Kaspersky Lab Jahresbericht 2010: Spam im Jahr 2010

  1. Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2010
  2. Kaspersky Security Bulletin 2010: Statistik für das Jahr 2010
  3. Spam im Jahr 2010

    Kaspersky Lab analysiert täglich etwa 1,5 Millionen Spam-Mails. Als Material für die Analyse dienen Querschnitte aus qualitativ und quantitativ unterschiedlichen Mail-Strömen unserer Kunden und Partner sowie Spam, der in bestimmten „Fallen“ hängen bleibt. Der gesamte Spam wird automatisch klassifiziert und ein Teil der eingehenden Mails zusätzlich manuell analysiert. Eine einzigartige Klassifizierungstechnologie ermöglicht es uns, die prozentuale und thematische Verteilung der unerwünschten Nachrichten zu ermitteln.

    Kampf gegen Spam und den Versand von Schadcode im Jahr 2010

    Der Kampf gegen Spam war im Jahr 2010 auf verschiedenen Ebenen nahezu revolutionär. Vor allem die Erfolge der Strafverfolgungsbehörden verschiedener Länder im Kampf gegen die Cyberkriminalität, unter anderem gegen den Versand von Spam, sind bemerkenswert.

    Im vergangenen Jahr wurden Steuerungszentren von Spam-Botnetzen wie Waledac, Pushdo/Cutwail, Lethic und Bredolab abgeschaltet, mehrere große Prozesse gegen mutmaßliche Cyberverbrecher geführt, und das Spam-Partnerprogramm SpamIt stellte seine Tätigkeit ein. Als Folge dieser Ereignisse änderte sich die geografische Verteilung der wichtigsten Spam-Quellen sowie die thematische Zusammensetzung der unerwünschten Nachrichten. So nahm zum Ende des Jahres der Anteil der aus den USA stammenden Spam-Menge dramatisch ab, der Spam-Anteil aus Osteuropa stieg hingegen an. Erstmals seit Beginn unserer Untersuchungen beobachten wir eine stetige Abnahme des Spam-Anteils im gesamten E-Mail-Verkehr. Allerdings gibt es auch eine schlechte Nachricht: Spam ist um einiges gefährlicher geworden.

    Wir haben bereits über die Kriminalisierung von Spam berichtet – darüber, wie kleine und mittlere Unternehmen langsam aus dieser Nische der illegalen Werbung verschwinden und diese immer mehr zum Werkzeug von Betrügern und Verkäufern imitierter oder illegaler Produkte wird. Im Jahr 2010 wurde Spam zudem zur Quelle zahlreicher schädlicher Attacken: Innerhalb des Jahres stieg der Anteil schädlicher Anhänge in Spam-E-Mails um das 2,6-fache an.

    Schädlicher Spam

    Im Jahr 2010 erreichte der Anteil schädlicher Mitteilungen im E-Mail-Verkehr 2,2 Prozent (der Vorjahreswert lag bei 0,85 Prozent). Auf dem Höhepunkt der Attacken im August betrug die Menge der E-Mails mit schädlichen Anhängen 6,29 Prozent des gesamten Verkehrs. Möglicherweise lenkten gerade diese gehäuften Angriffe die Aufmerksamkeit der Strafverfolgungsbehörden auf den Spam.

    Die effektivsten Methoden und Tricks setzten die Spammer insbesondere in Versendungen ein, mit deren Hilfe sie Malware verbreiteten. Die Mitteilungen in solchen Versendungen waren geschickt als offizielle Mitteilungen populärer Webressourcen wie zum Beispiel soziale Netzwerke, Online-Shops, Banken und Web-Hoster getarnt. Dabei wurden auch Social-Engineering-Methoden verwendet. Klickte ein Anwender auf einen in solchen E-Mails enthaltenen Link, so wurde dessen Browser beispielsweise auf eine Website mit Viagra-Werbung umgeleitet und gleichzeitig heimlich auf eine schädliche Webseite gelotst.

    Zum Ende des Jahres änderte sich das Angriffsziel der Verbreiter schädlichen Spams: Unter den Empfängern befanden sich immer mehr Einwohner von Entwicklungsländern. Der Grund dafür liegt sehr wahrscheinlich im aktiven Kampf gegen Botnetze in den USA und in Westeuropa. Die Cyberkriminellen weiteten nun ihre Botnetze aus, indem sie die Computer der Anwender in Ländern angriffen, in denen die Strafverfolgungsbehörden dem Kampf gegen Cyberkriminalität nicht die gebührende Aufmerksamkeit widmen.

    Schließung von Botnetzen: Eine Chronologie

    Anfang Januar 2010 wurde das Botnetz Lethic geschlossen. Leider hatte das fast keinen Einfluss auf die Spam-Menge im E-Mail-Verkehr, und bereits im Februar war Lethic wiederhergestellt.

