Spam und Phishing im dritten Quartal 2016

Inhalt

Spam: die wichtigsten Ereignisse des Quartals

Schadspam

Im Laufe des gesamten Jahres 2016 beobachten die Experten von Kaspersky Lab eine riesige Menge an Spam mit schädlichen Anhängen; im dritten Quartal hat dieser Wert erneut deutlich zugenommen. Laut den vom Kaspersky Security Network (KSN) zusammengetragenen Daten schlug Kaspersky Anti-Virus im dritten Quartal 2016 insgesamt 73.066.751 Mal Alarm. Die meisten schädlichen Anhänge enthielten trojanische Ladeprogramme, die wiederum Erpresser-Trojaner laden.

Spam und Phishing im dritten Quartal 2016

Anzahl der Alarme von Kaspersky Anti-Virus, erstes bis drittes Quartal 2016

Die Menge des versendeten Schadspams erreichte ihren Höchststand im September 2016. Unserer Einschätzung zufolge entfielen im September allein auf die Versendungen des Botnetzes Necurs 6,5 Prozent der gesamten Spam-Menge. Wir erinnern daran, dass diese Art von Schadspam den Schädling Locky auf die Rechner der Opfer lädt.

Die meisten E-Mails hatten neutralen Charakter. Die Spammer versuchten die Anwender dazu zu bringen, den schädlichen Anhang zu öffnen, indem sie ihn als Rechnung von verschiedenen Organisationen, als Quittung, Eintrittskarte, Dokumentenscan, Sprachnachricht, Benachrichtigung von Online-Shops und so weiter tarnten. Einige Mitteilungen enthielten überhaupt keinen Text. All das entspricht der Tendenz, die in den letzten Jahren im Spam zu beobachten ist: Die Betrüger versuchen nicht mehr, die Nutzer zu überraschen oder zu verschrecken, um sie dazu zu bringen, auf einen schädlichen Link zu klicken oder einen Anhang zu öffnen. Im Gegenteil, die Spammer sind bemüht, den Inhalt des Schreibens so unauffällig wie möglich zu gestalten, damit er sich nicht von dem der übrigen persönlichen Korrespondenz unterscheidet. Offensichtlich setzen sie darauf, dass ein wesentlicher Teil der Nutzer seine Hausaufgaben in puncto Internet-Sicherheit gemacht hat und in der Lage ist, eine reale Bedrohung von einer falschen zu unterscheiden. Daher werden schädliche Anhänge als absolut neutrale Inhalte getarnt.

spam_q3_2016_de_2

Bemerkenswert ist aber, dass in dem vom Botnetz Necurs verschickten Spam zwar eine typische Schablone für die technischen Header verwendet wurde, die Download-Schemata des Verschlüsselungsschädlings Locky allerdings stark voneinander abweichen konnten. So kann man in den fünf oben stehenden Beispielen die folgenden Schemata antreffen:

  • Ein in ein ZIP-Archiv verpacktes JavaScript-Ladeprogramm lädt und startet Locky.
  • Locky wird mit Hilfe von Makros in einer.docm-Datei geladen.
  • Eine archivierte HTML-Seite enthält ein Skript in JavaScript, das Locky lädt.
  • Eine archivierte HTML-Seite enthält ein Skript in JavaScript, das das verschlüsselte Objekt Payload.exe lädt, welches nach der Dechiffrierung Locky startet.

Obfuskierte IP

Im dritten Quartal experimentierten die Spammer weiter mit der Obfuskation von Links. Dem bereits bekannten Trick mit der Darstellung von IP-Adressen im Hexadezimal- und Oktalformat fügten die Spammer verschiedene Verrauschungen hinzu. Das hatte zur Folge, dass eine IP-Adresse in einem Link beispielsweise folgendermaßen aussah:

HTTP://@[::ffff:d598:a862]:80/

Darüber hinaus fügten die Spammer vor der Domain/IP-Adresse Nicht-Buchstaben-Symbole und Schrägstriche ein, wie im folgenden Beispiel:

http://0122.0142.0xBABD/

<a href=/@/0x40474B17

Kurz-URL-Dienste

Die Spammer experimentierten auch mit Kurz-URL-Diensten, indem sie zwischen den Schrägstrichen unterschiedlichen Text einfügten, wie etwa hier:

