Herzlichen Glückwunsch: Du warst gewählt für einen Yeti Hopper M20 Kühler. Du wurdest viele, viele Male auserwählt. Es ist genau dort, in Ihrem Posteingang.
Die E-Mail ist von Dick’s Sporting Goods. Macht nichts, dass es sich so liest Dicks Sportartikelabzüglich des Apostrophs oder Dicks SportingGoodsoder Dicks SPORTLICHE Waren. Suchen Sie in Google Mail nach „Dicks“ und Sie werden es finden. Suchen Sie auf Twitter nach „Dicks“ und – na ja, vielleicht kommt noch etwas anderes. Aber dann werden Sie sie sehen, die Beschwerden von Leuten, die wie Sie ununterbrochen E-Mails von „Dick’s Sporting Goods“ über den Yeti Hopper M20 erhalten haben. Die E-Mails fordern die Quittungen auf, auf den Link zu klicken und ihren Preis einzufordern.
Sie sollten auf keinen Teil dieser E-Mail klicken. Der Dick’s Sporting Goods/Yeti Hopper Cooler-Wettbewerb ist nicht legitim und stammt nicht von der Sportartikelmarke. Es ist ein Phishing-Betrug, etwas, dem die meisten von uns irgendwann in ihrem Online-Leben begegnet sind.
Aber es ist eine besonders schädliche Form von Spam, die einige der robusten Anti-Spam-Tools von Google für Gmail umgangen hat. Google hat bestätigt, dass diese Spam-Kampagne „besonders aggressiv“ ist. Ein Sicherheitsforschungsunternehmen, das diesen neuesten Spam-Stapel genau verfolgt hat, sagte gegenüber WIRED, dass die verwendeten Techniken ziemlich neuartig seien und auf eine Zukunft hindeuten, in der mehr E-Mail-Spam selbst an den ausgeklügeltsten Betrugsbekämpfungssystemen vorbeischlüpfen könnte.
“Wir bilden [machine learning] Modelle, um alle verschiedenen Elemente einer E-Mail zu betrachten und sie zu zerlegen, und für eine kurze Zeit hat das tatsächlich gut funktioniert, um Spam zu stoppen“, sagt Ryan Kalember, Executive Vice President of Cybersecurity Strategy bei Proofpoint, einem in den USA ansässigen Unternehmen Sicherheitsfirma. „Aber leider gibt es einige effektive Möglichkeiten, dies zu umgehen. Was jetzt passiert, ist, dass all die ausgefallenen Modelle für maschinelles Lernen aufgrund einer cleveren Umleitung einfach nicht sehen, wo sich die „schlechten Sachen“ in den E-Mails befinden.“
Leute, die großzügig das Tool „Spam melden & Abmelden“ in Gmail verwenden, könnten denken, dass dies den Yeti-Cooler-E-Mails ein Ende bereiten würde; Markieren Sie eine E-Mail oft genug als Spam, und schließlich verschwindet sie. Das hat in diesem Fall nicht funktioniert. Justin Watkins, ein beliebter YouTuber, twitterte frustriert darüber bereits im September und bat Google, seine Filter zu verfeinern und die Yeti Hopper-E-Mails an Spam zu senden, nachdem sie die E-Mails mehrere aufeinanderfolgende Monate lang erhalten hatten. „Es ist ein Katz-und-Maus-Ding“, sagt mir Watkins. “Ich werde es als Spam markieren und es wird ungefähr eine Woche lang verschwinden, und dann bekomme ich wieder zwei oder drei pro Tag.”
Laut Kalember schaffen die E-Mail-Spammer jetzt ein Schema, bei dem maschinelle Lernmodelle „nicht wirklich an den Punkt gelangen, an dem sie das Schlechte in der E-Mail sehen“. Sie verwenden das, was er eine HTML-Ankertechnik nennt, was relativ selten vorkommt. Dies unterscheidet sich von den althergebrachten Methoden für Betrüger, an Spamfiltern vorbeizuschlüpfen, die das Rotieren des verwendeten Cloud-Hosting-Dienstes oder das Erstellen einer URL-Weiterleitung beinhalten können, bei der die Person, die die E-Mail öffnet, auf den Link klickt und wird an mehrere andere Stellen im Internet umgeleitet, bevor sie auf der bösartigen Website landen. Die neue Spam-Kampagne setzt auf etwas Interessanteres, sagt Kalember. (Vorausgesetzt, Sie finden E-Mail-Spam „interessant“ und nicht ärgerlich.)