    Ende Februar wurden 277 Domains geschlossen, die mit dem Steuerungssystem des Botnetzes Waledac zusammenhingen, und in der ersten Märzhälfte ging der Spam-Anteil im E-Mail-Verkehr um 3,1 Prozentpunkte zurück. Allerdings erreichte die Spam-Menge im Mai wieder ihr altes Niveau.

    Im August wurden etwa 20 Steuerungszentren des Botnetzes Pushdo/Cutwail geschlossen, die nach verschiedenen Einschätzungen für 10 Prozent des weltweiten Spam-Aufkommens verantwortlich waren. Verglichen mit August führte das im September zu einem Rückgang der Spam-Menge um 1,5 Prozentpunkte.

    Der letzte und zugleich auch effektivste Schlag gegen Spammer gelang mit der Abschaltung von 143 Control & Command-Servern des Botnetzes Bredolab am 25. Oktober 2010. Nach Angaben der holländischen Polizei umfasste das Zombie-Netz zum Zeitpunkt der Schließung seiner Steuerungszentren etwa 30 Millionen Computer von Anwendern in verschiedenen Ländern. Das Botnetz diente zum Versand pharmazeutischen Spams und zur Verbreitung von Schädlingen aller Art mit Hilfe von Spam. In unserem Bericht zum dritten Quartal des Jahres 2010 haben wir bereits ausführlich über die Spam-Versendungen berichtet.

    Die Schließung des Botnetzes Bredolab hat sich deutlich auf die Spam-Menge im E-Mail-Verkehr ausgewirkt. Nach der Abschaltung ging der Spam-Anteil sofort kurzzeitig um zirka 8 bis 9 Prozentpunkte zurück. Allerdings war der Durchschnittswert auch im Oktober niedrig und betrug 77,4 Prozent – rund 3,6 Prozentpunkte weniger als im September. Der aus den USA stammende Spam-Anteil nahm aufgrund des erfolgreichen Kampfes gegen Botnetze beispiellos stark ab und sank von 15,5 Prozent im August auf 1,6 Prozent im Oktober.

    Die Schließung der Steuerungszentren des Botnetzes Bredolab wurde vom Computer Emergency Readiness Team (CERT) zusammen mit Spezialeinheiten der holländischen Polizei, Experten für IT-Sicherheit und dem Hosting-Provider, in dessen Netzen die entsprechenden Server gefunden worden waren, durchgeführt. Am folgenden Tag wurde am internationalen Flughafen Jerewan einer der Inhaber des abgeschalteten Zombie-Netzes verhaftet. Konnte man Besitzer von Zombie-Computern ausfindig machen, wurde ihnen eine Benachrichtigung über die Infizierung sowie Instruktionen zur Desinfizierung geschickt.

    Anzumerken ist in diesem Zusammenhang, dass Bredolab bis zur Abschaltung der Botnetze unter anderem Spam-Bots wie zum Beispiel Rustock (Backdoor.Win32.HareBot) und Pushdo (Backdoor.Win32.NewRest.aq) auf die Rechner der User geladen hatte. Das Spam-Botnetz Pushdo gehörte seinerseits zu den wichtigsten Verbreitungsquellen von Backdoor.Win32.Bredolab.

    Spam und das Gesetz

    Die Inhaftierung des Betreibers des Bredolab-Botnetzes war nicht die einzige Aktion, die aufgrund von Ermittlungen gegen Spammer erfolgreich abgeschlossen werden konnte.

    Ende September gab es Massenverhaftungen von Mitgliedern einer Gruppierung, die das Schadprogramm ZeuS verbreitet hatte, welches häufig mit Hilfe von Spam in Umlauf gebracht wird. Infolge der Verhaftungen wurden deutlich weniger Computer mit diesem Schädling infiziert.

    Im Oktober nahmen die Strafverfolgungsbehörden die auf den Versand pharmazeutischen Spams spezialisierten Partnerprogramme ins Visier. Am ersten Tag des Monats schloss das Programm SpamIt seine virtuellen Pforten – eines der weltweit größten Partnerprogramme für den Verkauf pharmazeutischer Präparate. Schon Ende Oktober strengte die Untersuchungsabteilung der Moskauer Polizei ein Strafverfahren gegen Igor Gusev, Generaldirektor der LLC „Desmedia“, an. Er wird des Verkaufs gefälschter pharmazeutischer Präparate wie Viagra in den USA, Kanada und anderen Ländern beschuldigt. Diese Präparate wurden über das Partnerprogramm Glavmed.com mit Spam-Mitteilungen beworben. Dieses ist nach Meinung vieler zum Teil mit dem oben erwähnten Partnerprogramm SpamIt identisch. Bekanntermaßen wird der Versand von Spam in Russland bislang nicht strafrechtlich verfolgt, und auch der Begriff „Spam“ ist noch nicht juristisch definiert. Das Strafverfahren gegen Igor Gusev wurde nach Teil zwei, Paragraph 171 („über illegales Unternehmertum in Verbindung mit Einnahmen in besonders großem Umfang“) des Strafgesetzbuches der Russischen Föderation angestrengt. Den Ermittlungsergebnissen zufolge belief sich der Umsatz von Glavmed.com in den letzten dreieinhalb Jahren möglicherweise auf 120 Milliarden US-Dollar.

