Kaspersky Security Bulletin. Spam im Jahr 2015

Inhalt

Die Zahlen des Jahres

Kaspersky Lab Daten für das Jahr 2015 belegen:

  • Der Betrug durch Spam lag 2015 bei 55,28 Prozent. Das sind 11,48 PP weniger als 2014.
  • 79% der versendeten Spam-Mails hatten eine Größe von maximal 2 KB.
  • 15,2% des weltweiten Spam-Aufkommens wurde aus den USA verschickt.
  • Die meisten schädlicher E-Mails (19%) waren an Nutzer aus Deutschland adressiert.
  • Das System „Antiphishing von Kaspersky Lab schlug 146.692.256 Mal Alarm.
  • Die meisten Phishing-Attacken weltweit richteten sich gegen Nutzer in Russland (17,8%).
  • War nach Anteil der individuellen, von Phishern angegriffenen Anwender Japan (21,68 %) Spitzenreiter.
  • 34,33% aller Phishing-Attacken griffen Nutzer von Websites von Finanzorganisationen an (Banken, Bezahlsysteme, Online-Shops).

Neue Domain-Zonen im Spam

Gleich zu Beginn des Jahres 2015 registrierten wir einen steilen Anstieg der Zahl neuer Top-Level-Domains, die bei Massenversendungen zum Einsatz kamen. Der Grund dafür war das gesteigerte Interesse an dem Programm New gTLD, das bereits im Jahr 2014 gestartet wurde. Das Ziel dieses Programms: verschiedenen Vereinigungen und Organisationen in Abhängigkeit von ihrer Tätigkeit eine Vielfalt von Domainzonen-Namen anbieten zu können. Die neuen Möglichkeiten für das Business, die New gTLD mit sich bringt, wurden von der Internet-Community mit Begeisterung aufgenommen, und die Registrierung neuer Domains nahm schnell Fahrt auf.

Doch parallel begann in den neuen Domain-Zonen praktisch sofort die umfassende Verbreitung der unterschiedlichsten Spam-Varianten, und Cyberkriminelle registrierten in Massen neue Domains zur Durchführung von Spam-Versendungen. Und wenn zu Beginn in manchen Fällen tatsächlich noch ein Zusammenhang zwischen dem Thema der Versendung und dem Namen der entsprechenden Domainzone herzustellen war, so hat sich dieser Trend über die Dauer des Jahres nicht fortgesetzt und die Spam-Themen standen insgesamt in keinem Zusammenhang mit den verwendeten Domain-Namen. Obgleich wir auch heute noch ab und zu auf einzelne Fälle stoßen, in denen man eine Verbindung erkennen kann. So werden Websites für Online-Bekanntschaften häufig in der Zone .date untergebracht.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Dass es meist keine Verbindung zwischen dem Domainnamen und dem Spam-Thema gibt, liegt in erster Linie an dem hohen Preis der neuen Domains. Die Cyberverbrecher versuchen so viele günstige Hosting-Varianten wie möglich an sich zu reißen, da die Websites in den meisten Fällen nur einmal in einer konkreten Spammer-Versendung benutzt werden. Daher spielt die Zugehörigkeit der Domains zu einer bestimmten Tätigkeitssphäre keine große Rolle. Ein entscheidender Faktor ist hingegen der Preis der Domains und die Rabatte, die kleine Registratoren für einen massenhaften Ankauf zu geben bereit sind.

Methoden und Tricks der Spammer: Besonderheiten bei der textuellen Umsetzung der Domaindarstellung

Bekanntermaßen versuchen Spammer jede einzelne Mail aus einer Versendung individuell zu gestalten, um die Filter für Massenversendungen zu umgehen und die Arbeit der Content-Filter zu erschweren. Es ist überaus einfach, die Mailtexte unterschiedlich zu gestalten, indem bestimmte Zeichen in Wörtern durch ähnliche Zeichen aus anderen Alphabeten ersetzt werden, die Wortstellung und Anordnung der Sätze verändert wird usw. Doch immer bleibt noch die Adresse der Spammer-Website, die sich nicht so ohne Weiteres variieren lässt, denn nachdem er auf den Link geklickt hat, soll der Nutzer ja wirklich auf der beworbenen Website landen, sonst ergibt die Versendung überhaupt keinen Sinn. Innerhalb der letzten Jahre ersannen die Spammer massenhaft Tricks, um Spam-Websites vor Anti-Spam-Filtern zu verbergen: Redirects von gehackten Sites, Generierung individueller Links auf Kurzlink-Dienste, Einsatz bekannter Cloud-Services als Redirects und so weiter.

Im Jahr 2015 richteten die Spammer ihre Aufmerksamkeit neben den oben aufgezählten Beispielen auch ganz besondere auf die äußere Aufmachung in der Domain- und IP-Darstellung. Wir nehmen diese Tricks anhand von Beispielen, die wir in verschiedenen Spam-Mails gefunden haben, einmal genauer unter die Lupe.

