Spam und Phishing im ersten Quartal 2017

Inhalt

Spam: die wichtigsten Ereignisse des Quartals

Spam vom Botnet Necurs

Über den drastischen Anstieg der Spammenge mit schädlichen Anhängen, die in erster Linie Verschlüsselungstrojaner enthalten, haben wir bereits berichtet. Für einen großen Teil dieses Spams war das Botnetz Necurs verantwortlich, das auch zum gegenwärtigen Zeitpunkt noch als das größte Spam-Botnetz der Welt gilt. Ende Dezember 2016 kam die Aktivität dieses Netzes allerdings fast vollständig zum Erliegen – und wie die Praxis zeigen sollte, hatte das nichts mit den Weihnachtsferien zu tun. Die von diesem Botnetz ausgehende Spammenge blieb praktisch im Laufe des gesamten ersten Quartals 2017 auf äußerst niedrigem Niveau.

Warum ist der Spam-Strom versiegt? Man weiß, dass das Botnetz aktiv ist, die Bots warten auf Befehle. Möglicherweise sind die Verbrecher angesichts der Aufmerksamkeit, die Verschlüsselungsschädlinge in letzter Zeit auf sich ziehen, vorsichtig geworden und haben beschlossen, die massenhaften Versendungen für eine gewisse Zeit auszusetzen.

Trotzdem registrieren wir weiterhin schädliche Versendungen, die vermutlich vom Botnetz Necurs ausgehen. Ihr Umfang beträgt allerdings nur einen Bruchteil der Menge aus dem Dezember vergangenen Jahres:

Spam und Phishing im ersten Quartal 2017

Menge der von Kaspersky Lab registrierten schädlichen Spam-Mails, die vermutlich vom Botnetz Necurs versandt wurden

Die E-Mails waren, wie auch schon früher, in den meisten Fällen als verschiedene Rechnungen und andere offizielle Dokumente getarnt:

Spam und Phishing im ersten Quartal 2017

Im Anhang an die oben dargestellte E-Mail befand sich ein MS-Word-Dokument mit Makro, das ein Verschlüsselungsprogramm der Familie Rack auf den Computer des Nutzers lädt (detektiert als Trojan.NSIS.Sod.jov)

Neben den Schadversendungen stießen wir auch auf eine Versendung von diesem Botnetz mit so genanntem Pump-and-Dump-Spam:

Spam und Phishing im ersten Quartal 2017

Versendungen dieser Art sind in der Regel von sehr großem Umfang und sehr kurzer Dauer. Das liegt daran, dass die Betrüger es schaffen müssen, die von ihnen beworbenen Aktien recht schnell „aufzupumpen“ und dann abzusetzen (pump and dump), solange ihre Machenschaften an der Börse noch nicht aufgeflogen sind. Derartiger Börsenbetrug wird strafrechtlich verfolgt, daher versuchen die Kriminellen hinter diesem Betrug die Operation in höchstens zwei Tagen abzuschließen. Zu einem solchen Zweck bietet sich das Zombienetz Necurs aufgrund seiner großen Leistungsstärke ebenfalls an – Forscher schätzen seinen derzeitigen Umfang auf mehr als 200.000 Bots.

Bedeutet nun ein derart drastischer Rückgang der Schadversendungen mit Verschlüsselungsschädlingen, dass dieser Typ von Versendungen seinen Zenit überschritten hat und jetzt in die Bedeutungslosigkeit versinkt? Leider ist das keineswegs der Fall.

Die Gesamtmenge der im E-Mail-Traffic gefundenen Schadprogramme ging gegenüber dem vorangegangenen Quartal zurück, jedoch nicht so dramatisch, und zwar um das 2,4-Fache.

Spam und Phishing im ersten Quartal 2017

Zahl der Alarme von Kaspersky Anti-Virus bei den Kunden von Kaspersky Lab, viertes Quartal 2016 und erstes Quartal 2017

Schädliche Versendungen gibt es nach wie vor, und auch wenn sie mengenmäßig zurückgehen, nutzen Kriminelle verschiedene Methoden, um sowohl die Schutzlösungen als auch die Anwender in die Irre zu führen.

