Wer sagt, dass das Cutwail/Pushdo-Botnet erledigt sei? Nachdem kĂŒrzlich dieses Botnet vom Netz genommen wurde, kehrte kurzfristig Ruhe ein ins Spam-Aufkommen. Doch gestern kam bereits eine neue Welle falscher Facebook-Nachrichten. Etwa 5000 Spam-Mails wurden 30 Minuten lang ĂŒber einige Cutwail-Zombies versendet.

Die Nachrichten informierten die Nutzer ĂŒber eine private Message, die einen angeblichen Facebook-Link enthielt, der in Wahrheit aber auf eine kanadische Pharmacy-Site {BLOCKED}icy.com fĂŒhrt. Die in China gehostete Site ist bereits offline.

Dieses Pushdo/Cutwail-Update fĂŒhrt vor Augen, dass die Cyberkriminellen hinter dem Botnet dabei sind, ihre Struktur wieder aufzubauen und das Botnet wiederzubeleben.

Tweet vom Microsoft Security Response Team

Das Microsoft Security Response Team veröffentlichte am Freitag einen interessanten Tweet, dessen Inhalt zu denken gibt: “Wir wissen von einem öffentlich gewordenen Problem mit Internet Explorer und werden der Sache ĂŒbers Wochenende weiter nachgehen.“ Das klingt sehr geheimnisvoll, denn keine neue SicherheitslĂŒcke ist bekannt.

Der Tweet könnte sich auf die Weiterentwicklung einer LĂŒcke beziehen, die Chris Evans von Google im Dezember letzten Jahres in einem Eintrag auf seinem Scary Beast Security Blog publik gemacht hatte. Der Gedanke liegt nahe, denn Evans hatte ebenfalls am Freitag kurz vor dem Microsoft-Eintrag in einer Nachricht an die Full Disclosure Mailing-Liste von einem Versuch, „diesen Bug zu entfernen“, gesprochen. Und weiter: „ Es gibt eine schlimme SicherheitslĂŒcke im neuen Internet Explorer 8. Leider konnte ich den Hersteller nicht dazu bringen, einen Fix dafĂŒr zu veröffentlichen. Der Bug erlaubt es beispielsweise einer beliebigen Website, ein Opfer dazu zu zwingen, Tweets zu verschicken.“ Evans behauptet, man könne davon ausgehen, dass Microsoft diese LĂŒcke seit 2008 kennt und dass derselbe Fehler „wahrscheinlich“ auch frĂŒhere Versionen des IE betrifft.

Der Exploit ist darauf ausgerichtet, eigentlich geheime Zugangsdaten zu einer bereits authentifizierten Browser Session, etwa fĂŒr Twitter, zu stehlen, um diese Daten dazu zu nutzen, eigene Inhalte zu verschicken.

Opera, Chrome, Firefox und Safari haben die LĂŒcke bereits geschlossen. Es bleibt zu hoffen, dass Microsoft dies auch schnell tut, denn mit wachsender Beliebtheit der URL-Shortening-Services ist es einfach, solche Fehler auszunĂŒtzen.

Quelle: Philo Nordlund’s Flickr stream

Weil viele Leser dieses Blogs auch regelmĂ€ĂŸig Facebook und Twitter nutzen, hier ein paar Tipps dazu, was fĂŒr die Sicherheit beim social Networking wichtig ist:

