Kaspersky Security Bulletin, Januar – Juni 2006. Spam im ersten Halbjahr

  1. Entwicklung der Schadprogramme

  2. Situationsanalyse der Malware auf anderen Nicht-Windows-Plattformen

  3. Internet-Attacken

  4. Schadprogramme für mobile Geräte

  5. Spam im ersten Halbjahr 2006

In diesem Bericht wird die Menge und die thematische Zusammensetzung von Spam im ersten Halbjahr 2006 analysiert sowie über neue Spam-Mails und Versandmethoden berichtet. Zudem werden Prognosen für das nächste Halbjahr gegeben.

Kaspersky Lab erhält täglich ungefähr 300.000 bis 500.000 Spam-Mails. Aufgefangen werden diese durch spezielle „Fallen“ und Schnittstellen im Internet. Der gesamte Spam-Verkehr wird automatisch klassifiziert, ein Teil des eingehenden Stroms wird zusätzlich manuell analysiert. Ein einzigartiger Spam-Rubrikator gestattet es, die quantitative und thematische Verteilung der Spams in allen Einzelheiten zu untersuchen.

Spam-Menge

Beginnend im März 2006 bemerkten die Analytiker von Kaspersky Lab einen gleich bleibend hohen Spam-Anteil am Mailverkehr: Spams halten sich im Runet auf einem Niveau von 75 bis 78% des gesamten Mailumfangs. Das ist eine hohe Zahl und nach Beobachtungen der Analytiker von Kaspersky Lab gilt dieses Verhältnis auch in Europa.


Mengenmäßige Verteilung von Spam im Runet in 2006

Im Vergleich zu den Jahren 2004 und 2005 hat sich die Untergrenze der normalen Spam-Verteilung geringfügig erhöht – von 73 auf 75 Prozent, doch gleichzeitig ist der Spam-Versand gleichmäßiger ohne deutlich ausgeprägte Anstiege und Rückgänge. Das ist ein untypisches Bild. In den Jahren 2003 bis 2005 wurden im Runet zwei saisonbedingte Rückgänge an den traditionellen russischen Feiertagen beobachtet – an Neujahr und den Maifeiertagen. In diesem Jahr fehlt der Rückgang im Mai. Es entsteht der Eindruck, dass momentan eine Sättigung der Mailströme mit Spam eingetreten ist. Der Spam-Anteil hat sich recht hoch stabilisiert und ist nur wenig von äußeren Faktoren wie Feiertagen abhängig.

Die anteilige Verteilung von Spam im ersten Halbjahr 2006 sieht folgendermaßen aus:

  • im Januar Rückgang des Spam-Anteils auf 44% vom gesamten Umfang des Mailverkehrs (4. – 5. Januar)
  • sprungartiger Anstieg auf den Spitzenwert von 86,4% im Februar (14. – 17. Februar)
  • scharfe Sprünge mit Schwankungen von 63,8% bis 81,2%
  • Einpendeln des Spam-Anteils bei 75 bis 78%

Im Verlauf der letzten vier Monate des vergangenen Halbjahres war der Spam-Anteil schwachen Schwankungen unterworfen, doch am 13. April wurde ein Ausbruch auf 89,7% festgestellt. Gegen Ende des ersten Halbjahres war ein allmählicher Anstieg zu verzeichnen und der Juni endete mit einem Anteilswert von 82,2% – auch ein eher untypischer Wert für diese Zeit. Bisher erwies sich die Mitte des Sommers als ruhige Saison auf dem Spam-Markt. Die nächsten Monate werden zeigen, ob der Spam-Anteil zu den Mittelwerten zurückkehrt.

Thematische Spam-Zusammensetzung

Im ersten Halbjahr 2006 sieht die Troika der führenden thematischen Spam-Kategorien im Runet folgendermaßen aus:

  1. Computerbetrug (Hierzu zählen Phishing, Nigeria-Connection, falsche Gewinnbenachrichtigungen für eine Lotterie, Angebote von nachgeahmten Produkten und Schmuggelware, betrügerische Angebote, SMS-Nachrichten an eine kostenpflichtige Nummer und ähnliche Mails.)
  2. Arzneimittel sowie sonstige medizinische und „scheinmedizinische“ Waren oder Dienstleistungen
  3. Bildungs-Spam: Angebote von Kursen, Seminaren und Trainings

Verteilung der Spam-Themen im Runet, Erstes Halbjahr 2006

Der Anteil von Spam mit dem Thema Computerbetrug ist erneut angestiegen. Der Mittelwert des Anteils von solchen Spams betrug im Jahr 2005 11% der gesamten Spam-Mails, im ersten Halbjahr 2006 dagegen bereits 18,8%. Ausführlicher gehen wir darauf im Abschnitt „Kriminelle Spams“ ein.