Schädliche E-Mails mit passwortgeschütztem Archiv

Im ersten Quartal beobachteten wir einen Trend zur Erschwerung der Erkennung von Schadmails durch das Verpacken des zu versendenden Schädlings in ein passwortgeschütztes Archiv.

Dabei wurde versucht, das potenzielle Opfer mit den klassischen Mitteln dazu zu bringen, das Archiv zu öffnen: Die E-Mails kamen als Bestellbestätigungen großer Online-Shops, als verschiedene Rechnungen, Übersetzungen und Bewerbungen daher, oder sie stellten dem Nutzer mehr Geld in Aussicht.

In den angehängten Archiven befanden sich in der Regel Office-Dokumente, die entweder Makros oder Javascript enthielten. Beim Start luden diese Dateien andere Schadprogramme auf den Computer des Nutzers. Interessant ist, dass die schädliche „Payload“, die via Spam verbreitet wird, nach dem Rückgang der Aktivität des Botnetzes Necurs äußerst vielfältig wurde. Die Cyberkriminellen verschickten sowohl Ransomware als auch verschiedene Spionageprogramme, Backdoors und neue Modifikationen des berühmt-berüchtigten Trojaners Zeus.

Spam und Phishing im ersten Quartal 2017

Bei den Anhängen aus den oben dargestellten Beispielen handelt es sich um Word-Dokumente, die Makros enthalten, die wiederum von onion-Domains in verschiedenen Zonen einige unterschiedliche Modifikationen von Verschlüsselungstrojanern aus der Familie Cerber herunterladen. Der Schädling verschlüsselt stichprobenartig Daten auf dem Computer des Nutzers und fordert ein Lösegeld, das über eine Webseite im Netzwerk Tor gezahlt werden soll.

Spam und Phishing im ersten Quartal 2017

Im an dieses Schreiben angehängten Archiv befindet sich die Datei Richard-CV.doc mit einem Makro, das von der Domain onion.nu Vertreter der Spionagetrojaner-Familie Fareit herunterlädt. Diese Schädlinge sammeln vertrauliche Informationen über den Nutzer und senden sie an einen entfernten Server.

Spam und Phishing im ersten Quartal 2017

Auch in diesem Fall wurde ein Spionage-Trojaner heruntergeladen, dieses Mal allerdings stammte der Schädling aus der Familie Pinch. Er sammelt Passwörter, E-Mail-Adressen, Informationen über die Systemkonfiguration und die Registrryeinstellungen. Unter anderem trägt er auch Informationen aus Instant-Messaging-Systemen und E-Mail-Clients zusammen. Die so erhaltenen Daten werden verschlüsselt und den Cyberverbrechern per E-Mail zugeschickt. Laut den mit Hilfe des KSN zusammengetragen Daten wurden die meisten Programme dieser Art in Russland, Indien und dem Iran verbreitet.

Interessant ist, dass die meisten derartigen Spionage-Programme als Geschäftskorrespondenz getarnt waren. Dabei wurden die Briefe im Namen verschiedener tatsächlich existierender kleiner oder mittelständischer Unternehmen verschickt, mit allen dazugehörigen Unterschriften und Kontaktdaten, und nicht im Namen abstrakter Organisationen.

In diesem Beispiel gibt es im Gegensatz zu allen anderen kein passwortgeschütztes Archiv. Der Hinweis auf die Notwendigkeit, ein Passwort einzugeben, ist eine Falle: Die Betrüger wollen den Anwender dazu bringen, dass er die standardmäßig deaktivierten Makros in Microsoft Word aktiviert, damit das schädliche Szenario auch funktioniert.

Spam und Phishing im ersten Quartal 2017

Das schädliche Schema aus diesem Beispiel läuft folgendermaßen ab: Das passwortgeschützte Dokument, das ein Skript in Visual Basic enthält, lädt den Bot Andromeda auf den infizierten Computer. Letztgenannter verbindet sich mit dem Command-and-Control-Server und wartet auf Befehle von den Cybergangstern. Seine Funktionalität ist sehr weit gefasst, zudem kann er weitere Schadprogramme auf den Computer des Nutzers laden.

