Kaspersky Security Bulletin. Spam im Jahr 2014

Inhalt

    Die Zahlen des Jahres

    • Der Spam-Anteil im Jahr 2014 betrug 66,76 Prozent, das ist ein um 2,84 Prozentpunkte geringerer Wert als im Jahr 2013.
    • 74,5 Prozent der Spam-Mails hatten eine Größe von nicht mehr als einem Kilobyte.
    • 16,71 Prozent des weltweiten Spam-Aufkommens wurden aus den USA verschickt.
    • Die meisten schädlichen E-Mails (9,8 Prozent) waren an Anwender in den USA adressiert.
    • Das System „Antiphishing“ von Kaspersky Lab schlug 260.403.422 Mal Alarm.
    • Spitzenreiter nach Anteil der angegriffenen Anwender war im Jahr 2014 Brasilien: 27,47 Prozent aller Nutzer unserer Produkte in diesem Land waren Phishing-Attacken ausgesetzt.
    • Die meisten Phishing-Attacken richteten sich gegen Einwohner Russlands: 17,28 Prozent aller Angriffe weltweit entfielen auf russische User.
    • Das Ziel von 42,59 Prozent aller Phishing-Angriffe waren globale Portale, die eine Vielzahl von Online-Diensten in sich vereinen, auf die über einen einzigen Account zugegriffen werden kann.

    Popularität mobiler Geräte und Spam

    Die Popularität mobiler Geräte nimmt weiterhin zu, und das wirkt sich auch auf den E-Mail-Spam aus. Die Menge der Werbung für Dienstleistungen zur Verbreitung von Spam auf mobile Geräte wird immer größer. Ebenso gilt das für die Werbeangebote, die sich direkt an Spammer richten, die mit solchen Versendungen Geschäfte machen. Auch die Cyberkriminellen nutzen die Popularität mobiler Geräte aus: Im E-Mail-Verkehr tauchten schädliche Fälschungen von E-Mails auf, die angeblich von Smartphones versendet wurden, sowie gefälschte Benachrichtigungen von populären mobilen Apps.

    Werbung von/für „mobile(n)“ Spammer(n)

    Im Jahr 2014 boten die Spammer immer häufiger Dienstleistungen zur Zustellung von Werbung mittels SMS und IM-Services an (wie WhatsApp oder Viber). Kunden für solche Art von Werbung akquirieren die Spammer mit Hilfe traditioneller E-Mail-Spam-Versendungen. Die Menge dieser Art von Werbung steigt ebenfalls.

    Im E-Mail-Traffic erschien zudem Werbung, die sich an „mobile“ Spammer richtete: Ihnen wurden Datenbanken mit Telefonnummern und anderen Kontaktdaten angeboten, die nach speziellen Kriterien sortiert und auf bestimmte Zielgruppen ausgerichtet sind. Solche Datenbanken werden wiederum nicht selten mit Hilfe von E-Mail-Versendungen zusammengestellt – die Spammer versenden Phishing-Mails, mit Hilfe derer sie die persönlichen Daten ihrer Opfer zusammentragen.

    Gefälschte E-Mails von mobilen Geräten

    Sehr beliebt waren Spam-Versendungen mit Mitteilungen, die angeblich von mobilen Geräten verschickt wurden. Solche E-Mails fanden wir in verschiedenen Sprachen, wobei auf verschiedene Geräte verwiesen wurde: iPad, iPhone, Samsung Galaxy und andere Modelle. Eins hatten diese Fälschungen gemeinsam: einen sehr knappen (oder auch komplett fehlenden) Text sowie eine Signatur nach Art von „Gesendet von meinem iPhone“. In der Regel enthalten solche E-Mails einen schädlichen Anhang.

    Allem Anschein nach gehen die Spammer davon aus, dass eine E-Mail mit angehängter Datei und der entsprechenden Signatur, die angeblich von einem iPhone verschickt wurde, einen völlig vertrauenswürdigen Eindruck macht. Tatsächlich wird in E-Mails von mobilen Geräten normalerweise keine komplizierte Vorlage verwendet. Die Absender beschränken sich in der Regel auf das Anhängen einer Datei oder das Platzieren eines Links, da bei Weitem nicht jeder gern lange Texte auf dem Smartphone schreibt.

    In einigen Fällen war den E-Mails ein Archiv angehängt, das so benannt war, dass der Empfänger davon ausgehen musste, dass darin eine Fotografie enthalten ist. Tatsächlich aber wurden auf diese Weise verschiedene Schadprogramme verbreitet.

    In E-Mails, die angeblich von mobilen Geräten verschickt wurden, finden sich auch Werbelinks, die zumeist auf Seiten verweisen, die illegal mit Medikamenten handeln. Hier ein Beispiel für eine solche E-Mail, wobei die Spammer als Text nur einige Schlüsselwörter eingesetzt haben.

    In der Absicht, die Spam-Filter auszutricksen, versuchen die Spammer nicht selten, auch die technischen Header (Data, X-Mailer, Message-ID) der E-Mails so zu fälschen, dass sie aussehen, als wären sie tatsächlich von mobilen Geräten gesendet worden. Bei einer Überprüfung erweist sich der Inhalt dieser Header allerdings als nicht korrekt.

    Gefälschte Benachrichtigungen von mobilen Apps

    Die Allgegenwärtigkeit von mobilen Geräten rief noch eine andere Erscheinung auf den Plan – Spam, der als Benachrichtigungen von verschiedenen mobilen Apps daherkommt, in der Regel von WhatsApp und Viber. Die Nutzer sind bereits an die Synchronisation von plattformübergreifenden Anwendungen gewöhnt, an die Synchronisation von Kontaktdaten zwischen Anwendungen und an verschiedene Benachrichtigungen von diesen Apps. Daher kommt es vielen Usern auch nicht komisch vor, wenn sie per E-Mail darüber informiert werden, dass sie irgendeine Mitteilung in einer mobilen Messaging-App erhalten haben. Und da macht es auch nichts, dass diese mobilen Anwendungen nicht mit dem E-Mail-Account des Anwenders verbunden sind und die Illegitimität dieser E-Mails ganz offensichtlich ist.