• Machen Sie sich vertraut sowohl mit den Privacy-Einstellungen als auch mit der Sicherheits-Policy jedes sozialen Netzwerks, dass Sie nutzen. Wenn Sie Zweifel an der Sicherheit haben, lassen Sie die Site lieber außen vor.
• Beim Erstellen des eigenen Profils sollten Sie bei jeder einzelnen Information, die Sie veröffentlichen, gut ĂŒberlegen, ob das Detail wirklich relevant fĂŒr die Site ist. Geben Sie beispielsweise keine Telefonnummer an, und fĂŒllen Sie kein Formular aus, nur weil es vorhanden ist!
• Wenn Sie Inhalte, Chats, Mail oder Kommentare zu den EintrĂ€gen oder Profilen anderer ansehen oder teilen, sollten Sie die Kommunikation nie fĂŒr persönlich oder privat halten. Auch wenn Sie alle verfĂŒgbaren Privacy-Einstellungen nutzen, können Sie nie davon ausgehen, dass Ihre Inhalte nicht ohne Ihr Wissen kopiert, herunter geladen oder sonst auf eine Weise benutzt werden.
• Die meisten Sites bieten eine Möglichkeit des Resets eines Kennwort, falls Sie dieses vergessen. Doch stellt dies auch eine der ĂŒblichsten Arten des Einbruchs in ein Konto dar. Sollten Sie dazu aufgefordert werden, auf „Sicherheitsfragen“ zu antworten, ĂŒberlegen Sie, ob die Antworten auch wirklich sicher sind. Sicher heißt, dass Sie die einzige Person sind, die diese Frage beantworten kann! Gibt es die Möglichkeit, eigene Fragen aufzusetzen, so nutzen Sie diese! Werden Sie jedoch dazu gezwungen, Standardfragen wie „erste Schule“ oder „erstes Haustier“ zu beantworten, so denken Sie daran, Sie mĂŒssen keine wahrheitsgemĂ€ĂŸ Angaben machen.
• Verwenden Sie nicht ein und dasselbe Kennwort fĂŒr mehrere unterschiedliche Sites. Falls die eine infiziert wird, mĂŒssen Sie sich um die anderen keine Sorgen machen. Setzen Sie komplexe Kennwörter auf, die Groß- und Kleinbuchstaben enthalten, Zahlen und Sonderzeichen. Finden Sie einen Weg, um die Kennwörter fĂŒr die verschiedenen Sites zu unterscheiden, etwa indem der erste und letzte Buchstabe der Website am Anfang beziehungsweise Ende des Passwortes enthalten ist
• Erhalten Sie eine „Friend“-Anfrage von jemand, den Sie nicht kennen, so kontaktieren Sie die Person direkt, bevor Sie sie zu ihren Vertrauten hinzufĂŒgen. Fragen Sie nach, woher die Person Sie kennt. Damit schĂŒtzen Sie nicht nur Ihre eigene Vertraulichkeit sondern auch die Ihrer Freunde.
• Es mag sinnvoll sein, die Freunde in Gruppen zu unterteilen, um bestimmte Inhalte nur mit bestimmten Leuten zu teilen.
• Versuchen Sie, die Zahl der installierten Apps und Dienste von Drittanbietern, die Zugriff auf Ihr Konto haben, möglichst gering zu halten. Sie sollten auch wissen, wie man diese Apps entfernt oder sperrt, wenn Sie sie nicht mehr benutzen wollen. Denken Sie daran, dass auch auf Twitter jeder von Ihnen autorisierte Service seine Berechtigungen behĂ€lt, es sei denn, Sie Ă€ndern diese per Hand.
• Klicken Sie keine Links in Nachrichten oder EintrĂ€gen an, auch wenn die Links von Freunden kommen. PrĂŒfen Sie erst, ob die Person die Links auch wirklich an Sie schicken wollte. Damit verhindern Sie nicht nur, Opfer eines Phishing- oder Scam-Angriffs zu werden, sondern könnten auch einem Freund einen Gefallen tun, indem Sie ihn darĂŒber informieren, dass sein Konto kompromittiert ist und von dort Links verschickt werden.

FAKEAV-Malware wird mittlerweile wie als ganz normales GeschĂ€ft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nĂ€mlich Social Engineering-Techniken, FAKEAV-Techniken und das GeschĂ€ft mit der Malware — untersucht, um herauszufinden, warum diese berĂŒchtigte Malware sich so hartnĂ€ckig behaupten kann.

Social Engineering stellt die ĂŒberwiegend genutzte Technik fĂŒr die Weiterentwicklung böswilliger AktivitĂ€ten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel fĂŒr eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche SchwĂ€chen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle fĂŒr die Social Engineering Malware-Taktik.

NatĂŒrlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-GeschĂ€ft geht es um hohe EinsĂ€tze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis fĂŒr eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.