Spam und Phishing im ersten Quartal 2017

Diese E-Mail, die als Benachrichtigung von einem Online-Store daherkommt, enthält ein schädliches Skript. Nach Eingabe des Passwortes und Start des schädlichen Innenlebens wird im Verzeichnis %TEMP% die Datei Receipt_320124.lnk erstellt. Diese lädt ihrerseits einen Bank-Trojaner aus der Familie Sphinx auf den Computer, bei dem es sich wiederum um eine Modifikation des älteren und bekannteren Schädlings Zeus handelt.

Wie man sieht, enthalten die verschiedensten Versendungen nun Dateien, die in einem passwortgeschützten Archiv gepackt sind. Vermutlich wird sich dieser Trend fortsetzen: Passwortgeschützte Dokumente sehen in den Augen der Anwender unter Umständen sogar vertrauenswürdiger aus, und für Schutzlösungen stellen sie ein Problem dar.

Spam über legale Dienste

Moderne virtuelle Kommunikationsplattformen (Messenger, Soziale Netzwerke) werden ebenfalls aktiv von Spammern zur Verbreitung von Werbung und betrügerischen Angeboten benutzt. In den Sozialen Netzwerken registrieren Cyberkriminelle eigens Accounts, um Spam zu versenden, und um ihre Nachrichten glaubhafter erscheinen zu lassen, verwenden sie dieselben Methoden wie auch im Fall der traditionellen Versendungen (beispielsweise sind die im Account und im versendeten Schreiben angegebenen persönlichen Daten identisch). Im E-Mail-Traffic kursiert unter Umständen ein und derselbe Spam, beispielsweise „nigerianische“ E-Mails, Arbeitsangebote und andere. Die Benachrichtigungen über den Erhalt von Mitteilungen gehen normalerweise an die E-Mail-Adresse des Empfängers und in diesem Fall sind die technischen Header des elektronischen Schreibens legitim – dass es sich um Spam handelt, kann nur anhand des Mitteilungsinhalts erkannt werden. Spam, der direkt per E-Mail verschickt wird, kann auch aufgrund der technischen Header detektiert werden. Die Detektion solcher E-Mails ist keine schwere Aufgabe für die Spam-Filter, ganz im Gegensatz zu den Mitteilungen, die über legale Dienste versendet werden, insbesondere wenn die Adresse dieses Dienstes auf der Weißen Liste des Empfängers steht.

Spam und Phishing im ersten Quartal 2017

Moderne Spam-Filter werden problemlos mit der Erkennung von Spam fertig, der auf traditionelle Weise versendet wird, daher sind die Spammer gezwungen, nach neuen Methoden zur Umgehung der Spam-Filter zu suchen.

Feiertage im Spam

Im ersten Quartal nahm der Feiertagsspam Bezug auf den Jahreswechsel, auf den St. Patrick’s Day, auf Ostern und den Valentinstag. Kleine und mittelständische Unternehmen priesen ihre Waren und Dienstleistungen an und lockten mit Feiertagsrabatten. Angebote chinesischer Hersteller verwiesen auf das chinesische Neujahrsfest, das Mitte Februar gefeiert wird.

Spam und Phishing im ersten Quartal 2017

Spammer forderten die Nutzer auch vielfach auf, an Umfragen teilzunehmen und versprachen dafür im Gegenzug Gutscheine oder Geschenkkarten von großen Online-Shops. Auf dieses Weise versuchten sie, an die persönlichen Informationen und Kontaktdaten der Empfänger zu kommen.

Zunahme von B2B-Spam

Im vergangenen Quartal registrierten die Experten von Kaspersky Lab eine große Zahl von Versendungen, in denen zielgerichtete Datenbanken von nach Branchen geordneten Unternehmen angeboten wurden. Diese Art von Spam ist bei Spammern nach wie vor populär und richtet sich in erster Linie an Unternehmen oder einzelne Geschäftsleute, und nicht an den normalen Nutzer. Daher wird dieser Spam-Typ in der Regel an die Kontakt- oder Adresslisten von Firmen aus einem bestimmten Geschäftssegment versendet, die die Spammer auf dieselbe Weise erhalten haben, nämlich mittels Spam.

