Kaspersky Security Bulletin 2009: Spam

  1. Kaspersky Security Bulletin 2009: Entwicklung der IT-Bedrohungen
  2. Kaspersky Security Bulletin 2009: Malware-Statistik
  3. Kaspersky Security Bulletin 2009: Spam

Zahlen und Fakten des Jahres

  • Im Jahr 2009 betrug der Spam-Anteil im E-Mail-Traffic 85,2 Prozent.
  • Die meisten Spam-Mails (16 Prozent) kamen im vergangenen Jahr aus den USA, ebenso viel Spam wurde aus den asiatischen Ländern verschickt.
  • Der Anteil an Phishing-Mails betrug 0,86 Prozent.
  • Schädliche Anhänge waren in 0,85 Prozent der E-Mails enthalten.
  • Die weltweite Wirtschaftskrise hatte großen Einfluss auf die Spam-Themen.
  • Nach wie vor ist SMS-Betrug in Spam-Mails bei den Cyberkriminellen sehr beliebt.
  • Spam-Mails enthielten erstmals Links auf Spam-Videoclips bei YouTube.
  • Die Einsatzmethoden von HTML zur Tarnung von Links in Spam-Mails wurden weiter verbessert.
  • Erneut kamen verschiedene Arten von Grafiken zum Einsatz, um die Spam-Filter zu umgehen.
  • Um die Anwender neugierig zu machen, wurden wieder aktuelle Themen und die Namen bekannter Persönlichkeiten verwendet.
  • Die Spammer machten sich die Beliebtheit sozialer Netzwerke zu Nutze.

Spam-Anteil

Der Anteil von Spam im E-Mail-Traffic betrug im Jahr 2009 durchschnittlich 85,2 Prozent und damit 3,1 Prozent mehr als 2008. Die größte Spam-Menge wurde mit 93 Prozent am 22. Februar registriert, die geringste am 26. April mit 72,8 Prozent.


Spam-Anteil im Jahr 2009

Der gesamte Spam-Anteil am E-Mail-Traffic schwankte im Laufe des Jahres im Monatsmittel niemals um mehr als 5 Prozent. Der durchschnittliche prozentuale Anteil von Spam innerhalb eines Monats bewegte sich zwischen 82,6 Prozent (Dezember) und 87,2 Prozent (Februar). Im zweiten Halbjahr waren die monatlichen Schwankungen geringer und variierten von Juli bis August um nicht mehr als 2,5 Prozent. Wie auch schon 2008 verringerte sich der Spam-Anteil im Dezember.

2008 waren die Unterschiede noch weitaus größer. Der prozentuale Spam-Anteil im E-Mail-Traffic schwankte damals in den einzelnen Monaten zwischen 73,7 Prozent und 90,7 Prozent. Ob diese Entwicklung bedeutet, dass die Spam-Menge nicht mehr so schnell zunimmt wie in den vergangenen Jahren und dass sich der Spam-Anteil bei einem Prozentsatz um die 85 Prozent einpendelt, wird die Zukunft zeigen.

Spam-Ursprungsländer


Spam-Ursprungsländer 2009

Im Runet (Bezeichung für das russische Internet) waren die USA im Jahr 2009 der Spitzenreiter unter den Spam-Ursprungsländern. Den zweiten Platz belegt Russland, und auf Position drei liegt Brasilien. Zur Erinnerung: Im Jahr 2008 waren die Plätze auf dem Siegertreppchen anders verteilt – Platz eins belegte Russland, gefolgt von den USA und Spanien auf Platz 2 und 3. Wie bereits im Halbjahresbericht „Kaspersky Lab Halbjahresbericht 2009 –Spam im ersten Halbjahr 2009“ erwähnt, wurde im letzten Jahr sehr viel weniger Spam aus Westeuropa, dafür aber mehr unerwünschte Post aus den asiatischen und lateinamerikanischen Ländern versendet.

Die im Laufe des Jahres 2009 festgestellten Veränderungen im Spam-Versand sind in der folgenden Grafik nach Ländern sortiert dargestellt:


Spam-Herkunftsländer (Prozentualer Spam-Anteil nach Quartalen)

Die Grafik zeigt einen starken Anstieg der aus den USA stammenden Spam-Mails. Damit ging allerdings auch eine sprunghafte Zunahme infizierter amerikanischer Domains einher, über den die Kaspersky-Viren­analysten bereits im dritten Quartalsbericht 2009 berichteten.

Spam-Themen


Die folgenden fünf Themen wurden im Laufe des vergangenen Jahres am häufigsten von den Spammern eingesetzt. Die Veränderungen gegenüber 2008 stehen in Klammern.

  1. Gesundheit und Medikamente
    18,9 Prozent (- 4,7 Prozent)

  2. Bildung
    15,9 Prozent (+ 3,9 Prozent)

  3. Elektronische Werbedienstleistungen
    11,7 Prozent (+ 6,8 Prozent)

  4. Andere Waren und Dienstleistungen
    11,2 Prozent (- 4,9 Prozent)

  5. Imitate von Luxusgütern (Replikationen)
    8,5 Prozent (+ 0,6 Prozent)

Im Gegensatz zum Spam-Anteil haben sich bei den thematischen Spam-Kategorien im Laufe des Jahres einschneidende Veränderungen ergeben.



