Spam und Phishing im ersten Quartal 2016

Inhalt

Spam: Die wichtigsten Ereignisse des Quartals

Tendenz: stetige Zunahme von Schadspam

Im ersten Quartal 2016 registrierte Kaspersky Lab einen deutlichen Anstieg der Zahl unerwünschter E-Mails mit schädlichen Anhängen. Im Laufe der letzten zwei Jahre schwankte die Zahl der Alarme von Kaspersky Anti-Virus zwischen drei und sechs Millionen pro Monat. Ende vergangenen Jahres begann diese Zahl dann leicht zu steigen, und Anfang des Jahres 2016 beobachteten wir einen steilen Aufschwung.

Spam und Phishing im ersten Quartal 2016

Anzahl der Alarme von Kaspersky Anti-Virus bei den Anwendern von Kaspersky-Lab-Produkten

Im März erreichte die Zahl der Alarme 22.890.956 – das übersteigt den durchschnittlichen Monatswert des Vorjahres um mehr als das Vierfache.

Man könnte meinen, dass die schädlichen Anhänge mit der Entwicklung der Drive-by-Download-Technik ihren Platz schon lange an die schädlichen Webseiten abgetreten haben sollten, auf die der Nutzer über einen Link in einer Spam-Mail gelangt. Allerdings hat der Einsatz von E-Mails mit schädlichen Anhängen auch seine Vorteile (für die Cyberbetrüger): Der Inhalt der E-Mails motiviert nicht nur dazu, eine schädliche Datei zu laden, sondern auch dazu, diese zu starten. Möglicherweise hängt die neue Beliebtheitswelle auch damit zusammen, dass die Entwickler der meisten gängigen Browser ihren Produkten in den letzten Jahren einen Schutz vor dem Besuch von infizierten Webseiten oder Phishing-Seiten hinzugefügt haben (wobei sie sowohl eigene Entwicklungen verwendeten als auch Partnerschaften mit bekannten AV-Anbietern eingegangen sind). Der integrierte Schutz auf E-Mail-Client-Ebene ist noch nicht auf diesem Niveau. Daher ist es einfacher, den Rechner eines potenziellen Opfers, das kein Antiviren-Programm verwendet, über eine E-Mail zu infizierten.

Was ist drin?

Die Vielfalt der angehängten schädlichen Dateien ist beeindruckend. Da sind die klassischen ausführbaren EXE-Dateien und Office-Dokumente (DOC, DOCX, XLS, RTF) mit integrierten schädlichen Makros, aber auch Programme, die in Java und Javascript programmiert wurden (Dateien der Formate JS, JAR, WSF, WRN und andere).

Spam und Phishing im ersten Quartal 2016

Im Anhang der E-Mail befindet sich ein trojanischer Downloader, geschrieben in Java

Zudem ist auch die große Auswahl an Sprachen erwähnenswert, in denen die Spam-Mails verfasst sind. Neben dem Englischen haben wir es auch häufig mit E-Mails in russischer, polnischer, deutscher, französischer, spanischer und portugiesischer Sprache (und anderen) zu tun.

Spam und Phishing im ersten Quartal 2016

Im Anhang der E-Mail befindet sich der Banktrojaner Gozi

Bei den E-Mails handelte es sich in den meisten Fällen entweder um gefälschte Benachrichtigungen über nicht bezahlte Rechnungen oder über angebliche Geschäftskorrespondenz.

Spam und Phishing im ersten Quartal 2016

Schädliche DOC-Datei mit einem Trojan-Downloader im Anhang der E-Mail. Unter Verwendung eines Makros in Visual Basic lädt und startet die schädliche Datei den Verschlüsseler Cryakl

Spam und Phishing im ersten Quartal 2016

Im Anhang der E-Mail befindet sich ein Schädling des Typs Backdoor, der andere Schadprogramme auf einen infizierten Rechner laden kann

Besondere Aufmerksamkeit verdienen die E-Mails mit Downloadern im Anhang, die den Verschlüsselungsschädling Locky laden. Für die Infektion verwendeten die Cybergangster verschiedene Datei-Typen: Zuerst waren das DOC-Dateien mit schädlichen Makros, dann Java-Skripte. Um die Filter zu umgehen, machten die Spammer innerhalb einer Versendung jede schädliche Datei einzigartig. Zudem zeichneten sich die E-Mails durch unterschiedliche Inhalte und ein breites Spektrum an verwendeten Sprachen aus. Das überrascht nicht, zumal das Kaspersky Security Network (KSN) Angriffe dieses Verschlüsselungsschädlings in 114 Ländern der Welt registrierte.

spam_report_q1_2016_de_6

Beispiele für E-Mails mit dem Verschlüsselungsprogramm Locky

Der Inhalt der E-Mails hatte mit irgendwelchen Finanz-Dokumenten zu tun und brachte die Nutzer dazu, den Anhang zu öffnen.