    Ende 2010 wurde Oleg Nikolaenko in den USA festgenommen. Er wird des Spam-Versands mit Hilfe des Botnetzes Mega-D beschuldigt, dessen Steuerungsserver im November 2009 abgeschaltet wurden. Der im Dezember vergangenen Jahres verurteilte Australier Lance Atkinson, Mitgründer von Affking – einem Partnerprogramm, das auf Werbung für gefälschte Rolex-Uhren und nachgeahmte Medikamente spezialisiert ist –, lieferte den Behörden die entscheidenden Informationen über Nikolaenko. Es wird angenommen, dass Nikolaenko nach der Schließung des Botnetzes Mega-D und des Programms Affking als aktiver Teilnehmer am Partnerprogramm SpamIt weiterhin Spam verbreitete. Bis zum Prozessbeginn am 11. Februar 2011 blieb Nikolaenko in Untersuchungshaft. Er streitet seine Schuld ab.

    Am 7. Dezember wurden in der südrussischen Stadt Taganrog drei Personen verhaftet, die der Verbreitung von Malware verdächtigt werden. Sie werden beschuldigt, unter Verwendung von Spam hunderttausende Computer gehackt, mit Viren infiziert und Unbefugten Zugriff auf die Rechner bereit gestellt zu haben. Im Falle einer Verurteilung drohen ihnen bis zu drei Jahren Freiheitsentzug.

    Im Zuge der zahlreichen Verhaftungen und Anklagen im Zusammenhang mit Spam begann die Staatsduma der Russischen Föderation zusammen mit der Russischen Gesellschaft für elektronische Kommunikation (RAEK) Korrekturen im föderalen Gesetz „Über den Schutz von Informationen“ vorzubereiten. Unter anderem ist vorgesehen, in dieses Gesetz eine Definition des Begriffs „Spam“ aufzunehmen und strafrechtliche Verantwortlichkeit für die Versendung von Spam darin zu verankern. Man muss allerdings hinzufügen, dass dies nicht die erste Initiative dieser Art ist. Bereits im Jahr 2004 waren Korrekturen in dem entsprechenden Gesetz sowie die Einführung einer strafrechtlichen Verantwortlichkeit für die Versendung unerwünschter Nachrichten geplant. Es bleibt zu hoffen, dass die verantwortlichen Personen die Sache dieses Mal zu Ende bringen. Allerdings sind bisher weder Fristen noch das Endergebnis dieser Initiativen bekannt. Vertreter der RAEK erklärten, dass die Organisation bisher nicht an konkreten Korrekturen des Gesetzes arbeitet, sondern vielmehr mit Ergänzungen zu dem von der RAEK vorgeschlagenen Gesetzbuch der professionellen Tätigkeit im Internet beschäftigt ist.

    Spam-Statistiken

    Die oben aufgezählten Ereignisse – die Abschaltung der Steuerungsserver verschiedener Botnetze, die Schließung des Partnerprogramms SpamIt und die Verhaftungen von Spammern – beeinflussten die Struktur und den Charakter von Spam. So sank die Gesamtmenge der unerwünschten Nachrichten, und die Liste der Länder, aus denen der meiste Spam verschickt wurde, änderte sich.

    Spam-Anteil im E-Mail-Traffic

    Spam-Anteil im E-Mail-Verkehr

    Die Grafik zeigt, wie der Spam-Anteil im E-Mail-Verkehr im Jahr 2010 abgenommen hat. Dieser Rückgang war in den Herbstmonaten besonders deutlich. Zu dieser Zeit wurden nämlich die Steuerungszentren der riesigen Botnetze Pushdo/Cutwail und Bredolab geschlossen, das Spam-Partnerprogramm SpamIt abgeschafft und verschiedene Strafverfahren gegen Spammer angestrengt.

    Es ist schon einige Jahre her, dass die Spam-Menge im E-Mail-Verkehr für eine relativ lange Zeit auf einem so niedrigen Niveau war. Man denke zum Beispiel an den berühmt-berüchtigten Hosting-Provider McColo, der Steuerungszentren mehrerer Botnetze beherbergte. Nach deren Schließung im Jahr 2008 blieb das Spam-Niveau für etwa einen Monat niedrig (73,7 Prozent). Wie lange die Flaute dieses Mal anhalten wird, lässt sich noch nicht sagen. Die Praxis zeigt allerdings, dass es sich nicht lohnt, darauf zu hoffen, dass das Spam-Niveau auch dieses Jahr so niedrig bleiben wird. Die Virenautoren können neue Botnetze in Ländern aufbauen, in denen die Gesetze gegen Cyberkriminalität weniger streng sind. Diese Vermutung wird indirekt durch die Tatsache bestätigt, dass im November der größte Teil des schädlichen Spams aus Russland, Indien und Vietnam stammte (8,6, 6,8 und 6,5 Prozent). Dagegen nahm der Anteil der aus den USA und westeuropäischen Ländern verschickten unerwünschten Nachrichten mit schädlichen Anhängen und Links deutlich ab.