Wie die beiden Grafiken zeigen, hat sich der Anteil der Rubrik „Bildung“ im zweiten Halbjahr mehr als verdoppelt und auch der Anteil der Kategorie „Erholung und Reisen“ ist um das 2,5fache gestiegen. Die Spitzenreiter des ersten Halbjahres mussten ihre Führungspositionen aufgeben.

Spam und die Krise

An den unterschiedlichen Spam-Themen des letzten Jahres lässt sich auch der Verlauf der weltweiten Wirtschaftskrise ablesen. Spam, der Waren und Dienstleistungen kleiner und mittlerer Unternehmen bewirbt, hat seit Beginn der Krise immer mehr abgenommen. Dagegen gibt es immer mehr Spam für kriminelle Dienstleistungen und unerwünschte Nachrichten mit Eigenwerbung der Spammer.

Im August 2008 nahm der Spam-Anteil aus dem realen Wirtschaftssektor erstmals ab und sank trotz zwischenzeitlichem Anstieg bis zum Mai 2009 weiter – dem Höhepunkt der Krise. Diese Entwicklung hängt damit zusammen, dass die Auftraggeber dieser Spam-Versendungen meist kleine und mittlere Unternehmen sind. Sie haben die Krise entweder nicht überlebt, sind bankrott gegangen oder haben die Ausgaben für Werbung gestrichen und damit die Spam-Order eingestellt. Die Spammer gingen daraufhin intensiv auf die Suche nach neuer Kundschaft. Die Menge an unerwünschten Mitteilungen, in denen die Spammer sich selbst bewerben und die bis dahin einen Anteil von 4 bis 5 Prozent am gesamten Spam-Aufkommen nicht überstiegen hatte, schnellte zum April 2009 hoch und erreichte mit 19,7 Prozent ihren Höhepunkt.

Solange die Auftraggeber ausblieben, mussten die Spammer irgendwie verhindern, dass ihre Kapazitäten ungenutzt bleiben. Denn auch sie müssen Miete für Server und Botnetze zahlen. Dabei halfen ihnen so genannte Partner-Programme.

Partner-Programme sind eine Art des Internet-Marketings, die häufig zur Förderung von Waren und Dienstleistungen sowie bei der SEO eingesetzt werden (SEO – Search Engine Optimization, zu Deutsch Suchmaschinenoptimierung, eine Maßnahme, um Websites im Suchmaschinenranking möglichst weit oben zu platzieren). Der Sinn von Partner-Programmen besteht in der Akquise von Käufern und Kunden über Dritt-Websites. Das geschieht folgendermaßen: Der Partner platziert auf seiner Website Banner oder Links auf die Site des Auftraggebers. Klickt ein Besucher der Partner-Site auf einen entsprechenden Link und bestellt auf der Website des Auftraggebers Waren, so erhält der Partner einen prozentualen Anteil am Gewinn des Online-Shops. In einigen Fällen wird der Partner bereits dann entlohnt, wenn ein potentieller Kunde die Website des Auftraggebers nur besucht.

Derzeit haben solche Partnerschaften auch im kriminellen Internet-Business Hochkonjunktur. Mit Hilfe dieser Partner-Programme werden rezeptpflichtige Medikamente ohne Rezept, Imitate von Luxusgütern und billige Software an den Mann gebracht. Einen ähnlichen Marketing-Ansatz verfolgt auch die Pornoindustrie, wobei der Partner für jeden auf die Website gelockten Anwender kassiert. Außerdem locken die Online-Betrüger mit derartigen Methoden die User auch auf Websites mit gefälschten Antiviren-Programmen und auf Seiten, wo mit SMS-Betrügereien Geld gemacht wird.

Spammer, die an diesen Partner-Programmen teilnehmen, verdienen nicht pro Million versendeter E-Mails, sondern an jeder Person, die durch Spam Waren gekauft hat.

Die folgende Grafik zeigt deutlich die Differenz zwischen der Menge an „Partner-Spam“ (Rubriken „Gesundheit und Medikamente“, „Imitate von Luxusgütern“, „Spam für Erwachsene“, „Computer und Internet“ und „Computerbetrug“) und der Menge an traditionellem Spam. Dabei bezahlt der Auftraggeber die Spammer für die Versendungen, die seine Waren oder Dienstleistungen bewerben („Bildung“, „Andere Waren und Dienstleistungen“, „Erholung und Reisen“, „Makler“, „Juristische Dienstleistungen und Audit“, „Druckereiwesen“). Zudem wird aus der Grafik ersichtlich, dass die restlichen Kapazitäten für die Eigenwerbung der Spammer genutzt werden.