Besonderheiten des IP-Protokolls: verschiedene Formate der IP-Darstellung

Die für Internetnutzer gewohnte, standardmäßige Darstellung von IPv4-Adressen –die so genannte Dezimalpunktschreibweise – erfolgt dezimal in 4 Blöcken, die durch Punkte voneinander getrennt sind, wobei jeder Block einen Wert von 0 bis 255 haben kann. Doch es gibt auch andere Darstellungsweisen, die vom Browser korrekt interpretiert werden. Und zwar sind das die Binär- und Oktaldarstellung und das Format „dword/Undotted Integer“ – wenn jedes Byte der IT zunächst in das Hexadezimalformat übersetzt wird und daraufhin alle Bytes in einer Zahl dargestellt werden, in derselben Reihenfolge, wie sie in der IP-Adresse standen, und daraufhin wird diese Zahl in das Dezimalsystem übertragen. Interessant daran ist auch, dass alle diese Formate miteinander kombiniert werden können und jeder Teil der IP anders dargestellt werden kann, der Browser eine solche Darstellung aber trotzdem korrekt interpretiert!

Und solche Methoden wenden Spammer an, wobei sie ein und dieselbe IP auf unterschiedliche Arten darstellen, unter anderem, indem sie die verschiedenen Formate miteinander kombinieren:

  • oct – hex

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

  • oct – dword

ksb_spam_2015_de_3

  • hex – dword

ksb_spam_2015_de_4

Die Adresse im Hexadezimalformat lässt sich sowohl mit Punkten als auch ohne Punkte darstellen:

ksb_spam_2015_de_5

Außerdem kann man im Integer-Format beliebig häufig 4294967296 (256*4) anhängen und trotzdem wird es letztlich als ein und dieselbe IP interpretiert.

Im Dezimalformat kann man, so oft man will, an jeden Teil der IP-Adresse die Zahl 256 anhängen, aber das Ergebnis bleibt immer dreiwertig und die Adresse wird richtig interpretiert.

Und bei einer IP-Adresse im Oktalformat lässt sich eine beliebige Zahl von Nullen voranstellen – und sie bleibt trotzdem korrekt.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Außerdem kann man der Adresse beliebig viele Schrägstriche hinzufügen:

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Wir weisen darauf hin, dass – auch wenn in einigen legalen Bibliotheken IP-Adressen in unterschiedlichen Formaten gespeichert werden können – die Verwendung irgendeines anderen als des Standard-Formats „dotted decimal“ außer in URL (d.h. also im Grund in Links, von denen hier die Rede ist) verboten ist.

Obfuskation der IP-Adresse oder auf wie viele Arten kann man eine Zahl in Unicode darstellen.

Wir haben schon mehr als einmal über die Obfuskation von Schlüsselwörtern in Spam unter Verwendung verschiedener Unicode-Spektren berichtet.

Dieselben Tricks werden nun auch bei der Darstellung von IP-Adressen und Domains eingesetzt. In Bezug auf IP setzten die Spammer im Jahr 2015 häufig Unicode-Ziffern aus dem so genannten „vollwertigen“ Spektrum ein. Im normalen Leben wird es meist mit Hieroglyphen-Sprachen verwendet, damit die lateinischen Buchstaben und Ziffern im Vergleich zu den Hieroglyphen nicht zu klein und enggestellt wirken.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Wir stießen auch auf Ziffern aus anderen Spektren: eingekreiste Ziffern, unterstrichene Ziffern usw.:

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Obfuskation der Domains

Wie bereits oben erwähnt, funktioniert dieser Trick auch mit Domains. Dabei ist der Buchstabenbereich in Unicode noch größer als der Zahlenbereich. Häufig verwendeten die Spammer gleich mehrere Spektren in einem Link (wobei sie sie willkürlich von Mail zu Mail änderten und dadurch die Variativität innerhalb einer Versendung erhöhten).

Um die Links noch einzigartiger zu gestalten, wurden auf dieselbe Weise nicht die Spammer-Websites selbst, sondern die Kurzlink-Services obfuskiert, auf denen in großer Zahl Links auf die eigentliche Site generiert wurden:

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Besonderheiten bei der Interpretation einiger Zeichen in URLs

In einer URL gibt es einige Sonderzeichen, die die Spammer ebenfalls zur Verrauschung einsetzen. In erster Linie geht es um das Zeichen „@“, das im Allgemeinen zur Autorisierung des Nutzer auf einer Site verwendet werden soll. Ein Link mit dem folgenden Aufbau

http://login:password@domain.com bedeutet, dass der Nutzer auf die Site domain.com gelangen will, wobei er einen speziellen Benutzernamen (login) und ein Passwort (password) benutzt. Ist auf der Site keine Autorisierung erforderlich, so wird alles, was vor dem Zeichen „@“ steht, einfach ignoriert. Wir sind sowohl auf Versendungen gestoßen, in denen die Spammer einfach das Zeichen „@“ vor die Domain gesetzt hatten, als auch auf solche, in denen sich vor dem „@“ eine willkürliche (oder nicht willkürliche) Zeichenfolge befand:

ksb_spam_2015_de_11

Interessant ist, dass diese Methode eingesetzt wird, um Links zu verrauschen, obgleich sie im Allgemeinen als Privileg von Phishern angesehen wird. Denn mit Hilfe dieser Darstellung können Cyberkriminelle versuchen, den Nutzer in die Irre zu führen, indem sie ihn glauben machen, dass der Link auf eine legitime Site führt. In diesem Link beispielsweise – http://google.com@spamdomain.com/anything – ist die Domain, die der Browser wahrnimmt spamdomain.com, und keinesfalls google.com.

