Kaspersky Security Bulletin Spam im Jahr 2008

Tatjana Kulikova
Katerina Kalimanova
Darja Bronnikova

  1. Entwicklung der IT-Bedrohungen im Jahr 2008
  2. Jahresstatistik 2008
  3. Spam im Jahr 2008

Einführung

Das Jahr 2008 war in vielerlei Hinsicht besonders. So fand der Kampf gegen Spam erstmals auf internationaler Ebene statt. Dabei kamen einige für die Spammer wichtigen Webhoster zu Fall, was den Reklame-Anteil im E-Mail-Traffic kurzfristig leicht verringerte.

Die Wirtschaftskrise erfasste Russland zu Beginn des Herbstes und beeinflusste auch das Spam-Business. Infolgedessen änderte sich die Spam-Struktur: Es gab weniger Werbung für Waren, dafür mehr Angebote für kriminelle Dienstleistungen.

Hauptergebnisse des Jahres

  1. Der Spam-Anteil betrug durchschnittlich 82,1 Prozent. Das sind 2,1 Prozent mehr als im Jahr 2007.
  2. Der Spam-Anteil im E-Mail-Traffic sank während der Sommerferien.
  3. Innerhalb weniger Tage nach Schließung des Hosting-Providers McColo, auf dessen Servern die Steuerungszentren einiger Botnets lagen, wurde in Russland nur halb so viel Spam registriert und in den USA sogar dreimal weniger.
  4. Die Anzahl der Spam-Mails an Nutzer sozialer Netzwerke nahm ebenso zu wie Spam innerhalb dieser Netzwerke.
  5. In Spam-Mails wurde Nutzern geraten, SMS-Mitteilungen an teure Kurzwahlnummern zu senden.
  6. In der zweiten Jahreshälfte ging der Anteil der Spam-Kategorie „andere Waren und Dienstleistungen“ zurück.
  7. Der Anteil von Spam „für Erwachsene“ erhöhte sich um fast zehn Prozent. Mit dieser Spam-Kategorie wurde der Traffic auf Pornoseiten gesteigert.
  8. Mit „Fälschungen hochwertiger Waren“ erschien eine neue russischsprachige Spam-Variante.
  9. Um die Aufmerksamkeit auf beworbene Waren und Dienstleistungen zu lenken, setzten Spammer auf Themen wie die Wirtschaftskrise und die Präsidentschaftswahl in den USA.
  10. Die Spammer nutzten HTML-Tricks zum Täuschen von Spam-Filtern.

Grundlegende Tendenzen des Jahres

Betrug durch SMS-Versand

Im Jahr 2008 war die nachfolgend beschriebene Betrugsart besonders weit verbreitet. In Spam-Mails wurde Empfängern empfohlen, eine SMS an eine Kurzwahlnummer zu senden. Die dafür fälligen hohen Gebühren gingen direkt an die Betrüger, die die Kurzwahlnummer verwalteten.

Die von den Spammern angeführten Scheingründe waren unter anderem:

  • durch den SMS-Versand gewinnt der Anwender einen Preis bei einem angeblichen Gewinnspiel
  • der Empfänger hat eine Nachricht erhalten, kann sie jedoch erst dann abrufen, wenn er eine SMS verschickt
  • der Benutzer-Account wird stillgelegt, nur eine abgeschickte SMS kann das verhindern

Die unten stehende Mitteilung ahmt eine offizielle E-Mail eines Netzbetreibers nach:


Übersetzung der E-Mail:

Angebot für Abonnenten von Megafon
Wechseln Sie zu Megafon und erhalten Sie ein iPhone als Geschenk.
3 einfache Schritte:
1. Senden Sie eine SMS mit dem Text „51 iPhone“ an die Nummer 7733. Kosten für
die SMS: drei Rubel ohne Mehrwertsteuer.
2. Sie erhalten ihren persönlichen Teilnahmecode.
3. Durch den Teilnahmecode erhalten Sie einen Rabatt auf das iPhone und können es
für gerade einmal 999 Rubel in einem beliebigen Megafon-Geschäft kaufen*
4. Jeder fünfte Teilnehmer erhält ein kostenloses iPhone (+ einen Vertrag für drei
Monate)
Achtung: Wenn Sie eine SMS erhalten haben, bestätigen Sie Ihren Gewinn.
Füllen Sie den Antrag aus und schicken sie ihn per E-Mail an
iphone@megafon.ru
* die nächstgelegene Megafon-Niederlassung in Ihrer Umgebung finden Sie auf
www.megafon.ru

Anders als in vielen anderen Ländern ist in Russland keine Lizenz für die Verwaltung von Kurzwahlnummern erforderlich und schafft so den Nährboden für eine solche Betrugsart. Es genügt schon, einen Partnervertrag mit einer Agentur für Handy-Marketing zu haben, die ihrerseits einen Vertrag mit einem Mobilfunkbetreiber abgeschlossen hat. Benutzen mehrere Teilnehmer die gleiche Telefonnummer, eine so genannte Teilungsnummer, so wird für jede von ihnen ein Codewort als Präfix festgelegt. Der Untermieter erhält dann einen Anteil der Gebühren von abgesendeten SMS-Nachrichten.