Anteile von „traditionellem Spam“, „Partner-Spam“ und Spammer-Eigenwerbung

An den in der Grafik dargestellten Anteilen lässt sich gut der Verlauf der Krise ablesen. In der Regel handelt es sich bei den Auftraggeber-Firmen, die „Partnerschaften“ eingehen, um kriminelle Organisationen. Die Auftraggeber hingegen, die direkt bei den Spammern Mail-Versendungen bestellen, sind meistens kleine und mittelständische Unternehmen. Die Grafik zeigt, dass von Februar bis Mai die Menge an „traditionellem“ Spam abnahm und im Mai ihren Tiefpunkt erreichte. In den Wonnemonat fiel nach Experteneinschätzung auch der „Höhepunkt“ der Krise. Beginnend mit Mai 2009 stieg der Anteil an Spam wieder an, der Waren und Dienstleistungen kleiner und mittelständischer Unternehmen anpreist, und der Anteil an „Partner-Spam“ begann zu sinken. Auch die Menge an Spammer-Eigenwerbung nahm ab. Bis zum Dezember waren alle diese Werte wieder auf ihr Vorkrisenniveau zurückgekehrt.

Betrugsversuche durch Spam

In der zweiten Jahreshälfte 2009 stieg die Menge derjenigen Spam-Mails drastisch an, die in der thematischen Rubrik „Computer-Betrug“ zusammengefasst sind.


Anteil der Kategorie „Computer-Betrug“ im Jahr 2009

Zu dieser thematischen Kategorie zählen Phishing-Mails, „nigerianische“ Mails, gefälschte Lottogewinn-Benachrichtigungen sowie SMS-Betrug und andere Arten von Computer-Schwindel.

Phishing

Im Frühjahr 2009 nahm die Anzahl von Phishing-Mails merklich ab. Nach Experteneinschätzungen war auch im Frühling der Höhepunkt der Wirtschaftskrise erreicht. Die erneute Zunahme von Phishing-Mails im August 2009 fiel mit dem langsamen Abklingen der Krise zusammen. Der durchschnittliche Anteil von Phishing-Mails am gesamten E-Mail-Traffic betrug gerechnet auf das Jahr 0,86 Prozent. Die Erwartung, dass die schwierige wirtschaftliche Situation die Aktivität der Phisher nur erhöhen würde, hat sich nicht erfüllt. Allem Anschein nach kamen sie vielmehr zu dem Schluss, dass die Anwender in einer angespannten Wirtschaftlage aufmerksamer und vorsichtiger sind und ihre Ersparnisse nicht so leicht aufs Spiel setzen. Da sich die ökonomische Situation nun aber wieder entspannt, sollte das Geld nach Ansicht der Phisher vermutlich wieder lockerer sitzen und die Vorsicht nachlassen. Zudem ist jedes Phishing-Projekt auch mit Ausgaben verbunden und daher in weniger krisengeplagten Zeiten leichter umzusetzen.


Anzahl von Mails mit Phishing-Links im E-Mail-Traffic

Auch im Jahr 2009 liegt das Bezahlsystem PayPal unter den am häufigsten angegriffenen Organisationen wieder auf Rang Eins. Die Anziehungskraft, die PayPal auf Online-Betrüger ausübt, hat im gesamten Jahresverlauf nicht nachgelassen. Platz zwei belegt das Internet-Auktionshaus eBay.

Die amerikanischen Großbanken Bank of America und Chase belegen den dritten und vierten Platz des Rankings. Aufgrund von großangelegten, jedoch nicht lange andauernden Attacken befindet sich die Bank Chase schon das zweite Jahr in Folge unter den fünf am häufigsten angegriffenen Organisationen. Im vergangenen Jahr belegte diese Bank nur im August den ersten Platz unserer Statistik. In den übrigen Monaten kam sie teilweise nicht einmal in die Top 10.


Interessant ist die Platzierung der amerikanischen Steuerbehörde IRS. Im September 2009 begannen die Cyberkriminellen diese Organisation anzugreifen – kurz nach Verstreichen der letzten Frist zur Einreichung der Steuererklärungen. Im Laufe der drei Herbstmonate schaffte die IRS den Sprung unter die zehn am häufigsten von Phishern angegriffenen Organisationen.

Seit Beginn des Sommers beobachtet Kaspersky Lab eine Vielzahl unterschiedlicher Phishing-Versendungen, die sich gegen Spieler des beliebten Online-Games World of Warcraft richten. Auch an den ­Accounts von sozialen Netzwerken sind die Kriminellen interessiert. Ende des Jahres konzentrierten sich die Phisher insbesondere auf die User von Facebook.

In den letzten Monaten des Jahres 2009 kehrte die Anzahl an Phishing-Mails im E-Mail-Traffic praktisch wieder auf das Niveau vom Januar zurück.

