Banken-Blacklists gegen Spam

Der Online-Verkauf - beispielsweise von Potenzpillen - lohnt sich aber nur, wenn die Hinterleute auch Zahlungen empfangen können. Diese sind somit das schwachen Glied in der Spam-Wertschöpfungskette. Nach Ansicht des US-Teams wäre es möglich, durch Unterbinden bestimmter Kreditkartenzahlungen die Spammer finanziell schwer zu treffen. "Das ist eine interessante neue Idee, die man sich genauer ansehen sollte", meint Eddy Willems, Security Evangelist bei G Data, im Gespräch mit pressetext. Der Ansatz wäre zwar kein Allheilmittel, hat aber Potenzial als Teil einer umfassenderen Anti-Spam-Strategie.

Spam bewirbt oft den Verkauf von Arzneimitteln oder billigen Produktkopien durch Online-Händler. Die US-Informatiker haben fast eine Mrd. im Herbst 2010 gesammelte Spam-URLs analysiert und einige tausend Dollar für rund 120 Testkäufe ausgegeben. Im Rahmen ihrer Untersuchung hat sich gezeigt, dass die Spammer die getätigten Kreditkartenzahlungen bevorzugt über einige wenige Banken abwickeln. Demnach laufen allein 60 Prozent aller Transaktionen über die aserbaidschanische Azerigazbank und nochmals 35 Prozent über nur zwei weitere Finanzinstitute.

Das ist eine potenzielle Achillesferse des Spam-Geschäfts. Falls diese wenigen Banken dazu bewegt werden können, keine Geschäfte mehr mit den dubiosen Händlern zu machen, müssten diese sich auf die aufwendige Suche nach neuen Partnern machen. Denkbar ist auch, den Spammern ohne die Kooperation ihrer bevorzugten Finanzinstitute den Geldhahn abzudrehen. Das wäre erreichbar, indem westliche Banken und Kreditkartenfirmen die Durchführung bestimmter verdächtiger Zahlungen verweigern - denn passende Blacklists sind den Informatikern zufolge relativ leicht aktuell zu halten.

Einen Haken hat die Idee der Bank-Blacklists aber. "Ich habe Zweifel, ob das legal wäre", meint Willems. Er verweist darauf, dass gerade der Online-Verkauf von Arzneien in manchen Ländern nach dortigem Recht zulässig ist. Die US-Forscher selbst räumen ebenfalls ein, dass derartige Maßnahmen rechtlich problematisch wären. Allerdings verweisen sie darauf, dass grade in den USA bereits vergleichbare Einschränkungen für Kreditkartenzahlungen im Bereich Online-Glücksspiel umgesetzt wurden.

"Es wäre jedenfalls übertrieben zu sagen, solche Blacklist sind die Lösung des Spam-Problems", betont Willems ferner. Denn der Ansatz trifft zwar Werbe-Spam, hätte aber beispielsweise auf Phishing-Emails wohl keine Auswirkungen. Falls die Idee legal umsetzbar ist, könnte sie aber einen Baustein einer umfassenden Anti-Spam-Strategie bilden, so der G Data-Experte. Wichtiger sind seiner Ansicht nach aber der global koordinierte Kampf gegen Spam-Botnetze sowie eine internationale Gesetzgebung, die unaufgefordert zugesandte E-Mails wirklich weltweit illegal macht.