Russische Anwender sind es gewohnt, kleine Dienstleistungen per SMS zu bezahlen und bemerken daher oftmals einen Betrug nicht. Kurzwahlnummern werden zum Beispiel legal für SMS-Abstimmungen, Ratespiele und Wettbewerbe verwendet. Durch SMS-Versand kann man Klingeltöne, Logos und Java-Spiele kaufen, Mitteilungen auf Webseiten, Foren und Blogs platzieren oder erhält Zugang zu WAP-Sites. Auch Service-Anbieter wie Partnerschaftsvermittlungen, Auskunfts- und Informationsdienste nutzen SMS.

Diese Infrastruktur missbrauchen die Betrüger sehr aktiv. Sie mieten Kurzwahlnummern mit Präfixen und versenden dann Spam-Mails, die offizielle Mitteilungen verschiedener Webseiten und Dienstleister imitieren. In solchen E-Mails werden Nutzer unter verschiedenen Vorwänden aufgefordert, eine SMS-Mitteilung an eine Kurzwahlnummer zu senden. Dabei verschweigen die Betrüger, dass pro SMS eine recht hohe Gebühr zwischen 150 und 300 Rubel (3 bis 6 Euro) fällig wird.

An derartigen Schwindeleien halten die Betrüger meist so lange fest, wie sie damit Gewinn erzielen können. Um unvorhergesehene Verluste zu vermeiden, sollten Anwender allen Informationen in Spam-Mails misstrauen. Zumindest sollten die Angaben auf der Firmenwebseite überprüft werden, in deren Namen die Mitteilung versendet wurde. Agenturen für Handy-Marketing versuchen, die Tätigkeit ihrer Partner über die SMS-Abrechnung zu kontrollieren und schalten von Betrügern verwendete Nummern ab.

Spam und soziale Netzwerke

Soziale Netzwerke haben sich in den letzten Jahren immer weiter verbreitet und werden immer intensiver von Spammern genutzt. Die Portale sind faktisch komplette Datenbanken mit Nutzerinformationen!

Spammer verschicken gefälschte Mitteilungen im Namen der Betreiber sozialer Netzwerke und versuchen Nutzer dazu zu bringen, eine infizierte Webseite aufzurufen oder eine SMS an eine Kurzwahlnummer zu senden. Die Übeltäter helfen mit ihren E-Mails auch Phishern dabei, Logins und Kennwörter zu stehlen.

Im Juni 2008 imitierte eine Spam-Welle offizielle Benachrichtigungen der bekannten russischen Webseite www.odnoklassniki.ru. Ein aufmerksamer Leser hätte den Betrug aber durchaus erkennen können. Der in der E-Mail angegebene Link führte nicht auf die Homepage des Anbieters, sondern auf eine Hacker-Webseite (odnoklassniks.info, odnoklass.ru oder odnoklassniks.ru). Die verwendete URL war in Singapur registriert und ähnelte stark der echten. Gingen Anwender auf die Hacker-Webseite, wurde der Trojaner Trojan.Win32.Agent.qxk auf ihrem Computer installiert, danach erfolgte die automatische Weiterleitung auf die Originalseite www.odnoklassniki.ru.

Die versendeten Spam-Mails hatten folgenden Text:

Hallo,
Sie haben eine neue Mitteilung vom Nutzer:
Kamilla
Um die Mitteilung lesen zu können, gehen Sie auf den Link:

http://www.odnoklassniks.info//mi?l=EATjNDZRQlAawz_fZKfhbq
LFYpFnO

Sollte sich der oben angegebene Link nicht öffnen, so kopieren
Sie ihn in die Zwischenablage, fügen ihn in die Adresszeile
des Browsers ein und drücken Enter.
Sie erhielten diese Mitteilung, weil Sie auf der Webseite
odnoklassniki.ru registriert sind. Sie können das Absenden
von Mitteilungen über neue Informationen im Abschnitt
„meine Seite“ > „meine Einstellungen“ einrichten.


Mit freundlichen Grüßen,
Support-Service odnoklassniki.ru
————————————————————–
Unterhalte Dich mit Deinen Klassenkameraden per Handy.
wap.odnoklassniki.ru

Solche Mitteilungen betrafen sowohl bei www.odnoklassniki.ru registrierte Nutzer als auch zufällig gewählte Empfänger. Hauptziel des Versands waren aber eindeutig die Mitglieder des sozialen Netzwerks. Der Angriff war äußerst genau vorbereitet, doch nicht von Erfolg gekrönt. Die Hacker-Webseiten waren so konfiguriert, dass sie nur wenige Anwender gleichzeitig aufnehmen konnten. Zudem konnte der Trojaner in den meisten Fällen nicht auf den Computer des Anwenders geladen werden.