SMS-Betrug in Spam

Neben Phishing, „nigerianischen“ Mails und gefälschten Benachrichtigungen über Lottogewinne zählen SMS-Betrugsversuche schon das zweite Jahr in Folge zur Rubrik „Computerbetrug“. Durch diese Mitteilungen soll der Empfänger auf die eine oder andere Weise dazu gebracht werden, teure SMS-Nachrichten an kurze Premium-Nummern zu senden. Vom Konto des Anwenders wird unerwartet eine nicht unerhebliche Summe abgebucht, und er kommt in der Regel nicht in den Genuss der versprochenen Gegenleistung. Spam dieser Art kommt fast ausschließlich in Russland und der Ukraine vor. In anderen Ländern ist es bedeutend komplizierter, Kurznummern mit Präfixen zu mieten. Vor allem aber müssen Personen, die solche Nummern mieten, detaillierte Angaben über sich machen, und Betrüger können daher relativ problemlos zur Verantwortung gezogen werden.

Als diese Betrugsart sich im Jahr 2008 gerade erst etablierte, setzten die Kriminellen noch klassische Social-Engineering-Methoden ein wie zum Beispiel Gewinnbenachrichtigungen, Drohungen, den Account zu blockieren oder Werbung für preiswerte Pornos. Im Jahr 2009 war der Schwindel dagegen schon viel kreativer – um den Anwender dazu zu bringen eine SMS zu verschicken, wurden die unglaublichsten Themen aufgetischt.

Am beliebtesten waren dabei „Audiodrogen“ und das Orten von Personen über das Mobiltelefon.

Der erste Köder bestand in MP3-Files, die angeblich in der Lage sind, beim Hörer verschiedene und mit einem Drogenrausch vergleichbare Bewusstseinszustände hervorzurufen. Im zweiten Fall versprachen die Betrüger, allein an der Nummer des Mobiltelefons herauszufinden, wo sich eine bestimmte Person gerade aufhält.

Um diese Services in Anspruch nehmen zu können, sollten die Anwender per SMS bezahlen. Dabei war die Gebühr für die SMS bedeutend höher als angekündigt, was wiederum typisch für SMS-Betrug ist.

Auf den Prüfstand gestellt erwiesen sich beide Dienstleistungen allerdings als Schwindel. Um allzu vertrauensselige User zu warnen, wurde auch in der Presse darüber berichtet, dass MP3-Files unmöglich verschiedene drogenrauschartige Zustände auslösen können. Die Gauner zur Verantwortung zu ziehen ist allerdings schwierig. Auf ihren Sites haben sie häufig eine Rubrik mit der Überschrift „Regeln“ platziert, die meist schwer zu finden ist beziehungsweise in kleiner Schrift oder in schwer zu erkennender, heller Farbe dargestellt wird. In dieser Rubrik wird die jeweilige Dienstleistung respektive deren Wirkungslosigkeit realistisch beschrieben und auch der tatsächliche Preis für die SMS genannt. Auf der dazugehörigen Website steht folgendes in der Rubrik „Regeln“:

Haftungsausschluss
а) Der Anwender nutzt den Service auf eigene Verantwortung und eigenes Risiko. Die Leistungen des Service werden dem Anwender „wie vorhanden“ zur Verfügung gestellt. Der Anbieter übernimmt keinerlei Verantwortung – inklusive, aber nicht ausschließlich für die Übereinstimmung der Suchergebnisse mit der Anfrage des Anwenders;

b) Die Website beinhaltet ein Spiel mit unterhaltendem Charakter. Alle auf der Website präsentierten Informationen sind erfunden und sollten nicht ernst genommen werden.

Unter anderem wird der User in dieser Rubrik auch darüber informiert, dass eine SMS, mit der für den Service gezahlt wird, statt 5 Rubel etwa 300 Rubel kostet (zirka 10 US-Dollar).

In einzelnen Fällen forderten die Spammer als Entlohnung für ihre Dienste den Versand nicht einer, sondern drei teurer SMS-Nachrichten und versprachen dafür Zugriff auf eine kostenpflichtige Ressource. Wer der Aufforderung nachkam, erhielt Links auf Websites, deren Angebote sich nach Prüfung als kostenlos herausstellten. Daher ist äußerste Vorsicht geboten, und es gilt: Überprüfen Sie die Kosten für eine SMS vor deren Versand und trauen Sie niemals den Versprechungen in einer Spam-Mail.

Größe und Typen von Spam-Mails



Verteilung von Spam-Typen im ersten und zweiten Halbjahr 2009

Das Verhältnis der Typen von Spam-Mails war relativ beständig. Wie gehabt führen Nachrichten im Format text/plain das Ranking an. Ihr Anteil blieb im Laufe des Jahres praktisch unverändert und betrug zwischen 45 und 46 Prozent.

Text/html ist der zweite Spitzenreiter unter den Mail-­Typen und konnte seine Position in der zweiten Jahreshälfte erheblich verbessern. Sein Anteil stieg von 31,6 Prozent im ersten Halbjahr auf 39,1 Prozent bis Ende 2009.

Bei Mails mit Grafik-Anhängen gab es allerdings Veränderungen. Im ersten Halbjahr waren hier Anhänge im Format image/jpeg die unangefochtenen Spitzenreiter. Ab Mitte des Jahres begann sich der Anteil von Mails mit image/jpeg-Anhängen zu verringern, und gegen Ende 2009 mussten sie die Führungsposition an das Format image/gif abtreten.

