Die Bedrohungslandschaft im Bereich E-Mail verändert sich ständig, und neue Trends sind häufig innerhalb kürzester Zeiträume zu beobachten. Aus diesem Grund analysiert 32Guards die Metadaten von mittlerweile knapp 40 Millionen E-Mails pro Woche in Echtzeit, denn das ermöglicht die frühzeitige Erkennung dieser Trends. Von den gewonnenen Erkenntnissen profitieren alle mit 32Guards verbundenen NoSpamProxy-Instanzen und können so noch effizienter gegen Spam-E-Mails vorgehen.
Herkömmlicher Spam kommt in kurzen Wellen
Um sich dem Thema Workday-Spam zu nähern, ist es zunächst notwendig, einen Schritt zurückzutreten. Die üblichen Spam-E-Mails unterscheiden sich von zielgerichteteren Angriffen wie beispielsweise Phishing- oder CxO-Fraud-Angriffen. Ziel dieser herkömmlichen Spams ist es, das Opfer auf eine Webseite zu locken, auf der meist ein (Fake-)Webshop zu finden ist. Dafür werden häufig im großen Stil maßgeschneiderte URLs oder URL Shortener Links verteilt. Da diese URLs recht einfach zu erkennen sind, bleibt den Spammern oft nur ein kurzes Zeitfenster zur Verteilung. Die folgende Grafik zeigt die Sichtungen ausgewählter Spam URLs als Funktion der Zeit:
Hier sehen wir kurze Wellen, die schnell zum Erliegen kommen. Dies wird noch deutlicher, wenn man sich eine einzelne Welle im Detail anschaut:
Im hier gezeigten Beispiel dauert es weniger als zehn Minuten, bis ein Großteil der Spamwelle abgeebbt ist. Die Herausforderung ist in diesen Fällen die Geschwindigkeit der Erkennung. Um einen wirksamen Schutz zu liefern, müssen solche Spam URLs binnen weniger Minuten erkannt werden. Da diese Muster in 32Guards bereits länger bekannt sind, ist die schnelle Erkennung in den meisten dieser Fälle eine Routineaufgabe.
Spam mit 5-Tage-Woche
In den letzten Monaten konnten wir Spam URLs beobachten, die nach einem gänzlich anderen Muster und in großen Mengen verteilt werden. Zwei Beispiele stellen die Domänen alfreds.gay und podersd.gay dar. Die folgende Grafik zeigt die Sichtung von URLs mit der jeweiligen Domäne im Zeitverlauf:
Es fällt auf, dass es am Wochenende quasi keinen Spam mit diesen URLs gibt. Außerdem lassen sich schon hier für jede Woche (ohne Feiertage) fünf markante Peaks erkennen. Das Muster wird noch deutlicher, wenn man sich einen Zeitraum von zwei Wochen ansieht:
Es zeigt sich nicht nur, dass am Wochenende so gut wie keine Spam-Mails gesichtet werden, sondern auch, dass der Spam hauptsächlich während der Arbeitszeiten im DACH-Raum verteilt wird. Dieses Muster ist sehr ähnlich zu der Verteilung von legitimen URLs in Geschäftskommunikation und somit schwerer zu erkennen.
Workday-Spam nutzt Domänen längerfristig
Eben wegen des Auftretens dieser Spam-E-Mails zu Arbeitszeiten haben wir diese Klasse von Spam „Workday-Spam“ genannt. Außerdem ist auffällig, dass teilweise über viele Wochen oder Monate gleiche Domänen verwendet werden. Zum Vergleich ist im Folgenden der Wochenverlauf der Sichtungen von URLs zu zwei legitimen Domänen gezeigt. Dies steht im starken Gegensatz zum ersten Beispiel, bei dem die Domäne der URL bereits nach zehn Minuten nicht mehr signifikant gesichtet wurde.
