phisher oder solche, die es noch werden wollen. Recht neuartig dabei ist das sogenannte IP-Warmup. Während man über bislang ungenutzte IP-Adressen nur wenige E-Mails verschicken kann ohne auf einer Blacklist zu landen, erklärt das Tutorial, wie man die Funktionalität neuer IP-Adressen ausdehnt.

Phishing: Ohne die Vorarbeit der Spammer geht gar nichts!

Wer Kreditkartendetails oder Login-Daten von Amazon, PayPal, einer Bank, eines ISPs etc. phishen will, muss im Vorfeld möglichst viele E-Mails an potenzielle Opfer verschicken. Nur ein Bruchteil der verschickten E-Mails wird zum Erfolg führen. Von daher besteht ein ungebrochener Bedarf an großen Mengen aktiver E-Mail-Adressen. Wir haben ja schon letzte Woche darüber berichtet, dass Analysten etwa 100.000 Phishing-Seiten entdeckt haben, die allesamt den Kaufrausch vor Weihnachten „bedienen“ wollen. Alleine im deutschsprachigen Bereich sind es mindestens 7.000 Stück. Jede einzelne Seite wird aber nur dann Geld abwerfen, wenn genügend Gutgläubige mittels der Phishing-Mails dazu verleitet werden, dort ihre Daten einzugeben. Auch ein illegaler E-Commerce Anbieter wie der Cherry Store kann nur dann funktionieren, wenn die Spammer gute Arbeit geleistet haben. Bei dem Arbeitsaufwand sind meistens gleich mehrere Spammer an einem Online-Shop beteiligt.

IP-Warmup – wie Cyberkriminelle Blacklists und Sperren umgehen

spamWer über eine IP-Adresse zu viele E-Mails am Tag verschickt, landet schnell auf einer Blacklist. Organisationen wie Spamhaus erstellen solche Listen, um den Phishern das Leben schwer zu machen. In dem Fall landen die verschickten Nachrichten direkt im Spam-Ordner aller E-Mail-Anbieter oder werden gar nicht erst zum Empfänger übertragen. Dann muss man sich einen neuen Mailserver mit einer frischen IP aufsetzen. Anschließend geht das Spiel von Neuem los…

Neue IPs, über die man noch keine E-Mails verschickt hat, nennt man „cold“ IPs. Um die Warnsysteme der E-Mail Provider auszutricksen, muss man die neuen IPs langsam erwärmen. Dafür führen Cyberkriminelle das sogenannte IP-Warmup ihrer Mailserver durch. Ziel des Ganzen ist es, dass sie nach der erfolgreichen Aufheizung sehr viele E-Mails pro Stunde über eine IP verschicken können, ohne dafür gesperrt oder auf eine Blacklist gesetzt zu werden. Das heißt, dass man bei einer geringen Anzahl (wenige E-Mails pro Stunde) anfängt, um die Anzahl langsam zu steigern. Am Ende kann man viele E-Mails innerhalb kurzer Zeit verschicken. Man gewöhnt die E-Mail-Anbieter quasi schrittweise an den hohen Durchsatz an E-Mails. Wer zu ungeduldig agiert, geht über Los und zieht keine 4.000 Geldeinheiten ein. Dann muss man einen neuen Mailserver mit einer anderen IP installieren.

Phising funktioniert grundsätzlich dann am besten, wenn man die Empfänger in einen Schockzustand versetzt:

Pro Tag 100.000 Phishing-Mails verschicken, ohne dabei erwischt zu werden?

Das klingt zunächst aufwändig. Und die Aktion lohnt sich erst nach einiger Zeit. Nach etwa einem halben Monat können Cyberkriminelle nach dem erfolgreichen IP-Warmup dann sehr viele Phishing-Mails über eine einzige IP verschicken. Um die Masse an Phishing-Mails abfertigen zu können, rät man den künftigen Tätern in dem Tutorial, bis zu 20 IPs gleichzeitig auf ihren Einsatz vorzubereiten. In dem Fall wäre es unter Einsatz von 20 IPs möglich, täglich bis zu 100.000 Phishing-Mails ohne jede Gefahr zu verschicken. Die dazu passenden Datensätze mit unzähligen E-Mail-Accounts kann man problemlos im Deepweb oder bei diversen Untergrund-Foren erwerben. Die Preise variieren je nach Qualität der Daten.

Natürlich werden die Anbieter versuchen, entsprechend mit Gegenmaßnahmen auf das IP-Warmup zu reagieren. Doch zu schnell dürfen sie keine Sperren einrichten oder IPs auf die Blacklist setzen, weil dies den Geschäftsbetrieb der legalen Kunden stark beeinträchtigen würde. Kein E-Mail-Provider ist scharf auf unzählige Beschwerdemails ihrer Nutzer, weil man ihren Nachrichtenversand grundlos blockiert hat. Jedes Unternehmen wird eigene Toleranzgrenzen einrichten, um es den Spammern so schwer wie möglich zu machen ohne den eigenen Support zu überlasten.

Das neue Tutorial können wir natürlich nicht zum Download anbieten, weil dies eine Anleitung zu einer illegalen Handlung darstellen würde. Und das wäre dem deutschen Gesetzgeber und seinen Behörden mit Sicherheit ein Dorn im Auge. Auf noch mehr Ärger, vor allem wenn er berechtigt wäre, können wir gerne verzichten.

Foto Alex Iby, thx!
Tarnkappe.info
Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.