War eine Locky-Attacke erfolgreich, so verschlüsselte der Schädling Dateien mit bestimmten Erweiterungen (Office-Dokumente, Multimedia-Inhalte und einige andere) auf dem Computer des Nutzers. Anschließend präsentierte Locky eine Mitteilung sowie einen Link auf eine Webseite im Netzwerk Tor, auf der die Lösegeldforderungen der Erpresser standen. Dieses Betrugsschema haben wir in unserem Blog genauer unter die Lupe genommen.

Da Locky sich häufig nicht direkt in der E-Mail befindet, können wir seinen Anteil an allen Schädlingen im Mail-Traffic nicht berechnen. Doch die Skripte, die Locky häufig laden und ausführen (von den Kaspersky-Lösungen detektiert als Trojan-Downloader.MSWord.Agent, Trojan-Downloader.JS.Agent und HEUR:Trojan-Downloader.Script.Generic), hatten einen Anteil von über 50 Prozent an allen Schadprogrammen im Mail-Verkehr.

Spam-Terrorismus

Der Terrorismus ist heute eines der am meisten in den Massenmedien und bei Treffen hochrangiger Politiker behandelten Themen überhaupt. Die sich häufenden Terroranschläge in den Ländern Europas und Asiens sind eine der Hauptbedrohungen für eine friedliche Weltgemeinschaft, und das Thema Terrorismus wird aktiv von Internetverbrechern eingesetzt, um beunruhigte Anwender zu betrügen.

In vielen Ländern wurden die Sicherheitsmaßnahmen verschärft, um so Terroranschlägen vorzubeugen. Das machten sich auch die Spammer zunutze, die Malware verschicken. Die Empfänger solcher Versendungen sollten davon überzeugt werden, dass die angehängte Datei Informationen enthält, mit Hilfe derer jeder Besitzer eines Mobiltelefons einen explosiven Gegenstand erkennt, noch bevor dieser in die Luft geht. In der E-Mail wird besonders hervorgehoben, dass diese Technologie vom Verteidigungsministerium der USA entwickelt wurde und die entsprechende Anwendung sehr einfach zu bedienen sei. Der Anhang in Form einer ausführbaren EXE-Datei erkennen die Kaspersky-Lösungen als Trojan-Dropper.Win32.Dapato – ein Trojaner, der unter anderem zum Diebstahl persönlicher Daten, zur Organisation von DDoS-Attacken und zur Installation anderer Malware verwendet wird.

spam_report_q1_2016_de_7

Auch die „nigerianischen“ Betrüger ließen sich davon inspirieren und nutzten das Thema „Terrorismus“ zum Erstellen relativ glaubhafter Geschichten aus. Die Autoren der E-Mails gaben sich als Mitarbeiter einer nicht existierenden Abteilung des FBI aus, die für die Aufklärung von terroristischen und finanziellen Verbrechen zuständig ist. Der Inhalt der erfundenen Geschichten lief darauf hinaus, dass dem Nutzer bisher eine ihm zustehende große Summe nicht zugestellt werden konnte, und dass er sich zur Lösung der aufgetretenen Probleme unbedingt mit dem Absender der E-Mail in Verbindung setzen sollte. Als Grund für die Verzögerung bei der Überweisung des Geldes nannten die „Nigerianer“ beispielsweise das Fehlen einer Bestätigung dafür, dass das Geld legal ist und dem Empfänger rechtmäßig zusteht, sowie die Einmischung Dritter mit dem Ziel, sich die Mittel des Empfängers illegal anzueignen.