Zum größten Teil ist das damit zu erklären, dass die Spammer für Grafiken, die ausschließlich Text enthalten, das Format image/gif vorziehen.

In der im folgenden dargestellten Beispiel-Mail sind drei grafische Anhänge enthalten: Der erste ist vom Format image/jpeg und zeigt das Foto des Sportlers und der Tabletten. Der schwarze Text „We respect your rights…“ und die grauen Buchstaben „If you wish…“ sind Anhänge im Format image/gif.




Das Verhältnis der Spam-Mails bezüglich ihrer Größe hat sich nicht wesentlich geändert:


Größen von Spam-Mails

Wie gehabt besteht ungefähr die Hälfte des gesamten Spam-Aufkommens aus Mails von geringer Größe, das heißt bis zu 5 KB. Bei der überwiegenden Mehrheit dieser Mitteilungen handelt es sich um Mails mit kurzem Text im Format text/plain oder text/html. Allerdings gibt es auch sehr selten Mitteilungen mit Grafiken, die eine Größe von 5 KB nicht übersteigen.


Methoden und Tricks der Spammer

Die wichtigste Neuerung des Jahres 2009 ist wohl die Ausnutzung des Services YouTube zur Verbreitung von Videospam. Im Oktober wurden verschiedene Versendungen mit Links auf Werbeclips erfasst, die bei YouTube hinterlegt waren. Alle diese Versendungen ent­hielten Eigenwerbung der Spammer.


Derartige Versendungen sind kein Problem für die Spam-Filter, obwohl es sich um innovative Spam-Neuheiten handelt. Insbesondere deshalb, weil im Rahmen einer Versendung nur sehr selten Links auf verschiedene Clips enthalten sind (in den von uns registrierten Fällen nicht mehr als zehn). Eine Versendung von ein und derselben URL zu blockieren stellt außerdem kein Problem für die Filter dar.

Ganz zu Ende des Jahres griffen die Spammer zu einem anderen interessanten Trick, der allerdings nicht neu ist: Sie versendeten Spam in Form von MP3-Anhängen. In den Audiodateien nannte eine angenehme weibliche Stimme den Namen einer Site, auf der Viagra bestellt werden kann. Der Titel des Tracks und die Sprecherin verwiesen auch auf die Website der Spammer. Im Hintergrund spielten die Spammer ein zum Thema passendes weibliches Stöhngeräusch ab.


Die Spammer verwendeten auch einige Tricks aus dem Vorjahr, die sie allerdings entscheidend verbessert hatten. Eine dieser Maschen bestand in der Darstellung eines Werbeangebotes oder einer Kontaktinformation völlig ohne Buchstaben oder Grafiken, sondern allein mit Hilfe von HTML. Diese Methode ist nicht mehr neu, doch im vergangenen Jahr wurde sie perfektioniert und funktioniert folgendermaßen: In die Mitteilung wird eine Tabelle mit einer Vielzahl von Zellen eingefügt, wobei einige Zellen leer, andere mit dunkler Farbe gefüllt sind. Die Zusammensetzung der eingefärbten und leeren Zellen ergibt dann in der Browseransicht den von den Spammern gewünschten Text.

Früher verwendeten Spammer zu diesem Zweck Tabellen mit recht großen Zellen, so dass nur reichlich sperrige und kaum leserliche Buchstaben und Zahlen zustande kamen. Im vergangenen Jahr kamen die Spammer dahinter, dass das Schriftbild ungleich besser wird, wenn sie dafür Tabellen mit winzigen Zellen verwenden. Also erschienen Mitteilungen wie diese:



Eine andere Methode, die sich im Jahr 2009 entscheidend verändert hat, ist die Verwendung von Bildern mit wechselndem Hintergrund. Damit sollen die Spam-Filter nicht feststellen können, dass in den einzelnen Nachrichten innerhalb einer Spam-Versendung dieselben Werbeangebote enthalten sind und im Text auch keine für Spam typischen Wörter und Phrasen erkennen können. Dazu setzten die Spammer bereits im Jahr 2006 an verschiedenen Stellen der Grafik auf ein „Hintergrundrauschen“ in Form von dunklen Punkten, Flecken und manchmal auch geometrischen Figuren. Diese Maßnahme hat allerdings nicht dazu beigetragen, dass sich das Äußere der Nachricht nach ästhetischen Gesichtspunkten verbesserte. Zudem litt häufig die Lesbarkeit der E-Mail darunter.


Im Jahr 2009 kombinierten die Spammer das „Rauschen“ der Grafik nun mit einem angenehmen Erscheinungsbild der Mail. Anstelle eines verzerrten und das Auge beleidigenden Wirrwarrs nahmen sie als Hintergrund das Foto einer attraktiven jungen Frau. Um eine möglichst große Anzahl von Varianten ein und desselben Bildes zu erhalten, wurde das Foto in mehrere Teile „zerschnitten“. Bei der Darstellung im Browser fügen sich diese Teile wieder zusammen, und das Ergebnis kann sich sehen lassen:


Diese Methode tauchte erstmals in englischsprachiger Werbung für medizinische Präparate auf, wurde jedoch schnell auch in der Werbung für russischsprachigen Porno-Spam übernommen:


Derartige Methoden kamen bereits im Jahr 2006 zum Einsatz und sind nun nach einer gewissen Ruhepause wieder auf dem Markt.