Spam und Phishing im ersten Quartal 2017

Die Angebote werden im Namen von Firmen oder deren Vertreter verschickt, doch häufig tragen sie auch ganz unpersönlichen Charakter.

Die Spammer verfügen über Datenbanken aus jedem beliebigen Geschäftsbereich, überdies verwalten sie Kontakte von Ausstellern auf großen Messen, Teilnehmern von Seminaren, Foren und anderen Veranstaltungen. Um das Interesse der Empfänger zu wecken, bieten ihnen die Spammer häufig einige Kontakte aus ihrer Sammlung kostenlos an.

Statistik

Spam-Anteil im E-Mail-Traffic

Spam und Phishing im ersten Quartal 2017

Spam-Anteil im weltweiten E-Mail-Traffic, viertes Quartal 2016 und erstes Quartal 2017

In den ersten drei Monaten des Jahres 2017 ging der Spam-Anteil im E-Mail-Traffic gegenüber dem letzten Quartal 2016 zurück. Im Januar sank er auf 55,05 Prozent ab und im Februar war er mit 53,4 Prozent noch etwas geringer. Doch bereits im März zeigte das Spamniveau erneut eine Wachstumstendenz und stieg auf 56,9 Prozent an. Insgesamt betrug der Spam-Anteil im weltweiten E-Mail-Traffic im ersten Quartal 2017 durchschnittlich 55,9 Prozent.

Spam und Phishing im ersten Quartal 2017

Spam-Anteil im russischen E-Mail-Traffic, viertes Quartal 2016 und erstes Quartal 2017

Die Spam-Situation im russischen Internetsegment stellte sich etwas anders dar als die weltweite Situation. Im Januar 2017 stieg der Anteil der unerwünschten Korrespondenz auf fast 63 Prozent und hielt sich bis zum Ende des Quartals im Bereich zwischen 60 und 63 Prozent. Ähnlich wie es auch im globalen E-Mail-Traffic zu beobachten war, sank der Spam-Anteil im Februar zunächst auf 60,35 Prozent mit einem anschließenden Anstieg auf 61,65 Prozent im März. Der durchschnittliche Spam-Anteil betrug im ersten Quartal im russischen E-Mail Traffic durchschnittlich 61,66%.

Spam-Herkunftsländer

Spam und Phishing im ersten Quartal 2017

Spam-Herkunftsländer weltweit, erstes Quartal 2017

Im ersten Quartal 2017 konnten die USA ihre Führungsposition unter den Spam versendenden Ländern behaupten, und zwar mit einem Anteil von 18,75 Prozent. Den zweiten und dritten Platz belegten mit deutlichem Abstand zum Spitzenreiter, mit jedoch nahezu identischen Werten zwei Vertreter der asiatisch-pazifischen Region – Vietnam (7,86 %) und China (7,77 %). Position vier besetzt Deutschland (5,37 %), gefolgt von Indien (5,16 %).

Ebenfalls in den Top 10 vertreten sind Russland (4,93 %), Frankreich (4,41 %), Brasilien (3,44 %), Polen (1,90 %) und die Niederlande (1,85 %).

Größen der Spam-Mails

Spam und Phishing im ersten Quartal 2017

Größen der Spam-Mails, viertes Quartal 2016 und erstes Quartal 2017

Nach den Ergebnissen des ersten Quartals 2017 ging der Anteil der sehr kleinen E-Mails (bis 2 KB) im Spam-Traffic deutlich zurück und betrug durchschnittlich 29,17 Prozent, das ist ein um 12,93 Prozentpunkte geringerer Wert als im vierten Quartal 2016. Die Anteile der unerwünschten E-Mails mit einer Größe zwischen zwei und fünf KB (3,74 %) und der Spam-Mails mit einer Größe von fünf bis zehn KB (7,83 %) gehen auch weiterhin zurück.