Wir weisen allerdings darauf hin, dass die Spammer einen anderen Trick verwendeten, um die Nutzer visuell zu täuschen: Sie registrierten eine Unmenge von Domains, die mit „com-“ beginnen. Mit Domains der dritten Ebene sahen die Links in den Mails beispielsweise folgendermaßen aus:

http://learnmore.com-eurekastep.eu/find

Schaut man nicht genau hin, kann man denken, dass die Hauptdomain learnmore.com, ist. Tatsächlich aber ist com-eurekastep.eu die Hauptdomain.

Neben dem „@“ benutzten die Spammer auch andere Zeichen, um die Links zu verrauschen:

www.goo&zwj.g&zwjl/0Gsylm

in diesem Fall ist in der Domain goo.gl das Fragment „&zwj“ zu beachten. Es wurde willkürlich an verschiedenen Stellen der Domain platziert, und dadurch wurde der Link in jeder Mail einzigartig. Diese Einfügung nennt sich Zero-width joiner, sie wird verwendet, um in hinduistischen Sprachen mehrere einzelne Zeichen in einem Zeichen zu vereinen sowie auch Emoticons. Innerhalb einer Domain erfüllt sie keinen Zweck, sie dient lediglich der Verrauschung des Links.

Eine weitere Variante zur Verrauschung eines Links funktioniert mit Hilfe eines „weichen Trennzeichens“ (SHY, soft hyphen). In HTML ist SHY ein Sonderzeichen, das im normalen Text nicht sichtbar ist, doch wenn ein Wort, innerhalb dessen sich dieses Sonderzeichen befindet, am Ende einer Zeile steht und es nicht mehr vollständig in dieselbe passt, so wird der Teil nach dem Sonderzeichen in die nächste Zeile verschoben und an den ersten Teil wird ein Bindestrich angehängt. In der Regel ignorieren Browser und E-Mail-Clients dieses Zeichen innerhalb von Links, daher können Spammer es in URLs an jeder beliebigen Stelle in jeder beliebigen Zahl platzieren. Wir hatten es mit Versendungen zu tun, in denen diese Einfügung mehr als 200 Mal an einer Domain vorgenommen wurde (in der Hexadezimal-Codierung):

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Neben dem „weichen Trennzeichen“ finden sich in der Domain auch andere Sonderzeichen – ordinaler Indikator (º), hochgestellte 1 und 2 (¹, ²) –, die von einigen Browsern als Buchstabe „o“ und als die Ziffern „1“ und „2“ respektive interpretiert werden könnten.

Vielfache Wiederholung einer bekannten Domain

Eine weitere originelle Methode zur Verschleierung eines Links, auf die wir in verschiedenen Spam-Versendungen im Jahr 2015 gestoßen sind, besteht in der Verwendung irgendeiner bekannten Domain als Redirector. Die Methode selbst ist nicht neu, doch in diesem Fall ergänzten die Spammer ein und dieselbe bekannte Domain gleich mehrfach:

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Mails ohne URL

Separat betrachtet werden müssen die Fälle, in denen Links in diesem Sinne in den Mails schlichtweg fehlten. So fanden wir in manchen Versendungen anstelle einer URL einen QR-Code.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

In anderen Versendungen wurde der Nutzer aufgefordert, eine zufällig aussehende Zeichenfolge bei einer Suchmaschine einzugeben, wobei daraufhin der Link auf die entsprechende Seite an erster Stelle in der Ergebnisliste erscheinen würde:

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Weltweite Ereignisse im Spam

Die Olympiade in Brasilien findet erst im Sommer des laufenden Jahres 2016 statt, doch bereits im Jahr 2015 verschickten Betrüger gefälschte Mitteilungen über Gewinne in einer Lotterie, die mit diesem sportlichen Großereignis in Verbindung steht. Die Mails hatten PDF-Anhänge, in denen dem Empfänger mitgeteilt wurde, dass seine Adresse nach dem Zufallsprinzip aus Millionen von E-Mail-Adressen ausgewählt wurde. Um den Gewinn in Empfang nehmen zu können, müsse der glückliche Gewinner unbedingt die geforderten persönlichen Informationen angeben. Die Anhänge enthielten nicht nur Text, sondern auch verschiedene grafische Elemente (Logos, Fotos und so weiter). Betrügerische Benachrichtigungen über Lotteriegewinne, deren Texte recht lang sind, werden im Übrigen häufig mit Anhang verschickt, und zwar um die Spam-Filter zu umgehen.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Die „nigerianischen“ Betrüger nutzten im Jahr 2015 die politischen Ereignisse in der Ukraine, den Krieg in Syrien, die Präsidentschaftswahlen in Nigeria und das Erdbeben in Nepal aus, um die Empfänger ihrer Schreiben von der Wahrhaftigkeit der ausgedachten Geschichten zu überzeugen. Die Autoren solcher Mails baten zumeist um Unterstützung bei der Investition von vorhandenen Geldern oder sie baten um finanzielle Hilfe. Die Betrüger setzten die für „nigerianische“ Mails typischen Kniffe und Tricks ein, mit dem Ziel die Empfänger über den Tisch zu ziehen und ihr Geld einzustreichen.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Die Schreiben mit syrischer Thematik handelten häufig von Flüchtlingen oder syrischen Bürgern, die Zuflucht in europäischen Ländern suchen. Einige Mails wurden angeblich direkt aus Flüchtlingslagern abgeschickt und enthielten Klagen über die dort herrschenden schlechten Verhältnisse.