    Beispielsweise kann die folgende Mitteilung, die den Nutzer darüber informiert, dass er über WhatsApp ein Bild erhalten habe, gar nicht von diesem Dienst verschickt worden sein, da bei der Registrierung von WhatsApp die E-Mail-Adresse nicht verlangt wird.

    Das „Bildchen“ war zudem in einem Archiv verpackt, was auch Misstrauen hervorrufen sollte – denn das Verpacken mindert die Größe des Bildes nicht. Dafür werden Archive häufig zum Verbergen schädlicher Anhänge benutzt. Genau das war auch hier der Fall, denn das Archiv enthielt ein Schadprogramm.

    Ein anderes Beispiel: Die Benachrichtigung über eine angeblich über Hangouts verschickte Sprachmitteilung enthält einen Hyperlink, der wie eine „Play“-Schaltfläche gestaltet ist. Klickt der Empfänger darauf, so hört er nicht die erwartete Voicemail ab, sondern landet über den Link auf einer gehackten legitimen Webseite, von wo aus das integrierte JavaScript ihn auf eine Werbeseite umleitet.

    Eine weitere Benachrichtigung über eine angeblich über Viber gesendete Sprachmitteilung enthält den Button „Listen to Voice Message“. Mit einem Klick auf diese Schaltfläche wird ein Archiv geladen, das ein Schadprogramm enthält.

    Weltweite Ereignisse im Spam

    Das vergangene Jahr 2014 war sehr reich an Ereignissen von weltweitem Ausmaß: die Krise in der Ukraine, die Ebola-Epidemie, die Olympiade in Sotchi und die Fußball-Weltmeisterschaft in Brasilien. Jedes einzelne davon nutzten Spammer aus, um die Aufmerksamkeit auf ihre Versendungen zu lenken.

    Olympische Spiele und Fußball-Weltmeisterschaft

    Die Olympischen Winterspiele in Sotchi und die Fußball-Weltmeisterschaft in Brasilien sind die einzigen Sport-Ereignisse, die uns im Spam des Jahres 2014 unterkamen. Dabei war das Spam-Aufkommen in beiden Fällen in jeweils der Sprache am größten, die am jeweiligen Austragungsort gesprochen wird. Das heißt, die Hauptziele der Cyberkriminellen waren die Einwohner vor Ort.

    Am Vorabend dieser sportlichen Wettbewerbe beobachtete das Kaspersky-Team im Werbe-Spam eine Vielzahl von Versendungen mit Reklame für Produkte mit der passenden Symbolik. Dabei wurde nicht nur auf die Spiele in Sotchi Bezug genommen. Einige Hersteller boten auch Waren mit den Symbolen der Moskauer Olympiade an, die im Jahr 1980 stattfand.

    Die „nigerianischen“ Betrüger waren auch nicht untätig und verschickten vor Beginn der olympischen Spiele E-Mails im Namen von Fans, die um Hilfe beim Anmieten von Wohnraum in Sotchi und bei der Organisation verschiedener Dienstleistungen baten. Die Sportfans waren bereit, demjenigen 850.000 Euro zu überweisen, der ihnen dabei behilflich ist. Wurde einem Freiwilligen eine so hohe Belohnung für seine Dienste versprochen, erschien es ihm auch nicht allzu bedeutend, für irgendwelche Kleinigkeiten in Vorleistungen zu treten. Doch wenn ein Helfer den Betrügern sein Geld einmal überwiesen hatte, wartete er vergeblich auf Hunderttausende von Euro, ebenso wie auf die Besucher der Olympischen Spiele selbst und auf die ihm versprochene Belohnung.

    Wir registrierten außerdem eine große Zahl betrügerischer E-Mails, die die Empfänger über den Gewinn in einer offiziellen WM-Lotterie informierten. Selbstverständlich musste auch hier vor der Auszahlung der Gewinnsumme ein gewisser Betrag für die Begleichung anfallender Kosten gezahlt werden. Doch leider erhielt der „Gewinner“ nie das Geld aus einer Lotterie, an der er nie teilgenommen hatte. Derartige E-Mails kursieren stets im Vorfeld großer Fußball-Events.

    Neben der Werbung für reale Waren und neben den betrügerischen Mitteilungen beobachteten wir im Spam am Vorabend der Fußball-WM auch schädliche E-Mails mit Links, die angeblich auf eine Seite verwiesen, auf der man Tickets für ein Fußballspiel erwerben konnte.

    Der Tod Nelson Mandelas

    Es ist anzunehmen, dass die „nigerianischen“ Betrüger keinesfalls übermäßig trauern, wenn ein politischer Führer verstirbt, denn das ist jedes Mal ein ideales Ereignis, aus dem sich Geschichten über millionenschwere Vermächtnisse spinnen lassen. Der Tod Nelson Mandelas Ende 2013 rief eine Welle von „nigerianischem“ Spam hervor. Cyberkriminelle teilten im Namen verschiedener Stiftungen mit, dass dem Adressaten eine Auszeichnung im Namen Mandelas verliehen werde. „Bankangestellte“ boten dem Empfänger an, unbemerkt das geheime Konto der Familie Mandelas aufzuteilen und so weiter. In einigen Fällen enthielten die E-Mails Links auf echte Nachrichten, die die Echtheit der Mitteilung angeblich untermauerten.

    Die Ukraine-Krise

    Eine instabile politische Situation und Kriegshandlungen sind weitere Quellen der Inspiration für „nigerianische“ Spammer. Früher hatten wir es regelmäßig mit Versendungen zu tun, die sich Konflikte in verschiedenen Ländern zunutze machten, hauptsächlich im Nahen Osten. Im Jahr 2014 konzentrierte sich die Aufmerksamkeit der Spammer jedoch auf die Situation rund um die Ukraine. Die Autoren der betrügerischen E-Mails gaben sich als in Ungnade gefallene ukrainische Politiker und Unternehmer aus, die versuchen, im Land zurückgebliebene Millionenbeträge auszuführen. Es gab auch Versendungen im Namen russischer Geschäftsleute, die unter den Sanktionen leiden.