    Die größte Spam-Menge im E-Mail-Verkehr im Jahr 2010 wurde mit 90,8 Prozent am 21. Februar registriert, die geringste mit 70,1 Prozent am 28. Oktober. Der Spam-Anteil im E-Mail-Verkehr betrug 2010 durchschnittlich 82,2 Prozent.

    Spam-Herkunftsländer


    Spam-Herkunftsländer im Jahr 2010

    Die größte Spam-Menge stammte im Jahr 2010 aus den USA (11,3 Prozent), den zweiten Platz belegte Indien mit 8,3 Prozent, und auf Platz drei lag Russland mit 6 Prozent. Wie auch schon im Jahr 2009 waren die osteuropäischen Länder und die asiatische Region in den Top 20 stark vertreten, während die westeuropäischen Staaten in der Minderheit waren.

    Die aus den unterschiedlichen Ländern versendete Spam-Menge änderte sich im Laufe des Jahres. Besonders deutlich werden diese Veränderungen am Beispiel der fünf vordersten Plätze.


    Entwicklung des Spamversands der Top-5-Länder

    In den ersten acht Monaten des Jahres führten die USA das Rating der Spam-Herkunftsländer mit großem Abstand an. Nach Abschaltung der Steuerungszentren der Botnetze Pushdo/Cutwail und Bredolab nahm der Spam-Anteil aus den USA im September drastisch ab, und im Oktober reichte es nicht mehr für die Top 5. Bis Ende 2010 lag der Spam-Anteil aus den USA auf beispiellos niedrigem Niveau – einige Prozent statt der üblichen 15 bis 20 Prozent. Im November und Dezember waren die USA nicht einmal unter den Top 20 der Spam versendenden Länder vertreten. Doch seit Oktober registrieren wir starke Schwankungen bei den prozentualen Werten der ersten fünf Spam-Herkunftsländer. Es ist anzunehmen, dass die Spammer, die nun den Druck der Strafverfolgungsbehörden in den USA und Westeuropa spüren, versuchen, neue Botnetze in anderen Ländern aufzubauen.

    Verteilung der Spam-Quellen nach Regionen


    Verteilung der Spam-Quellen nach Regionen

    Die größte Spam-Menge stammte im Jahr 2010 aus Ländern der asiatischen Region. Im vorausgegangenen Jahr hatten wir bereits über eine Verschiebung der Spam-Quellen nach Osten berichtet. 2010 wurde über die Hälfte (55,9 Prozent) des weltweiten Spam-Aufkommens aus asiatischen und osteuropäischen Ländern verschickt. Insgesamt unterscheidet sich die Verteilung der Spam-Quellen im Jahr 2010 nur unwesentlich von der Verteilung im Jahr 2009.

    Hier ein Blick auf die Entwicklung der Spam-Versendungen aus verschiedenen Regionen:


    Entwicklung der Spam-Versendungen aus verschiedenen Regionen im Jahr 2010

    Die bedeutendsten Veränderungen fallen in das vierte Quartal: Gegenüber dem drastischen Rückgang des aus den USA stammenden Spam-Anteils nahm die aus osteuropäischen Ländern verschickte Menge an unerwünschten Nachrichten kontinuierlich zu. Wie wir bereits erwähnten, nutzen die Spammer nach der Schließung der Steuerungszentren verschiedener Botnetze nun alternative Versandquellen.

    Der Anteil Westeuropas ist insgesamt recht stabil, verteilt sich aber sehr unterschiedlich auf die einzelnen Länder. Während bei manchen Ländern der Spam-Anteil zunimmt, verzeichnen andere dagegen einen Rückgang:


    Entwicklung des Spam-Versands in den Ländern Westeuropas

    Im Gegensatz zu den westeuropäischen Ländern entwickeln sich die Anteile einiger Länder aus anderen Regionen gleichförmig:



    Ähnlich verlaufende Entwicklung des Spam-Versands von zwei Ländern aus der gleichen Region

    Das zeigt, dass die aus diesen Ländern verschickten Spam-Versendungen identisch sind. Es ist anzunehmen, dass die infizierten Computer der Anwender in diesen Ländern zu denselben Botnetzen gehören.

    Thematische Zusammensetzung von Spam


    Verteilung von Spam nach thematischen Kategorien im Jahr 2010

    Im Jahr 2010 führte die Spam-Kategorie „Bildung“ die Liste der häufigsten Spam-Themen an, sehr dicht gefolgt von „Medikamente; Waren/Dienstleistungen für die Gesundheit“, der wichtigsten Rubrik des englischsprachigen Spams. Diese Kategorie liegt nur 0,2 Prozent hinter dem Spitzenreiter zurück.

