Planet in Spammer-Hand

Derzeit gibt es praktisch kein Land auf der Erde mehr, von dem aus kein Spam verbreitet wird. Seit vielen Jahren kämpfen Spammer um Territorien, von denen aus sie ihre Versendungen losschicken können. Sie versuchen, ihre bisherigen Gebiete zu halten und neue zu erobern. Die Strafverfolgungsbehörden, Anti-Spam-Anbieter und verschiedene Initiativgruppen versuchen, sie daran zu hindern. In der vorliegenden Analyse geht es um die Faktoren, welche die Migration der Spam-Quellen beeinflussen, die Veränderungen in der Verteilung der Spam-Herkunftsländer sowie die Tendenzen dieser Migration.

Chronik 2003 – 2009

In der Geschichte der Spam-Industrie gab es immer wieder Perioden, in denen Spammer durch die Aktivität von Antispam-Unternehmen, gesetzgeberischen Initiativen und der Strafverfolgungsbehörden in verschiedenen Ländern dazu gezwungen waren, aktiv nach neuen Versendungsmethoden, Technologien zur Umgehung von Spam-Filtern und neuen Gebieten für die Versendung von unerwünschten Nachrichten zu suchen.

2003. Viele europäische Staaten nehmen Antispam-Gesetze an, und zwar aufgrund der Richtlinie 2002/58/EG des Europäischen Parlaments und des Europäischen Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Unter anderem geht es in der Richtlinie um die Unzulässigkeit unerwünschter kommerzieller Versendungen. Im selben Jahr werden auch in den USA und in Australien Gesetze gegen Spam verabschiedet. Das australische gilt bis zum heutigen Tag als eines der effektivsten Gesetze dieser Art.

Trotz der ergriffenen gesetzgeberischen Maßnahmen nimmt der Spam-Anteil im E-Mail-Verkehr weiter zu. Im Jahr 2004 ist er im Vergleich zum Vorjahr um 14 Prozent gestiegen und macht 80 Prozent des gesamten elektronischen Postverkehrs aus. Auf diesem Niveau hält sich der Spam-Anteil bis einschließlich 2006. Um dieser Entwicklung entgegenzuwirken, installieren alle großen E-Mail-Anbieter Spam-Filter. Auch die meisten Provider ergreifen Maßnahmen zum Schutz vor Spam. Viele Antiviren-Anbieter integrieren Antispam-Module in ihre Produkte.

Trotz des Antispam-Gesetzes führen die USA mit weitem Abstand die Liste der Spam-Herkunftsländer an. Verschiedenen Schätzungen zufolge stammt im Jahr 2004 ungefähr die Hälfte aller Junk-Mails aus den Vereinigten Staaten.

2006. Die zweite Welle der gesetzgeberischen Initiativen zum Schutz vor Spam rollt an. In den Jahren 2006 und 2007 werden entsprechende Gesetze in China, Pakistan, Singapur und Neuseeland verabschiedet. Russland nimmt Korrekturen am föderalen Gesetz „Über die Werbung“ vor. Zudem beginnt ein Kampf gegen Spam auf technischer Ebene. Die Spammer sind nun gezwungen, ihre Technologien zum Spam-Versand und zur Umgehung von Spam-Filtern zu verbessern. Im Jahr 2006 erfolgt auch die endgültige Diskreditierung und faktische Abschaffung von offenen Relays, über welche die Spammer bis dahin ihre Mails verschickt hatten, sowie die Verlagerung auf Botnetze. Nun wird Spam in technischer Hinsicht immer vielseitiger: Erstmals erscheint verrauschter grafischer Spam, und erstmals werden verschiedene Möglichkeiten der Sprache HTML zur Umgehung der Filter ausgeschöpft.

Immer mehr Spam wird nun von Russland und China aus verbreitet. Im russischsprachigen Teil des Internets führt Russland in puncto Spam-Versand mit 22 Prozent. Aus den USA stammen 20 Prozent der unerwünschten Nachrichten und elf Prozent aus China. Im westeuropäischen und amerikanischen Bereich liegen nach wie vor die USA an der Spitze. Russland und China bilden den Rest der Top 3. Auf den oberen Rängen befinden sich viele westeuropäische Länder.