spam_report_q1_2016_de_8

In verschiedenen „nigerianischen“ E-Mails wurde auch eigens darauf hingewiesen, dass das Geld, von dem ein Teil dem Empfänger angeboten wurde, auf legale Weise verdient wurde und es keinen Bezug zu Drogen, Terrorismus oder anderer Kriminalität gibt. Auf diese Weise versuchten die Betrüger, möglichen Zweifeln an ihrer Redlichkeit vorzubeugen, die beim Nutzer auftreten könnten, und ihn dazu zu bringen, mit ihnen in Kontakt zu treten.

spam_report_q1_2016_de_9

Das Thema Terrorismus wurde von Betrügern auch in andere Geschichten eingebaut, die direkt mit der Situation im Nahen Osten zusammenhingen. So wurden einige E-Mails angeblich im Namen von US-Soldaten verschickt, die in Afghanistan den Terrorismus bekämpfen und einen Vermittler für das Aufbewahren und Investieren von Geldern suchen. Ein anderer Autor erklärte, dass er weder Mitglied des IS noch einer anderen terroristischen Organisation sei, jedoch Moslem und dazu bereit sei, einen Teil seines großen Vermögens für wohltätige Zwecke zu spenden. Der „Moslem“ traue wohltätigen Organisationen nicht, daher möchte er das Geld dem E-Mail-Empfänger übertragen. Die Geschichte einer anderen E-Mail wird im Namen eines amerikanischen Geschäftsmanns erzählt, der wegen des Krieges und des Terrorismus angeblich die Hälfte seiner Geschäftsfelder in Syrien und dem Irak verloren hat, und nun einen Partner sucht, der ihm dabei hilft, das verbleibende Geld anzulegen.

spam_report_q1_2016_de_10

„Nigerianische“ E-Mails über die angespannte Lage in Syrien haben ebenfalls nichts von ihrer Popularität verloren und werden aktiv von Spammern eingesetzt, um die Nutzer über den Tisch zu ziehen.

spam_report_q1_2016_de_11

Im ersten Quartal hatten es die Kaspersky-Experten auch mit Werbe-Spam von chinesischen Fabriken und Betrieben zu tun. Sie boten Ausrüstung zur Gewährleistung der öffentlichen Sicherheit an, unter anderem zur Erkennung von explosiven Substanzen sowie andere anti-terroristische Produkte.

spam_report_q1_2016_de_12

Eine weitere Tendenz: deutliche Zunahme von „nigerianischem“ Spam

Es scheint, als sei die Wirtschaftskrise auch an den „Nigerianern“ nicht spurlos vorbeigegangen, da sie in letzter Zeit wesentlich aktiver geworden sind. Unseren Beobachtungen zufolge ist die Zahl der betrügerischen E-Mails dieser Art im vergangenen Quartal deutlich gestiegen. Früher versuchten die Betrüger, ihr Opfer mit Hilfe einer langen, weit ausholenden und detaillierten Geschichte dazu zu bringen, auf die E-Mail zu antworten – und fügten als Beweis für die Glaubhaftigkeit der Geschichte nicht selten sogar Links auf Berichte in verschiedenen bekannten Medien hinzu. Jetzt versenden sie immer häufiger lediglich eine kurze Mitteilung ohne weitere Einzelheiten, mit der Bitte, mit ihnen in Kontakt zu treten. Manchmal wird in einem „Nigerianischen Brief“ eine große Geldsumme angesprochen, auf die in der folgenden Konversation näher eingegangen werden soll, doch wiederum ohne genauere Erklärung, wo dieses Geld herkommt und wem es gehörte.

Spam und Phishing im ersten Quartal 2016

Vielleicht hoffen die Spammer so, auch aufgeklärte Empfänger in ihre Fänge zu bekommen, die bereits eine Vorstellung von klassischem „nigerianischen“ Betrug haben. Oder diese kurzen Mitteilungen richten sich an viel beschäftigte Leute, die einfach keine Lust haben, ihre Zeit mit dem Lesen endloser Schreiben von Unbekannten zu verschwenden.

Methoden und Tricks: Kurz-URL-Dienste und Obfuskation

In unserem Spambericht für das Jahr 2015 schrieben wir über Obfuskation der Domains im Spam. Im ersten Quartal 2016 setzte sich diese Tendenz fort und wurde durch neue Tricks ergänzt.

Cyberkriminelle nutzen weiterhin Kurz-URL-Dienste, doch die Methoden zur Verrauschung von Links haben sich geändert.

Erstens platzieren die Spammer nun Symbole zwischen der Domain des Kurz-URL-Dienstes und dem endgültigen Link, wie zum Beispiel Schrägstriche, Buchstaben und Punkte.