    Im Vergleich zum Jahr 2009 gingen die Anteile der Rubrik „Spammer-Eigenwerbung“ (minus 6,1 Prozentpunkte) und „Spam für Erwachsene“ (minus 4,6 Prozentpunkte) deutlich zurück. Die Menge der Mitteilungen, die Merkmale von Computer-Betrug aufwiesen, hat sich hingegen fast verdoppelt (plus 3,8 Prozentpunkte).

    Im Rating der am häufigsten in Spam verwendeten Themen gab es 2010 einen Neueinsteiger: die Rubrik „Filme auf DVD“. Es handelt sich dabei in der Regel um Mitteilungen mit Werbung für Film- und Trickfilm-Sammlungen sowie für Dokumentationen auf DVD. Werbung dieser Art landete auch schon früher in den E-Mail-Postfächern, doch 2010 waren es derart viele, dass wir sie einer eigenen Rubrik zugeordnet haben. Solche Produkte werden mit Hilfe von Partnerprogrammen verbreitet, und es handelt sich bei ihnen in der Regel um Raubkopien.

    Im Laufe des Jahres änderte sich die thematische Spam-Struktur mehr als einmal. Besonders erwähnenswert sind der drastische Anstieg und die hohe Position von Spam-E-Mails der Rubrik „Medikamente“ im August des vergangenen Jahres sowie auch deren relativ hoher Anteil am unerwünschten E-Mail-Verkehr im September und Oktober. Das geschah unmittelbar vor der Aufgabe des Partnerprogramms SpamIt, das auf den Versand von Werbung für pharmazeutische Produkte spezialisiert war. Möglicherweise wusste ein Teil der Spammer von der drohenden Schließung und versuchte, kurz vor Schluss noch einen maximalen Gewinn aus SpamIt herauszuholen.


    Anteil der Spam-Kategorie „Medikamente; Waren und Dienstleistungen für die Gesundheit“ im Jahr 2010

    Seit September probieren Spammer, die von der Werbung für pharmazeutische Produkte leben, zunehmend andere Partnerprogramme aus. Diese Entwicklung lässt sich aus dem Anstieg verschiedener Arten von Partner-Spam ableiten, darunter Spam mit Werbung für Online-Casinos und unerwünschte E-Mails mit pornografischen Inhalten.

    Die Schließung von Botnetzen und großen Partnerprogrammen musste sich auch auf das Verhältnis von Partner-Spam und Auftrags-Spam auswirken. So stieg im August der Anteil von Spam aus Partnerprogrammen an, nahm aber seit September kontinuierlich ab.


    Anteile von „Partner“- und „Auftrags-Spam“ im Jahr 2010

    Zum Ende des Jahres sank der Wert für Partnerspam auf seinen Jahrestiefpunkt und lag bei nur etwa 30 Prozent der Gesamt-Spammenge. Sehr wahrscheinlich wird sich mit der Wiederherstellung der geschlossenen Botnetze auch der Anteil an Partner-Spam wieder erholen.

    Methoden und Tricks der Spammer

    Im vergangenen Jahr setzten die Verbreiter von Schadprogrammen die interessantesten Tricks ein. Um die Anwender dazu zu bringen, auf schädliche Links zu klicken, verschickten sie Spam-E-Mails, bei denen es sich um sehr gut gefälschte Benachrichtigungen bekannter Banken, Online-Shops, E-Mail-Provider, sozialer Netzwerke, populärer Web-Hoster und vieler andere handelte. Sogar die technischen Details im Header wurden gefälscht, was der Anwender zwar nicht sieht, für die Arbeit der Spam-Filter aber von großer Bedeutung ist.

    Normalerweise sind Phishing-E-Mails so aufgebaut, dass sie den Anwender erschrecken, mit seinen Befürchtungen spielen und ihn so dazu veranlassen, seinen Benutzernamen und sein Passwort auf der entsprechenden Phishing-Seite einzugeben. Diesmal jedoch waren sowohl die Verbreiter von Schadprogrammen als auch Phisher nicht darauf aus, dem User Angst einzujagen. Ein Teil der Nachrichten kopierte lediglich Standard-Mitteilungen, die Anwendern und Kunden von legitimen Ressourcen geschickt werden.




    Beispiele für Spam-Mitteilungen, getarnt als Benachrichtigungen von legalen Ressourcen

    Solche Fälschungen „neutraler“ Mitteilungen sind sehr gefährlich: In der Regel kann ein erfahrener User eine Fälschung aufgrund des Inhalts erkennen. Beispielsweise fordern Banken ihre Kunden nie auf, ihren Benutzernamen und ihr Passwort auf einer Seite einzugeben, deren Link sie per E-Mail erhalten. In den beschriebenen Fällen war die Fälschung bis auf den Link mit dem Original identisch. Klickte der Anwender darauf, lud er sich ein ganzes Bündel Schadprogramme auf seinen Computer.