Spam und Phishing im dritten Quartal 2016

Manchmal wurden auch andere Links als Text-Müll verwendet:

Spam und Phishing im dritten Quartal 2016

Verwendung von Suchanfragen

Einige Spammer tarnten die Adressen ihrer Webseiten als Suchanfragen. Durch den Einsatz dieses Tricks schlagen die Spammer zwei Fliegen mit einer Klappe: Sie umgehen die „Schwarzen Listen“ und machen die Links für jede E-Mail einmalig. Doch im dritten Quartal 2016 gingen sie noch einen Schritt weiter und machten sich die Suchfunktion „I’m Feeling Lucky“ von Google zunutze. Diese Option leitet den Browser direkt auf die Webseite um, die als erstes Ergebnis in der Liste steht. Um die Suchfunktion zu aktvieren, muss man am Ende eines Links lediglich „&btnI=ec“ anfügen. Das hat zur Folge, dass der Browser des Nutzers mit einem Klick auf den Link aus der E-Mail nicht auf die Ergebnisliste für die entsprechende Anfrage bei Google umgeleitet wird, sondern direkt auf die Spammer-Webseite. Selbstverständlich ist die Werbe-Webseite selbst derart optimiert, dass sie bei der gestellten Anfrage ganz oben auf der Ergebnisliste steht. Im Rahmen einer Versendung kann es sehr viele Anfragen dieser Art geben.

spam_q3_2016_de_5

Im oben dargestellten Beispiel kommt auch noch ein weiterer Trick zum Einsatz. Die Suchanfrage selbst ist in kyrillischen Buchstaben dargestellt. Die Buchstaben des kyrillischen Alphabets werden zunächst in der Dezimalcodierung kodiert (so wird das russische Wort für Auto, „авто“, zu „Авто“). Anschließend wird die Anfrage komplett, samt der Sonderzeichen, in die URL-Codierung im Hexadezimalsystem übertragen.

Gefälschte populäre Webseiten

Phisher versuchten im dritten Quartal, die Nutzer zu betrügen, indem sie ihre Links den URLs beliebter Webseiten nachzuempfinden versuchten. Der Trick ist alt, doch während zu diesem Zweck die realen Namen früher geringfügig und unauffällig verändert wurden, so kommen heute entweder vermehrt Subdomains zum Einsatz, die den echten Namen kopieren, oder lange Domains mit Bindestrichen. So haben wir im Rahmen von Angriffen auf Paypal-Nutzer beispielsweise die folgenden Domains gefunden:

spam_q3_2016_de_6

Und bei Phishing-Attacken auf Apple-User diese:

spam_q3_2016_de_7

Außerdem kommen den Spammern auch neue „sprechende“ Domain-Zonen zugute, in denen ein gefälschter Link thematisch passend und daher vertrauenswürdiger wirkt, wie zum Beispiel:

spam_q3_2016_de_8

Tester gesucht

Im E-Mail-Traffic des dritten Quartals stießen die Kaspersky-Experten häufig auf Spam-Versendungen, die das Angebot enthielten, kostenlos eine Ware zu testen. Dem freiwilligen Tester versprach man, das Produkt anschließend behalten zu können. Die Autoren der von uns analysierten E-Mails dieser Art boten beliebte und nachgefragte Waren zum Testen an. Dabei handelte es sich in erster Linie um Haushaltselektronik von bekannten Marken (Kaffeemaschinen, Roboterstaubsauger), Haushaltschemie, Kosmetik und sogar Lebensmittel. Außerdem stießen wir auf verschiedene Angebote, die neuesten Modelle von Unterhaltungs- und Kommunikationselektronik zu testen, unter anderem das neue iPhone, das Ende des dritten Quartals 2016 auf den Markt kam. “ Register to test & keep a new iPhone 7S! Wanted: iPhone 7S Testers!“ hieß es in den Betreffs der Spam-Mails solcher Versendungen. Die Veröffentlichung des neuen iPhone hat außerdem traditionell eine Flut von Spam ausgelöst, der sich ausschließlich mit Apple-Produkten beschäftigt.