Bei einem ihrer Angriffe nutzten die Spammer die Popularität sozialer Netze aus, um den Usern Geld aus der Tasche zu ziehen. Eine angeblich im Namen des russischen sozialen Netzwerks „WKontakte“ verschickte E-Mail schlug dem Anwender vor, an einem Preisausschreiben teilzunehmen und dazu eine „kostenlose“ SMS an eine Kurzwahlnummer zu versenden:


Im Oktober gingen die Spammer mit derselben Methode noch einen Schritt weiter. Die Empfänger sollten nun für eine neue Art von „WKontakte“-Dienstleistung gewonnen werden. Ein in der E-Mail enthaltener Link führte auf eine gefälschte „WKontakte“-Webseite, auf der man sich einloggen sollte. Nach Eingabe der Nutzerdaten kam allerdings die Rückmeldung, der Account sei nicht registriert oder das Kennwort falsch eingegeben. Login und Passwort fielen in die Hände der Phisher.

Hallo, der Nutzer Anotoli Smirnov lädt Sie zu einem Online-Gespräch ein. Gehen Sie auf {SITE}, um die Einladung anzunehmen oder abzulehnen.

Wir möchten Sie gleichzeitig darauf hinweisen, dass es sich um eine neue Funktion handelt und deshalb Probleme auftreten könnten. Bitte informieren Sie uns, wenn es bei Ihnen zu Problemen kommt.

Soziale Netzwerke sind so populär geworden, dass Hacker den Mitgliedern von www.odnoklassniki.ru sogar ein Programm anboten, das Benutzername und Passwort beim Anmelden automatisch einträgt. Das in Spam-Mails angebotene Tool erledigte diese Aufgabe zwar tatsächlich, gab die persönlichen Daten des Besitzers aber gleichzeitig an die Übeltäter weiter.

Dieses Programm ist für diejenigen gedacht, die es leid sind, jedes Mal erneut E-Mail und Kennwort einzutragen, wenn sie auf die Seite www.Odnoklassniki.ru gehen!

Odnoklassniki.ru Login 1.1 – das ist nichts anderes als der Anmeldedialog!

Das Programm platziert ein Icon in der Systemleiste (rechte untere Ecke – direkt neben der Uhr) und speichert Login und Kennwort!

Download-Link:http://{site}

Spam verbreitete sich auch direkt in den sozialen Netzwerken. Im Juni 2008 fanden viele Mitglieder von „WKontakte“ diese oder ähnliche Nachrichten in ihrem Postfach:


Übersetzung:

Tatjana Chekmareva schrieb
15. Juni 2008 um 15:59 Uhr

Bewerte eine tolle Seite:
newvideos. 110mb. com

Entferne die Leerzeichen neben den Punkten
2130345990

Oder

Olesja Kulagina schrieb
17. Juni 2008 um 20:08 Uhr
Hallo Porno-Freunde – wir freuen uns, Euch auf der Seite htp://…..newmail.ru) zu
sehen

Die Weblinks führten auf Pornoseiten.

Die Entwicklung sozialer Netzwerke in Russland und die Angriffe der Spammer auf deren Mitglieder zwingt uns, von einer neuen Art von Internet-Spam zu reden: Spam, der Nutzer sozialer Netzwerke im Visier hat. Die Reklame verbreitet sich sowohl über E-Mails als auch innerhalb sozialer Netze und hat sich zu einer weiteren Einnahmequelle für die Spammer entwickelt. Sie missbrauchen die Portale, um Computer zu infizieren, Gebühren für teuren SMS-Versand einzunehmen und Nutzerdaten mittels Phishing zu stehlen. In diesem Zusammenhang sollte der simple, aber zutreffende Rat beachtet werden: Seien Sie vorsichtig!

Verteilung von Spam

Im Jahr 2008 lag der Spam-Anteil im E-Mail-Traffic bei durchschnittlich 82,1 Prozent und war damit um 2,1 Prozent höher als 2007. Am 13. November registrierte Kaspersky Lab mit gerade einmal 50,5 Prozent den niedrigsten Spam-Anteil. Der Höchstwert wurde mit 97,8 Prozent am 1. März gemessen.


Spam-Anteil im Runet 2008

Die Grafik zeigt die anteilmäßige Verteilung von Spam und macht deutlich, dass sein Umfang im E-Mail-Traffic tendenziell abnimmt. Es wäre aber ein Fehler, diese Entwicklung ausschließlich mit einer Verringerung der Spammer-Aktivität erklären zu wollen.

Im ersten Quartal des Jahres stieg der Spam-Anteil an, verringerte sich im zweiten Quartal wieder und lag während des gesamten Sommers bei ungefähr 80 Prozent. Damit war er auf einem verhältnismäßig niedrigen Niveau. Dabei handelte es sich lediglich um einen saisonbedingten Rückgang, der nichts mit einer Tendenz zur Verringerung des Spam-Niveaus zu tun hat. Im September nahm der Spam-Anteil im E-Mail-Traffic wieder zu, fiel im November jedoch stark. Dieser Absturz war mit der Schließung des Hosting-Providers McColo verbunden, auf dem sich die Steuerzentren einiger wichtiger Botnetze befanden (Rustock, Srizbi, Dedler, Storm, Mega-D und Pushdo).