    In anderen Mitteilungen setzten die Spammer raffinierte Social-Engineering-Methoden ein. So wurde der User beispielsweise in einigen dieser Spam-E-Mails darauf hingewiesen, dass er einen Kauf getätigt habe, dessen Details er mit einem Klick auf den entsprechenden Link einsehen könne:


    Beispiel für eine Spam-E-Mail, die Social-Engineering-Methoden einsetzt

    Alle Links in der oben dargestellten E-Mail führen auf ein und dieselbe infizierte Webseite.

    Beobachtet wurden auch Versuche von Attacken auf eine ganz bestimmte User-Zielgruppe. Eine dieser E-Mails stammte angeblich von einer der Kaspersky-Adressen:


    Beispiel für eine Spam-E-Mail, die sich an eine bestimmte Anwender-Zielgruppe richtet

    Die oben dargestellte E-Mail ist eine gefälschte Benachrichtigung, die vorgibt, vom technischen Support von Kaspersky Lab zu stammen: Der User wird gebeten, seine angebliche Anfrage bezüglich einer Änderung seines Passworts zu bestätigen oder den Vorgang der Passwortänderung abzubrechen. Auffällig ist, dass im E-Mail-Text die Domain jedes Mal richtig angegeben ist und die im Absender-Feld „From“ angegebene Adresse der tatsächlichen Adresse des technischen Supports entspricht. Das bedeutet also, dass die Personen, die solche E-Mails versenden, entweder manuell oder mit technischen Mitteln nach der Adresse des technischen Supports von Kaspersky Lab gesucht und sie an der entsprechenden Stelle eingefügt haben, damit ihre E-Mails vertrauenswürdiger wirken. Genau wie in den vorhergehenden Beispielen führten alle Links in der E-Mail auf ein und dieselbe infizierte Webseite.

    Schädliche Anhänge

    Im Jahr 2010 enthielten 2,2 Prozent aller elektronischen Mitteilungen schädliche Dateien, das ist 2,6 Mal so viel wie im Jahr 2009, als nur 0,85 Prozent des Verkehrs auf schädliche Programme entfielen.

    Die gehäuften Versendungen von Schadprogrammen im Sommer und zum Herbstanfang 2010 haben wesentlich zum hohen Anteil schädlichen Spams über das gesamte Jahr beigetragen. Die Hauptsaison der schädlichen Versendungen fiel auf den August.


    Prozentualer Anteil an Spam mit schädlichen Anhängen im E-Mail-Verkehr im Jahr 2010.

    Der Anteil an Spam mit schädlichen Anhängen begann allerdings schon im Mai zu steigen und erreichte bereits im Juni mit fast 2,7 Prozent einen recht hohen Wert.

    In Bezug auf Schadcode war Juni einer der bemerkenswertesten Monate des Jahres 2010. Im ersten Sommermonat wurde das Internet förmlich von Spam-E-Mails überschwemmt, welche HTML-Anhänge mit darin integrierten Skript-Schädlingen enthielten. Darunter befand sich auch Trojan-Downloader.JS.Pegel.g, der im Jahresranking der über E-Mail verbreiteten Malware den zweiten Platz belegt. Die E-Mails waren als Benachrichtigungen verschiedener legitimer Services getarnt, unter anderem von Online-Shops und sozialen Netzwerken. Die Cyberkriminellen verwendeten ein recht kompliziertes Schema, um die Schädlinge mit Hilfe der beschriebenen Spam-E-Mails zu verbreiten und die infizierten Computer der Anwender an ein Zombie-Netz anzuschließen.

    Im August und September erreichte der Anteil der Versendungen mit schädlichen Anhängen seine Höchstwerte (6,29 Prozent respektive 4,33 Prozent). Ein derart hoher Prozentsatz schädlicher Mitteilungen kam durch mehrere massenhafte und über einen kurzen Zeitraum verschickte E-Mails mit Schadcode zustande. Von diesen massiven schädlichen Versendungen gab es insgesamt sechs, jeweils drei im August und September. In diesen Tagen verschickten Cyberkriminelle aktiv neue Modifikationen verschiedener Schädlinge, darunter auch des berühmt-berüchtigten Schadprogramms Zbot. Näheres zu diesen Versendungen finden Sie im Spambericht für das dritte Quartal 2010.

    Zu den Folgen der massiven schädlichen Versendungen im August und September zählte der drastische Anstieg von Mitteilungen mit Anhängen im ZIP-Format. Normalerweise macht Spam dieser Art nicht mehr als ein halbes Prozent am gesamten Spam-Aufkommen aus. In dieser Zeit erreichte der Anteil unerwünschter Nachrichten mit ZIP-Anhängen allerdings rekordverdächtige 2,6 Prozent an der gesamten Spam-Menge. Im vierten Quartal ging die Anzahl der Nachrichten mit ZIP-Anhängen auf die gewohnt niedrigen Werte zurück und lag bei etwa 0,3 Prozent des gesamten Spam-Aufkommens. Trotzdem möchten wir den Anwendern einmal mehr eine wichtige Regel der Internetsicherheit ins Gedächtnis rufen: Öffnen Sie niemals merkwürdig aussehende Archive in verdächtigen E-Mails.