GefĂ€lschte YouTube-Seiten sind ein typisches Merkmal des KOOBFACE-Botnetzes. Damit sollen potenzielle Opfer dazu gebracht werden, den „Codec“ zu installieren, der fĂŒr das Abspielen von Videos nötig ist – in diesem Fall von einer angeblich versteckten Kamera.

Die gefÀlschten Seiten umfassten in einem Fall die Reaktion der KOOBFACE-Gang auf die von Dancho Danchev veröffentlichte Liste ihrer böswilligen AktivitÀten.

Vor einigen Tagen nun schlossen die Kriminellen einen kurzen JavaScript-Code mit ein, der es der Bande erlaubt, die Seiten-Hits direkt zu ĂŒberwachen. Der Tracking-Code liegt am unteren Rand der Seite, und zwar weit unter einer Reihe von <br>-Tags.

Der Code nutzt einen Hit-ZĂ€hler-Webdienst. Laut Information der Hit-ZĂ€hlerseite nutzt die Bande diese Methode seit dem 28. Juli 2010.

Seither gab es 22.905 einzigartige Hits.

Sogar nach Zeitabschnitten verfolgt die Bande ist Seiten-Hits.

Das stĂŒndliche Tracking ermöglicht es den Kriminellen, die NutzeraktivitĂ€ten (nach Tageszeit) mit der Anzahl der KOOBFACE-Infektionen in Verbindung zu setzen. Die Statistikseite enthĂ€lt keinen Hinweis auf die Zeitzone, sodass die Interpretation der Stundendaten nicht besonders nĂŒtzlich wirkt. Die 22.905 Hits stellen die Anzahl der einzelnen Besuche auf der gefĂ€lschten YouTube-Seite dar, die der KOOBFACE-Lader mit dem Datennamen setupNNNN.exe hochschiebt (NNNN ist eine Zufallszahl). Es gibt auf der Hit-ZĂ€hlerseite keine aktuellen Daten dazu, wie viele Nutzer tatsĂ€chlich den KOOBFACE-Loader ausgefĂŒhrt haben.

Mit dem QuickTime Player (Version 7.6.6) stoßen Filmdateien den Download von Dateien an. Cyberkriminelle wiederum nutzen dies, um Malware herunter zu laden. Benson Sy, Threat Research Engineer bei Trend Micro, hat zwei MOV-Dateien (001 Dvdrip Salt.mov und salt dvdrpi [btjunkie][xtrancex].mov) entdeckt, die beide den neuen Film Salt mit Angelina Jolie fĂŒr ihre Zwecke nutzen. Die Dateien sind verdĂ€chtig, weil sie ziemlich klein sind im Vergleich zu den normalen Filmdateien.

Werden die Dateien in QuickTime geladen, so zeigen sie keine Live-Action-Szenen sondern verleiten den Nutzer zum Download von Malware, indem sie vorgeben, entweder einen Update-Codec zu sein oder eine weitere Player-Installation.

Trend Micro hat die beiden MOV-Dateien als TROJ_QUICKTM.A identifiziert. Apple ist ebenfalls von Trend Micro ĂŒber den Angriff informiert worden und hat in einer ersten Reaktion mitgeteilt, dass bei der Attacke keine SicherheitslĂŒcke im QuickTime Player ausgenutzt wird. Stattdessen nutzt der Angriff „social Engineering, um die User dazu zu bringen, die SchĂ€dlinge herunter zu laden“.

Die bösartigen Dateien scheinen eine FunktionalitĂ€t in Quick Time auszunutzen, die als „Wired Actions“ bekannt ist und es ermöglicht, dass QuickTime-Dateien bestimmte Aktionen ausfĂŒhren (in diesem Fall zu einer URL zu gehen). Es lĂ€sst sich in etwa mit der /launch-Funktion in pdf-Dateien vergleichen.

Die erste MOV-Datei nimmt Verbindung zu http://{BLOCKED}.{BLOCKED}.53.196/stat1/pix1.php auf. Von dort wird der User zu http://{BLOCKED}.{BLOCKED}.8.120/cms/976/1/QuickTime_Update_KB640110.exe umgeleitet. Danach wird der Nutzer aufgefordert, entweder die Datei zu speichern oder ablaufen zu lassen. Trend Micro hat den SchÀdling als TROJ_TRACUR.SMDI identifiziert.