Doch bereits Ende November erreichte die Spam-Verteilung frühere Höchststände und im Dezember stieg sein Anteil im Runet bis auf 82,5 Prozent.

Innerhalb weniger Tage nach Schließung von McColo wurde im Runet, dem russischen Internet, nur halb so viel Spam registriert wie zuvor, in den USA sogar dreimal weniger. Obwohl sich die Spam-Menge allmählich wieder regenerierte, kann man aus diesem Vorfall eine äußerst wichtige Lehre ziehen: Spam verschwindet nicht allein durch Software-Filter, sondern muss auf Basis internationaler Zusammenarbeit in technologischen und juristischen Bereichen bekämpft werden.

Spam-Herkunftsländer


Spam-Herkunftsländer

Spam im Runet stammte im vergangenen Jahr überwiegend aus Russland selbst. Auf dem zweiten Platz stehen die USA, die noch im Jahr 2007 die Liste der Spam-Herkunftsländer anführten. Mit großem Abstand folgen die anderen Länder. Dabei ist die monatliche Verteilung ungleichmäßig. Beispielsweise kommt Spanien auf durchschnittlich fünf Prozent, erreichte in einzelnen Monaten jedoch zehn Prozent.

Typen und Umfang von Spam-Mails


Die Größe von Spam-Mails

Wie in den vergangenen Jahren waren fast alle Spam-Mails nicht größer als zehn KB. Trotz flächendeckender Verbreitung von Flatrates und Breitband-Internet bevorzugten Spammer den Versand kurzer Mitteilungen.


Typen von Spam-Mails

Die Verteilung der Spam-Mail-Typen blieb ebenfalls gleich: Ein Großteil der Reklame enthält nur einen Textteil, was ihre geringe Größe erklärt.

Die meisten Spam-Mails im Runet sind in russischer Sprache verfasst und machen 77 Prozent aller Mitteilungen aus. Den zweiten Platz belegt Englisch mit 14 Prozent aller Spam-Mails. Der Anteil anderer Sprachen beträgt neun Prozent, wobei hier vor allem Deutsch, Französisch, Italienisch und Portugiesisch vertreten sind.

Phishing

2008 enthielten durchschnittlich 1,01 Prozent aller Spam-Mails Phishing-Links. Im ersten Halbjahr war die Aktivität der Betrüger mit 1,32 Prozent bedeutend höher als im zweiten (0,7 Prozent). Im Mai und Juni stieg die Anzahl von Phishing-Angriffen spürbar an.


Spams mit Phishing-Links 2008

Zum Ende des Jahres erwarteten wir eine höhere Phishing-Aktivität. Es wäre logisch gewesen, wenn sie angesichts der Finanzkrise, die dutzende von Banken betraf, ihre Angriffe auf die Kunden maximal verstärkt hätten, zum Beispiel durch Streuen von Bankrottgerüchten. Darüber hinaus kaufen viele während der Weihnachts- und Neujahrszeit über Internetshops ein und tauschen Glückwunschkarten per E-Mail aus. In diesem Rahmen haben die Cyberkriminellen mehr Angriffsmöglichkeiten.

Der fehlende Ausbruch von Phishing-Angriffen erklärt sich vielleicht durch die Schließung der Webhosting-Unternehmen McColo und Atrivo. Auf deren Webseiten hatten die Betrüger gefälschte Seiten oder Steuerzentren von Botnetzen platziert, um Phishing- und Spam-Angriffe zu organisieren.


Die Top 10 der angegriffenen Unternehmen

Phisher interessierten sich vor allem für das Online-Bezahlsystem PayPal. Dies bedeutet demnach, dass immer mehr Nutzer ihren Zahlungsverkehr über solche Systeme erledigen. Vertrauliche Daten von Bankkunden (Bank of America, Wachovia) waren für die Phisher deutlich weniger interessant. Bemerkenswert ist die Tatsache, dass Cyberkriminelle die Chase Manhattan Bank nur im November und Dezember 2008 angriffen. Die Attacken waren aber so massiv, dass die Bank den zweiten Platz in der Liste der am stärksten attackierten Unternehmen einnahm.

Jeden Monat gibt es Angriffe auf den E-Mail-Service Mail.Ru sowie auf die in Russland populären sozialen Netzwerke. Am Gelddiebstahl versuchen sich die Phisher trotzdem weiterhin. Kaspersky Lab registrierte unter anderem Angriffe auf das Online-Bezahlsystem Yandex.

Sobald die betroffenen Botnetze ihre Leistungsfähigkeit wiedererlangt haben, dürften sich auch die Diebstahlversuche von persönlichen Daten und Logins wieder häufen. Die Voraussetzungen für Betrügereien sind angesichts der andauernden Wirtschaftskrise gut. Um nicht zum Opfer von Betrügern zu werden, sollte man sich daran erinnern, dass kein einziger seriöser Internet-Dienstleister seine Kunden per E-Mail darum bitten wird, vertrauliche Informationen auf einer Webseite preiszugeben, deren Link in der E-Mail enthalten ist.