Statistik

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic ging im Jahr 2015 um 11,48 PP zurück und betrug 55,28 Prozent.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Spam-Anteil im weltweiten E-Mail-Traffic im Jahr 2015

Am bedeutendsten war der Rückgang in den ersten Monaten des Jahres 2015, und zwar von 61,86% im Januar auf 53,63% im April. Ansonsten war der Spam-Anteil nur geringfügigen Schwankungen unterworfen, sie betrugen nicht mehr als ein bis zwei Prozentpunkte.

Spam-Herkunftsländer

ksb_spam_2015_de_20

Spam-Herkunftsländer weltweit im Jahr 2015

Im Jahr 2015 gab es auf den ersten drei Spitzenplätzen im Ranking der Spam-Herkunftsländer leichte Veränderungen: China (6,12%) ist nicht mehr Teil des Führungstrios, obgleich der Anteil des Landes um 0,59 PP zunahm. Stattdessen belegt nun Vietnam (6,13%) den dritten Platz mit einem Plus gegenüber dem Vorjahr von 1,92 PP. Auf Position zwei befindet sich nach wie vor Russland (6,15%), dessen Anteil ebenfalls stieg, und zwar um 0,22 PP. Der Spam-Anteil des Spitzenreiters – die USA mit einem Wert von 15,16% – hat hingegen um 1,5 PP abgenommen, doch nach wie vor führen die Vereinigten Staaten diese Hitliste mit großem Abstand an.

Platz fünf belegt, wie auch schon im Jahr 2014, Deutschland (4,24%), dessen Anteil um 0,24 PP zugelegt hat. Es folgen die Ukraine (3,99%, +0,99 PP), Frankreich (3,17%, +0,62 PP), Indien (2,96%, Anteil blieb unverändert) sowie Argentinien (2,90%, mit einem Minus von 0,65 PP). Abgeschlossen werden die TOP 10 von Brasilien (2,85%, +0,42 PP).

Größen der Spam-Mails

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Größen der Spam-Mails im Jahr 2015

Der Anteil sehr kleiner Mails (bis 2 KB) im Spam-Traffic nahm im Jahr 2015 noch ein wenig mehr zu und betrug durchschnittlich 79,13%. Der Anteil von elektronischen Briefen mit einer Größe zwischen 2 und 5 KB ging unterdessen auf 9,08% zurück. Insgesamt setzte sich im Jahr 2015 der Trend zur Verringerung der Größe von Spam-Mails fort.

Schädliche Anhänge

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

TOP 10 der via E-Mail verbreiteten Schadprogramme im Jahr2015

Den ersten Platz im Gesamtjahresranking der im E-Mail-Traffic am weitesten verbreiteten Schädlinge belegte der bereits zum Inventar gehörende Trojan-Spy.HTML.Fraud.gen aus der Familie trojanischer Programme, die als gefälschte HTML-Seiten umgesetzt sind. Der Schädling wird getarnt als wichtige elektronische Mitteilung von Großbanken, Online-Shops, Software-Herstellern usw. Auf der angebotenen gefälschten HTML-Seite trägt der Nutzer seine vertraulichen Daten ein, woraufhin diese Informationen an die Cyberkriminellen weitergeleitet werden.

Auf dem zweiten Platz positionierte sich Trojan-Downloader.HTML.Agent.aax, und auf dem neunten und zehnten Trojan-Downloader.HTML.Meta.as und Trojan-Downloader.HTML.Meta.ay respektive. Bei diesen Schädlingen handelt es sich um HTML-Seiten mit Code zur Umleitung des Nutzers auf eine schädliche Website. Dort erwartet das Opfer üblicherweise eine Phishing-Seite oder die Aufforderung, ein Tool zum automatischen Handel mit Binäroptionen herunterzuladen. Diese Schädlinge werden über E-Mail-Anhänge verbreitet und sie unterscheiden sich nur durch den Link, der den Nutzer auf die Website der Verbrecher umleitet.

Der Downloader Trojan-Banker.Win32.ChePro.ink besetzt den dritten Platz. Der Schädling wurde in Form eines CPL-Applets umgesetzt (einer Komponente der Windows-Systemsteuerung) und ist für den Download von Trojanern auf den Computer vorgesehen, die wiederum auf den Diebstahl von vertraulichen Finanzinformationen spezialisiert sind. In erster Linie greifen Schädlinge dieses Typs brasilianische und portugiesische Banken an.