Einige Themen zeichnen sich durch beneidenswerte Konstanz aus: Sie wiederholen sich regelmäßig und werden an Millionen von Adressen versandt.

Die drei häufigsten, regelmäßig wiederholten Spam:

  1. Angebote von Viagra und anderen Mitteln zur Potenzsteigerung (Der Betreff solcher Mails enthält oft verstümmelte Bezeichnungen der medizinischen Präparate, zum Beispiel ouxomVjlAGRA);
  2. Finanz-Spam – Versuch, auf den Wert von Aktien Einfluss zu nehmen (Im Betreff solcher Mails stehen oft Begriffe wie Stock Promo Mover: SGXI.PK);
  3. Angebote von Kursen, Trainings und Seminaren für Führungspersonal zur Erhöhung der Motivation der Angestellten, zu Fragen der Buchhaltung und der Besteuerung

Kriminelle Spams

Die fortschreitende Kriminalisierung von Spam zeigen folgende Faktoren:

  • das weitere Anwachsen des Anteils von Spam der Thematik Computerbetrug;
  • das Auftauchen von neuen Betrugsarten per Spam;
  • die Vervollkommnung bereits bekannter Arten von Spam dieser Kategorie

Dass kriminelle Spams wieder zunehmen, zeigt auch die Statstik: Im ersten Halbjahr 2006 betrug der Anteil solcher Spams durchschnittlich 18,8%.


Anteil krimineller Angriffe bei Spam, Erstes Halbjahr 2006

Im Diagramm ist ersichtlich, dass die Verteilung von kriminellen Spams im Runet im ersten Halbjahr nicht gleichmäßig war. Zu Spitzenzeiten erreichte der Anteil krimineller Spam-Angriffe 25% der gesamten Spam-Mails. Die Dauer eines jeden solchen Spitzenwerts betrug ein bis drei Tage. In der übrigen Zeit betrugen die kriminellen Spams 13 bis 16% der gesamten Spam-Mails. Punktgenaue, detailgetreue Messungen in dieser Kategorie zeigen, dass etwa die Hälfte davon meist typische Phishing-Fälle sind.

Einige Arten von krimineller Spam sind weltweit verbreitet: Vor allem Phishing, Mails der Nigeria-Connection, Finanz-Spam sowie Angebote nachgeahmter Produkte. Doch es gibt auch Spam-Arten, die für verschiedene Regionen einzigartig sind – Die Teilnahme an Geldwäsche-Aktionen (wird von den Spammern als legales Geschäft ausgegeben) wird ausschließlich westlichen Nutzern angeboten:

Good day, Sir/Madam!

Let me introduce myself: my name is Sergey Rubinshtein and I am a financial analyst in Moscow. My specialization is analysis of Russian economics and financial markets. I frequently perform consulting projects for US financial firms. My American client’s Human Resources Dept manager advised me to find an American resident to serve as an intermediary because it is easier to receive payment this way than filling out all the required paperwork to become a 1099 employee.

That’s why I ask you for help in transferring consulting payments received from the US firms and will gladly compensate you with a percentage of my wages which I expect to be about $2,000 – $4,000 per week. This will become a small but recurring source of income for you for very little effort. Please contact me via e-mail if you are interested and would like to know the details.

Die Nutzer des russischen Runets konnten ihrerseits Ende des ersten Halbjahrs 2006 eine Spam-Neuheit bewerten: Eine Spam-Mail, die den Empfänger unter einem Vorwand auffordert, angeblich kostenlos eine SMS an die Nummer eines gebührenpflichtigen Services zu senden. Die Vorwände sind ganz verschieden, jedoch das Ziel der Spammer ist dasselbe – die Auffüllung ihrer persönlichen Konten auf Kosten der Nutzer.