    Wie in „nigerianischen“ E-Mails üblich wurde dem Empfänger eine hohe Summe für die dem in eine schwierige Situation geratenen Absender erwiesene Hilfe angeboten. Und einem Opfer, das tatsächlich Kontakt zu den Betrügern aufnahm, wurde Geld für angeblich notwendige Ausgaben aus der Tasche gezogen, wie etwa für Zoll, Steuern, Flugtickets und Hotelzimmer.

    Die Ebola-Epidemie

    Auch die Ebola-Epidemie wurde von Spammern zu ihren unlauteren Zwecken ausgenutzt. Die „Nigerianer“ verschickten E-Mails im Namen infizierter Afrikaner, die ihr Vermögen angeblich aus reiner Wohltätigkeit einem guten Menschen überlassen wollten. Eine neue Idee der Betrüger war in diesem Zusammenhang eine Einladung, in der der Empfänger aufgefordert wurde, als Gast an einer Konferenz der Weltgesundheitsorganisation (WHO) teilzunehmen. Ihm wurden 350.000 Euro sowie ein Dienstwagen für die Arbeit als WHO-Vertreter in Großbritannien geboten.

    Die Verbreiter von Schadprogrammen nutzten die Angst der Menschen vor dieser lebensgefährlichen Krankheit aus und versendeten im Namen der WHO E-Mails, die einen Link auf Informationen über Maßnahmen zum Schutz vor einer Ebola-Infektion enthielt. Später erschienen inhaltlich ähnliche Mitteilungen, in denen die „Informationen von der WHO“ in einem Archiv verpackt waren.

    Tatsächlich verbarg sich hinter dem Link ebenso wie im angehängten Archiv ein Schadprogramm, das zum Datendiebstahl verwendet wird. In dem oben dargestellten Beispiel war es der Schädling Backdoor.Win32.DarkKomet.dtzn.

    Die Tricks der Spammer

    In den letzten Jahren setzten Spammer in der Regel aktiv Methoden zur Umgehung der Spam-Filter ein, die man bereits als „klassisch“ bezeichnen kann.

    Ein eindeutiges Beispiel für den Einsatz lange bekannter Spammer-Tricks ist der Börsen-Spam mit Werbung für Aktien kleinerer Unternehmen. Solche E-Mails sind Teil des bekannten Börsenbetrug-Schemas „pump and dump”. Das Schema ist einfach: Die Betrüger kaufen günstige Aktien und verbreiten mittels Spam falsche Angaben über die baldige Erhöhung des Preises für diese Aktien. Sie versuchen so, eine hektische Nachfrage zu provozieren und verkaufen die Aktien bei dem nun einsetzenden Preisanstieg. Die Blütezeit dieser Betrugsart entfiel auf die Jahre 2006 bis 2007, doch Börsen-Spam wird auch heute noch verbreitet.

    Im Jahr 2013 kursierte im Börsen-Spam nur ein Werbetext mit einem Hinweis auf den aktuellen und den zu erwartenden Preis der Aktien des jeweiligen Unternehmens. In einigen Versendungen hatten die E-Mails eine Autosignatur, die von einem angeblich durchgeführten Antiviren-Scan zeugte. Dabei entsprach die Sprache der Signatur der geografischen Domain, in der sich die E-Mail-Adresse des Empfängers befand. (Solche Ansätze finden sich häufig im Spam, um den Empfänger von der Legitimität und Sicherheit der E-Mail zu überzeugen). Um die Chancen zu erhöhen, dass die E-Mails einer Versendung die Spam-Filter umgehen, wurde der Name des Unternehmens häufig durch einen Unterstrich oder ein Leerzeichen verrauscht, und Textfragmente wurden geändert.

    Im Jahr 2014 änderte sich die Aufmachung der betrügerischen Versendungen mit Aktienwerbung – die Mitteilungen sahen nun realistischer aus, und es wurde schwieriger, sie zu erkennen. Zu diesem Zweck setzten die Spammer wohlbekannte Tricks zur Umgehung der Spam-Filter ein:

    1. Grafischer Spam. Der Werbetext befindet sich direkt auf dem Bild, es werden Unternehmenslogos eingesetzt. Im Rahmen einer Versendung können sich der Inhalt auf den Bildern, die Farbe und Größe der Buchstaben oder die Hintergrundfarbe ändern. (Moderne Spam-Filter verwenden schon seit Langem grafische Analyser, die grafischen Spam zuverlässig erkennen.)
    2. Am Ende jeder E-Mail wird unsinniger Text platziert, und die E-Mails werden in unterschiedlichen Farben gestaltet, die der Hintergrundfarbe nicht immer ähnlich sind. Eingesetzt werden Auszüge aus literarischen Werken wie auch Sätze aus „Wikipedia“. Ein solcher Ansatz wird verwendet, damit ein Spam-Filter die Spam-Mitteilung nicht als solche erkennt und sie stattdessen beispielsweise als Fragment eines künstlerischen Werks einstuft. Aus Sicht des Spam-Filters ist die E-Mail dann kein Bestandteil einer Massenversendung und somit ungefährlich.

    Allem Anschein nach hoffen die Spammer, das Alter der Methoden durch Masse zu kompensieren – derartige betrügerische E-Mails werden zu hunderten von Millionen verschickt.

    Im Spam-Traffic sind allerdings auch modernere Ansätzen zur „Verrauschung“ des Textes anzutreffen. Die Spammer können auch den Haupttext der Mitteilung „verrauschen“, und zwar ohne die Lesbarkeit des Schreibens zu beeinträchtigen. Als „Junk“ verwenden sie dazu HTML-Tags. Die Tags bauen die Spammer in HTML-Code im Haupttext der Mitteilung ein. Das hat zur Folge, dass sich – nach dem Einfügen der Tags mit „Junk“ – für den Anwender das Äußere der Mitteilung nicht ändert, Spam-Filter die veränderte E-Mail aber als einzigartig einstufen.