Die Versender solcher Mitteilungen haben aber rein gar nichts mit den großen Unternehmen zu tun, deren Waren sie als Köder benutzen. Überdies verwenden sie für ihre Versendungen Strohmann-E-Mail-Adressen in leeren, größtenteils gerade erst erstellten Domains.

spam_q3_2016_de_9

Die Autoren dieser Versendungen versprechen, die zu testende Ware via Post zuzustellen, und unter diesem Vorwand bitten Sie den Empfänger der E-Mail, seine Postadresse anzugeben sowie seine E-Mail-Adresse und andere persönliche Daten. Für geringe Ausgaben wie Porto muss der Teilnehmer an der Aktion dabei selbst aufkommen. Eine Garantie dafür, dass er dann auch die Originalware in der entsprechenden Qualität erhält, oder dafür, dass er überhaupt irgendeine Ware erhält, gibt es jedoch nicht. Im Internet finden sich auch Rezensionen von Nutzern, die nie irgendeine Ware erhalten haben, auch nicht nach Zahlung der Portokosten. Das erinnert an ein Element nicht-virtuellen Betrugs: Cyberkriminelle erhalten unter dem glaubhaft von ihnen vorgebrachten Vorwand, Portogebühren einfordern zu müssen, eine Überweisung des Opfers und verschwinden daraufhin spurlos.

Gutscheine für jeden Geschmack

Unter den von uns im dritten Quartal analysierten Spam-Versendungen entdeckten wir einige interessante Exemplare, die alle das Thema gefälschte Geschenkkarten oder Gutscheine gemein hatten. Der Empfänger solcher E-Mails wird aufgefordert, sich an einer Online-Umfrage zu beteiligen, um dann als Dank einen Gutschein im Wert von mehreren zehn oder sogar mehreren hundert Euro oder US-Dollar zu erhalten – zum Einkauf bei großen internationalen Handelsnetzen, Online-Einkaufszentren, virtuellen Supermärkten, populären Fastfood-Ketten oder sogar Tankstellen.

spam_q3_2016_de_10

In einigen Fällen behaupteten die Versender der betrügerischen Mitteilungen, den Service der Organisation verbessern zu wollen, im Namen derer sie die großzügige Aktion durchführten, wie auch die Qualität ihrer Waren und Dienstleistungen. Aus diesem Grund sei die Umfrage erforderlich. In anderen Fällen war angeblich ein glücklicher Zufall dafür verantwortlich, dass die E-Mail-Adresse des Empfängers unter vielen anderen ausgewählt wurde, der nun als Dank für die Nutzung der Waren oder Dienstleistungen dieser Marke ein großzügiges Geschenk erhält. Die Mitteilungen wurden dabei willkürlich an Adressen aus Spammer-Datenbanken verschickt, deren Inhaber nicht zwangsläufig Kunden der in den E-Mails erwähnten Unternehmen sein mussten.

Um den Erhalt des Geschenkgutscheins zu bestätigen, wird der Nutzer gebeten, auf einen in der E-Mail enthaltenen Link zu klicken, der sich in einer leeren Domain mit „sprechendem“ Namen befindet (beispielsweise „Gewinner des Tages“). Über einen Redirect gelangt der Nutzer dann schließlich auf eine gerade erst erstellte Webseite mit einem Banner, das ganz im Stil der Marke aufgemacht ist, im Namen derer die Versendung initiiert wurde. Dort wird dem Anwender mitgeteilt, dass die Zahl der Gutscheine begrenzt sei, es aber viele Interessenten gebe. Daher blieben ihm nur 1,5 Minuten, um auf den Link zu klicken und damit sein Einverständnis zum Erhalt des Geschenks zu geben. Nach einer weiteren kurzen Umfrage nach der Art von „Wie häufig nutzen Sie unsere Dienste?“ und „Wofür werden Sie den Gutschein voraussichtlich verwenden?“ wird der Anwender aufgefordert, seine persönlichen Daten in ein spezielles Formular einzutragen. Schließlich wird der „glückliche Gewinner“ auf die Webseite von Secure Payment umgeleitet, wo er alle Bankkartendaten eintragen und nicht existierende Auslagen bezahlen soll (in dem von uns untersuchten Fall betrugen diese eine Krone).