Die Daten über schädliche Anhänge in E-Mails wurden mithilfe der Kaspersky Hosted Security Services gesammelt.

E-Mails mit schädlichen Anhängen

Heutzutage verbreiten sich Schadprogramme nicht mehr primär über E-Mail. Deswegen ist die Gefahr, seinen Computer so mit Malware zu infizieren geringer als in den vorangegangenen Jahren. E-Mails mit infizierten Anhängen sind bei Spammern zunehmend weniger beliebt. Sie verwenden stattdessen immer öfter Links zu infizierten Webseiten.

Ungeachtet dessen konnten 2008 E-Mails mit schädlichen Anhängen nach dem sprunghaften Anstieg im März (1,81 Prozent) und dem darauf folgenden Rückgang gegen Ende des Jahres wieder deutlich zulegen. Im zweiten Halbjahr stellten sie deshalb 1,12 Prozent des gesamten E-Mail-Traffics gegenüber dem ersten Halbjahr mit 0,66 Prozent.


Im Durchschnitt lag der Anteil von E-Mails mit schädlichen Anhängen bei 0,89 Prozent.

Trojan-Downloader.JS.Iframe.sh 31.07%
Backdoor.Win32.Hijack.e 8.98%
Trojan-Clicker.HTML.Agent.ag 7.73%
Backdoor.Win32.UltimateDefender.tt 4.42%
Trojan-Dropper.Win32.Agent.yzp 2.94%
Trojan-Dropper.Win32.Agent.xgg 2.72%
Worm.Win32.AutoRun.svl 2.02%
Trojan-Downloader.JS.Agent.cye 1.96%
Trojan-Downloader.Win32.Agent.algj 1.60%
Trojan-Downloader.Win32.Agent.afqa 1.52%
Trojan-Spy.Win32.Goldun.axt 1.46%
Trojan-PSW.Win32.Agent.lcc 1.37%
Trojan-Downloader.HTML.Agent.km 1.32%
Trojan-Dropper.Win32.Agent.xql 1.30%
Trojan-Downloader.JS.Agent.ckn 1.22%
Email-Worm.Win32.NetSky.q 1.12%
Trojan-Spy.Win32.Goldun.azl 1.11%
Trojan-Spy.Win32.Goldun.bbg 1.04%
Trojan.Win32.Buzus.hrp 0.98%
Trojan-Spy.Win32.Zbot.fql 0.92%

Die Top 20 der in E-Mails enthaltenen Schadprogramme im Jahr 2008

Erstmals seit Beginn der statistischen Auswertung durch Kaspersky Lab ist kein Mailwurm auf Platz 1. Absoluter Spitzenreiter wurde der auf JavaScript basierende Trojan-Downloader Iframe.sh. Der Schädling legt auf dem Computer des E-Mail-Empfängers einen speziellen Code ab, der zum Download und Start anderer Trojaner führen kann.

Gruppiert man die Schadprogramme aus den Top 20 ihrem Verhalten nach, so ergibt sich folgende Statistik:

Trojan-Downloader 39.66%
Backdoor 13.39%
Trojan-PSW 9.09%
Trojan-Spy 8.49%
Trojan-Clicker 8.02%
Trojan-Dropper 7.72%
Worm 3.96%
Exploit 1.96%
Trojan 1.62%
Email-Worm 1.45%

Diese Tabelle spiegelt die radikalen Änderungen wider, die sich in den letzten Jahren bei den Schadprogrammen vollzogen haben. Email-Würmer, die sich per E-Mail verbreiten und besonders in den Jahren 2000 bis 2005 aktiv waren, nehmen mittlerweile den letzten Platz bei der Verbreitung ein und lassen Programmen wie Trojan-Downloader, Backdoors und anderen Trojanern den Vortritt.

Die Übeltäter griffen zu unterschiedlichen Tricks, um Nutzer dazu zu bringen, eine infizierte Webseite aufzurufen oder einen mit einem Schadprogramm verseuchten E-Mail-Anhang zu öffnen. Der Versand von Schädlingen als archivierte Dateien war eine der bekanntesten und beliebtesten Spammer-Taktiken. Einige andere Methoden, mit deren Hilfe der Empfänger überredet werden sollte, den schädlichen Anhang zu öffnen, waren schlicht und ergreifend schockierend.

Einige Englischsprachige Spam-Mails teilten dem Empfänger mit, sein Kind sei entführt worden und zur Freilassung wäre eine große Geldsumme notwendig. Um Fotos vom „Kidnapping-Opfer“ anschauen zu können, wurde dem Empfänger angeboten, eine angehängte Datei zu öffnen, hinter der sich das Schadprogramm Trojan-Downloader.Win32.Delf.bfc verbarg.

Wir haben Ihr Kind entführt

Hallo. Wir haben Ihr Kind entführt, doch Sie können uns 50.000 Dollar bezahlen. Details senden wir später…

Wir haben ein Foto Ihres Kindes angehängt.