Ein anderer Trick mit grafischem Spam ist die Verzerrung des in der Grafik enthaltenen Werbetextes, so dass die Textzeilen in „Wellen“ erscheinen.


Sehr beliebt ist unter Spammern nach wie vor die Verwendung aktueller Themen und bekannter Persönlichkeiten. Barack Obama, der Präsident der Vereinigten Staaten von Amerika, war im Jahr 2009 der beliebteste Prominente bei den Spammern. Sein Name wurde nach seinem Amtsantritt am 20. Januar überaus häufig zu Spam-Zwecken missbraucht und tauchte im Laufe des gesamten Jahres immer wieder in unerwünschten Mitteilungen aller Art auf – in erfundenen „Sensationsmeldungen“, in kompromittierenden Nachrichten sowie in „nigerianischen“ E-Mails.


Auch das Thema Schweinegrippe haben die Spammer nicht ausgelassen. Unter marktschreierischen Überschriften, die Schutz vor dieser Krankheit versprachen, verbreiteten sie Links auf „kanadische“ Pharma-Shops, die mit Viagra handeln. Mit zunehmender Panik vor der Schweingrippe, die im September 2009 ihren Höhepunkt erreichte, ersannen die Spammer immer interessantere Angebote wie etwa die Impfung mit einem nicht existierenden Impfstoff oder den Handel mit Mundschutzmasken.


Unmittelbar nach dem Tod von Michael Jackson am 25. Juni wurden die ersten Versendungen abgesetzt, die dieses Thema ausnutzten. Sie enthielten Links auf kanadische Pharma-Shops und auf Websites mit Malware. Den ganzen Sommer über riss die Flut von Spam-Mails nicht ab, die sich auf den Tod des King of Pop bezogen.

Doch auch das Ende des Sommers war nicht das Ende dieses Themas in Spam-Versendungen. Bis zum heutigen Tag trifft man in unerwünschten Nachrichten zum Beispiel auf das Angebot, „einen Anzug“ von Michael Jackson zu kaufen oder einen „posthumen Videoclip“ herunterzuladen. Bereits im November erreichte uns eine Versendung mit dem Betreff „Michael Jackson lebt! Sehen Sie hier den Beweis!“. Die Mail enthielt einen Link auf eine Site, auf der Trojan.Script.Iframer lauerte.


Selbstverständlich gab es viele andere Themen, die die Aufmerksamkeit der Spammer auf sich zogen. Da sind zum einen die Feiertage, angefangen mit dem Internationalen Frauentag am 8. März bis zu Thanksgiving. Zum anderen sind es aber auch die Qualifikationsspiele für die Fußball-WM und die Premieren aufwändiger Filmproduktionen. Genau diese Themen waren über einen langen Zeitraum am stärksten in den Spam-Versendungen vertreten.

Spam und soziale Netzwerke

Spam in sozialen Netzwerken ist derzeit extrem populär. Ohne Moderation und deaktivierte anonyme Kommentare in den Communitys wäre der Anteil von Spam in Blogs und sozialen Netzwerken schlicht katastrophal hoch.

Doch auch im herkömmlichen E-Mail-Spam wird die Beliebtheit sozialer Netzwerke intensiv ausgenutzt. Erstens erhält der User per E-Mail verschiedene Benachrichtigungen, die häufig Spam enthalten. Und zweitens nutzen die Spammer die sozialen Netze und Blogs einfach als eine weitere Plattform zur Verbreitung ihrer Werbung, auf die in E-Mails verwiesen wird. Über Spam werden neue unbekannte Netzwerke angepriesen, die sich häufig als Kontaktseiten erweisen und sich lediglich mit der Bezeichnung „soziales Netz“ tarnen.

Die Spammer verwenden die Namen großer Netzwerke und Blogs, um die Filter zu umgehen und die Aufmerksamkeit der Anwender auf sich zu ziehen. Diese vertrauen einer Fälschung eher, wenn sie im Namen eines sozialen Netzwerks daher kommt. Zudem gibt es recht häufig Phishing-Attacken auf soziale Netzwerke, um den Anwendern ihre Zugangsdaten zu entlocken. In der Regel sind davon die populärsten Netze betroffen – im vergangenen Jahr waren es vor allem Facebook und Twitter.

In der unten abgebildeten Phishing-Mail wird der User aufgefordert, seinen Facebook-Account zu aktualisieren und zu diesem Zweck zunächst auf einen Link zu klicken. Der Link führt auf eine Website der Betrüger, auf der Facebook-Anwender aufgefordert werden, ihre Zugangsdaten einzugeben:


Fälschungen so beliebter Services wie Twitter wurden allerdings nicht nur zum Phishing, sondern auch zur Verbreitung von Viren benutzt.