Auf Platz vier befindet sich Email-Worm.Win32.Mydoom.l – ein Netzwurm mit der Funktionalität einer Backdoor. Verbreitet wird er über Filesharing-Netze und schreiboffene Netzressourcen in Form eines E-Mail-Anhangs. Die benötigten E-Mail-Adressen sammelt der Schädling auf dem infizierten Computer. Der Wurm bietet seinen Betreibern die Möglichkeit, infizierte Computer aus der Ferne zu steuern. Zum Versand der Mail initiiert der Wurm eine direkte Verbindung mit dem SMTP-Server des Empfängers.

Außerdem platziert haben sich Trojan.JS.Agent.csz und Trojan-Downloader.JS.Agent.hhi, bei denen es sich um in JavaScript programmierte Downloader handelt. Diese Schädlinge können in sich mehrere Adressen (Domains) enthalten, mit denen der infizierte Computer nacheinander Kontakt aufnimmt. Ist die Kontaktaufnahme erfolgreich, so wird in den temporären Ordner eine schädliche EXE-Datei geladen und gestartet.

Den achten Platz belegt Trojan-PSW.Win32.Fareit.auqm. Schädlinge aus der Familie Fareit stehlen Browser-Cookies, Passwörter für FTP-Clients und E-Mail-Programme und senden diese Daten dann an einen entfernten Server der Cyberkriminellen.

Schadprogramm-Familien

Bei den Schadprogramm-Familien war im Verlauf des gesamten Jahres die Familie Upatre Spitzenreiter. Am häufigsten werden die Schädlinge dieser Familie von einem Bank-Trojaner auf die Opfer-Computer geladen, der als Dyre/Dyzap/Dyreza bekannt ist.

Die zweite und dritte Position belegen auf das gesamte Jahr gesehen die Familien MSWord.Agent und VBS.Agent. Zur Erinnerung: Bei den Schädlingen der Familie MSWord.Agent handelt es sich um eine DOC-Datei mit integriertem Makro, programmiert in Visual Basic for Applications (VBA), das beim Öffnen des Dokumentes ausgeführt wird. Der Schädling lädt und startet andere Schadsoftware, beispielsweise einen Vertreter aus der Backdoor-Familie Andromeda. VBS.Agent hingegen verwendet, wie der Name schon sagt, ein integriertes VBS-Skript. Für den Download und Start verschiedener Malware auf dem Computer des Anwenders verwenden die Vertreter dieser Familie die Technologie ADODB.Stream.

Auf Rang vier positionierte sich die Familie Andromeda. Diese Schädlinge ermöglichen es Cyberkriminellen, infizierte Computer, die häufig einem Botnetz angehören, unbemerkt zu steuern. Im Gesamtjahresranking für das Jahr 2014 belegte die Familie Andromeda den ersten Platz.

Die fünfte Position besetzt die Familie Zbot. Vertreter dieser Familie sind auf Attacken auf Server und Anwendercomputer spezialisiert, sowie auf das Abfangen von Daten. Obgleich ZeuS/Zbot verschiedene schädliche Aktionen durchführen kann, wird er in der Regel für den Diebstahl von Bankinformationen eingesetzt.

Zielländer der Schadversendungen

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Verteilung der Alarme von Kaspersky Antivirus nach Ländern im Jahr 2015

Während in den letzten drei Jahresratings das Spitzentrio unverändert blieb (die USA, Großbritannien und Deutschland), änderten die Spammer im Jahr 2015 ihre Taktik und ihre Ziele. Das hatte zur Folge, dass im Gesamtjahresranking Deutschland auf dem ersten Platz landete, und zwar mit einem Anteil von 19,06% und einem Plus von 9,84 Prozentpunkten. Die zweite Position belegte Brasilien, das im entsprechenden Rating für das Jahr 2014 lediglich den sechsten Platz belegte (7,64%, +4,09 PP).

Die größte Überraschung des dritten Quartals und des gesamten Jahres 2015 war der Aufstieg Russlands auf den dritten Platz im Ranking der Länder, in die die meisten Schadprogramme gesendet werden (6,30%, +3,06 PP). Nach den Ergebnissen des Jahres 2014 belegte Russland lediglich den achten Platz und auf das Gebiet dieses Landes wurden dabei nicht mehr als 3,24% des gesamten Schadspams versendet.

Man möchte daran glauben, dass die Menge der schädlichen Versendungen, die in Richtung Russland verschickt werden, ungeachtet der Tendenzen der letzten Quartale abnimmt. Die Zahl der schädlichen E-Mail-Anhänge wird im Jahr 2016 weiter steigen, aber an erste Stelle werden sich der Diebstahl persönlicher Informationen und Erpresser-Trojaner setzen.