Bei russischsprachigen Reklamebotschaften mit schädlichen Anhängen griffen die Gauner nicht zu solch harten Methoden, sondern bemühten sich, Neugierde beim Empfänger zu wecken:

Hallo!

Nach Abschluss unseres Kurses haben wir uns nicht mehr getroffen! Vermisse Dich und die anderen Klassenkameraden. Schlage vor, ein Treffen zu organisieren!

Ort und Zeitpunkt legen wir gemeinsam fest! Ungeduldig erwarte ich Deine Antwort!

Im Anhang (vipusknik.doc) ist die letzte Auflistung unserer Absolventen. Kontaktiert einander!

Hochachtungsvoll!

Das Senden von Spam-Mails, die Links auf infizierte Seiten enthalten, war 2008 die am häufigsten verwendete Methode zur Massenverbreitung von Schadprogrammen. Eine besondere Vorliebe für diese Taktik entwickelten die Sommer-Spammer. Auf Englisch verschickten sie fingierte Nachrichten bekannter Medien wie MSNBC oder CNN. Versuchten Empfänger die „heißen Nachrichten“ abzurufen, erhielten sie die Mitteilung, ihr auf dem PC installierter Flash-Player wäre veraltet und der Download einer neuen Version im Format .exe sei empfehlenswert. Anstelle der Software landete allerdings ein Trojan-Downloader auf dem Computer. Die Malware kam von infizierten Webseiten aus verschiedenen Domain-Zonen.

msnbc.com: BREAKING NEWS: London named top literary destination

Find out more at http://breakingnews.msnbc.com
======================================================
See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News.

=========================================
This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter newsletter because you subscribed to it or, someone forwarded it to you.

To remove yourself from the list (or to add yourself to the list if this message was forwarded to you) simply go to

http://www.msnbc.msn.com/id/61402101, select unsubscribe, enter the email address receiving this message, and click the Go button.

Microsoft Corporation – One Microsoft Way – Redmond, WA 98052 MSN PRIVACY STATEMENT
http://privacy.msn.com (http://privacy.msn.com/)

Russischsprachige Spammer bewiesen beim Verbreiten von Schadprogrammen auch Einfallsreichtum. Sie gaben vor, der Name des Adressaten wäre in einem Word-Dokument hinterlegt und versuchten ihn damit auf eine Webseite der Top-Level-Domain „tk“ zu locken. Das dort gespeicherte File mit der Extension „doc“ war jedoch ein Trojan-Downloader:

Was ist denn das für ein Dokument auf Ihrer Seite?

Noch dazu mit Ihrem Namen.
http://motoman.ru.documents.{site}.tk/hr.doc
Mit freundlichen Grüßen Semjon. Prian.ru

Kostenlose Software-Downloads sind ein weiterer Vorwand, um User auf eine bestimmte Webseite aufmerksam zu machen. Hacker hinterlegten dort mit Programme, die mit Varianten von Trojan-PSW.Win32 infiziert waren. Deren Spektrum reichte von Tools zum automatischen Login in das soziale Netzwerk www.odnoklassniki.ru bis zur neuesten Antivirus-Software, die nur dann läuft, wenn zuvor alle Schutzmechanismen auf dem Computer ausgeschaltet werden.


Spam-Mails mit reißerischen Themen, die an Schlagzeilen der Klatschpresse erinnerten, enthielten nur einen Link auf eine Webseite. Zum Ansehen dieser „Neuigkeiten“ war es nicht erforderlich, spezielle Programme zu laden – die Schädlinge starteten bereits beim Laden der Webseiten.

Methoden und Tricks der Spammer

HTML-Spam

Während man 2006 als das Jahr des grafischen Spams bezeichnen konnte und 2007 als das Jahr der Experimente mit E-Mail-Anhängen, so wurde 2008 zum Jahr des HTML-Spams. Die Spammer verwendeten viele altbekannte Tricks, setzten aber dieses Mal auf Besonderheiten des HTML-Codes.

Zu den verwendeten Methoden gehörte auch das Tarnen des Werbetextes durch zufällig gewählte Sätze, die von HTML-Tags umfasst waren. Die Methode ähnelt sehr dem klassischen unsichtbaren Text, denn die Mehrzahl der E-Mail-Clients interpretiert die Tags als Kommentar-Tags oder Farb-Tags und stellt sie deshalb nicht dar. So sieht der Nutzer nur den Werbetext, der in Wirklichkeit nur einen kleinen Teil der E-Mail darstellt.

E-Mail in der HTML-Darstellung E-Mail, wie sie der Empfänger sieht
<html>
<!– random sequence of letters or words –>
<body>
Hi! <br>
<!– another random sequence of letters or words –>
Come visit my awesome site <br>
<a
href=“http://www.spammersite.com“>supersite.com</a>

<!– yet another random sequence of letters or words –>
</html>
Hi!

Come visit my awesome site

{site}.com

Die Spammer nutzten auch Pseudo-Tags. Dabei handelt es sich um Zufallsreihen von Symbolen, die in einer fehlerhaften HTML-Syntax eingebettet sind. Die meisten E-Mail-Clients sortieren diese unkorrekten Tags aus und ignorieren sie dann bei der Darstellung.