    Statistik

    Spam-Anteil im E-Mail-Traffic

    Der Spam-Anteil im E-Mail-Traffic ging im Jahr 2014 um 2,84 Prozentpunkte zurück und betrug 66,76 Prozent. Nach einem Spitzenwert von 85,2 Prozent im Jahr 2009 nimmt der Anteil der Spam-Mails im Postfach seitdem kontinuierlich ab. Das lässt sich dadurch erklären, dass die Werbung für legale Waren und Dienstleistungen vom Spam auf komfortablere und legale Plattformen migriert.

    Spam-Anteil im E-Mail-Traffic im Jahr 2014

    Während sich im Jahr 2013 der Spam-Anteil im E-Mail-Traffic von Monat zu Monat nur unbedeutend veränderte, kam es 2014 mitunter zu drastischen Schwankungen dieses Wertes, insbesondere im ersten Halbjahr. Der geringste Wert des Jahres (63,5 Prozent) fiel in den März, aber bereits im April erreichte der Spam-Anteil mit 71,1 Prozent sein Jahreshoch. Das zweite Halbjahr demonstrierte mehr Stabilität.

    Spam-Herkunftsländer

    Spam-Herkunftsländer weltweit im Jahr 2014

    Im Jahr 2013 war China der unangefochtene Spitzenreiter unter den Spam verbreitenden Ländern. Doch im Jahr 2014 ging der Anteil von Spam aus diesem Land um 17,44 Prozentpunkte zurück. Das hatte zur Folge, dass China auf den dritten Platz im Rating absackte und den ersten Platz für die USA (minus 1,08 Prozentpunkte) und den zweiten für Russland (plus 1,98 Prozentpunkte) räumte.

    In den Top 10 der Spam-Herkunftsländer waren nach den Ergebnissen des Jahres drei westeuropäische Länder vertreten: Deutschland (plus 2,79 Prozentpunkte), Spanien (plus 2,56 Prozentpunkte) und Frankreich (plus 2,33 Prozentpunkte). Gleichzeitig fielen die asiatischen Länder Südkorea (minus 10,45 Prozentpunkte) und Taiwan (minus 3,59 Prozentpunkte), die nach den Ergebnissen des Vorjahres noch den dritten respektive vierten Platz belegten, um jeweils zehn Ränge zurück, nämlich auf die 13. und 14. Position.

    Größen der Spam-Mails

    Größen der Spam-Mails im Jahr 2014

    Im Spam gibt es immer mehr sehr kurze E-Mails: Im Jahr 2014 waren 77,26 Prozent der E-Mails nicht größer als ein Kilobyte, ein um 2,76 Prozentpunkte höherer Wert als im Jahr 2013.

    In der Regel enthalten solche E-Mails Links auf Werbe-Webseiten. Für die Formatierung des Mailtextes setzen die Spammer Bots ein, die kurze Phrasen aus einigen wenigen, einem thematischen Wörterbuch entnommenen Wörtern erstellen. Alternativ ersetzen sie die Wörter in der Mitteilung von E-Mail zu E-Mail durch Synonyme. Die E-Mails werden dadurch einzigartig, was das Filtern erschwert. Durch ihre geringe Größe sparen die Spammer außerdem deutlich Traffic ein.

    Schädliche Anhänge

    Die Spitzenposition in unserem Rating der via E-Mail verbreiteten Schadprogramme nehmen bereits das vierte Jahr in Folge Programme ein, die auf den Diebstahl vertraulicher Daten von Anwendern spezialisiert sind. In erster Linie geht es dabei um Login-Daten für Online-Banking-Systeme.

    Top 10 der via E-Mail verbreiteten Schadprogramme im Jahr 2014

    Nicht zum ersten Mal werden die Top 10 des Jahres von Trojan-Spy.HTML.Fraud.gen angeführt. Bei diesem Schädling handelt es sich um eine Phishing-HTML-Seite, auf der der Anwender seine vertraulichen Angaben eintragen soll.

    Auf Platz zwei befindet sich der E-Mail-Wurm Email-Worm.Win32.Bagle.gt. Die Hauptfunktion aller E-Mail-Würmer, darunter auch Bagle, ist das Sammeln von E-Mail-Adressen auf infizierten Computern und das anschließende Versenden einer Kopie seiner selbst an alle gefundenen Adressen. Ein E-Mail-Wurm der Familie Bagle kann zudem entfernte Befehle zum Laden und Installieren anderer Schadprogramme entgegennehmen.

    Den dritten Platz belegte Trojan.JS.Redirector.adf, der das Rating im dritten Quartal 2014 anführte. Verbreitet wird dieser Schädling via E-Mail in einem nicht passwortgeschützten ZIP-Archiv. Es handelt sich hierbei um eine HTML-Seite mit integriertem Skript, das den Browser beim Öffnen einer Seite auf eine betrügerische Webseite umleitet. Dort wird der Anwender dann normalerweise zum Download von Binbot aufgefordert – einem Tool zum automatischen Handel mit Binäroptionen.

    Die Positionen vier und sieben des Ratings besetzen Vertreter der Familie Bublik. Das sind trojanische Programme, deren Aufgabe darin besteht, auf einen infizierten Computer ohne Zustimmung des Nutzers weitere Schadprogramme zu laden und dort zu installieren. Häufig laden diese Schädlinge eine Modifikation des berühmt-berüchtigten Bank-Trojaners ZeuS/Zbot herunter. Trojaner der Familie Bublik kommen als EXE-Dateien daher, die allerdings das Icon eines Adobe-Dokuments benutzen, um User zu täuschen.

    Auf Platz fünf befindet sich Email-Worm.Win32.Mydoom.l. Dieser Wurm wird über Filesharing-Netze und schreiboffene Netzressourcen in Form eines E-Mail-Anhangs verbreitet. Die benötigten E-Mail-Adressen sammelt der Schädling von bereits infizierten Computern. Der Wurm bietet seinen Betreibern die Möglichkeit, infizierte Computer aus der Ferne zu steuern.