Die Anteile der unerwünschten Schreiben mit einer Größe von zehn bis 20 KB (25,61 %) und von 20 bis 50 KB (28,04 %) sind hingegen gestiegen. Die bereits im letzten Jahr beobachtete allgemeine Tendenz zum Rückgang der Menge äußerst kleiner E-Mails und zur Zunahme von unerwünschten Schreiben mittlerer Größe setzt sich also fort.

Schädliche Anhänge

Тop 10 der Malware-Familien

Nach den Ergebnissen des ersten Quartals 2017 bleibt die im E-Mail-Traffic am weitesten verbreitete Schadprogramm-Familie Trojan-Downloader.JS.Agent (6,14 %). Es folgt Trojan-Downloader.JS.SLoad (3,79 %), und auf Platz drei befindet sich die Familie Trojan-PSW.Win32.Fareit (3,10 %).

Spam und Phishing im ersten Quartal 2017

Top 10 der Schadprogramm-Familien, erstes Quartal 2017

Den fünften Platz unserer Тop 10 besetzt die Familie Backdoor.Java.Adwind (2,36 %). Diese Plattform übergreifende, multifunktionale Backdoor ist in Java programmiert und wird im Darknet im Format „Malware-as-a-Service“ (MaaS) verkauft. Bekannt ist sie auch unter den Namen AlienSpy, Frutas, Unrecom, Sockrat, JSocket und jRat. In der Regel wird sie via E-Mail in Form von JAR-Anhängen verbreitet.

Unter den Neulingen auf der Liste befindet sich auch die Familie Trojan-Dropper.JS.Agent (1,27 %) auf Platz neun. Es handelt sich dabei um ein Javaskript, das in sich der Schadsoftware verbirgt, die es dann auf dem Computer installiert und ausführt.

Abgeschlossen werden die Top 10 der Malware-Familien von Trojan-Downloader.VBS.Agent (1,26 %).

Zielländer der Schadversendungen

Spam und Phishing im ersten Quartal 2017

Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, erstes Quartal 2017

Die meisten Alarme löste Kaspersky Anti-Virus im ersten Quartal 2017 in China aus (18,23 %). Auf Position zwei befindet sich der Spitzenreiter des Vorjahres, Deutschland, mit 11,86 Prozent. Abgeschlossen wird das Führungstrio von Großbritannien (8,16 %).

Es folgen Italien (7,87 %), Brasilien (6,04 %) und Japan (4,04 %). Russland belegt mit einem Wert von 3,93 Prozent den siebten Platz. Die USA befinden sich mit einem Anteil von 2,46 Prozent auf Rang neun. Vietnam (1,94 %) beschließt die Top 10.

Phishing

Im ersten Quartal 2017 vereitelte das „Antiphishing“-System von Kaspersky Lab 51.321.809 Versuche der Nutzer von Kaspersky-Produkten, eine Phishing-Seite zu besuchen. Insgesamt wurden im Laufe des Quartals weltweit 9,31 Prozent der individuellen Anwender der Produkte von Kaspersky Lab von Phishern angegriffen.

Geografie der Attacken

Das Land mit dem größten Anteil der von Phishern angegriffenen Nutzer bleibt wie schon in den vergangenen Quartalen China, mit einem Wert von 20,88 Prozent. Der Anteil des Landes ging im ersten Quartal um 1,67 Prozentpunkte zurück.

Spam und Phishing im ersten Quartal 2017

Geografie der Phishing-Attacken*, erstes Quartal 2017

* Anteil der Anwender, auf deren Computern das Antiphishing-System Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land.

Den zweiten Platz belegt Brasilien (19,16 %) – mit einem Minus von 0,8 Prozentpunkten gegenüber dem vorangegangenen Quartal. Der Anteil Macaos (11,94 %) ist um 0,91 Prozentpunkte gestiegen und das Land belegt damit Position drei. Russland ist nicht mehr Teil des Führungstrios und befindet sich jetzt auf Platz vier (11,29 %, plus 0,73 Prozentpunkte). Abgeschlossen werden die Top 5 von Australien (10,73 %, minus 0,37 Prozentpunkte).