Zum Beispiel entdeckten die Analytiker von Kaspersky Lab eine Mail mit dem Angebot, sich Spam vom Hals zu schaffen, indem man eine SMS an die im Text des Briefs genannte Nummer sendet. Die Spammer versprachen, dass dieser Dienst kostenlos ist, doch in Wirklichkeit kostet die Sendung der SMS zwischen 0,3 bis 5 US-Dollar. So büßt der vertrauensselige Nutzer eine bestimmte Geldsumme ein und Spam wird trotzdem wie bisher zu ihm gelangen.

Ein Teil der kriminellen Spams wird üblicherweise in europäischen Sprachen versendet – in Englisch, Französisch und Deutsch. Zum Beispiel sind die gefälschten Gewinnbenachrichtigungen üblicherweise englischsprachig, die „Nigerianer“ schreiben in Englisch und Französisch, die gefälschten Uhren und Taschen bekannter Marken werden in englischer Sprache angeboten.

Zum Teil hängt das mit den unterschiedlichen Realitäten der Länder zusammen. So ist das Online-Banking in Russland noch nicht so weit entwickelt wie in westlichen Ländern und nachgeahmte Produkte kann man hier viel günstiger kaufen, als sie von westlichen Spammern angeboten werden.

Versuche, einige bekannte Arten englischsprachiger Spam in andere Sprachen zu übersetzen, wurden sowohl in den vergangenen Jahren als auch im ersten Halbjahr 2006 festgestellt. Bisher sind das lediglich wenige Anpassungsversuche, doch wenn sie jedoch von Erfolg gekrönt sind – also die Spammer genügend finanzielle Resonanz bekommen – dann können auch lokalisierte Spams zum häufigen Gast in den Postfächern werden.

Technische Besonderheiten des Spam-Versands

Im ersten Halbjahr 2006 entwickelten sich die Versandtechnologien weiter. Die Möglichkeiten der modernen Spammer sind vielfältiger geworden und bieten meist folgende Komponenten:

  • Viren, die PCs infizieren
  • Steuerung von Zombie-Netzwerken
  • Fernsteuerung von PCs und Servern
  • Automatische Nachrichten-Generatoren nach Schablonen

Diese Komponenten haben ein solches Niveau erreicht, dass eine revolutionäre Neuheit beim Spam-Versand nicht mehr innerhalb einiger Monate auftreten kann, stattdessen entwickeln sich die bestehenden Versandmethoden evolutionär weiter.

Wie früher werden zum Spam-Versand verwendet:

  • Netzwerke von Zombie-Computern (Botnets)
  • Web-Server, verwundbare Stellen in der bekannten Server-Software

Netzwerke von Zombie-Computern

Der Großteil an Spam wird über Zombie-Computer (Botnets) versandt. Die Anzahl der Netzwerke nimmt stetig zu und die Netzwerke selber vereinigen immer mehr Rechner. Doch der von der holländischen Polizei festgehaltene Rekord des vergangenen Jahres, als sie die Betreiber eines Netzwerks mit anderthalb Millionen PCs festgenommen hatte, wurde bisher glücklicherweise nicht übertroffen. Leider folgt daraus nicht, dass es solche großen Netzwerke von Zombie-Rechnern nicht gibt, vielmehr gelingt es bisher nicht, sie zu entdecken und die Inhaber des Netzwerks zu finden.

Die Steuerung von Zombie-Netzwerken verlagert sich allmählich vom IRC-Protokoll zum HTTP-Protokoll. Dabei wird für zentralisierte Netzwerke (das heißt, die irgendeine Steuereinheit haben, an die die anderen Zombie-Computer angeschlossen werden) das Steuerzentrum immer öfter auf einem „spambeständigen“, abgetrennten Server installiert.(Unter einem „spambeständigen“ Server versteht man ein Server, der bei einem Provider gemietet wurde, der sich loyal zur Nutzung seiner Ressourcen als Spam-Quelle verhält und Beschwerden an die Adresse „abuse“ ignoriert. Üblicherweise befinden sich solche Provider in Ländern, die keine Gesetze gegen die Verbreitung von Spam haben.)

Außerdem traten häufiger dezentralisierte Zombie-Computer-Netzwerke auf, in denen jeder Zombie versucht, sich mit einer größtmöglichen Zahl anderer Zombies zu verbinden, und die Steuerbefehle von einem Computer zum anderen durch das gesamte Netzwerk übertragen werden. Die Steuerung analoger Netzwerke geschieht über einen beliebigen Computer, der zum Netzwerk gehört.