Doch wohin führen diese Links eigentlich? Auf den versendeten URLs ist in den meisten Fällen eine Weiterleitung eingerichtet. Diese verweisen dann auf verschiedene Fake-Webshops. Im Folgenden sind einige Screenshots dieser Shops zu sehen:
Auch wenn die angebotenen Produkte verschieden sind, fällt sofort auf, dass dieser Spam maßgeschneidert für den deutschsprachigen Raum ist. Daneben verwenden die Shops oft klassische Social-Engineering-Tricks wie das Versprechen hoher Rabatte sowie das Erzeugen von künstlichem Zeitdruck durch eingeblendete, herunterzählende Uhren.
In den von 32Guards gesammelten Daten lassen sich neben den beiden oben gezeigten weitere Domänen finden, die dem Muster des Workday-Spam folgen. Einige Beispiele:
Bei den hier ausgewählten Domänen werden gleiche Namen mit unterschiedlichen Top-Level-Domänen (TLDs) verwendet. Die verschiedenen Domänen werden im Verlauf der Woche von Tag zu Tag gewechselt. Daneben findet sich auch immer wieder ein ähnlicher Satz an charakteristischen TLDs wie gay, ink, yachts und homes.
Pfade bei Workday-Spam deuten auf gemeinsames Cluster hin
Nicht nur die Domänen der Workday-Spam URLs erfüllen ein bestimmtes Muster, auch ein Blick auf die Pfade der jeweiligen URLs liefert interessante Erkenntnisse. Für die URLs zur Domäne alfreds.gay wurden alle Pfade analysiert. Auf den ersten Blick fällt auf, dass die meisten Pfade auf einer Zahl aus eins bis drei Ziffern enden. Diese Zahlen wurden für die weitere Analyse entfernt. Danach ergibt sich für die am häufigsten verwendeten Pfade das folgende Muster:
Die unterschiedlichen Pfade leiten jeweils auf unterschiedliche Webseiten weiter. Das teilweise in den Pfaden vorhandene „de“ legt nahe, dass wir hier nur den deutschsprachigen Teil der Spamwelle sehen. Außerdem ist auch hier wieder interessant zu sehen, dass die verschiedenen Pfade scheinbar von einem Tag zum nächsten durchgewechselt werden. Dies wird noch deutlicher, wenn man sich die Verteilung über einen Zeitraum von zwei Wochen ansieht:
Es ist außerdem zu erwähnen, dass genau diese Pfade auch unter anderen Domänen zu erkennen sind. Dies stützt die Vermutung, dass all diese Spam URLs zu einem gemeinsamen Cluster gehören.
32Guards: Schutz vor Workday-Spam
Durch die hier zum Teil beschriebenen Erkenntnisse ist es 32Guards mittlerweile möglich, Workday-Spam schnell und zuverlässig zu erkennen.
In diesem Blogartikel haben wir Ihnen das Muster des Workday-Spam vorgestellt. Spam URLs, die nach diesem Muster verteilt werden, sind in den letzten Monaten in großer Zahl von 32Guards gesichtet worden. Die Analyse legt nahe, dass die Spam-Wellen für den DACH-Raum maßgeschneidert sind.
Dieser Artikel zeigt zudem, wie es 32Guards durch die Vernetzung vieler NoSpamProxy-Installationen möglich ist, Muster zu erkennen, die dem einzelnen Klienten verborgen bleiben. Mit diesen Informationen kann 32Guards dann einen viel proaktiveren und großflächigeren Schutz gegen Spam-E-Mails gewährleisten. In dem hier beschriebenen Fall erweist sich außerdem die Fokussierung von 32Guards auf den DACH-Raum als großer Vorteil. Somit können Muster erkannt werden, die in global gesammelten Datensätzen möglicherweise untergehen würden.
Sie möchten sich vor Spam schützen und haben noch kein NoSpamProxy im Einsatz?
32Guards ist in der aktuellen NoSpamProxy-Version kostenlos als Add-on verfügbar. Ist die Verwendung von 32Guards aktiviert, ist keine weitere Konfiguration notwendig, um vom Schutz durch 32Guards zu profitieren.