Top 10 der Länder nach Anteil der angegriffenen Anwender

Land %
China 20,87%
Brasilien 19,16%
Macao 11,94%
Russland 11,29%
Australien 10,73%
Argentinien 10,42%
Neuseeland 10,18%
Katar 9,87%
Kasachstan 9,61%
Taiwan 9,27%

In der zweiten Hälfte der Тop 10 befinden sich Argentinien (10,42 %, plus 1,78 Prozentpunkte), Neuseeland (10,18 %), Katar (9,87 %) Kasachstan (9,61 %) und Taiwan (9,27 %).

Ziele der Phishing-Attacken

Kategorien-Rating der von Phishern angegriffenen Organisationen

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link in einer E-Mail oder im Internet auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Im ersten Quartal 2017 entfiel mehr als die Hälfte der Alarme des Systems „Antiphishing“ auf Phishing-Seiten, die Bezug nahmen auf Marken und Organisationen der Kategorien „Banken“ (25,82 %, minus 0,53 Prozentpunkte), „Bezahlsysteme“ (13,6 %, plus 2,23 Prozentpunkte) und „Online-Shops“ (10,89 %, plus 0,48 Prozentpunkte). Auf die Kategorie „Finanzen“ entfielen etwas mehr als 50 Prozent aller registrierten Phishing-Attacken.

Spam und Phishing im ersten Quartal 2017

Verteilung der von Phishern angegriffenen Organisationen im ersten Quartal 2017

Häufiger als andere wurden im ersten Quartal auch Organisationen aus der Kategorie „Globale Internetportale“ (19,1 %) angegriffen. Deren Anteil ging gegenüber dem vorangegangenen Quartal allerdings um 5,25 Prozentpunkte zurück. Die Anteile der Kategorien „Soziale Netzwerke“ (9,56 %) und „Mobilfunk- und Internetanbieter“ (5,93 %) gingen ebenfalls zurück, jedoch nur unwesentlich, und zwar um 0,32 respektive 0,83 Prozentpunkte. Auf die Kategorie „Online-Games“ entfiel im ersten Quartal ein Anteil von 1,65 Prozent, auf die Kategorie „Instant-Messaging-Systeme“ 1,53 Prozent.

Тop 3 der von Phishern angegriffenen Organisationen

Am häufigsten waren populäre Marken massenhaften Phishing-Attacken ausgesetzt: Mehr als die Hälfte der Alarme des „Antiphishing“-Systems entfielen auf Phishing-Seiten, die sich hinter den Namen von insgesamt 15 bekannten Unternehmen verstecken.

Die Тop 3 sind schon zwei Quartale in Folge unverändert. Im ersten Quartal war Yahoo! erneut Spitzenreiter nach Anteil der Namenserwähnungen dieser Marke auf Phishing-Seiten (7,57 %), wobei der Wert um 1,16 Prozentpunkte zurückging. Den zweiten Platz belegt wie auch schon im vierten Quartal 2016 Facebook (7,24 %), wobei dessen Anteil ebenfalls zurückging, und zwar um 0,13 Prozentpunkte. Microsoft (5,39 %) belegt mit einem Minus von 0,83 Prozentpunkten den dritten Platz.

Organisation Prozentualer Anteil an allen Alarmen
Yahoo! 7,57
Facebook 7,24
Microsoft Corporation 5,39

Um mit einer Attacke eine möglichst große Zielgruppe zu erreichen, verweisen die Betrüger auf eine Vielzahl von Marken, in der Hoffnung, dass das Opfer zumindest auf eine von ihnen reagiert. Unterstützt werden sie dabei von der Funktion, die es ermöglicht, sich mit Hilfe bestehender Accounts zu authentifizieren, die viele Internetdienste in dem Bestreben verwenden, ihren Nutzern das Leben zu erleichtern. Daher erweckt eine Seite, auf der man unter einer Vielzahl verschiedener Account-Daten auswählen kann, um sich einzuloggen, auch kein Misstrauen. Den Betrügern wird es auf diese Weise ermöglicht, mit der Erstellung nur einer einzigen Phishing-Seite die Nutzerdaten für zahlreiche unterschiedliche Ressourcen zu stehlen.