    Trojan-Banker.Win32.ChePro.ink, der den sechsten Platz im Rating belegt, wurde in Form eines CPL-Applets umgesetzt (einer Komponente der Windows-Systemsteuerung) und ist für den Download von Trojanern auf den Computer vorgesehen, die wiederum auf den Diebstahl von vertraulichen Finanzinformationen spezialisiert sind. In erster Linie greifen Schädlinge dieses Typs brasilianische und portugiesische Banken an.

    Den dritten Platz belegt der trojanische Downloader Trojan-Downloader.Win32.Dofoil.ea. Dieser Schädling lädt ein anderes Schadprogramm auf den Computer, das unterschiedlichste Anwenderinformationen stiehlt (hauptsächlich Passwörter) und diese an die Cyberkriminellen weiterleitet.

    Auf Position neun befindet sich Backdoor.Win32.Androm.dax, ein Schädling, der zur Familie des universellen modularen Bots Andromeda gehört – auch bekannt als Gamarue. Die wichtigsten Fähigkeiten dieser Bots sind: herunterladen, speichern und starten einer schädlichen ausführbaren Datei, Down- und Upload einer schädlichen DLL (ohne sie auf der Festplatte zu speichern) sowie die Möglichkeit, sich selbst zu aktualisieren und zu löschen. Die Funktionalität des Bots wird mit Hilfe von Plug-ins erweitert, die von den Cyberkriminellen zu jeder beliebigen Zeit geladen werden können.

    Abgeschlossen werden die Top 10 von Exploit.JS.CVE-2010-0188.f. Dieses Exploit tarnt sich als PDF-Datei und nutzt eine Sicherheitslücke im Acrobat Reader bis einschließlich Version 9.3 aus. Erwähnenswert ist, dass diese Sicherheitslücke schon recht lange bekannt ist und dieses Exploit für Anwender, die ihre Software regelmäßig aktualisieren, keine Gefahr darstellt. Ist die Adobe-Version jedoch veraltet, so wird nach Ausnutzung dieser Sicherheitslücke der Dropper Trojan-Dropper.Win32.Agent.lcqs auf dem Computer installiert und ausgeführt. Dieser Schädling installiert und startet seinerseits das schädliche Skript Backdoor.JS.Agent.h, das Informationen über das System sammelt, sie an den Server der Cyberkriminellen sendet und vom Server verschiedene Befehle empfängt. Die Befehle und die Ergebnisse ihrer Ausführung werden in verschlüsselter Form versendet.

    Betrachtet man nicht konkrete Programme, sondern populäre Schadprogramm-Familien, die via E-Mail verbreitet werden, so ist im Jahr 2014 der Spitzenreiter in diesem Rating die Familie Andromeda. Auf sie entfielen 11,49 Prozent aller in schädlichen Anhängen gefundenen Schadprogramme. Solche Schädlinge ermöglichen es Cyberkriminellen, infizierte Computer, die häufig einem Botnetz angehören, unbemerkt zu steuern.

    Auf dem zweiten Platz befindet sich ZeuS/Zbot (9,52 Prozent) – eine Familie der bekanntesten verfügbaren Programme zum Diebstahl von Bankinformationen und Geld. Auf dem Computer von Anwendern landet dieser Schädling nicht selten über Downloader-Programme, die wiederum in Spam-Mails verbreitet werden.

    Das Führungstrio wird abgeschlossen von Bublik (8,53 Prozent). Bublik ist eine Familie von schädlichen Downloadern, die häufig Vertreter der oben erwähnten Familie Zeus/Zbot auf infizierte Computer laden.

    Zielländer der Schadversendungen

    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern im Jahr 2014

    Im Ranking der Länder, in die die meisten Schadprogramme geschickt werden, bleibt die Zusammensetzung des Führungstrios schon das dritte Jahr in Folge unverändert: Es sind die USA, Großbritannien und Deutschland. Die USA (9,80 Prozent) konnten die erste Position behaupten, obwohl der Wert des Landes um 2,22 Prozentpunkte zurückging. Großbritannien (9,63 Prozent) kletterte mit einem Plus von 1,63 Prozentpunkten auf den zweiten Platz und verdrängte Deutschland (9,22 Prozent) damit auf Platz drei.

    Erwähnenswert ist auch der Sprung Frankreichs (3,16 Prozent) vom sechzehnten auf den neunten Platz im Rating.

    Russland (3,24 Prozent) stieg von Position neun auf Position acht auf.

    Die Methoden der Cyberkriminellen

    Im Jahr 2014 setzten die Cyberkriminellen beim Versand von Schadprogrammen sowohl althergebrachte als auch neue Methoden ein, um die Empfänger der E-Mails in die Irre zu führen.

    Das Kaspersky-Team stieß auf E-Mails, die angehängte Archive mit der Extension ARJ enthielten. Dieses Format wurde schon vor recht langer Zeit entwickelt und wird heute nicht mehr sehr häufig verwendet. Daher sehen selbst User, die gegenüber angehängten Archiven durchaus Vorsicht walten lassen, diesen Anhang nicht unbedingt als potenziell gefährlich an. Ein weiterer Vorteil für Cyberkriminelle liegt in der Möglichkeit dieses Formats, Dateien maximal verkleinern zu können.

    Neben den nicht standardmäßigen Archiven verschickten Online-Betrüger auch schädliche E-Mails mit Dateien, die eine für Anhänge untypische Extension hatten, beispielsweise SCR. Bei diesen Dateien handelt es sich üblicherweise um Windows-Bildschirmschoner.

    Eine sehr verbreitete Art von Schad-Spam und Phishing sind gefälschte Benachrichtigungen von Banken. Im vergangenen Jahr begannen die Spammer, die gefälschten Benachrichtigungen komplexer zu gestalten, indem sie den E-Mails mehrere Links auf offizielle Ressourcen der Organisationen hinzufügten, in deren Namen sie die falschen Mitteilungen versendeten. Ganz offensichtlich setzten die Cyberverbrecher darauf, dass eine E-Mail mit mehreren offiziellen Links sowohl von den Nutzern als auch von den Spam-Filtern höchstwahrscheinlich als echt eingestuft wird.