Am 30. März 2006 verabschiedet China das Antispam-Gesetz „Regulations on Internet E-Mail Services“. Beginnend mit dem Jahr 2007 geht der aus diesem Land stammende Spam-Anteil entscheidend zurück.

2007. Die USA führen das Ranking der Spam-Herkunftsländer mit 11,2 Prozent des weltweiten Spam-Aufkommens an, dicht gefolgt von Russland (10,8 Prozent). Platz drei belegt Polen – das einzige osteuropäische Land in den Top 20. Erstmals ist Indien in den Top 10 vertreten, das Land, das im Jahr 2011 Spitzenreiter unter den Spammer-Ländern werden sollte. China belegt im Jahr 2007 nur Rang neun. In der unteren Hälfte der Top 20 sind zudem fünf lateinamerikanische Länder vertreten.

Beginnend mit dem Jahr 2007 begeben sich die Organisatoren von Botnetzen auf eine geografische Entdeckungsreise. Nachdem sie in China eine Niederlage erlitten haben, wo nun eine Politik der strengen Regulierung im Netz vorherrscht, verlagern sie sich auf weniger geschützte Länder Asiens, des Nahen Ostens und Lateinamerikas. Diese Regionen zeichnen sich nicht nur durch das Fehlen einer gesetzgeberischen Basis in puncto Spam-Bekämpfung aus, sondern auch durch sehr geringes Computerwissen der Anwender sowie Mangel an notwendiger Antiviren-Software. Dies ermöglicht den Cyberkriminellen einen problemlosen Zugriff auf die Computer der Anwender.

2008. Im Ranking der Spam-Herkunftsländer tauschen die USA und Russland die Plätze: Russland ist für 22 Prozent des weltweiten Spam-Aufkommens verantwortlich, die USA für 16 Prozent. Die restlichen Länder folgen mit großem Abstand. In den Top 10 taucht mit der Ukraine ein weiteres osteuropäisches Land auf.

2009. In der zweiten Jahreshälfte 2009 nimmt der aus den USA stammende Spam-Anteil drastisch zu: Der Anteil der Vereinigten Staaten am gesamten Spam-Verkehr erreicht 24,4 Prozent. Diese Zunahme fällt zeitlich mit einem Anstieg der Zahl infizierter amerikanischer Domains zusammen. Das zeigt, dass die Virenschreiber zunehmend an den USA interessiert sind. Weiterhin lässt es auf komplexe Attacken schließen, die gleichzeitig auf Domain-Infektionen und die Angliederung von Anwender-Computern an ein Botnetz abzielen (zum Beispiel Attacken unter Verwendung der Backdoor Bredolab). Im Jahr 2009 entfallen durchschnittlich 16 Prozent des gesamten versendeten Spams auf die USA. Der Anteil Russlands am weltweiten Spam-Versand nimmt hingegen kontinuierlich ab und beträgt innerhalb des Jahres durchschnittlich 8,5 Prozent des globalen Spam-Verkehrs. Es folgen Brasilien (7,6 Prozent), Indien (5,9 Prozent) und Korea (4,8 Prozent). Die Botnetz-Organisatoren stärken ihre Position in den Schwellenländern: In den Top 10 der Spam-Herkunftsländer ist nicht ein einziges westeuropäisches Land vertreten.

2010: Schließung von Botnetzen und Partner-Programmen

Bis zum Jahr 2010 stehen die USA und Russland an der Spitze im Ranking der Spam-Herkunftsländer. Im Laufe der Jahre sind diese zwei Länder in der Summe für 22 bis 42 Prozent des gesamten weltweiten Spam-Aufkommens verantwortlich. Im Jahr 2010 sollte sich das ändern.