Den im Netz gefundenen Berichten nach zu urteilen wurde das potenzielle Opfer bei einigen Varianten dieses Gutschein-Betrugs nach dem Klick auf den entsprechenden Link nicht aufgefordert, ein Online-Formular auszufüllen. Stattdessen sollte es eine bestimmte Nummer anrufen, um die Umfrage telefonisch durchzuführen. Dieses Betrugsschema ist ebenfalls weit verbreitet und beinhaltet, dass der Anrufer so lange in ein kostenpflichtiges Telefonat verwickelt wird, bis er das Gespräch selbst abbricht oder beginnt, auf die versprochene Belohnung zu drängen.

Wie auch bei den Versendungen mit der Aufforderung, verschiedene Waren zu testen, wurden die Nachrichten auch im Fall des Gutscheinbetrugs von gefälschten Adressen von leeren oder gerade erst erstellten Domains versendet. Sie hatten keinerlei Bezug zu den bekannten Organisationen, deren Gutscheine die Betrüger ihren potenziellen Opfern versprachen.

Statistik

Spam-Anteil im E-Mail-Traffic

spam_q3_2016_de_11

Spam-Anteil im weltweiten E-Mail-Traffic, zweites und drittes Quartal 2016

Im dritten Quartal 2016 war der September mit 61,25 Prozent der Monat mit dem größten Spamanteil. Der durchschnittliche Spam-Anteil im weltweiten E-Mail-Traffic betrug 59,19 Prozent, das ist ein um fast zwei Prozentpunkte höherer Wert als im vorangegangenen Quartal.

Spam-Herkunftsländer

spam_q3_2016_de_12

Spam-Herkunftsländer weltweit, drittes Quartal 2016

Im dritten Quartal 2016 hat der Anteil Indiens (14,02 %) mit vier Prozentpunkten deutlich zugenommen. Infolgedessen landete das Land auf dem ersten Platz im Rating der Spam-Herkunftsländer. Vietnam (11,01 %), dessen Anteil um einen Prozentpunkt zugelegt hat, behauptete sich auf Position zwei. Abgerutscht auf Rang drei sind hingegen die USA (8,88 %), deren Anteil um 1,9 Prozentpunkte abgenommen hat.

Wie auch schon im vorangegangenen Quartal befinden sich China (5,02 %) und Mexiko (4,22 %) auf den Positionen vier respektive fünf. Es folgen Brasilien (4,01 %), Deutschland (3,80 %) und Russland (3,55 %). Abgeschlossen werden die Top 10 wie bereits im zweiten Quartal von der Türkei (2,95 %).

Größen der Spam-Mails

spam_q3_2016_de_13

Größen der Spam-Mails, zweites und drittes Quartal 2016

Die meisten unerwünschten Mitteilungen hatten der Tradition folgend auch im dritten Quartal 2016 eine Größe von bis zu zwei KB (55,78 %). Ihr Anteil geht im Verlauf des gesamten Jahres zurück. Im dritten Quartal betrug die Abnahme 16 Prozentpunkte. Deutlich gestiegen ist der Anteil von E-Mails mit einer Größe zwischen zehn und 20 KB, und zwar von 10,66 auf 21,19 Prozent. In den übrigen Kategorien gab es nur minimale Veränderungen.

Schädliche Anhänge

Derzeit werden die meisten Schadprogramme proaktiv mit automatisierten Techniken aufgespürt, was das Erstellen einer Statistik zu konkreten Schädlingsmodifikationen stark erschwert. Daher präsentiert Kaspersky Lab nun stattdessen eine weitaus informativere Statistik: Die Top 10 der Schadprogramm-Familien nach Anteil der Alarme bei einer konkreten Familie an allen Alarmen von Kaspersky Anti-Virus.