Besonderheiten im Schadspam

Im Jahr 2015 wurde eine rasante Zunahme der Versendungen mit Makroviren festgestellt. Im ersten Quartal registrierten wir die meisten Mails mit Makroviren, die in Anhängen mit der Erweiterung.doc oder .xls verschickt wurden und zur Kategorie der Trojan-Downloader gehörten, die wiederum andere Malware luden.

Zumeist waren die Anhänge als verschiedene Finanzdokumente getarnt: als Benachrichtigung über eine Strafzahlung, eine Überweisung, eine unbezahlte Rechnung, eine Transaktion, aber ebenso als Beschwerden, E-Tickets und Bestellungen. Häufig wurden sie im Namen von Mitarbeitern real existierender Organisationen und Unternehmen versendet.

Die Gefahr, die Makroviren darstellen, liegt nicht allein in ihrer Verfügbarkeit und einfachen Umsetzung. Ein Makrovirus ist in der Lage, nicht nur ein von vornherein geöffnetes Dokument zu infizieren, sondern auch ein globales Makro, das allgemein für alle ähnlichen Dokumente gilt, und folglich alle Dokumente des Anwenders, die mit dem globalen Makro kommunizieren. Außerdem sollte man nicht vergessen, dass die Sprache VBA ausreichend ist, um den mannigfaltigsten Schadcode zu programmieren.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Auch im Jahr 2015 setzten die auf Schadspam spezialisierten Verbrecher den Versand von Schadprogrammen in Archiven nicht traditioneller Formate fort (.cab, .ace, .7z, .z, .gz). Alle diese Archivierungs-Formate gibt es schon seit recht langer Zeit, und sie werden von Spezialisten auf den Gebieten Softwareentwicklung und –Installation verwendet, doch dem Durchschnittsuser sind sie im Gegensatz zu ZIP und RAR in der Regel nicht bekannt. Ein weiterer Unterschied ist der hohe Komprimierungsgrad der Dateien, die in diesen Archiven gepackt sind. Das wiederum machen sich die Cyberkriminellen zunutze, um die Mail-Größe zu reduzieren und die Spam-Filter zu umgehen. Solche schädlichen Archive wurden als die unterschiedlichsten Anhänge ausgegeben (Bestellungen, Rechnungen, Fotos, Mitteilungen usw.) und enthielten verschiedene Schädlinge (Trojan-Downloader.Win32.Cabby, Trojan-Downloader.VBS.Agent.azx, Trojan-Spy.Win32.Zbot.iuk, den Keylogger HawkEye Keylogger und andere). Die überragende Mehrheit der Mails war in englischer Sprache verfasst, allerdings fanden sich auch Beispiele in anderen Sprachen.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Im vergangenen Jahr verschickten Cyberkriminelle aktiv gefälschte Mails von mobilen Geräten und Benachrichtigungen von mobilen Apps, die Schädlinge und Werbemitteilungen enthielten. Im Jahr 2015 setzte sich das mobile Thema fort: Schädlinge wurden in Form von .apk- und .jar-Dateien verschickt, die archivierte ausführbare App-Dateien für mobile Geräte sind. Dateien mit der Erweiterung .jar sind gewöhnliche ZIP-Archive, in denen ein Programm in der Sprache Java enthalten ist und die in erster Linie zum Start auf einem Mobiltelefon vorgesehen sind; .apk-Dateien werden zur Installation von Apps unter dem Betriebssystem Android verwendet.

Cyberkriminelle tarnten unter anderem das mobile erpresserische Verschlüsselungsprogramm SLocker als Update-Datei des Programms Flash Player. Der Schädling verschlüsselte die auf dem Android-Gerät vorhandenen Dateien (Bilder, Videos und verschiedene Dokumente). Nach dem Start des schädlichen Verschlüsselungsprogramms wurde dem Nutzer die Aufforderung angezeigt, eine gewisse Summe für die Dechiffrierung zu zahlen. In einem anderen Beispiel wurde in einem .jar-Archiv Backdoor.Adwind gefunden, eine in Java programmierte Backdoor. Der wichtigste Vorteil dieses Schädlings liegt darin, dass er Plattform übergreifend funktioniert, das heißt, man kann ihn nicht nur auf mobilen Geräten installieren, sondern auch auf den Betriebssystemen Windows, Mac und Linux.

Die Verbrecher, die Schädlinge in für mobile Geräte vorgesehenen Dateien versenden, haben höchstwahrscheinlich darauf gesetzt, dass die Anwender, die mit E-Mails auf ihren mobilen Geräten arbeiten, den schädlichen Anhang aus der erhaltenen Mail installieren.

