Die Experten des E-Mail-Security-Spezialisten Message Labs Intelligence haben eine Woche lang Spam-Mails aus aller Welt auf deren Wortwahl hin analysiert. Das Resultat: Die Spam-Versender bevorzugen bestimmte Reizwörter, um die Aufmerksamkeit der Leser zu erregen.
Die Analyse der Spam-E-Mails durch Message Labs ergab: Trotz des Wirrwarrs unterschiedlicher Produkte und Themen in den Nachrichten zeigte sich bei genauerem Hinsehen ein Schema. Bestimmte Wörter wiederholen sich immer wieder und stechen hervor.
Um dies zu visualisieren, wählten die Experten von Message Labs, einem Unternehmensbereich von Symantec, so genannte Tag-Cloud--Grafiken. Darin repräsentiert die Schriftgröße eines Begriffs die Anzahl der Nennungen.
Am häufigsten werden demnach Wörter verwendet, die den Nutzer unmittelbar zu einer Handlung auffordern, indem sie Eile oder Dringlichkeit suggerieren, wie etwa »today«, »fast« et cetera. In deutschsprachigen E-Mails finden sich die entsprechenden Pendants wie »nur noch heute«, »umgehend« oder »sofort«.
Die Dringlichkeit unterstrichen die Spammer, indem fünf der sechs am häufigsten verwendeten Worte mit einem Ausrufezeichen versehen wurden. Beispiele hierfür sind etwa »here!« oder »shipping!«. Dies soll zusätzlich Druck auf den Empfänger ausüben.
Nach den Erfahrungen des Autors dieses Beitrages greifen Versender lokalisierter Spam-Nachrichten exakt zum selben Mittel. Nachrichten werden mit Begriffen wie »dringend!«, »Letzte Mahnung!« oder »Gewinn abholen!« garniert.
Die Spammer verfolgen mit dieser Taktik ein einfaches Ziel: Je weniger Zeit jemand damit verbringt, über den Inhalt einer Nachricht nachzudenken, desto geringer ist die Wahrscheinlichkeit, die betrügerische Absicht einer Nachricht zu durchschauen.
Etwas anders verhält es sich bei der »Wortwahl« der ebenfalls untersuchten Bot-Netze. Diese beschränken sich auf ein sehr begrenztes und spezifisches Vokabular. Der Grund dafür ist, dass jedes Botnet meist nur für einige wenige Spam-Versender gleichzeitig im Einsatz ist.
Eine Ausnahme bildet das Bot-Netz Cutwail: Es verwendet im Gegensatz zu Konkurrenten wie Beagle, Grum, Rustock und Bobax eine Fülle unterschiedlicher Schlüsselwörter. Das könnte laut Message Labs darauf zurückzuführen sein, dass sich Cutwail darauf spezialisiert hat, Schadsoftware zu verteilen. Der Verkauf von Viagra, angeblich Original-Rolex-Uhren oder ähnliche Aktionen sind bei den anderen Bot-Netzen von größerer Bedeutung.
Cutwail verwendet Spam-Mails, in die ein Link zu einer mit Malware hinterlegten Web-Seite eingebettet ist. Um möglichst viele Internet-User anzusprechen und dazu zu bringen, diese Links anzuklicken, werden Nachrichten mit vielen unterschiedlichen Reizwörtern verwendet.
Die grafische Auswertung illustriert die unterschiedlichen Vorlieben der großen Botnets Bagle, Grum, Rustock, Bobax sowie Cutwail. Weitere Informationen zur Auswertung und alle erwähnten Tag-Cloud-Grafiken sind in diesem Blog-Beitrag zu finden.