Enschede – Wie in der realen Welt gibt es auch im Internet sogenannte „Bad Neighbourhoods“, schlechte Nachbarschaften also, in denen die Kriminalitätsrate sehr hoch ist. Das hat eine Studie an der Universität Twente http://www.utwente.nl ergeben. Wie der Informatiker Giovane Moura im Rahmen seiner Doktorarbeit zeigen konnte, stammt beispielsweise fast die Hälfte allen Spams aus dem Adressraum von nur 20 der über 40.000 erfassten Provider. Die Hosts für Phishing-Attacken zum Klau persönlicher Daten sind ebenfalls sehr konzentriert und das auch geografisch – die meisten finden sich in Dallas, Texas.
Laut Moura ist zudem die Wahrscheinlichkeit, dass neue cyberkriminelle Aktivitäten wieder von bereits bekannten Bad Neighbourhoods, kurz „BadHoods“ ausgehen, sehr hoch. Er ist daher der Ansicht, dass das Wissen um solch schlechte Internet-Nachbarschaften dazu geeignet wäre, effektivere Schutzmechanismen gegen Cyber-Angriffe zu entwickeln. Denkbar seien beispielsweise Blacklists, die nicht nur vor bekannten Spam-Schleudern oder Angriffsquellen schützen, sondern auch neue erahnen können.
Globales Problem mit Schwerpunkten
Bei Spam zeigt sich besonders deutlich, dass Cybercrime realweltlichem Verbrechen sehr ähnlich ist. Denn wenngleich es praktisch überall auf der Welt – in über 25.000 Städten in 229 Ländern – Spam-Versender gibt, existieren es eindeutige Hotspots. So entfallen auf einen einzigen indischen Provider 7,39 Prozent des globalen Spamvolumens. Bei einem nigeranischen Provider wiederum werden fast zwei Drittel seiner IP-Adressen für den Spam-Versand genutzt, womit diese Adress-Nachbarschaft praktisch die höchste virtuelle Verbrechensdichte der Welt hat. Global gesehen ist Südostasien die Region, aus der am meisten Spam kommt, die größte Spammerdichte haben Entwicklungsländer.
Etwas anders präsentiert sich die Lage bei Phishing-Attacken. Hier hat Moura überhaupt nur in etwas mehr als 400 Städten zugehörige Hosts gefunden, vor allem in reicheren Nationen. Absolute Phishing-Hochburg sind die USA, wo sich 15 der 20 größten Phishing-Städte finden und die mit 1.344 Hosts fast zehn Mal so viele haben wie die Nummer zwei Deutschland. Doch auch hier konzentrieren sich viele Angriffe auf den Adressraum relativ weniger Provider. In Frankreich beispielsweise entfallen gut 46 Prozent der Phishing-Hosts auf nur einen Anbieter, der damit auch der zweitgrößte Phishing-Provider der Welt ist.
Auffällige Nachbarschaften
Einen Vorteil der Betrachtung der virtuellen schlechten Nachbarschaften sieht Moura darin, dass diese sich auffälliger verhalten als einzelne für cyberkriminelle Zwecke missbrauchte Hosts. Denn Letztere versuchen Aufmerksamkeit oft dadurch zu vermeiden, dass sie ein Ziel nicht wiederholt über einen kurzen Zeitraum angreifen – wird dagegen der Adressraum einer Bad Neighbourhood beobachtet, kommt es viel eher innerhalb einer Woche zu einer Wiederholungstat.
Das ist einer der Gründe, warum die Forscher an der Universität Twente glauben, dass die Betrachtung von BadHoods helfen könnte, neue Ansätze und Algorithmen zu entwickeln, um effektiveren Schutz vor unerwünschten Cyber-Aktivitäten zu bieten. Es sei auch denkbar, mit passenden Blacklists zu erahnen, über welche bislang unauffälligen Hosts neue Angriffe erfolgen könnten. Im Rahmen des IFIP/IEEE International Symposium on Integrated Network Management http://www.im2013.org wird das Team als Beispiel einen Spamfilter präsentieren, der sich den Ansatz zunutze macht.
pressetext.redaktionAnsprechpartner: Thomas Pichler
Schlechte Gegend: Das gibt es auch online (Foto: flickr.com, pwbaker)