Wir weisen darauf hin, dass mobile Geräte mit jedem Jahr mehr in den Fokus der Cyberkriminalität geraten. Ersten hängt das mit der ständig steigenden Aktivität mobiler User zusammen (Messenger und andere Datenaustauschkanäle) und dem Wechsel verschiedener Services (beispielsweise Finanzoperationen) auf mobile Plattformen, wobei ein Nutzer unter Umständen gleich mehrere mobile Geräte sein Eigen nennt. Zweitens liegt es an dem Erscheinen verschiedener Anwendungen, die von den Nutzern nachgefragt werden, gleichzeitig aber auch direkt (für den Versand von Spam, auch schädlichem) oder indirekt (als Thema in Phishing-Mails) von Betrügern benutzt werden können. So werden die User des populären Messengers WhatsApp nicht nur Opfer traditionellen Werbe-Spams, sondern auch Opfer von Virenschreibern. Nutzer von Mobilgeräten sollten höchst aufmerksam sein, da die Aktivität der Cyberkriminellen auf diesem Gebiet nur weiter zunehmen wird.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Phishing

Haupttendenzen

Im Jahr 2015 wurden auf den Computern der Anwender von Kaspersky Lab-Produkten 148.395.446 Alarme des Systems „Antiphishing“ registriert. Dabei entfielen 60% (89.947.439) der Alarme auf die deterministische Komponente, 40 Prozent der Alarme wurde durch die heuristische Web-Komponente ausgelöst.

Verbreitungswege des Phishing-Contents

Die Verbreitungskanäle von Phishing-Content sind schon lange nicht mehr auf E-Mail-Clients beschränkt. Eine der populärsten Verbreitungsmethoden von Phishing-Seiten ist beispielsweise Pop-Up-Werbung. Im Jahr 2015 stießen wir auf eine Vielzahl von Betrugsschemata, die den folgenden primitiven Ansatz nutzten: Die gefälschten Seiten werden beim Besuch einiger Sites automatisch im Browser geöffnet, wobei es sich um durchaus legitime Sites handeln kann, die allerdings Pop-Up-Fenster für Werbung verwenden.

Unter Verwendung dieser Methode griffen Betrüger im Laufe des dritten und vierten Quartals die Nutzer russischer Banken an.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Beispiel für eine betrügerische Seite, auf die das Opfer via Pop-Up-Werbung gelangt.

Weiter populäre Themen des Jahres

Wie wir bereits im ersten Quartal berichteten ist der Anteil der Kategorie „Logistik-Unternehmen“ relativ gering (0,23%), allerdings war im vergangenen Jahr ein geringfügiges Wachstum zu verzeichnen (+0,04 PP), und die DHL aus dieser Kategorie ist ein zuverlässiger Vertreter in den TOP 100 der von Phishern angegriffenen Organisationen.

Diese Tarnung – eine Mail im Namen eines Logistikunternehmens – setzten die Betrüger ein zum Versand schädlicher Anhänge, zum Abgreifen persönlicher Daten und Gelder.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Beispiel für eine Phishing-Mail, die als Mitteilung von FedEx getarnt ist.

Eine gesteigerte Aktivität in dieser Kategorie legen die Betrüger vor den Feiertagen an den Tag, wenn die meisten Leute für sich und ihre Lieben Geschenke besorgen und zu diesem Zweck populäre Lieferdienste nutzen.

Fallstricke in der elektronischen Post

Cyberbetrüger nutzen schon so lange wie erfolgreich an E-Mails angehängte PDF-Dateien zur Durchführung von Phishing-Attacken. In den meisten Fällen handelt es sich dabei um Formulare zur Eingabe persönlicher Daten, die den Betrügern mit einem Klick auf eine in der Datei enthaltene Schaltfläche übermittelt werden. Im Jahr 2015 bemerkten wir allerdings eine Zunahme von Mails, bei denen sich im angehängten PDF-Dokument der Mitteilungstext und der Link auf die Phishing-Seite befanden. Der Text in der E-Mail an sich war minimiert mit dem Ziel, die Spam-Filter zu umgehen.

Solche Kniffe sind bei Angriffen auf Kunden von Organisationen aller Kategorien anzutreffen. Die Mehrheit solcher Attacken richtete sich im Jahr 2015 gegen Kunden von Finanz- und Mail-Organisationen.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Beispiel für eine Phishing-Mail. Im Körper der Mail befindet sich lediglich Text, der als Überschrift der Mitteilung stilisiert ist, deren Antwort angeblich das angeführte Beispiel ist. An den Brief angehängt ist eine PDF-Datei, die den Link auf die Phishing-Seite enthält

Wir haben zudem eine Vielzahl von PDF-Dateien mit Umleitungen per Klick auf Phishing-Ressourcen gefunden. In den meisten Fällen brachten die Betrüger die Nutzer dazu, auf den entsprechenden Link zu klicken, indem sie ihnen damit die Möglichkeit in Aussicht stellten, den Inhalt der Datei zu lesen.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Beispiel für eine Phishing-Mail. Im Anhang befindet sich eine PDF-Datei mit Umleitung per Klick auf Phishing-Ressourcen

Geografie der Attacken

TOP 10 der Länder nach Anteil der angegriffenen Anwender

Spitzenreiter nach Anteil der individuellen angegriffenen Anwender an der Gesamtzahl aller Anwender im Land wurde im Jahr 2015 Japan (21.68%), dessen Wert um 2,17 PP zulegte.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Anteil der Anwender, auf deren Computern das „Antiphishing“-System im Jahr 2015 Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land

TOP 10 der Länder nach Anteil der angegriffenen Anwender:

Japan 21,68%
Brasilien 21,63%
Indien 21,02%
Ecuador 20,03%
Mozambique 18,30%
Russland 17,88%
Australien 17,68%
Vietnam 17,37%
Kanada 17,34%
Frankreich 17,11%

Der Spitzenreiter des Vorjahres, Brasilien, rutschte mit einem Wert von 21,63% (-5.77 PP) auf den zweiten Platz ab, es folgen Indien (21,02%,-2.06 PP) und Ecuador (20,03%, -2.79 PP).