Top 10 der Malware-Familien

Im dritten Quartal 2016 belegte traditionell die Familie Trojan-Downloader.JS.Agent (9,62 %) den ersten Platz in unserem Rating. Aufgestiegen auf Position zwei ist die Familie Trojan-Downloader.JS.Cryptoload (2,58 %), deren Anteil um 1,34 Prozentpunkte zugenommen hat. Abgeschlossen wird das Führungstrio wie bereits im vorangegangenen Quartal von der Familie Trojan-Downloader.MSWord.Agent (2,34 %).

Von Platz zwei auf Platz vier abgerutscht ist die populäre Familie Trojan-Downloader.VBS.Agent (1,68 %), deren Wert um 0,48 Prozentpunkte zurückgegangen ist. Rang fünf belegt Trojan.Win32.Bayrob (0,94 %).

Spam und Phishing im dritten Quartal 2016

Top 10 der Schadprogramm-Familien, drittes Quartal 2016

Der Neueinsteiger des dritten Quartals, Worm.Win32.WBVB (0,60 %), befindet sich in der zweiten Hälfte unserer Тop 10, auf Platz sieben. Zu dieser Familie gehören ausführbare Dateien in Visual Basic 6 (sowohl im P-code-Modus als auch im Native Mode), die im KSN nicht als vertrauenswürdig gelten. Dabei werden die Vertreter dieser Familie nur von Kaspersky Anti-Virus detektiert. Unsere Lösung erkennt unter dieser Bezeichnung Objekte, deren Namen den Nutzer in die Irre führen, wie zum Beispiel AdobeFlashPlayer, InstallAdobe und andere.

Auf Position acht befindet sich Trojan.JS.Agent (0,54 %). Ein typischer Vertreter dieser Familie ist eine Datei mit einer Erweiterung wie.wsf, .html und .js. Um Informationen über den Browser, das Betriebssystem und die Software zu sammeln, nutzt der Schädling – wenn verfügbar – eine dafür geeignete Sicherheitslücke aus. Ist die benötigte verwundbare Software vorhanden, so versucht das Skript, über einen vorgegebenen Link ein schädliches Skript oder eine schädliche Anwendung zu starten.

Platz neun belegt ein weiterer Neuling, und zwar Trojan-Downloader.MSWord.Cryptoload (0,52 %). In der Regel handelt es sich bei den Vertretern dieser Familie um ein .doc- oder .docx-Dokument, das ein Skript enthält, welches in Microsoft Word ausgeführt werden kann (Visual Basic for Applications). Im Skript ist eine Prozedur zur Herstellung einer Verbindung, zum Download, zum Speichern und zum Starten einer Datei enthalten. Dabei handelt es sich normalerweise um einen Verschlüsselungstrojaner.

Am Ende der Top 10 der Malware-Familien steht die Familie Trojan.Win32.Agent (0,51 %), die im vergangenen Quartal den siebten Platz belegte.

Zielländer der Schadversendungen

Spam und Phishing im dritten Quartal 2016

Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, drittes Quartal 2016

Die meisten Alarme löste Kaspersky Anti-Virus im dritten Quartal in Deutschland aus (13,21 %). Deutschland behauptet damit seine Führungsposition, obgleich sich sein Anteil verringert hat, und zwar um 1,48 Prozentpunkte. Von Platz eins auf Platz zwei abgerutscht ist Japan (8,76 %), dessen Anteil im Gegenteil zugenommen hat, nämlich um 2,36 Prozentpunkte. Vervollständigt wird das Führungstrio von China (8,37 %), das gegenüber dem vorangegangenen Quartal ein Minus von 5,23 Prozentpunkten zu verzeichnen hat.

Russland (5,54 %) belegte im dritten Quartal die vierte Position im Rating der Zielländer von Schadversendungen, sein Anteil stieg um 1,14 Prozentpunkte. Auf Platz fünf befindet sich Italien (5,01 %). Die USA (4,15 %) landeten – wie bereits im zweiten Quartal – auf der siebten Position. Abgeschlossen werden diese Top 10 von Österreich mit einem Anteil von 2,54 Prozent.