Spam und Phishing im ersten Quartal 2017

Beispiel einer Phishing-Seite, auf der man sich angeblich durch die Eingabe der Account-Daten für andere Web-Ressourcen einloggen kann

Spam und Phishing im ersten Quartal 2017

Diese Phishing-Seite nutzt einen ähnlichen Mechanismus, und zwar unter dem Vorwand des Logins bei „Google Drive“

Die Top-Themen des Quartals

Bezahlsysteme

Nicht zum ersten Mal entfällt ein nicht geringer Teil aller Alarme der heuristischen Komponente innerhalb eines Quartals auf Organisationen aus der Kategorie „Bezahlsysteme“: In diesem Quartal betrug der Anteil 13,6 Prozent, das ist praktisch jede achte Attacke.

Schaut man sich die Liste der angegriffenen Bezahlsysteme auf Organisationsebene an, so belegt PayPal (28,25 %) den ersten Platz im Rating. Es folgen mit geringem Abstand Visa (25,78 %) und American Express (24,38 %).

Organisation Prozentualer Anteil*
PayPal 28,25
Visa Inc. 25,78
American Express 24,38
MasterCard International 16,66
Andere 4,94

*Anteil der Attacken auf die entsprechende Organisation an allen Attacken auf Organisationen der Kategorie „Bezahlsysteme“

Das Ziel der Phisher, die die Kunden populärer Bezahlsysteme angreifen, sind beliebige persönliche Informationen und Bezahldaten, Daten für den Zugriff auf Konten und Accounts und so weiter. Die Verbrecher platzieren die betrügerischen Inhalte auf Ressourcen mit guter Reputation, um das Vertrauen der Nutzer zu gewinnen und die Schwarzen Listen zu umgehen. So entdeckten wir beispielsweise eine gefälschte Support-Seite von PayPal, die sich auf dem Service „Google Sites“ (Hauptdomain – google.com) befand. Nach einem Klick auf das Banner wurde der Anwender auf eine Phishing-Seite umgeleitet, auf der er aufgefordert wurde, seine Zugangsdaten für das Bezahlsystem einzugeben.

Spam und Phishing im ersten Quartal 2017

Beispiel für eine Phishing-Seite, die die Marke PayPal ausnutzt und auf einer Google-Domain untergebracht ist

Ein anderer verbreiteter Fall ist die Unterbringung von Phishing-Content auf den Servern von Regierungsorganen. Das liegt unter anderem auch daran, dass sich ein bedeutender Teil der Regierungsstrukturen nicht um den Schutz ihrer Webressourcen kümmert.

Spam und Phishing im ersten Quartal 2017

Beispiel für eine Phishing-Seite, die die Marke PayPal ausnutzt und auf einem Server der Regierung von Sri Lanka untergebracht ist

Spam und Phishing im ersten Quartal 2017

Beispiel einer Phishing-Seite, die die Marke PayPal ausnutzt und auf einem Server der Regierung von Bangladesch untergebracht ist

Als Köder wurden zumeist E-Mails eingesetzt, die die Drohung enthielten, den Account zu sperren oder in denen der Nutzer gebeten wurde, seine Daten im Bezahlsystem zu aktualisieren.

Online-Shops

Jede zehnte Phishing-Attacke richtete sich gegen Nutzer von Online-Shops. In diesem Quartal war Amazon (39,13 %) die unter Phishern beliebteste Marke aus dieser Kategorie.

Organisation Prozentualer Anteil
Amazon.com: Online Shopping 39,13
Apple 15,43
Steam 6,5
eBay 5,15
Alibaba Group 2,87
Taobao 2,54
Andere 28,38

Mit der Ausnutzung der Marke Amazon versuchen Cyberkriminelle nicht nur die Zugangsdaten zum Amazon-Account zu stehlen, sondern auch ganz allgemein alle möglichen persönlichen Daten des Nutzers, unter anderem Informationen über seine Bankkarten. Nicht selten kommt es vor, dass gefälschte Seiten auf Domains mit guter Reputation untergebracht werden, bbeispielsweise auf der Domain des Telekommunikationsunternehmens Vodafone.