Als Schutz vor Zombie- Netzwerken legen die Internet-Provider, die für Endnutzer den Zugang zum Internet liefern, folgende Beschränkungen fest:

  1. Verbot des unmittelbaren Versands von Mails an andere Postrelais, als an die, die dem Provider gehören. Das garantiert die Kontrolle über die gesamte ausgehende Post.
  2. Kontrolle der Menge der ausgehenden Mails pro Zeiteinheit von einem Nutzer. Abschaltung des Nutzers oder wesentliche Beschränkung der Möglichkeit, E-Mails zu versenden bei Überschreitung einer bestimmten Schwellenmenge.
  3. 3. Filterung des Inhalts der zu versendenden Mails durch dieselben Filter, die für die eingehende Post verwendet werden.

Solche Maßnahmen erlauben es, den Spam-Versand durch solche Zombie-Netzwerke zu beschränken, die Spam direkt oder in großen Mengen von ein und demselben Computer versenden. Als Antwort darauf, begannen die Spammer, eine größere Menge von Zombie-Computern für Spam-Sendungen zu verwenden, wobei sie die Menge der Briefe verringerten, die auf einen einzelnen Zombie-Rechner entfallen. Es gibt noch ein weiteres Versandverfahren, dass die Spammer in letzter Zeit anwenden: Der Versand von Spam über den Postserver des Providers, der durch Scannen des Netzwerks oder mit Hilfe einer Analyse der Einstellung des Nutzers bestimmt wird.

Verwundbare Stellen in der bekannten Web-Server-Software

Die Grundidee für den Spam-Versand unter Verwendung von Web-Servern und verwundbaren Stellen in der Server-Software ist analog zur Verwendung von Botnets: Die Übeltäter müssen den Server zwingen, die von ihnen benötigten Operationen auszuführen. Doch die Suche nach verwundbaren Stellen wird nicht auf PCs vorgenommen, sondern auf Servern, die üblicherweise unter Unix arbeiten. Außerdem unterscheiden sich die Infizierungs- und Steuerungsverfahren etwas, und ebenso die Verwendung der gefundenen verwundbaren Stellen.

Die Infizierung von Web-Servern läuft nach folgendem Schema ab:

  1. Zunächst werden in der Software Fehler gesucht, die es ermöglichen, Befehle auf dem Server auszuführen. Im Wesentlichen wird die Suche nach verwundbaren Stellen im PHP Interpreter, in bekannten Foren-Engines oder Blogs vorgenommen.
  2. Mit Hilfe von Suchsystemen wie Google werden Web-Ressourcen ausfindig gemacht, auf denen die entsprechende Software mit verwundbaren Stellen installiert ist.
  3. Die verwundbaren Stellen werden dazu verwendet, um Scripte an den Server zu übergeben, die es gestatten, beliebige Befehle auszuführen oder Daten zu modifizieren.

Danach kann dieser Zugang zum Spam-Versand oder für DDoS-Angriffe verwendet werden.

Eine solche Verwendung des Servers kann hinreichend schnell vom System-Administrator bemerkt und der schädliche Code sowie die verwundbare Stelle selbst liquidiert werden. Eine andere Verwendung, die für den Administrator schwerer erkennbar ist, besteht in der Integration von Virenbeständen in einen HTML-Code, der die Internetbrowser der Besucher infiziert. Dabei können sich PCs schnell über Sicherheitslücken der Browser in einen Zombie verwandeln.

Grafischer Spam

Der Hit des ersten Halbjahrs 2006 wurde grafischer Spam, also Spam-Mails, in denen sich die Hauptinformation in einem angehängten Bild befindet. Die Menge solcher Spam-Sendungen nimmt stetig zu. Gleichzeitig modifizieren die Spammer die Software zur Aufbereitung und zum Versand grafischen Spams. Insbesondere traten folgende Neuerungen auf:

  1. Drehungen der Ausgangsbilder in zufällige Winkel
  2. Zerschneiden der Bilder in Teile und deren Darstellung zusammen mit Text und HTML-Markierung
  3. Grafische Darstellung einzelner Buchstaben – verschiedener Buchstaben in verschiedenen Mustern ein und desselben Spams

Die neuen Tricks, die von den Spamern ausgearbeitet werden, verfolgen dasselbe Ziel, wie auch die älteren Varianten: In die Abbildung „Rauschen“ einzufügen, das es dem Filtermodul nicht erlaubt, eine Spam-Sendung als Spam zu erkennen.