Phishing

Im dritten Quartal 2016 verhinderte das „Antiphishing“-System von Kaspersky Lab 37.515.531 Versuche der Nutzer von Kaspersky-Produkten, eine Phishing-Seite zu besuchen. Das sind rund 5,2 Millionen mehr als im vorangegangenen Quartal. Insgesamt wurden im zweiten Quartal weltweit 7,75 Prozent der individuellen Anwender der Produkte von Kaspersky Lab von Phishern angegriffen.

Geografie der Attacken

Das Land mit dem größten Anteil der von Phishern angegriffenen Nutzer bleibt wie schon im zweiten Quartal China mit einem Wert von 20,21 Prozent. Der Anteil des Landes ging im dritten Quartal um 0,01 Prozentpunkte zurück.

Spam und Phishing im dritten Quartal 2016

Geografie der Phishing-Attacken*, drittes Quartal 2016

*Anteil der Anwender, auf deren Computern das Antiphishing-System Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land.

Der Anteil der in Brasilien (18,23 %) angegriffenen Nutzer ging um 0,4 Prozentpunkte zurück, in den Vereinigten Arabischen Emiraten (11,07 %) ist er hingegen um 0,88 Prozentpunkte gestiegen. Diese beiden Länder belegen in unserem Rating den zweiten beziehungsweise dritten Platz. Es folgen Australien (10,48 %, minus 2,29 Prozentpunkte) und Saudi Arabien (10,13 %, plus 1,5 Prozentpunkte).

Top 10 der Länder nach Anteil der angegriffenen Anwender

China 20,21%
Brasilien 18,23%
Vereinigte Arabische Emirate 11,07%
Australien 10,48%
Saudi Arabien 10,13%
Algerien 10,07%
Neuseeland 9,7%
Macao 9,67%
Staat Palästina 9,59%
Südafrika 9,28%

Der Anteil der angegriffenen Nutzer in Russland betrug im dritten Quartal 7,74 Prozent. Es folgen mit geringem Abstand Kanada (7,16 %), die USA (6,56 %) und Großbritannien (6,42 %).

Ziele der Phishing-Attacken

Kategorien-Rating der von Phishern angegriffenen Organisationen

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Im dritten Quartal 2016 betrug der Anteil der angegriffenen Kunden von Finanzorganisationen (Banken, Bezahlsysteme, Online-Shops) mehr als die Hälfte aller registrierten Attacken. Der Anteil der Kategorie „Banken“ stieg um 1,7 Prozentpunkte und betrug damit 27,13 Prozent. Die Anteile der Kategorien „Online-Shops“ (12,21 %) und „Bezahlsysteme“ (11,55 %) stiegen um 2,82 respektive 0,31 Prozentpunkte.

Spam und Phishing im dritten Quartal 2016

Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, drittes Quartal 2016

Neben den Finanzorganisationen attackierten Phisher im dritten Quartal am häufigsten Organisationen aus der Kategorie „Globale Internetportale“ (21,73 %), „Soziale Netzwerke und Blogs“ (11,54 %) und „Mobilfunk- und Internetanbieter“ (4,57 %). Gegenüber dem letzten Quartal haben sich ihre Anteile allerdings fast nicht verändert. Die Differenzen betrugen für jede der genannten Kategorien weniger als einen Prozentpunkt.

Die Top-Themen des Quartals

Attacken auf Online-Banking-Nutzer

Im dritten Quartal ist der Anteil der angegriffenen Nutzer in der Kategorie „Banken“ deutlich gestiegen, und zwar um 1,7 Prozentpunkte. Dabei befanden sich vier der Banken, deren Kunden am häufigsten angegriffen wurden, in Brasilien. In den letzten Jahren gehört dieses Land zur Stammbesetzung unseres Ratings der Länder mit den höchsten Anteilen an von Phishern angegriffenen Nutzern, und es belegt sogar in Abständen immer wieder den ersten Platz. Selbstverständlich sind Online-Banking-Nutzer die bevorzugten Ziele von Cyberkriminellen, da mit erfolgreichen Attacken auf diese Klientel das größte Geld zu machen ist.