Das Jahr 2010 kann man als Jahr des Kampfes gegen Zombie-Netzwerke bezeichnen. Steuerungszentralen von Botnetzen wurden auch schon vorher offline genommen. Man erinnere sich zum Beispiel an die Schließung des Hosting-Providers McColo Ende 2008, auf dem die Steuerungszentralen gleich mehrerer Zombie-Netze untergebracht waren. Allerdings wurde der Kampf gegen Botnetze nie so zielstrebig geführt wie 2010 und nie lieferte er so nachhaltige Ergebnisse. Überdies werden im Jahr 2010 gleich mehrere Aufsehen erregende Prozesse gegen Spammer und Botnetz-Organisatoren geführt. Erwähnenswert ist, dass das Ende des Jahres 2010 nicht mit dem Ende derartiger Initiativen zusammenfällt: Im März 2011 werden auch die Steuerungszentralen des Rustock-Botnetzes abgeschaltet.

Nicht zuletzt dank dem oben erwähnten Kampf gegen Zombie-Netzwerke kommt es im Jahr 2010 zu einer einschneidenden Umverteilung der Spam-Quellen. Die unten stehende Grafik zur Verteilung der Spam-Quellen nach Regionen im Jahr 2010 macht deutlich, wie sich die Situation im Laufe des Jahres verändert.


Prozentuale Anteile der Regionen am Spam-Versand im Jahr 2010

Auffällig sind die steigenden Werte Osteuropas im März und Oktober, Lateinamerikas im Juni sowie sinkende Anteile Kanadas und der USA ab September.

Der drastische Rückgang des US-amerikanischen Anteils am Spam-Versand liegt in erster Linie an der Schließung der Steuerungsserver des Pushdo/Cutwail-Botnetzes. Zudem wird auch das pharmazeutische Partner-Programm SpamIt aufgelöst, was sicher auch Einfluss auf die Menge des aus den USA verschickten Spams hat.

Die Cyberkriminellen haben allerdings schon begonnen, neue, komfortablere Gebiete zum Spam-Versand zu erschließen: Im Oktober steigt der Anteil des aus Russland, der Ukraine und anderen osteuropäischen Ländern versendeten Spams deutlich an, und im November nehmen die diesbezüglichen Werte für Vietnam, Indien und Indonesien zu. Insgesamt lässt sich feststellen, dass im Jahr 2010 praktisch alle Länder in den Versand von Spam involviert sind. Erstmals stammt auch ein bedeutender Teil, nämlich 1,64 Prozent, der unerwünschten Nachrichten aus Afrika, das bis dahin praktisch überhaupt nicht an diesem Prozess beteiligt war.

Unsere Statistik der schädlichen Anhänge im E-Mail-Verkehr hilft uns dabei, zu verfolgen, wo die Spammer ihren weiteren Spam-Versand vorbereiten. Um ein Botnetz aufzubauen, werden den Anwendern in irgendeinem Land in der Regel schädliche Mails zugeschickt, die ihre Rechner mit Bots infizieren, die wiederum auf den Versand von Spam spezialisiert sind. In der Zeit von Oktober bis Dezember 2010 ging die Zahl der Alarme von Kaspersky Mail-Anti-Virus in den USA und in Westeuropa deutlich zurück, während die Entwicklung in Osteuropa und Asien gegenläufig war.


Anteile der Alarme von Kaspersky Mail-Anti-Virus verschiedener
Länder aus den Top 10, Oktober bis Dezember 2010

2011: Stabilisierung

Im Gegensatz zum Jahr 2010 gibt es 2011 keine sprunghaften monatlichen Veränderungen mehr unter den Spam versendenden Regionen. Das erste Halbjahr 2011 lässt sich insgesamt als stabil bezeichnen.


Anteile der Regionen am Spam-Versand, erstes Halbjahr 2011

Deutliche Trends zeichnen sich ab: Der Beitrag Asiens und Lateinamerikas zum weltweiten Spam-Aufkommen steigt im ersten Halbjahr 2011 kontinuierlich (wobei die Kurven dieser beiden Länder einander sehr ähneln), während der Anteil Ost- und Westeuropas abnimmt. Wie bereits erwähnt, sind Asien und Lateinamerika aus verschiedenen Gründen für Spammer recht attraktive Regionen, und die Zahl der infizierten Computer, die aus diesen Regionen Spam versenden, steigt.