    In einigen Fällen wurde für die Tarnung eines Links ein Kurzlink-Service verwendet, der den Browser dann auf einen populären Cloud-Speicherdienst umleitete. Dort wiederum hatten die Internetverbrecher ein als wichtiges Dokument getarntes Schadprogramm platziert.

    Phishing

    Die Statistik zum Thema Phishing basiert auf der Methodik, die erstmals in unserem Bericht „Finanzielle Cyberbedrohungen im Jahr 2013“, veröffentlicht im April 2014, zum Einsatz kam. Daher haben wir die Daten über das Phishing für das Jahr 2014 auch mit den Daten aus diesem Bericht verglichen (und nicht mit denen aus dem Bericht „Spam im Jahr 2013“).

    Datenquelle

    Die Datenbasis dieses Berichts bilden die Alarme des Kaspersky-Lab-Systems „Antiphishing“, die vom Kaspersky Security Network (KSN) zusammengetragen wurden. Das System zum Schutz vor Phishing besteht aus drei Komponenten, zwei deterministischen und einer heuristischen:

    Deterministische Komponenten:

    • Die Komponente Online-Antiphishing enthält eine Datenbank mit den aktuellsten Phishing-Wildcards* und befindet sich auf den Geräten der Anwender. Ein Alarm erfolgt, wenn das System einen Link untersucht, der mit einer der Masken von Phishing-Links aus der Datenbank übereinstimmt.
    • Die Komponente Cloud-Antiphishing enthält alle Phishing-Wildcards*. Das System wendet sich in dem Fall an die Cloud, wenn der Anwender mit einem Link in Berührung kommt, dessen Maske nicht in der lokalen Antiphishing-Datenbank enthalten ist. Die Cloud-Datenbanken werden sehr viel schneller aktualisiert als die lokalen.

    Heuristische Komponente:

    • Die heuristische Web-Komponente des Systems „Antiphishing“ schlägt unter Anwendung einer Auswahl heuristischer Regeln dann Alarm, wenn der Anwender über einen Link auf eine Seite mit Phishing-Inhalten gelangt und in den Datenbanken von Kaspersky Lab bisher noch keine Informationen über diese Seite vorhanden sind.

    *Unter Phishing-Wildcards versteht man eine Auswahl von Zeichen, die eine Gruppe von Links beschreiben, die vom System als Phishing-Links definiert wurden. Dabei ermöglicht eine Wildcard die Erkennung von bis zu mehreren tausend aktiven Links auf Phishing-Seiten.

    Im Jahr 2014 schlug das „Antiphishing“-System auf den Computern der Anwender von Kaspersky-Lab-Produkten 260.403.422 Mal Alarm. Davon entfielen 55 Prozent (143.827.512) der Alarme auf die deterministischen Komponenten und 45 Prozent (116.575.910) auf die heuristische Web-Komponente.

    Phishing-Links: nicht nur in E-Mails

    Die deterministischen Komponenten des Antiphishing-Systems (Cloud und Online) überprüfen die Links im Browser des Anwenders und in den Mitteilungen, die er über IM-Programme oder via E-Mail erhalten hat. Von allen Alarmen dieser Komponenten entfallen nur 6,4 Prozent auf Links in elektronischen Nachrichten. Das bedeutet, dass die Phisher den Versendungen klassischer Phishing-Mails nun andere Methoden zur Verbreitung von Links vorziehen und dementsprechend auch andere Betrugsschemata zum Einsatz kommen.

    Immer häufiger werden Links auf Phishing-Seiten in Sozialen Netzwerken verbreitet. Die Rede ist hier nicht nur vom Einsatz gestohlener Accounts, sondern nichtsahnende Nutzer werden auch dazu gebracht, in Sozialen Netzwerken eigenhändig Links unter ihren Freunden zu verbreiten.

    So wurden beispielsweise im Juli 2014 in Sozialen Netzwerken auf diese Weise Links auf eine gefälschte Petition zur Unterstützung von Luis Suárez verbreitet. Um die Petition unterschreiben zu können, sollte der Anwender seine persönlichen Daten eingeben, die dann bei den Phishern landeten. Anschließend wurde der Empfänger aufgefordert, den Link auf die Petition mit seinen Freunden auf Facebook zu teilen. Als Konsequenz verbreitete sich der Link auf die Phishing-Seite sehr schnell unter Fußballfans und deren Freunden.

    Beispiel für die Verbreitung einer Phishing-Seite mit Hilfe von Usern eines Sozialen Netzwerks

    Phishing-Mails

    Das oben Gesagte bedeutet nicht, dass die Betrüger dem Verbreitungsschema von Phishing-Links via E-Mail komplett entsagen. Nach wie vor ist das die populärste Verbreitungsmethode von Links, die auf gefälschte Seiten von Finanzorganisationen führen. Möglicherweise deshalb versenden die Betrüger E-Mails mit Links auf Phishing-Seiten bevorzugt an Werktagen, wenn die Nutzer ihre E-Mails von ihrem Arbeitsplatz aus checken.

    Grafische Darstellung der Alarme der deterministischen Komponenten des „Antiphishing“-Systems in den E-Mail-Clients der Anwender

    Sehr beliebt unter Cyberkriminellen sind auch Betrugsschemata unter Verwendung von Phishing-Mails mit angehängten Schaddateien, HTML-Dateien und in den Mailkörper integrierten HTML-Formularen.