In den meisten Fällen werden die Links auf gefälschte Bank-Seiten via E-Mail verbreitet.

Spam und Phishing im dritten Quartal 2016

Beispiel für eine Phishing-Mail, die im Namen einer brasilianischen Bank versendet wurde. Der Link in der E-Mail führt auf eine gefälschte Webseite, auf der die Login-Prozedur zum Internet-Banking nachgeahmt wird

„Pornovirus“ für Facebook-Nutzer

Zu Beginn des vergangenen Quartals waren russischsprachige Facebook-Nutzer betrügerischen Attacken ausgesetzt. Nach demselben Schema hatten Betrüger fast ein halbes Jahr zuvor Nutzer in Europa angegriffen. Die Cybergangster markierten ihre potenziellen Opfer in einem provokanten Video, das diese angeblich nur ansehen konnten, wenn sie auf eine gefälschte Webseite gingen (am weitesten verbreitet war diese Seite auf der Domain xic.graphics), die eine YouTube-Seite imitierte.

Spam und Phishing im dritten Quartal 2016

Beispiel für die Benachrichtigung über die Markierung in einem Posting mit Video

Auf der Phishing-Seite wurde der Nutzer aufgefordert, eine Browser-Erweiterung herunterzuladen, die bei der Installation die Berechtigung zum Lesen aller Daten im Browser erbittet. Auf diese Weise kamen die Betrüger im Folgenden an die eingegebenen Passwörter, Anmeldedaten, Bankkarteninformationen und andere vertrauliche Informationen des Nutzers. Außerdem erhielten sie die Möglichkeit, weiterhin Links auf sich selbst in Facebook zu verbreiten, jetzt allerdings schon im Namen des neuen Opfers.

Die Tricks der Phisher

Auch in diesem Quartal setzen wir unsere Berichterstattung über die beliebtesten Fallstricke der Internet-Betrüger fort. Der Sinn und Zweck der verschiedenen Tricks liegt auf der Hand – das Opfer soll davon überzeugt werden, dass es sich auf einer legitimen Ressource befindet, ohne dass die Angriffe von den Filtern der Schutzlösungen abgefangen werden. Häufig ist es so, dass gerade die Seiten, die den Opfern am authentischsten erscheinen, am leichtesten von verschiedenen Technologien zur Betrugsverhinderung detektiert werden.

Schöne Domains

Wir haben bereits über die Tricks und Kniffe der Spammer berichtet, die in ihren Schreiben schöne Links verwenden, über die sie Phishing-Content verbreiten. Cyberbetrüger greifen häufig auf diese Methode zurück, ganz egal, wie die Phishing-Seite verbreitet wird. Auf diese Weise versuchen sie jene Nutzer in die Irre zu führen, die sehr wohl auf die Adresse in der Adressleiste schauen, technisch jedoch nicht versiert genug sind, um den Schwindel zu erkennen.

So kann die Hauptdomain der Organisation, deren Kunden angegriffen werden, durch eine Domain der 13. Ebene repräsentiert werden:

spam_q3_2016_de_20

Oder die Domain wird einfach in Verbindung mit anderen „sprechenden“ Wörtern gebraucht, wie etwa mit dem Wort secure:

Spam und Phishing im dritten Quartal 2016

Mit Hilfe dieser Tricks werden die potenziellen Opfer hinters Licht geführt, doch andererseits wird auch die Erkennung mittels Schutzprogrammen auf diese Weise wesentlich erleichtert.

Unterschiedliche Sprachen für unterschiedliche Opfer

Durch die Auswertung der IP-Adresse eines potenziellen Opfers können die Phisher das Land bestimmen, in dem es sich befindet. In dem unten aufgeführten Beispiel wird zu diesem Zweck der Service http://www.geoplugin.net/json.gp?ip=. verwendet.

Spam und Phishing im dritten Quartal 2016

Je nach Land, das sie festzustellen in der Lage waren, wählen die Betrüger zur Anzeige der Seite das Wörterbuch mit der entsprechenden Sprache.