Eine weitere verwendete Methode vermittelt dem User die Werbebotschaft über ein Bildchen, das aus einzelnen Symbolen besteht und erhielt deswegen die Bezeichnung „Mona Lisa“. Während die Spammer früher zu Buchstaben und Leerzeichen griffen, kombinieren sie heute schwarze und weiße Zellen in HTML-Tabellen.

Die E-Mail in folgendem Beispiel stellt in Wirklichkeit eine HTML-Tabelle dar.


Übersetzung:

Ich grüße Euch,
Verkauf von Uhren
Sehr interessante Modelle
Noch 2 Wochen bis zum Ende

Alles Gute!

Die Tabellenform wurde auch dazu verwendet, um Schlüsselwörter in der E-Mail zu trennen und damit die Spamfilter zu täuschen_

E-Mail in der HTML-Darstellung E-Mail, wie sie der Empfänger sieht
<table>
<tr>
<td align=right>VI</td>
<td align=left>AGRA</td>
</tr>
<tr>
<td align=right>CIA</td>
<td align=left>LIS</td>
</tr>
</table>
VI AGRA
CIA LIS

Außer den bereits aufgeführten Methoden nutzten die Spammer auch folgende Besonderheit des Browsers aus: Symbole innerhalb der URL kann man in unterschiedlichen Zeichenkodierungen angeben, darunter 16-Bit-ASCII, 8-Bit-ASCII, ASCII für HTML sowie in anderen Formen. Einen in dieser Schreibweise verfassten Hyperlink in einer E-Mail öffnet der Browser korrekt. Die Methode funktioniert selbst dann, wenn die URL verschiedene Codierungen oder einige Fehler enthält.

So kann man zum Beispiel narod.ru folgendermaßen schreiben:

%6e%61%72%6f%64%2e%72%75

oder auch so:

narod.r&#x0
00075

Die Anzahl der Nullen kann beliebig sein und jeder Buchstabe kann in „normaler“ Form geschrieben sein – die Webseite öffnet sich trotzdem.

Die Platzierung von Werbung auf kostenlosen Webhosts

Die Nutzung allgemein zugänglicher und kostenloser Web-Services war 2008 ein weiterer populärer Weg zum Versand von Spam. Die Methode besteht darin, dass die Spammer-Seite oder ein Redirect auf einem bekannten Webhost oder Blog platziert wird und der Link in der Spam-Mail dann auf diese Seite verweist.

Ein solches Vorgehen diente in erster Linie dazu, die Spam-Filter populärer Antivirus-Anbieter zu umgehen. Dabei rechnete man damit, dass die Filter Weblinks auf bekannte legale Dienste nicht blockieren. Die Spammer nutzten unter anderem so bekannte Dienste wie Google Docs, Microsoft SkyDrive, Microsoft Live.


Kaspersky Lab stellte fest, dass verschiedene ältere Anbieter wie LiveJournal und LiveInternet, die nur einen einzigen Service bieten, keinen Spam-Angriffen ausgesetzt waren. Offenbar verfügen sie über wirkungsvolle Sicherheits- und Schutzmechanismen. Viele neue Dienste von E-Mail-Providern und anderen populären Webhosts überprüfen die bei ihnen abgelegten Inhalte nicht allzu sorgfältig. Die Spammer nutzen diese oft lockeren Sicherheitsregelungen deshalb intensiv aus.

Thematische Zusammensetzung von Spam


Die Verteilung von Spam-Themen im Runet 2008

Die Spam-Kategorien ändern sich normalerweise nicht, doch 2008 kam vieles anders: Im Laufe des Jahres entstanden neue Rubriken und die führenden Themen wechselten ebenfalls. Besonders deutlich wird dies bei einem Vergleich der Themenverteilung nach Halbjahren:


Die Verteilung von Spam-Themen im ersten und zweiten Halbjahr 2008

Im zweiten Halbjahr verringerte sich der Anteil der Spam-Rubrik „andere Waren und Dienstleistungen“ um 6,2 Prozent. Diese Entwicklung charakterisiert die rückläufigen Bestellungen, die Spammer aus dem Wirtschaftssektor erhalten.

Im März tauchte russische Werbung für „Fälschungen hochwertiger Waren“ auf. Diese Rubrik schaffte es sofort auf Rang 3 der Spam-Themen, begann nach einem Höhenflug im Mai jedoch allmählich wieder zu sinken. Dennoch ist zu erwarten, dass diese Art unerwünschter Korrespondenz ihre Nische im russischsprachigen Spam – wie schon seit einiger Zeit im englischsprachigen – finden wird und sich bei fünf bis sechs Prozent der allgemeinen Spam-Menge einpendelt:


Fälschungen hochwertiger Waren

Die Anzahl russischsprachiger Spam-Mails mit Links zu Pornoseiten erhöhte sich im Juli. In der zweiten Jahreshälfte stieg der Anteil von Spam „für Erwachsene“ um mehr als 15 Prozent. Eine der Verdienstmethoden mit Hilfe solcher Spams war das so genannte „Aufpumpen“ des Traffics. Durch ihr schnelles Wachstum überholte diese Kategorie im September den bis dato ständigen Spitzenreiter „Gesundheit und Medikamente“ und hielt sich drei Monate lang auf dem ersten Platz:


Themen

Im September verringerte sich die Anzahl der Kategorie Spam „für Erwachsene“. Dies kann mehrere Ursachen haben und zum einen mit der Schließung des Hosting-Providers McColo zusammenhängen. Zum anderen hatten die Spammer auch Schwierigkeiten beim Umsetzen der Botnetz-Steuerzentren. Außerdem wird Spam dieser Art meist mit betrügerischen Absichten verschickt.