Die zweite MOV-Datei wiederum nimmt Verbindung zu http://play.{BLOCKED}nstaller.com/0.c auf. Von dort wird der User dann zu http://player.{BLOCKED}nstaller.com/d77.ph umgeleitet. Hier wird eine Datei heruntergeladen, die Trend Micro als TROJ_DLOAD.QWK erkannt hat. Auch hier soll sich der Nutzer zwischen Speichern oder Ablaufen der Datei entscheiden. Wenn er ausgefĂŒhrt wird, so lĂ€dt der Trojaner eine CAB-Datei herunter, die die Tango Toolbar, einschließlich der Komponenten, installiert.

Anwender von Trend Micro-Lösungen sind vor der beschriebenen Attacke ĂŒber das Trend Micro Smart Protection Network geschĂŒtzt. Denn dieses sorgt mit seinen eingebauten Webreputationsdiensten dafĂŒr, dass die Weiterleitung auf die bösartigen Webseiten und damit das Herunterladen der dort platzierten Schadsoftware unterbunden wird. Anwendern, die befĂŒrchten, ihr Rechner könnte bereits infiziert sein, steht das kostenlose Trend Micro-Tool HouseCall zur VerfĂŒgung, das Schadsoftware erkennt und beseitigen hilft.

Anders als ursprĂŒnglich angenommen setzt die noch nicht geschlossene Schwachstelle in der Windows Shell alle Anwender aller Versionen des Betriebssystems der Gefahr eines Angriffs aus. Dies bestĂ€tigt Microsoft in dem Security Advisory 2286198. Dem Hersteller zufolge entsteht die Schwachstelle, weil „Windows die Shortcuts nicht korrekt parst, sodass bösartiger Code ausgefĂŒhrt werden kann, wenn der Icon eines speziell aufgesetzten Shortcuts angezeigt wird“.

Im Klartext bedeutet das, dass Anwender, die die Inhalte eines Ordners ansehen wollen, der so genannte Shortcuts enthĂ€lt, dem Risiko einer Infektion ausgesetzt sind – und dies sogar ohne ein Dokument zu öffnen.

Sehr wahrscheinlich wird die Schwachstelle vor allem ĂŒber diese Wechselmedien ausgenĂŒtzt werden, dennoch rĂ€t Trend Micro zur Vorsicht beim Umgang mit allen Shortcut-Dateien, deren AuthentizitĂ€t nicht gewĂ€hrleistet ist. Die Schwachstelle kann nĂ€mlich auch ĂŒber verseuchte Freigaben oder bösartig komprimierte Archive wie Zip-Dateien ausgenĂŒtzt werden.

Mittlerweile haben die Kriminellen auch einen funktionierenden Exploit fĂŒr diese Schwachstelle veröffentlicht, sodass Angriffe immer wahrscheinlicher werden.

Microsoft gibt in dem Security Advisory 2286198 auch Anleitungen fĂŒr einen Workaround, um die Anzeige der Icons fĂŒr alle Shortcuts zu deaktivieren.

Die Anwender von Trend Micro-Produkten sind ĂŒber das Smart Protection Network vor dieser Art der Malware geschĂŒtzt. Andere Nutzer können das kostenlose Cleanup-Tool Housecall von Trend Micro verwenden.

Keine guten Zeiten, um nach aktuellen Schlagworten bei Google zu suchen! Die Sicherheitsforscher von Trend Micro haben 4500 Website-Scripts gefunden, mit denen die Ergebnisse von Google-SuchlÀufen manipuliert werden, um die Nutzer auf bösartige Sites weiter zu leiten. Bei den Websites an sich handelt es sich um legitime Adressen wie Kirchen, WohltÀtigkeitsorganisationen oder auch Handwerker-Sites. Die eigentlichen bösartigen Sites dahinter bestehen aus 55 Domains mit unterschiedlichen Hosts.