Im Jahr 2011 gibt es im Ranking der Spam-Herkunftsländer keine absoluten Spitzenreiter mehr – die Zeiten, in denen drei Länder für die Hälfte des weltweiten Spam-Aufkommens verantwortlich waren, sind vorbei. Die Verteilung der Spam-Quellen ist heute vielmehr äußerst gleichmäßig – die Zombie-Netze, über welche die Junk-Mails verschickt werden, spannen sich über den gesamten Erdball.


Verteilung der Spam-Quellen nach Ländern, erstes Halbjahr 2011

Eine solche Verteilung zeugt davon, dass die geografische Entdeckungstour der Spammer abgeschlossen ist. Zum gegenwärtigen Zeitpunkt gibt es infizierte, Spam versendende Computer ebenso in Südafrika wie auch auf entlegenen Inseln im Stillen Ozean. Die Industrienationen locken die Botnetz-Organisatoren mit ständig verfügbaren und schnellen Internetverbindungen – die Entwicklungs- und Schwellenländer mit dem Fehlen einer entsprechenden Gesetzesgrundlage und mit unzureichend geschützten Computern. Für Spammer uninteressante Regionen gibt es also nicht mehr.

Nach dem erfolgreichen Kampf gegen große Botnetze im Jahr 2010 bemühen sich die Botmaster nun, ihre Zombie-Netze kleiner zu halten als früher, um Ausweichmanöver zu ermöglichen, falls die Strafverfolgungsbehörden wieder zuschlagen. Gleichzeitig steigt die Zahl solcher kleinerer Botnetze. Diese Politik der Dezentralisierung von Spammer-Kapazitäten führt auch zu einer gleichmäßigeren Verteilung der infizierten Computer nach Ländern.

Gründe für die Migration von Spam-Quellen

Aus allen oben aufgeführten Aspekten lassen sich die Hauptgründe für die geografische Umverteilung der Spam-Quellen herausfiltern.

  1. Entwicklung einer Gesetzesgrundlage
    Das Beispiel China zeigt deutlich die Abhängigkeit der versendeten Spam-Menge von einer effektiven Antispam-Gesetzgebung im jeweiligen Land. Nach der Verabschiedung eines Antispam-Gesetzes in China nahm die von dort aus versendete Menge unerwünschter Nachrichten deutlich ab und macht heute weniger als ein Prozent des weltweiten Spam-Aufkommens aus. Außerdem sank auch die Anzahl der schädlichen Webseiten und der Spammer-Webseiten in der chinesischen Domain-Zone, nachdem im Jahr 2009 in China die Richtlinien für die Domain-Registrierung verschärft worden waren. Heute ist nur noch die Registrierung juristischer Personen möglich. Natürlich spielen nicht nur die Gesetze eine Rolle, sondern auch die Methoden, mit denen diese umgesetzt werden. Offensichtlich verfügt China mit seiner strengen Internet-Politik über die entsprechenden Methoden.

    Auch das Beispiel Australiens ist sehr bezeichnend. Rufen wir uns noch einmal die Grafik der Spam-Quellen ins Gedächtnis: Der geringste Anteil der weltweit verbreiteten Spam-Menge entfällt auf die Region Australien und Ozeanien. Und das, obwohl Australien das größte Land mit voll entwickeltem Internet ist. Doch bereits im Jahr 2003 verabschiedete Australien eines der schärfsten Gesetze gegen Spam überhaupt (Spam Act 2003) und achtet auf seine Durchsetzung. So verpflichtet die Regierung Internet-Provider, Zombie-Computer in den Netzen zu identifizieren und die Anwender bei der Desinfizierung der befallenen Rechner zu unterstützen. Darüber hinaus wird es den Anwendern sehr leicht gemacht, Beschwerden über Spam zu versenden: Ein Klick genügt, und ein Muster der unerwünschten Nachricht landet bei staatlichen Stellen, zu deren Aufgaben der Kampf gegen Spammer zählt.

  2. Geografische Expansion
    Mit der raschen Ausbreitung des Internets über den ganzen Erdball steigt auch die Zahl der Länder, von denen aus Spam verbreitet wird. So beobachteten wir im Laufe der letzten fünf Jahre, wie verschiedene Länder Lateinamerikas, Asiens, des Nahen Ostens und Afrikas zu Spam-Quellen wurden. Aktuell ist die geografische Expansion der Spammer praktisch abgeschlossen.