Die folgende gefälschte Einladung zu Twitter enthielt einen Zip-Anhang mit einem Virus:


Man sieht also, dass E-Mail-Spam und Spam in so­zialen Netzwerken eng miteinander verknüpft sind. Mit Hilfe von E-Mail-Spam werden den Usern über Viren und Phishing die Zugangsdaten zu sozialen Netzwerken abgeluchst. Nachdem der vertrauensselige Anwender auf einen schädlichen Link geklickt hat, wird der so infizierte Computer Bestandteil eines Botnetzes und verschickt nun Spam an soziale Netzwerke. Um Waren und Dienstleistungen besser absetzen zu können, werden im E-Mail-Spam die Namen bekannter sozialer Netze sowie ihre Plattformen genutzt.

Schadprogramme in E-Mails

Im Jahr 2009 enthielten 0,85 Prozent aller E-Mails schädliche Anhänge. Dieser Wert ist nur um 0,04 Prozent geringer ist als der entsprechende Durchschnittswert des Jahres 2008.

Die unten abgebildete Grafik zeigt, dass die meisten Mails mit schädlichen Anhängen sowohl 2008 als auch 2009 in den letzten Monaten des Jahres verschickt wurden. Während 2008 auch im März ein solcher Höhe­punkt zu verzeichnen war, lag der Anteil an E-Mails mit schädlichen Anhängen im Jahr 2009 zwischen Februar und August nie höher als 0,4 Prozent.


Anteil von E-Mails mit schädlichen Anhängen in den Jahren 2008 und 2009

Der Anstieg an schädlichem Spam im Herbst 2009 geht vor allem auf das Konto von Zbot (ein trojanisches Spio­nageprogramm, das es auf vertrauliche Anwenderdaten abgesehen hat und als Benachrichtigung vom Finanzamt getarnt ist) und E-Mails zurück, über die Betrüger Trojaner der Familie Fraudload verbreiteten. FraudLoad-Trojaner installieren auf dem Rechner des Anwenders verschiedene Fraud Tools (falsche Tools). In erster Linie handelt es sich dabei um vermeintliche Antiviren-Programme, mit deren Hilfe die Cyberkriminellen von den Anwendern Geld erpressen. Sie bieten ihnen an, angeblich auf dem Computer der User gefundene Schadprogramme zu desinfizieren oder zu entfernen.

Die Top 10 der im Jahr 2009 im E-Mail-Traffic verbreiteten Schädlinge setzt sich folgendermaßen zusammen:


Тоp 10 der schädlichen Programme im Jahr 2009

Wie auch schon im Jahr 2008 führt ein Schädling der Familie Iframe die Top 10 des Jahres 2009 mit großem Abstand an. Trojan-Clicker.HTML.IFrame.abn ist ein Schadprogramm in Form eines HTML-Dokumentes und wird direkt aus der HTML-Version der Mail oder aus einem HTML-Anhang ausgeführt. Das Schadprogramm enthält ein Skript, welches unbemerkt vom Anwender eine Verbindung zur infizierten Website http://ddhj.2288.org/d[****]2.htm herstellt. Interessant ist, dass Trojan-Clicker.HTML.IFrame.abn der einzige Vertreter der HTML-Plattform in der Hitliste des Jahres 2009 ist – alle anderen Schädlinge laufen auf Win32, der populärsten Plattform.

Auf dem zweiten und siebten Platz der Top 10 befinden sich zwei Varianten der Schadfamilie FraudLoad: Trojan-Downloader.Win32.FraudLoad.epb und Trojan-Downloader.Win32.FraudLoad.wspk. Im September gehörten mehr als die Hälfte aller per Spam-Mails in Umlauf gebrachten Schädlinge zu dieser Familie.

Platz drei und sechs belegen Schadprogramme, die mit Hilfe zweier Versionen des Packers Krap:Packed komprimiert werden. Win32.Krap.ah und Packed.Win32.Krap.w werden normalerweise zum Packen von Zbot und FraudTools verwendet, Packed.Win32.Krap.w zudem auch bei Iksmas und Bredolab.

Der berüchtigte Schädling Trojan-Downloader.Win32.Murlo.cba landete auf Platz vier. Im September war er der Spitzenreiter in unserem Monatsranking.

Wie zu erwarten, schafften es auch zwei Varianten des bereits erwähnten Schadprogramms Zbot in die Jahres-Hitliste: Trojan-Spy.Win32.Zbot.zur und Trojan-Spy.Win32.Zbot.gen.

Platz 8 und 9 belegten schließlich zwei Spielarten der Backdoor Small: Backdoor.Win32.Small.zs und Backdoor.Win32.Small.zо.

Zur auffälligsten Methode bei der Verbreitung von Malware gehören in diesem Jahr gefälschte Nachrichten offizieller Stellen mit angehängten Zip-Archiven. Die umfangreichste Versendung hatte den Betreff “Benachrichtigungen von DHL und UPS”.