Jede Neuerung erfordert eine Modifizierung der Spammer-Software und das bedeutet Zeit, Geld und menschliche Ressourcen. Wenn die Spammer zu arbeiten beginnen, dann heißt das, dass für den gegenwärtigen Zeitpunkt die entsprechende Spam-Methode am erfolgreichsten den Mailschutz durchbricht.

Die heutigen Angriffe mit neuen Grafik-Spams sind meist englischsprachig. Am häufigsten treten Angebote für Medikamente, billige Software, Uhren oder Börsenspekulation auf.

Im russischen Internet Runet fand vor zwei Jahren eine Welle von Experimenten mit grafischen Spam-Mails statt, doch inzwischen haben die russischen Spammer ihre Versuche mit Grafiken praktisch eingestellt, indem sie sich auf ältere Technologien beschränken.

Hier einige Beispiele für grafische Spam-Neuheiten des ersten Halbjahres 2006:

Zwei Muster eines Spam-Angriffs mit Textdrehungen

Fragmentierte Darstellung

So sieht der Nutzer die Nachricht in der Mail:

Eigentlich besteht die Abbildung aber aus mehreren Teilen, zum Beispiel aus solchen:

Hier sehen Sie die Nachricht mit den eingeteilten Fragmenten:

Grafische Darstellungen einzelner Buchstaben

Streng genommen ist das weniger eine Neuerung, sondern eher der Versuch einer Reanimation eines sehr alten grafischen Tricks. Ähnliche Beispiele gab es in den letzten eineinhalb Jahren nicht mehr, deshalb haben wir uns erlaubt, diese Versuche in die Kategorie der Neuheiten dieses Halbjahres einzubeziehen.

So sieht der Nutzer die Nachricht:

Das ist dieselbe Nachricht, in der die grafischen Fragmente des Textes herausgehoben sind:

Spam in Foren

Im letzten Jahr haben wir darüber geschrieben, dass die Spammer versuchen, andere Kanäle außer E-Mail zu übernehmen, unter anderem Instant Messaging (ICQ, MSN) und Mobiltelefone (SMS, MMS). Doch das reichte ihnen nicht und in den vergangenen Monaten hat sich die Spam-Menge in Foren und auf Blogs erheblich erhöht.

Früher war Spam nicht zum Lesen durch Menschen bestimmt, sondern zur Täuschung von Suchmaschinen: Das Rating einer Werbeseite verbesserte sich durch zahlreiche Links in Foren, deren Inhaber sich nicht mehr um ihren Zustand kümmerten.

Im vergangenen Halbjahr nahmen Spams zu, die echte Werbeinformation tragen und zum Lesen durch Menschen bestimmt sind. Äußerlich imitiert ein solcher Spam übliche Nachrichten auf Foren. Zu ihrer Verbreitung werden die am meisten besuchten Foren und Blogs ausgewählt, die oft zur Thematik der Waren oder Dienstleistungen passen, für die geworben wird.

Zusammenfassung

  1. Der Spam-Anteil in den täglichen Mails ist nach wie vor hoch: 75 bis 78%. Zum Ende des ersten Halbjahres wurde unerwartet ein Anstieg bemerkt. Der Juni endete mit 82,2% Spam in der Post.
  2. Am häufigsten erhielten die Empfänger Spam folgender thematischer Kategorien: Computerbetrug, Pharmazeutik (im wesentlichen Viagra und ähnliche Mittel), Bildungsdienstleistungen.
  3. Im Runet tauchte eine neue Art von Betrugs-Spam auf, die den Empfänger auffordert, eine SMS (die ein eingegebenes Codewort und/oder eine Nummer enthält) an die Nummer eines kostenpflichtigen Service zu senden. Das Ziel der Spammer ist finanzielle Bereicherung.
  4. Die bestehenden Versandmethoden unterliegen einer evolutionären Entwicklung.
  5. Grafische Spams bieten neue Entwicklungen von Spammer-Technologien.
  6. Die Spammer greifen auch Foren und Blogs an.

Prognosen

  1. Im nächsten Halbjahr werden sich die Spam-Mengen im Mailverkehr nicht verringern.
  2. Die Kriminalität im Bereich Spam wird größer, die Menge krimineller Spams steigt.
  3. Die führenden Spam-Themen werden sich im nächsten halben Jahr eher nicht ändern.
  4. Die Spammer werden weiter andere Kanäle für die Verbreitung von Spam erschließen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.