Verteilung der Attacken nach Ländern

Nach Anteil der Alarme unseres Systems „Antiphishing“ (gemessen an der Gesamtzahl der Alarme unserer Produkte weltweit innerhalb des Jahres) führt Russland vor allen anderen Ländern der Welt mit 17,8%, dabei ist der Wert des Landes innerhalb des Jahres um 0,62 Prozentpunkte gestiegen.

Kaspersky Security Bulletin. So sah 2015 in Sachen Spam aus

Verteilung der Phishing-Attacken nach Ländern im Jahr 2015

Auf Russland folgen im Rating nach Anzahl der Alarme auf dem Gebiet eines Landes: Brasilien (8,74%, +1,71 PP), Indien (7,73%, +0,58 PP) und die USA (7,52%, +0,32 PP). Abgeschlossen werden die TOP 5 von Italien (7,04%, +1,47 PP).

Ziele der Phishing-Attacken

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Kaspersky-Lab-Systems Antiphishing auf den Computern der KSN-Teilnehmer erstellt. Diese Komponente erkennt alle Seiten mit Phishing-Inhalten, die der Anwender über Links in einer E-Mail oder im Internet zu erreichen versucht. Das Antiphishing-System schlägt dann Alarm, wenn noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind.

ksb_spam_2015_de_33

Verteilung der von Phishern angegriffenen Organisationen nach Kategorien im Jahr 2015

Im Jahr 2015 stellten wir eine deutliche Zunahme des Alarm-Anteils der Kategorie „Finanzorganisationen“ fest (34,33%, +5,59 PP), die die drei Rubriken „Banken“, „Bezahlsysteme“ und „Online-Shops“ in sich vereint. Bemerkenswert ist zudem die Zunahme des Anteils der Organisationen aus den Kategorien „Telefon- und Internetprovider“ (5,50%, +1,4 PP) und „Soziale Netzwerke und Blogs“ (16,40%, +0,63 PP).

TOP 3 der von Phishern angegriffenen Organisationen

Organisation Prozentualer Anteil der Phishing-Links
1 Yahoo! 14,17
2 Facebook 9,51
3 Google 6,8

In den ТОР 3 der von Phishern angegriffenen Organisationen belegt nach wie vor Yahoo! den ersten Platz. Der Anteil der Phishing-Angriffe, die auf dieses Unternehmen entfallen, hat allerdings deutlich abgenommen und liegt jetzt bei 14,17% gegenüber 23,3% im Jahr 2014. Wie wir annehmen, hat der aktive Kampf der Organisation gegen gefälschte Domains seinen Teil zu dieser Entwicklung beigetragen. Wir stellten fest, dass Yahoo!, wie viele andere Organisationen auch, eine Vielzahl von Domains auf seinen Namen registriert, die theoretisch von Cyberkriminellen ausgenutzt werden könnten, da sie eine Ableitung vom Original-Domain-Namen darstellen.

Fazit und Prognosen

Der Spam Anteil im E-Mail-Traffic ging im Jahr 2015 um 11,48 PP auf 55,28% zurück. Die stärkste Abnahme des Wertes wurde im ersten Quartal beobachtet – ab April veränderte er sich nur noch um wenige Prozentpunkte. Dieser deutliche Rückgang hängt mit der Abwanderung der Werbung für legale Waren und Dienstleistungen aus den Spam-Strömen auf bequemere und vor allem legale Plattformen zusammen (soziale Netzwerke, Coupon-Services usw.) sowie mit der Ausweitung der Zone „grauer“ Versendungen (Versendungen, die sowohl freiwilligen Abonnenten geschickt werden, als auch Leuten, die nicht ihr Einverständnis für den Empfang gegeben haben). Es ist anzunehmen, dass der Spam-Anteil im laufenden Jahr weiterhin abnimmt, der Rückgang wird allerdings kaum so drastisch wie im Jahr 2015 ausfallen.

Die Zahl der schädlichen und betrügerischen Mails wird hingegen zunehmen. Möglicherweise werden die Verbrecher auf alte und vergessene Tricks zurückgreifen, wie es bereits im Jahr 2015 der Fall war (Massenversand von Makroviren und für Spam untypische Attachment-Erweiterungen). Das mobile Thema könnte ebenfalls eine weitere Methode im Arsenal der Spammer für die Verbreitung von schädlichem und betrügerischem Spam werden.

Die Zahl der neuen Domains, die von Spammern direkt für eine Versendung erstellt werden, wird weiterhin steigen, und auch eine Erweiterung der in Spam-Ressourcen verwendeten neuen Domain-Zonen wird erwartet.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.