Der Missbrauch von Namen großer Organisationen und Unternehmen zum Versand von Schadprogrammen beschränkte sich allerdings nicht auf diese Post-Оrganisationen. „Offizielle Mitteilungen“ kamen auch von WesternUnion und Fedex sowie von verschiedenen Internet-Shops, in denen die Anwender angeblich diverse hochpreisige Waren gekauft haben.

Hinsichtlich ihrer Struktur ähnelten sich die Mails, was auf denselben Autor schließen lässt. Dieser Verdacht bestätigte sich endgültig, als die Experten von Kaspersky Lab die folgende Nachricht erhielten:


Hier sind die Spammer eindeutig durcheinander geraten, als sie für den Absender und die Unterschrift ein anderes Unternehmen einsetzten als in der ­Betreffzeile.

Gefälschte E-Cards, die angeblich von dem bekannten Unternehmen Hallmark und anderen Karten-Services stammen, wurden ebenfalls beim Social Engineering eingesetzt, um den Anwender dazu zu bringen, Mal­ware auf seinen Rechner zu laden.


Es versteht sich von selbst, dass für den Malware-Versand auch aktuelle Themen missbraucht wurden. Dazu zählt zum Beispiel der Tod des King of Pop, der Start des Großen Hadronen-Speicherrings und die Veröffentlichung des Betriebssystems Windows 7. Häufig enthielten die schädlichen Mails keine Anhänge, sondern Links auf Websites mit einem Schadprogramm.

Fazit

2009 ist das Jahr der Weltwirtschaftkrise und war für viele Vertreter des Cyberkriminellen-Business ein schwieriges Jahr. So hat die Krise auch die Spammer nicht verschont, und die Zahl ihrer Aufträge ging Mitte des Jahres stark zurück. Der Anteil von Spam im ­E-Mail-Traffic sank dagegen nicht, denn die Spammer nahmen aktiv an Partner-Programmen teil. Darüber hinaus diente Spam im Laufe des Jahres als eine Art ­Krisen-Indikator, mit dessen Hilfe sich auch Zukunftsprognosen machen lassen.

Sehr hoch war der Anteil an Spammer-Eigenwerbung in diesem Jahr. Er betrug zeitweise 20 Prozent des gesamten Spam-Aufkommens. Auf diese Weise versuchten die Spammer in Krisenzeiten neue Kunden an Land zu ziehen.

Dabei war der Anteil von Phishing im E-Mail-Traffic erstaunlicherweise nicht hoch: Auf dem Höhepunkt der Krise nahm der Anteil nicht zu, sondern sank sogar merklich ab.

Anders als die qualitative Zusammensetzung der Malware in Spam hat sich die Menge an Schadprogrammen im E-Mail-Traffic im Vergleich zum Jahr 2008 nicht wesentlich verändert. Sehr beliebt bei den Cyberkriminellen waren trojanische Programme, die gefälschte Antiviren-Software auf die Computer der Anwender laden.

Das ganze Jahr hindurch versuchten die Spammer intensiv, die Qualität ihrer Werbung zu verbessern. Zum einen, um die Spam-Filter auszutricksen und zum anderen, um bei den Usern einen guten Eindruck zu hinterlassen. Neben den traditionellen Methoden kamen dabei auch Multimedia-Technologien zum Einsatz – die Spammer stellten Clips auf YouTube ein und verschickten Audiodateien.

Wie gehabt kam die größte Spam-Menge auch im Jahr 2009 aus den USA, wobei die asiatischen und lateinamerikanischen Länder merklich aufgeholt haben. Dieser Trend ist durchaus nachvollziehbar: Die Zahl an Computern und Breitband-Internetzugängen wächst in diesen Regionen beständig, und gleichzeitig kennen dort bei weitem nicht alle Anwender die Grundregeln der Internetsicherheit. Dementsprechend fällt es leichter, deren Computer mit einem Schadprogramm zu infizieren und in ein Zombie-Netz einzugliedern.

Das Jahr 2010 wird vermutlich sehr viel ausgeglichener und ruhiger werden. Der Spam-Anteil am E-Mail-Traffic wird sich auf demselben Niveau wie zum gegenwärtigen Zeitpunkt bewegen. Dabei ist ein leichter Anstieg möglich. Der im Jahr 2009 so populäre SMS-Betrug könnte zurückgehen, insbesondere dann, wenn sich die Mobilfunkanbieter dem entschieden entgegenstellen. Dann erwarten uns aber vermutlich neue Betrügereien und Tricks.

Methoden wie der Einsatz von Videos und Audiodateien in Spam werden sich kaum durchsetzen: Die Balance zwischen der E-Mail-Größe, den Vorteilen bei der Umgehung der Spam-Filter und der Anziehungskraft auf den Anwender fällt eindeutig zu Ungunsten der Spammer aus. So werden die Spammer auf althergebrachte und bewährte Tricks zurückgreifen. Unter anderem ist zu erwarten, dass sie auch in diesem Jahr die Namen beliebter sozialer Netzwerke ausnutzen werden. Und in den Netzwerken selbst wird die Spam-Menge weiter zunehmen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.