    Durch die an die E-Mails angehängten HTML-Dateien oder die integrierten HTML-Formulare sparen die Betrüger die Ausgaben für die Unterhaltung von Seiten im Netz ein. Das Angriffsschema ist Standard: Der Anwender erhält eine angeblich im Namen einer Organisation verschickte E-Mail mit der Mitteilung, dass sein Account blockiert wurde, dass es ein Datenleck gab, dass verdächtige Aktivität registriert wurde und so weiter. Aufgrund der besorgniserregenden Ereignisse wird der Empfänger gebeten, seine persönlichen Informationen zu aktualisieren, indem er die Felder in der angehängten HTML-Datei oder im angehängten Formular ausfüllt. Die vom Nutzer eingegebenen Daten gehen dann an die Internetkriminellen. Im Laufe des Jahres spürten die Kaspersky-Experten eine Vielzahl von ähnlichen Versendungen im Namen verschiedener Organisationen auf, hauptsächlich Finanzinstitutionen.

    Beispiel einer E-Mail mit angehängter HTML-Datei

    Im Rahmen von Phishing-Attacken mit HTML-Anhang, die sich gegen die Kunden einer speziellen Organisation richten, versuchen die Betrüger ein Maximum an Finanzinformationen von ihrem Opfer abzugreifen, die aber nicht zwingend etwas mit der jeweiligen Organisation zu tun haben müssen.

    Beispiel einer E-Mail mit angehängter HTML-Datei

    In den oben gezeigten Beispielen versuchen die Verbrecher nicht nur Zugangsdaten zu den Accounts bei den jeweiligen Organisationen zu erhalten, sondern auch andere persönliche Informationen des Anwenders, insbesondere Kreditkartendaten.

    Die große Jagd

    Wie bereits oben erwähnt, versuchen Cyberkriminelle, die die Kunden verschiedener Organisationen angreifen, nicht nur an Account-Daten zu gelangen, sondern wollen auch die Kreditkartendaten sowie andere vertrauliche Informationen des Anwenders stehlen. Auf diese Weise tragen einige Betrüger gültige E-Mail-Adressen zusammen, um sie beispielsweise an Spammer weiterzuverkaufen. Andere versuchen in der Tarnung der anzugreifenden Organisation, erst an die Finanzinformationen des Anwenders und daraufhin auch an sein Geld zu kommen.

    Die besondere Gefahr solcher Phishing-Schemata liegt darin, dass eine Organisation – wie viele Maßnahmen zum Schutz ihrer Kunden vor Phishing-Attacken (zweifache, dreifache Verifizierung, Einmal-Passwörter und so weiter) sie auch ergreifen mag – immer nur den Account des Kunden schützen kann. Wenn aber ein Nutzer den Betrügern andere persönliche Daten übermittelt, so kann die angegriffene Organisation überhaupt nichts dagegen tun.

    Oben haben wir Beispiele einer solchen „erweiterten“ Phishing-Attacke unter Verwendung eines HTML-Anhangs aufgeführt. Hier ein weiteres Beispiel – eine Phishing-Attacke auf das Bezahlsystem PayPal. Nach klassischem Muster landet der User auf einer Phishing-Seite, die die Webseite des Bezahlsystems imitiert. Der unaufmerksame Anwender gibt seinen Benutzernamen und sein Kennwort ein und sendet die Daten an die Betrüger. Daraufhin öffnet sich eine weitere Seite mit Eingabefeldern für die Kreditkartendaten und andere Informationen. Der Anwender denkt, er befindet sich in seinem persönlichen PayPal-Bereich und gibt daher ohne Argwohn seine persönlichen Daten ein. Nachdem diese an die Cyberkriminellen geschickt wurden, wird der User auf die offizielle PayPal-Webseite umgeleitet, damit er nichts von dem Diebstahl der Informationen bemerkt.

    Beispiel einer Phishing-Attacke auf das Bezahlsystem PayPal

    Möglicherweise gelingt es den Online-Gangstern nicht, in das PayPal-Konto des Opfers einzudringen, da das Unternehmen sich um die Sicherheit seiner Kunden kümmert und zusätzliche Schutzmaßnahmen anbietet. Die Cyberkriminellen erhalten allerdings ausreichend Informationen, um dem User einen Teil seiner finanziellen Mittel zu stehlen, auch ohne dabei den PayPal-Account zu benutzen.

    Ein anderes Beispiel ist eine Phishing-Attacke auf eine große Organisation aus der Telekommunikationsbranche. Auf den ersten Blick benötigen die Betrüger den Nutzernamen und das Passwort, um sich bei dem Konto anzumelden. Doch nachdem das Opfer sich bei dem gefälschten Account angemeldet hat, erfragen die Kriminellen nicht nur die öffentlichen Kartendaten, sondern auch alle möglichen anderen Informationen, die ihnen für Machenschaften mit seinem Geld nützlich werden könnten.

    Beispiel einer Phishing-Attacke mit dem Versuch, persönliche Informationen zu stehlen

    Geografie der Attacken

    Im Jahr 2014 registrierte Kaspersky Lab in praktisch allen Ländern und Gebieten der Welt Phishing-Attacken.

    Top 10 der Länder nach Anteil der angegriffenen Anwender

    Spitzenreiter nach dem Anteil der angegriffenen individuellen Anwender an der Gesamtzahl der Anwender im Land war im Jahr 2014 Brasilien mit einem Wert von 27,47 Prozent.

    Anteil der Anwender, auf deren Computern das „Antiphishing“-System im Jahr 2014 Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land

    Top 10 der Länder nach Anteil der angegriffenen Anwender:

      Land Prozentualer Anteil der Anwender
    1 Brasilien 27,45
    2 Australien 23,76
    3 Indien 23,08
    4 Frankreich 22,92
    5 Ecuador 22,82
    6 Russland 22,61
    7 Kasachstan 22,18
    8 Kanada 21,78
    9 Ukraine 20,11
    10 Japan 19,51

    Im Jahr 2014 stieg der Anteil der angegriffenen Anwender in Brasilien im Vergleich zum Jahr 2013 um 13,81 Prozentpunkte (damals belegte Brasilien den 23. Platz). Ein derart ausgeprägtes Interesse der Phisher an diesem Land hängt höchstwahrscheinlich mit der Austragung der Fußballweltmeisterschaft 2014 in Brasilien zusammen, zu der Fußballfans aus der ganzen Welt strömten.