    Die Top 10 der im E-Mail-Verkehr verbreiteten Schadprogramme sieht für das Jahr 2010 folgendermaßen aus:


    Top 10 der Schadprogramme im E-Mail-Verkehr

    An der Spitze des Ratings steht Trojan-Spy.HTML.Fraud.gen, dessen Hauptaufgabe im Sammeln von persönlichen Informationen und Registrierungsdaten von Anwendern besteht.

    Platz zwei belegt der bereits erwähnte Trojan-Downloader.JS.Pegel.g. Dieses Schadprogramm führte die Hitliste im Juni mit großem Abstand zum Rest des Feldes an. Bei den Vertretern der Familie Pegel handelt es sich um eine HTML-Seite, die Javascript-Code enthält. Nach dem Öffnen der infizierten Seite im Browser beginnt der Trojaner, per Javascript seinen Code zu entschlüsseln und startet sich daraufhin selbst. Dabei wird der Anwender auf eine mit Exploits infizierte Webseite umgeleitet, von der aus – unter Ausnutzung einer Sicherheitslücke im Browser –andere Malware auf den Computer geladen werden kann.

    Auf der vierten und fünften Position des Ratings befinden sich Packer der Familie Krap. Die Modifikationen Krap.an und Krap.x werden gewöhnlich zum Packen von Zbot, FraudTools und Iksmas verwendet. Im Packer Trojan.win32.pakes.Katusha.o, der Platz neun der Top 10 belegt, können sich mit ebenso großer Wahrscheinlichkeit gefälschte Antiviren-Programme wie auch der eben genannte Zbot befinden.

    Bei über 15 Prozent aller von Kaspersky Anti-Virus im Jahr 2010 gefundenen Objekte handelte es sich zum Zeitpunkt ihrer Entdeckung um noch unbekannte Bedrohungen.

    Die Liste der Länder, in denen Kaspersky Anti-Virus am häufigsten Alarm schlug, führen die USA an. Es folgen Deutschland, Großbritannien und Japan. Zudem waren mit Frankreich und Spanien noch zwei weitere europäische Länder in den Top 10 vertreten.


    Top 10 der Alarme von Kaspersky Anti-Virus nach Ländern

    Das oben dargestellte Diagramm lässt den Schluss zu, dass Cyberkriminelle ihre Angriffe auch im Jahr 2010 auf die Industriestaaten ausgerichtet haben. Der Grund dafür liegt auf der Hand: Die persönlichen Daten der Anwender in diesen Ländern sind für Cyberkriminelle von großem Interesse.

    Zum Ende des Jahres begannen die Online-Betrüger allerdings, eifrig schädliche E-Mails auch in Entwicklungsländer zu versenden. Allem Anschein nach hängt das mit dem aktiven Kampf gegen Botnetze in den USA, Großbritannien und den westeuropäischen Ländern zusammen. Die Schließung von Steuerungszentren großer Zombie-Netze sowie auch der Druck der zuständigen Behörden zwingen die Kriminellen dazu, ihre Botnetze zu erweitern, indem sie Computer in Ländern infizieren, in denen dieser Kampf entweder weniger erfolgreich oder gar nicht geführt wird. Im November schlug Kaspersky Anti-Virus am häufigsten in Russland, Indien und Vietnam an. Bei den am häufigsten in diese Länder verschickten Schädlingen handelte es sich um verschiedene Modifikationen von Zbot sowie um Trojan-Downloader der Familie Oficla, zu deren Aufgaben unter anderem gehört, Bots auf die Computer der Anwender zu laden.

    Phishing

    Der Anteil an Phishing-Mails im E-Mail-Verkehr lag im Durchschnitt bei 0,35 Prozent, das sind 0,51 Prozentpunkte weniger als der Vorjahreswert.

    Zwischen März und August 2010 war der Anteil an Phishing-Spam extrem niedrig und lag bei etwa 0,02 Prozent. Wie die folgende Grafik zeigt, machten Phishing-E-Mails nur zu Beginn und am Ende des Jahres einen merklichen Teil des E-Mail-Verkehrs aus.


    Prozentualer Anteil von Phishing-Mails im E-Mail-Verkehr im Jahr 2010

    Der „Geschmack“ der Spammer hat sich dabei im Vergleich zum Vorjahr ein wenig geändert. Auch wenn die beiden ersten Plätze im Ranking der am häufigsten von Phishern missbrauchten Organisationen nach wie vor an PayPal und eBay vergeben sind, hat es in der übrigen Zusammensetzung der Hitliste doch deutliche Veränderungen gegeben.


    Am häufigsten von Phishern angegriffene Organisationen im Jahr 2010

    Während es sich im Jahr 2009 bei sechs der Organisationen in den Top 10 um Banken handelte, so hat sich die Interessenssphäre der Phisher im Jahr 2010 in Richtung verschiedener Online-Dienste verschoben.