  3. Schließung von Botnetzen
    Die Schließung von Botnetzen hat sofortige Auswirkungen auf die Spam-Menge und auf die Verteilung der Spam-Quellen. Obwohl zu einem Botnetz Computer auf der ganzen Welt gehören können, stammt ein Großteil der Zombie-Rechner in der Regel aus einer Region. Daher sinkt mit der Schließung von Steuerungszentralen eines Botnetzes der Spam-Anteil aus der Region merklich, in der sich der überwiegende Teil der zu dem Zombie-Netz gehörenden infizierten Computer befindet.

  4. Schließung von Partner-Programmen
    Ein äußerst seltener Fall, der in hohem Maße mit der Arbeit der Strafverfolgungsbehörden zusammenhängt. Das anschaulichste Beispiel hierfür ist die Schließung des pharmazeutischen Partner-Programms SpamIt im Oktober 2010, die sich sowohl auf die Spam-Themen als auch auf die geografische Verteilung auswirkte.

Fazit und Prognosen

Bekanntermaßen wird der Löwenanteil der gesamten Spam-Menge heute mithilfe von Botnetzen versendet, also Netzen infizierter Computer, die Befehle von den Botnetz-Steuerungszentralen erhalten. Ein Teil der unerwünschten Nachrichten wird nach wie vor von den Servern der Spammer versendet. Der Standort dieser Server sowie der Botnetze ist von vielen Faktoren abhängig, unter anderem der Antispam-Gesetzgebung der verschiedenen Länder sowie die Aktivität sowohl staatlicher als auch nichtstaatlicher Initiativgruppen. Zudem wird die Wahl der Spammer davon beeinflusst, wie gut die Anwender in dem einen oder anderen Land geschützt sind, wie gut ihre allgemeine Computerbildung ist und wie häufig sie die auf ihren Rechnern installierte Software aktualisieren.

Wie die Statistik zeigt, sind die Spam-Quellen mehr oder minder gleichmäßig über den gesamten Erdball verteilt. Das liegt daran, dass sich die Zahlen der Computer pro Einwohner in den verschiedenen Ländern langsam angleichen und auch die Verbindungskanäle immer besser werden. Sicherlich ist das ein Prozess, der Jahrzehnte dauert, doch mit der Zeit führt er dazu, dass die unterschiedlichen Länder gleichermaßen attraktiv für die Organisatoren von Botnetzen werden.

Vorerst werden aber vor allem die BRICS-Staaten (Brasilien, Russland, Indien, China, Südafrika) und andere sich schnell entwickelnde Staaten das Ranking der Spam-Quellen dominieren, da sie nach den Kriterien Gesetzgebung, Anwender-Sicherheit, Anwenderzahl und Kanalbreite für die Spammer am attraktivsten sind.

Wir erwarten, dass auch aus den USA wieder mehr Spam kommen wird, ohne jedoch wieder das alte Niveau zu erreichen: Die gut ausgebaute Internet-Infrastruktur und die große Zahl der Anwender ziehen die Botnetz-Organisatoren an, obwohl es in den Vereinigten Staaten Antispam-Gesetze gibt und die Rechner der Nutzer gut geschützt sind. Im Mai belegte dieses Land im Übrigen den zweiten Platz nach Anzahl der Alarme von Kaspersky Mail-Anti-Virus und rutschte in diesem Ranking seither nicht tiefer als Position vier, was indirekt vom Aufbau von Botnetzen zeugt.

Das Jahr 2010 hat gezeigt, dass es möglich ist, Spam erfolgreich zu bekämpfen – nicht nur durch Filterung, sondern auch mit anderen Mitteln, und zwar, indem die Steuerungsserver der Botnetze abgeschaltet und die Spammer selbst strafrechtlich zur Verantwortung gezogen werden. Bleibt zu hoffen, dass der Kampf gegen Spam auch künftig umfassend und nachhaltig weitergeführt wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.