Spam und Phishing im ersten Quartal 2017

Beispiel einer Phishing-Seite, die die Marke Amazon ausnutzt und auf einer Vodafone-Domain untergebracht ist

Am Kampf gegen Phishing verdienen

Neben den Standard-Phishing-Mails und -Seiten hatten wir es im ersten Quartal auch oft mit anderen Betrugsmethoden zu tun. Häufig bieten Betrüger, die sich den Wunsch Vieler nach dem schnellen Geld zunutze machen, Geld für das Anschauen von Werbung, Programme für den automatischen Aktienhandel und vieles mehr.

Spam und Phishing im ersten Quartal 2017

Spam-Mails mit Angeboten, schnelles Geld zu verdienen

Im ersten Quartal stießen wir auf eine betrügerische Ressource, deren Thematik uns sehr gefiel, denn es ging um die Bekämpfung von Phishing-Webseiten. Um sich schnell etwas dazuzuverdienen, musste man sich registrieren und einige Aufgaben lösen, deren Ziel die Bewertung von Webseiten war, wobei die folgenden Varianten zur Wahl standen: schädlich, sicher, lädt nicht. Dabei sollte nur der Inhalt der Seite bewertet werden, ihre Adresse wurde nicht angezeigt.

Spam und Phishing im ersten Quartal 2017

Bei dem Versuch, das Geld für 31 bewertete Webseiten abzuheben, stellt sich heraus, dass zunächst sieben US-Dollar bezahlt werden müssen

Für jede auf diese Weise bewertete Webseite werden dem Nutzer etwa drei US-Dollar gutgeschrieben. Um das verdiente Geld aber abheben zu können, müssen den Betreibern der Ressource zunächst sieben US-Dollar überwiesen werden, mit denen der Nutzer bestätigen soll, dass er volljährig und zahlungsfähig ist. Dass das „verdiente“ Geld danach nicht mehr gezahlt wird, versteht sich von selbst.

Fazit

Auch wenn die Spam-Menge im weltweiten E-Mail-Traffic zu Beginn des ersten Quartals 2017 zurückging, „stabilisierte“ sich die Situation im März und der durchschnittliche Spamanteil betrug insgesamt 55,9 Prozent. Nach Menge des aus dem jeweiligen Land versendeten Spams behaupteten die USA (18,75 %) ihre Führungsposition. Auf den Plätzen zwei und drei landeten Vietnam (7,86 %) und China (7,77 %).

Neben allem anderen war das erste Quartal auch durch den drastischen Rückgang des Schadspams gekennzeichnet, der von dem Botnetz Necurs verschickt wurde: Im Vergleich zum vorhergehenden Berichtszeitraum ging die Menge solcher Versendungen um ein Vielfaches zurück. Diese Flaute könnte allerdings nur von kurzer Dauer sein: Vermutlich haben die Cyberkriminellen die Versendungen so lange eingestellt, bis sich die allgemeine Aufregung um die Verschlüsselungsschädlinge wieder gelegt hat.

Der Schadspam enthielt in diesem Quartal in den meisten Fällen Schädlinge aus der Familie Trojan-Downloader.JS.Agent. Auf sie entfielen 6,14 Prozent aller via E-Mail versendeten Schadprogramme. Auf Platz zwei in diesem Rating befindet sich Trojan-Downloader.JS.SLoad (3,79 %), den dritten Platz belegt Trojan-PSW.Win32.Fareit (3,10 %).

Innerhalb des Berichtszeitraums vereitelte das System „Antiphishing“ 51.321.809 Versuche der Anwender, auf Phishing-Seiten zu gelangen, und auf dem ersten Platz der Länder nach Zahl der von Phishern angegriffenen Nutzer landete China (20,88 %). Der Anteil des Finanzsektors dominiert weiterhin das Kategorien-Rating der von Phishern angegriffenen Organisationen, und wir erwarten, dass sich dieser Trend auch in Zukunft fortsetzen wird.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.