In vielen Fällen wird unerwünschte E-Mail-Werbung als abstraktes und homogenes Phänomen wahrgenommen. Der Anwender sieht einige Spam-E-Mails in seinem Postfach und löscht diese, meist schon nach Überfliegen der Betreffzeile. Die scheinbar mühelose Steigerung des Outputs auf Versenderseite und die Erklärungen über Botnets, die weltweit operieren, verwischen die Sicht auf Details, wie Spam-Themen oder Herkunft von Spam-E-Mails. Bei der Auswertung der Daten für den Monat Mai konnte das Eleven Research-Team einige interessante Zusammenhänge herausfinden.
Das Aufkommen der einzelnen Spam-Mailings im Monat Mai weist zwei deutlich erkennbare Peaks auf.
Spam-Aufkommen im Mai 2013
Am 13. und 22. Mai kam es zu zwei sehr starken, aber kurzen Spam-Spitzen. Sie dauerten an beiden Tagen rund drei Stunden und traten zwischen 15.00 und 18.00 Uhr deutscher Zeit auf. Beiden Mailings konnte ein Thema (Jobangebote) zugewiesen werden. Es wurde um Mitarbeiter geworben, die nur sehr einfache und leichte Tätigkeiten zu verrichten hätten. Als Kontakt waren unterschiedliche E-Mail-Adressen angegeben und die E-Mails stammten angeblich von zwei unterschiedlichen britischen Arbeitsvermittlungsagenturen.
Spam-Herkunft ebenfalls mit signifikanten Spitzen
Die zweite Auffälligkeit des Monats: Auch bei der Spam-Herkunft waren zwei deutliche Spitzen zu erkennen. Auch diese traten am 13. und am 22. auf.
Herkunftsländer von Spam und das Thema Jobangebote (Linie) im Mai 2013
Sie kamen aus Weißrussland und zu einem geringeren Teil aus der Ukraine und Kasachstan. Für alle drei Länder ergab sich im Monatsverlauf zusätzlich eine starke Zunahme der Spam-Aktivität. Während andere Staaten wie die USA, Argentinien und Spanien einen Rückgang von Spam-E-Mails verzeichneten, blieb der Spam-Output aus Weißrussland, der Ukraine und Kasachstan nahezu gleich bzw. erhöhte sich im Mai sogar. Zusammen genommen waren alle drei Staaten für rund ein Drittel des bei Eleven gemessenen Spam-Aufkommens verantwortlich.
Anteil der einzelnen Länder am Spam-Aufkommen im Mai
Um sich etwas zu tarnen, haben die Versender die Namen tatsächlich existierender britischer Arbeitsvermittler genommen und auf eigenen Domains die zuvor kopierten Inhalte der Originalwebsites hinterlegt. Belässt man es nicht bei einem ersten Anschein, sondern klickt sich durch die Seite, so bemerkt man, dass man von der .com-TLD auf eine .co.uk-TLD weitergeleitet wird.
Von der Original-Website kopiert, deutliche Spuren im Quellcode der Website
In einem besonders dreisten Beispiel sollten die Interessenten an Doreen@google-germany.com antworten. Die Domain google-germany sollte wohl für besonders viel Vertrauen sorgen. Ganze vier Tage blieb diese Adresse aktiv, danach wurde sie (und die dazu gehörenden E-Mail-Server) gesperrt.
Spam-Versender lassen sich genau ermitteln
Neben dem Land lässt sich natürlich auch der Provider der Spam-E-Mails genau bestimmen. Dieser wiederum könnte herausfinden, wer von seinen Kunden für den Spam-Versand verantwortlich ist. Manchmal geschieht das sogar unabsichtlich durch schlecht gesicherte E-Mail-Zugänge. Alles in allem lässt sich feststellen, dass Spam sich manchmal bis an die Wurzel zurück verfolgen lässt und dort dann auch bekämpft werden könnte – Willen voraus gesetzt.