    Nach den traditionellen Spitzenreitern PayPal und eBay sind Accounts in sozialen Netzwerken von größtem Interesse für die Phisher, wobei hier das derzeit populärste soziale Netzwerk Facebook an erster Stelle steht. Der Anteil der Angriffe auf Facebook an allen Phishing-Attacken betrug 6,95 Prozent. Ebenfalls in den Top 10 vertreten ist das soziale Netzwerk Habbo, auf das 1,34 Prozent aller Phishing-Attacken im Jahr 2010 entfielen.

    Auch an den Google-Services fanden die Phisher Gefallen. Im Spam-Bericht für das dritte Quartal haben wir bereits darauf hingewiesen, dass Accounts für Services wie Google AdWords und Google Checkout nicht weniger interessant für Phisher sind als Accounts für Online-Banking-Dienste, da sie die Kreditkarten-Daten der Anwender enthalten. Daher gelangen Cyberkriminelle in diesen Fällen bei erfolgreichen Attacken nicht nur an die Accounts, sondern auch an die Finanzdaten ihrer Opfer.

    Das Online-Spiel World of Warcraft war ebenfalls über das gesamte Jahr 2010 ein beliebtes Phishing-Ziel. Hierbei sind sowohl die Accounts der Spieler als auch das so genannte WoW-Gold für die Betrüger interessant, denn das eine wie auch das andere können Cyberkriminelle in echtes Geld umtauschen.

    Da Zahlungsmittel aus virtuellen Welten unter Phishern immer beliebter werden, kann man mit Bestimmtheit sagen, dass virtuelles Geld künftig noch interessanter für Cyberkriminelle wird als reales. Der Diebstahl virtueller Werte ist für Phisher nicht weniger ertragreich, das Risiko allerdings geringer als beim Diebstahl realen Geldes.

    Prognosen

    In diesem Jahr werden vermutlich komplizierte und komplexe Attacken fortgesetzt, die Technologien der Phisher, Spammer und Social-Engineering-Methoden in sich vereinen. Auch die aktive Verbreitung schädlichen Spams wird vermutlich nicht abreißen, denn Spammer müssen ihre verlorenen Botnetze wieder aufbauen.

    Man muss dabei bedenken, dass mit der Wiederherstellung der Botnetze auch die Spam-Menge im E-Mail-Verkehr wieder zunehmen wird. Bisher haben sich die Spammer noch nicht von dem wirkungsvollen Schlag gegen die Zombie-Netze erholt. Doch in ein paar Monaten wird die Spam-Menge im E-Mail-Verkehr aller Wahrscheinlichkeit nach wieder auf ihr altes hohes Niveau zurückgekehrt sein.

    Vermutlich werden Cyberkriminelle noch vorsichtiger vorgehen und versuchen, ihre Botnetze in Ländern aufzubauen, die weniger vor Cyberbedrohungen geschützt sind – sowohl gesetzgeberisch als auch mit Hilfe entsprechender Software. Diese Annahme wird indirekt auch von der Tatsache bestätigt, das Kaspersky Anti-Virus im November häufig in Russland, Indien und Vietnam Alarm schlug und unter den in diesen Ländern verbreiteten Schadprogrammen auch Trojaner waren, die Bots laden. Dementsprechend ist die Verteilung der Spamquellen nach Ländern weiterhin Veränderungen unterworfen.

    Wir haben mehr als einmal darauf hingewiesen, dass der Kampf gegen Spam auf mehreren Ebenen geführt werden muss: auf der gesetzgeberischen, juristischen, technischen und auf der Ebene der Aufklärung. Das Jahr 2010 hat gezeigt, dass dieser Kampf sehr erfolgreich sein kann. Die Schließung von Steuerungszentren gleich mehrerer großer und auf den Versand von Spam spezialisierter Botnetze, die Aktivität der Strafverfolgungsbehörden sowie einige gesetzgeberische Initiativen im Jahr 2010 geben Anlass zur Hoffnung, dass Spam nun als Erscheinung wahrgenommen wird und die Sorge darum nicht mehr allein den Anbietern von Sicherheitssoftware überlassen wird. Und es gibt Anlass zur Hoffnung, dass dies nur der Anfang ist und das nächste Jahr im Kampf gegen Spam tatsächlich die Wende bringt.

    Setzen die Strafverfolgungsbehörden in Zusammenarbeit mit IT-Experten und Hosting-Providern den Kampf gegen Cyberkriminalität fort, wird das Internet eines Tages ein sichererer Ort für die Anwender sein.

    Bis dahin empfehlen wir den Anwendern einen vorsichtigen Umgang mit Werbung und Links in Spam-E-Mails sowie die rechtzeitige Installation von Updates verschiedener Programme und die Nutzung eines aktuellen Anti-Malware-Programms. Denn heute ist selbst eine einfache „Junk“-E-Mail gefährlich und in der Lage, den Computer zu beschädigen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.