Die Links in den Spam-Mails führten auf Pornoseiten, wo den Nutzern angeboten wurde, zum Bezahlen eine SMS an eine Kurzwahlnummer zu senden. Die Betrüger warben mit einem niedrigen SMS-Preis von 5 bis 7 Rubel (etwa 0,13 Euro), doch die tatsächlichen Kosten beliefen sich auf ungefähr 300 Rubel (etwa 6 Euro). Möglicherweise hängt der Rückgang derartigen Spams damit zusammen, dass die Nutzer den Betrug erkannten und nicht mehr auf die Finten der Gauner hereinfielen.

Das Auftauchen neuer Themen sowie Massenversand, der über einen langen Zeitraum durchgeführt wurde, beweisen, dass in der russischen Spam-Industrie mächtige Spieler sitzen. Sie scheinen über die notwendige Kapazität zu verfügen, solche Tätigkeiten durchzuführen.

Globale Ereignisse und Spam

Eine allgemein bekannte Tatsache ist, dass Spammer oft weltweit beachtete Ereignisse nutzen, um die Aufmerksamkeit von Nutzern auf ihre Spam-Mails zu lenken. Im Jahr 2008 kamen sie nicht um die Fußball-Europameisterschaft, die Präsidentschaftswahlen in den USA und natürlich die weltweite Finanzkrise herum.

Interessanterweise gehören die meisten Spam-Mails, die sich auf die Finanzkrise bezogen, nicht zur Kategorie „persönliche Finanzen“. Statt Krediten oder schnellen Verdienstmöglichkeiten warben sie hauptsächlich für unterschiedliche Krisen-Seminare. Außerdem zog sich das Thema Krise wie ein roter Faden durch die Werbung für beliebige Waren und Dienstleistungen.


Die Präsidentschaftswahlen in den USA wurden von den Spammern ebenso umfangreich genutzt. Während und auch nach den Wahlveranstaltungen bewarben sie verschiedene Waren und Dienstleistungen und boten den Versand von Schadprogrammen an. Der Name Barack Obama tauchte in praktisch jeder Spam-Kategorie auf. Sogar die Werbung für Viagra enthielt solche Schlagzeilen wie „Obama didn’t receive free pass“ und „Barack Obama’s Victory Speech“. Kaspersky Lab berichtete bereits von Spam, der im Herbst 2005 Büsten von Putin anpries. Jetzt empfahlen die Spammer Teller mit dem Porträt des amerikanischen Präsidenten:


Zusammenfassung

Die Finanzkrise hat praktisch alle Wirtschaftsbereiche erfasst und beeinflusst, so auch die Cyberkriminalität. Spam-Themen, die mit Wirtschaftsbereichen zu tun haben, verlieren an Gewicht. Gleichzeitig nutzen die Spammer immer öfter Technologien, mit denen sich schnell Geld verdienen lässt – Spam-Betrug durch SMS-Versand, „Aufpumpen“ des Pornoseiten-Traffics und ähnliches.

Der geringere Reklame-Anteil für Waren und Dienstleistungen beweist, dass die Anzahl der Bestellungen an die Spammer ebenfalls gesunken ist. Die Verstärkung der Spam-Angriffe kriminellen Charakters zeigt anschaulich, dass die Cyberkriminellen langsam ihr Geld verlieren und nach neuen Ertragsquellen suchen.

Spam ist eine weltweite Erscheinung. Die Veränderungen in seiner Struktur, die noch vor der Krise in Russland begannen, können als Indikator für die Wirtschaftslage dienen. Wenn die Beziehung zwischen Spam-Struktur und makroökonomischen Prozessen hinreichend ausgeprägt ist, könnte man auch anhand der Spam-Zusammensetzung ein Ende der Krise ablesen.

Derzeit begünstigt die Krise allerdings Phishing, das sich an Bankkunden und Nutzer elektronischer Zahlungssysteme wendet. Weil die Spammer ihre kriminellen Tätigkeiten verstärken, ist auch eine neue Reklamewelle für Erwachsenen-Webseiten zu erwarten.

Es ist anzunehmen, dass es im ersten Habljahr 2009 nicht weniger Spam geben wird und der Umfang von kriminellem Spam zudem steigt. Außerdem kann Spam in Krisenzeiten für viele Unternehmen das einzig wirksame Werbemittel sein.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.