Die Scripts haben beliebige Namen, doch folgen sie einem gewissen Muster. Wenn Googlebot ein Script anfordert, so kontaktiert dieses einen C&C-Server (Command & Control) und erhÀlt dort die Adresse eines TDS-Servers (Traffic Direction Service). Dann lÀdt es eine Liste mit Links vom C&C-Server herunter. Es gibt dort 10.000 verschiedene Listen zur Auswahl. Die gewÀhlte Liste leitet das Script dann an die Suchmaschine zur Indizierung weiter.

Nachdem die Forscher von diesen 10.000 möglichen Listen nahezu 3000 analysiert hatten, konnten sie bereits 2000 verschiedene manipulierte Suchbegriffe feststellen. Wann immer etwas passiert, beispielsweise derzeit die Tour de France, können Cyberkriminelle mit dieser Infrastruktur binnen Sekunden dafĂŒr sorgen, dass bei den Begriffen “Tour“ oder „France” mindestens sechs bis acht der Top-Ten-Treffer bei Google-Anfragen auf bösartige Webseiten zeigen. Im Falle eines allgemeinen Fehlers oder falls der C&C-Server einen leeren TDS-Server liefert, so gibt es einen festcodierten Ausfallserver “sye628.xorg.pl” mit denselben Parametern wie der Primary Server.

“Durch das Trend Micro Smart Protection Network sind unsere Kunden zeitnah geschĂŒtzt, aber dennoch raten wir zur Vorsicht“, erklĂ€rt Martin Rösler, Director Thread Research bei Trend Micro. „Neben Filmen auf Youtube sind Suchanfragen bei Google heute die beliebtesten Angriffspunkte der Cybermafia. Ich bin sicher das unsere Forschungen hier noch weitere kriminellen AktivitĂ€ten zu Tage fördern werden!”.

Rik Ferguson, Senior Security Advisor bei Trend Micro, untersucht seit Jahren die Welt der CyberkriminalitÀt und hat ein Profil erstellt, das zu einem besseren VerstÀndnis der Cyberbanden und ihrer AktivitÀten beitragen soll.

“Leider bleibt die Schattenwelt der Online-KriminalitĂ€t allzu oft unbemerkt”, beklagt er. „Den meisten Menschen ist gar nicht bewusst, dass ihre IdentitĂ€t einen reellen finanziellen Wert hat. Persönliche Details werden zu unglaublich niedrigen Preisen verkauft, dennoch macht die gesamte Schattenwirtschaft einen riesigen Umsatz.“ Zwar drĂ€ngen immer mehr Amateure und StĂŒmper in dieses fĂŒr sie vermeintlich gute GeschĂ€ft, doch die wahre Gefahr, so Ferguson, kommt von den gut organisierten kriminellen Banden. Nachfolgend ein paar wichtige Fragen, um sich ein Bild von diesen Gangs machen zu können:

Woher kommen sie? Überall in der Welt gibt einige mĂ€chtige Cyberbanden. Russland, die Ukraine und China sind als Heimat fĂŒr Hacker und Cyberkriminelle wohlbekannt, aber auch andere LĂ€nder wie die TĂŒrkei, Brasiline und Estland stehen weit oben auf der Liste.

Was tun sie? Jede Bande hat unterschiedliches FĂ€higkeiten. Die technisch am versiertesten schreiben clevere Software, andere sind auf den Verkauf dieser kriminellen Programme oder von persönlichen Informationen spezialisiert und wieder andere bieten Dienstleistung wie Spam-Verteilung oder den Aufbau ausgeklĂŒgelter Botnetze an. Cybergangs betreiben ein ernstes GeschĂ€ft, koordiniert und kooperativ, mit dem alleinigen Ziel des Profits.

Wieviel verdienen sie? Verschiedene Gruppen haben unterschiedliche UmsĂ€tze, je nach dem Risiko, das sie auf sich nehmen. Die Programmierer verkaufen ihren Code fĂŒr 200 bis 300 Pfund (am teuersten ist wohl die ZeuS-Lizenz mit etwa 6.500 Pfund). Es heißt, ein ZeuS-Programmierer verdient mehr als eine halbe Million Pfund im Jahr! Botnet-Betreiber können sogar mit mehr rechnen, abhĂ€ngig davon, wie erfolgreich sie bei der Infektion von Computern und dem Verkauf ihrer Dienste an andere sind.