    Verteilung der Attacken nach Ländern

    Nach Anzahl der Attacken führt Russland vor allen anderen Ländern der Welt mit 17,28 Prozent. Der prozentuale Anteil der Alarme des Systems „Antiphishing“ auf den Computern der Anwender in Russland gemessen an der Gesamtzahl der Alarme unserer Produkte weltweit ist innerhalb eines Jahres um 6,08 Prozentpunkte gestiegen.

    Verteilung der Phishing-Attacken nach Ländern im Jahr 2014

    Die Zunahme der Angriffe auf Nutzer in Russland hängt möglicherweise mit der im Jahr 2014 eingetretenen Verschlechterung der finanziellen Situation im Land zusammen. Finanzoperationen nahmen zu – die Menschen versuchen ihre Ersparnisse anzulegen, sie tätigen mehr Einkäufe im Internet, führen Transaktionen durch. Dabei sind viele Nutzer besorgt. Und das bedeutet, dass den Betrügern mehr Möglichkeiten zur Verfügung stehen und die von ihnen angewandten Social-Engineering-Tricks effektiver werden.

    Der Spitzenreiter des Vorjahres, die USA (7,2 Prozent), fiel auf den zweiten Platz zurück. Der Wert dieses Landes verringerte sich um 23,6 Prozentpunkte. Es folgen Indien (7,15 Prozent) und Brasilien (7,03 Prozent), deren Werte um 3,7 Prozentpunkte respektive 5,11 Prozentpunkte zunahmen.

    Ziele der Phishing-Attacken

    Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Kaspersky-Lab-Systems Antiphishing auf den Computern der KSN-Teilnehmer erstellt. Diese Komponente erkennt alle Seiten mit Phishing-Inhalten, die der Anwender über Links in einer E-Mail oder im Internet zu erreichen versucht. Das Antiphishing-System schlägt dann Alarm, wenn noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind.

    Verteilung der von Phishern angegriffenen Organisationen nach Kategorien im Jahr 2014

    Im Jahr 2014 büßte die Kategorie „Soziale Netzwerke“ (15,77 Prozent) 19,62 Prozentpunkte ein und überließ die Spitzenposition der Kategorie „E-Mail- und Suchportale“ (42,59 Prozent), die 19,29 Prozentpunkte zulegte (im Bericht für das Jahr 2013 entsprach die Kategorie „E-Mail- und Suchportale“ der Kategorie „E-Mail“). Diese Entwicklung überrascht nicht: Unternehmen wie Google, Yahoo, Yandex und andere bauen ihre Online-Dienste immer weiter aus, indem sie den Nutzern immer mehr Möglichkeiten bereitstellen – von E-Mail und Sozialen Netzwerken bis hin zu elektronischen Geldbörsen. Auf all das kann der Nutzer in der Regel über einen einzigen Account zugreifen, was nicht nur für ihn überaus bequem ist, sondern auch für Cyberkriminelle. Mit nur einem erfolgreich durchgeführten Angriff erhalten diese gleich eine Vielzahl von Möglichkeiten für weitere Betrügereien. Daher ist es nicht erstaunlich, dass Google und Yahoo auch in den Top 3 der von Phishern angegriffenen Organisationen vertreten sind.

    Top 3 der von Phishern angegriffenen Organisationen

      Organisation Prozentualer Anteil der Phishing-Links
    1 Yahoo! 23,3
    2 Facebook 10,02
    3 Google 8,73

    Dabei nahm der Wert von Yahoo (23,3 Prozent) gegenüber dem Vorjahr um 13,3 Prozentpunkte zu (unter anderem auch dank der drastischen Zunahme der Menge von betrügerischen Links auf gefälschten Seiten der Yahoo-Services Anfang Januar 2014).

    Der Anteil der Phishing-Attacken auf Finanzorganisationen betrug 28,74 Prozent, ein Rückgang um 2,71 Prozentpunkte im Vergleich zu 2013. Schaut man sich die Verteilung dieser Attacken nach Art der angegriffenen Organisationen an, so wird deutlich, dass der Anteil der Angriffe auf Bankorganisationen abgenommen hat (13,79 Prozentpunkte verglichen mit 2013). Dabei stieg der Wert der Kategorie „Online-Shops“ innerhalb des Jahres um 4,78 Prozentpunkte und der Anteil der Kategorie „Bezahlsysteme“ um 9,19 Prozentpunkte.

    Verteilung des Finanz-Phishings nach Kategorien der angegriffenen Organisationen im Jahr 2013

    Verteilung des Finanz-Phishings nach Kategorien der angegriffenen Organisationen im Jahr 2014

    Mehr Informationen über das Finanzphishing finden Sie in unserem Bericht „Finanzielle Cyberbedrohungen im Jahr 2014: Things have changed“.

    Fazit

    Der Spam-Anteil im E-Mail-Traffic nimmt weiter ab. Wir gehen davon aus, dass sich dieser Wert im Jahr 2015 nur unbedeutend ändern wird.

    Vor diesem Hintergrund bleibt die Tendenz zur Abnahme von Werbe-Spam und zur Zunahme von betrügerischem und schädlichem Spam erhalten. Es wird immer mehr gut gemachte Fälschungen von Mitteilungen und Benachrichtigungen geben, in denen Online-Verbrecher ihre Tricks anwenden (wie etwa schädliche Anhänge mit den ungewöhnlichen Extensionen ARJ und SCR).

    Cyberkriminelle setzen verschiedene Methoden zur Verbreitung von Phishing-Inhalten ein. Doch Phishing-Versendungen per E-Mail sind nach wie vor aktuell und werden es aller Wahrscheinlichkeit nach auch noch lange bleiben.

    Internetverbrecher wählen als Ziel ihrer Phishing-Attacken die Kunden der unter den Anwendern populärsten Organisationen aus und verbessern damit die Erfolgsaussichten ihrer Attacke. Dabei werden sehr viele Angriffe durchgeführt, um ein Maximum an persönlichen Informationen zu erhalten, in erster Linie Informationen finanzieller Natur. Wir gehen davon aus, dass dieser Trend auch in Zukunft bestehen bleibt.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.