Spam und Phishing im dritten Quartal 2016

Beispiele für Dateien, die als Wörterbücher bei der Erstellung der Phishing-Seite in der jeweiligen Sprache verwendet werden

Spam und Phishing im dritten Quartal 2016

In diesem Fall ist die Ausgabe von elf verschiedenen Varianten der Seite für 32 verschiedene Standorte vorgesehen:

Spam und Phishing im dritten Quartal 2016

Beispiel eines Skriptes, das von Phishern für die Ausgabe einer relevanten Seite in Abhängigkeit vom Standort des Opfers verwendet wird

Тop 3 der von Phishern angegriffenen Organisationen

Der Löwenanteil des zielgerichteten Phishings richtet sich gegen die Anwender einiger der populärsten Marken. Diese Unternehmen haben eine Vielzahl von Kunden rund um den Globus. Daher ist die Chance der Betrüger groß, bei ihren Phishing-Attacken viele Treffer zu landen. Mehr als die Hälfte aller Alarme der heuristischen Komponente unseres „Antiphishing“-Systems entfällt auf Phishing-Seiten, die sich hinter den Namen von weniger als 15 bekannten Unternehmen verstecken.

Auf die Тop 3 der angegriffenen Organisationen entfielen im dritten Quartal 21,96 Prozent aller Alarme der heuristischen Komponente.

Organisation Prozentualer Anteil an allen Alarmen
Facebook 8,04
Yahoo! 7,45
Amazon.com 6,47

Spitzenreiter unter den Organisationen, deren Nutzer am häufigsten von Phishern angegriffen werden, ist im dritten Quartal Facebook (8,1 %), dessen Anteil um 0,07 Prozentpunkte zugelegt hat. Microsoft, die erstplatzierte Organisation im zweiten Quartal, ist nicht mehr unter den ersten Drei. Den zweiten Platz belegt das globale Internetportal Yahoo! (7,45 %), das mit einem Zuwachs von 0,38 Prozentpunkten einen Rang aufgestiegen ist. Auf Position drei befindet sich der Neuling im Führungstrio – Amazon – mit einem Anteil von 6,47 Prozent.

Fazit

Im dritten Quartal 2016 betrug der durchschnittliche Spam-Anteil im weltweiten E-Mail-Traffic 59,19 Prozent, das sind fast zwei Prozentpunkte mehr als im zweiten Quartal 2016. Die größte anteilige Spam-Menge registrierten die Kaspersky-Experten im September mit 61,25 Prozent. Im Rating der Spam-Herkunftsländer besetzt Indien (14,02 %) den Spitzenplatz, das im vorangegangenen Quartal nur den vierten Platz belegte. Neben Indien bilden Vietnam (11,01 %) und die USA (8,88 %) das Führungstrio dieser Hitliste.

Die Besetzung der ersten drei Länder, in die die meisten schädlichen Anhänge gesendet werden, hat sich gegenüber dem letzten Quartal praktisch nicht geändert. Wie schon im Verlauf des gesamten Jahres belegt Deutschland (13,21 %) auch im dritten Quartal den Spitzenplatz, mit deutlichem Abstand gefolgt von Japan (8,76 %) und China (8,37 %).

Im dritten Quartal 2016 verhinderten die Produkte von Kaspersky Lab mehr als 37,5 Millionen Versuche der Nutzer, eine Phishing-Seite zu besuchen. Das sind rund 5,2 Millionen mehr als im vorangegangenen Quartal. In erster Linie standen Finanzorganisationen im Visier der Phisher, insbesondere Banken: Auf diese Kategorie entfielen 27,13 Prozent der Attacken. Dabei griffen die Phisher am häufigsten die Kunden von vier brasilianischen Banken an.

Related Articles

Es gibt 1 Kommentar
  1. Detlef Sugland

    Gute Berichte und die entsprechenden Warnungen. Diese Lektüre ist zu empfehlen.
    Aus jeden Fall ; Finger von die Dinger ;
    Gruß und Dank: Detlef Sugland

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.