Wieviele Mitglieder hat eine Gang? Ein hoher Anteil der Arbeit wird nach außen gegeben, sodass jede Organisation das tut, was sie am besten kann und fĂŒr alles andere weitere Kriminelle bezahlt. Diese Aufteilung fĂŒhrt zu einem sehr komplexen GeschĂ€ftsmodell, in dem einige Teams fĂŒr das Codieren, andere fĂŒr die Suche nach Schwachstellen und wieder andere fĂŒr die Verwaltung der Botnetze und Datamining zustĂ€ndig sind. Schließlich wird ein weiteres Team den IdentitĂ€tsdiebstahl durchfĂŒhren. Die durchschnittliche GrĂ¶ĂŸe eines Teams kann zwischen einem und fĂŒnf Mitgliedern liegen.

Wie spĂŒren wir sie auf? Viele Sicherheitsanbieter können bösartige Dateien erkennen, doch ein Cyber-Verbrechen umfasst eine Menge Beteiligte und vielfache Interessen. Dies aber bedeutet, dass das AufspĂŒren einer bösartigen Datei allein noch nicht ausreicht, um die KomplexitĂ€t einer solchen Untat zu entschlĂŒsseln. Dazu muss das große Ganze bearbeitet werden, um die komplexen GeschĂ€ftsbeziehungen zu verstehen und ganze Malware-Familien zu erkennen, statt lediglich einzelne Dateien. Auch sollte man in Betracht ziehen, dass jede Bedrohung auf mehreren verschiedenen Schichten arbeitet: eine Mail, die einen Link auf eine bösartige Website enthĂ€lt, die eine Schwachstelle auf einem Computer ausnĂŒtzt und einen Trojaner herunterlĂ€dt, der wiederum nach Hause telefoniert, um sich weitere Befehle abzuholen. Trend Micro konzentriert sich auf die Gesamtsicht einer Bedrohung und setzt die Informationen ĂŒber diese verschiedenen Schichten miteinander in Beziehung.

Wann greift die Polizei ein? Normalerweise, wenn es genĂŒgend Beweise dafĂŒr gibt, dass eine einzelne Einheit hinter der AktivitĂ€t steckt. Heutzutage gibt es so viele Cybergangs, dass die Polizei eigene Abteilungen fĂŒr InternetkriminalitĂ€t unterhĂ€lt. Da diese Verbrechen weltweit ausgefĂŒhrt werden, besteht der einzig gangbare Weg darin, die Zusammenarbeit zwischen den Polizeibehörden der verschiedenen LĂ€nder und Kontinente zu verstĂ€rken.

Bereits vor einiger Zeit kursierte die Nachricht vom angeblichen Unfalltod des US-Rappers Slim Shady, Eminem genannt. Jetzt ist eine Spam-Mail im Umlauf, die nach wie vor behauptet, das GerĂŒcht sei wahr. Als Absender wird der Nachrichtendienst CBS News genannt. Die EmpfĂ€nger werden in der Nachricht aufgefordert, auf den angegebenen Link zu klicken, der angeblich zu einem Video mit mehr Details zu dem behaupteten Unfall fĂŒhrt.

Statt zu dem Video werden die Anwender jedoch zu einer Webseite weitergeleitet, von der eine ausfĂŒhrbare Datei (.exe) heruntergeladen wird.

Bei der Datei handelt es sich allerdings um eine Schadsoftware, um eine Variante des Botnetzes ZBOT (TROJ_ZBOT.HBI). Mit dieser Schadsoftware spionieren Cyberkriminelle in der Regel Zugangsdaten der Anwender zu Online-Banking, sozialen Netzwerken oder E-Mail-Konten aus.

Die Anwender von Trend Micro-Produkten sind ĂŒber das Smart Protection Network vor dieser Gefahr geschĂŒtzt, den die Content-Sicherheitsinfrastruktur blockiert Spam-Nachrichten, verhindert das Herunterladen von verdĂ€chtigen URLs und erkennt bösartige Dateien.