Spam und Phishing im ersten Quartal 2016

Zweitens wird der Link selbst auch obfuskiert, über den der Nutzer geleitet wird, sowie der Link auf das in der E-Mail zu ladende Bild:

Spam und Phishing im ersten Quartal 2016

Neben Buchstaben und Punkten platzierten die Spammer zwischen den Slashes („/“) sogar zufällige Kommentar-Tags. Trotzdem wurden Links weiterhin korrekt vom Browser interpretiert:

Spam und Phishing im ersten Quartal 2016

spam_report_q1_2016_de_17

Richten wir einmal unser Augenmerk darauf, dass im Betreff der E-Mail die Anrede „Edward“ auftaucht, die sich in verschleierter Form auch im Kommentar-Tag befindet. Das heißt, der Name wird einer Datenbank entnommen und der verrauschte Tag ist einmalig für jede einzelne E-Mail innerhalb der Versendung.

Im russischsprachigen Spam wurden ebenfalls Obfuskation und Kurz-URL-Dienste eingesetzt, doch der Algorithmus war ein anderer.

spam_report_q1_2016_de_18

In den Links wurde zur Verschleierung das Zeichen „@“ eingesetzt. Wie wir wissen, kann „@“ vor einer Domain als Nutzer-ID in der Domain verwendet werden (wird heute aber tatsächlich nicht mehr so verwendet). Für Webseiten, die keine Identifikation erfordern, wird alles, was vor dem „@“ steht, einfach vom Browser ignoriert. Das heißt, in der oben dargestellten E-Mail öffnet der Browser zunächst die Site ask.ru/go, auf der die Unteranfrage „url=“ durchgeführt wird, und geht dann weiter zu der im Folgenden angezeigten URL, die zu einem Kurz-Link-Dienst gehört.

spam_report_q1_2016_de_19

Der Link in dieser E-Mail wurde ebenfalls mit dem Zeichen „@“ verrauscht. Darüber hinaus war er manchmal noch mit zusätzlichen Unteranfragen verschleiert, die die E-Mail-Adresse des Anwenders enthielten, wodurch der Link für jede E-Mail der Versendung zum Unikat wurde.

Statistik

Spam-Anteil im E-Mail-Traffic

Spam und Phishing im ersten Quartal 2016

Spam-Anteil im weltweiten E-Mail-Traffic, erstes Quartal 2016

Der Spam-Anteil im E-Mail-Traffic veränderte sich im Laufe der letzten Monate des Jahres 2015 praktisch gar nicht. Doch im Januar 2016 registrierten wir eine deutliche Zunahme des Anteils unerwünschter Korrespondenz, und zwar um mehr als fünf Prozentpunkte. Bereits im Februar sank das Spam-Niveau aber wieder auf die vorherigen Werte ab, um allerdings im März erneut anzusteigen, wenn auch nicht so drastisch. Der Spam-Anteil im weltweiten E-Mail-Traffic betrug im ersten Quartal 2016 durchschnittlich 56,92 Prozent.

Spam-Herkunftsländer

Spam und Phishing im ersten Quartal 2016

Spam-Herkunftsländer weltweit, erstes Quartal 2016

Die USA, die im Jahr 2015 den ersten Platz nach der aus dem Land ausgehenden Spam-Menge belegte, behielt auch im ersten Quartal 2016 die Führungsrolle inne, mit einem Anteil von 12,43 Prozent. Mit spürbarem Abstand folgen Vietnam (10,30 %) und Indien (6,19 %). Auf dem vierten Platz positionierte sich Brasilien (5,48 %). Abgeschlossen werden die Top 5 von China mit einem Wert von 5,09 Prozent.

Russland, das nach den Ergebnissen des Jahres 2015 den zweiten Platz belegte, fand sich im ersten Quartal 2016 auf Rang sieben wieder (4,89 %), und liegt damit nur ganz knapp hinter Frankreich (4,90 %), das den sechsten Platz besetzt.

Größen der Spam-Mails

spam_report_q1_2016_de_22

Größen der Spam-Mails, viertes Quartal 2015 und erstes Quartal 2016

Der Tradition folgend, hatten die meisten versendeten unerwünschten Mitteilungen auch im ersten Quartal 2016 eine Größe von bis zu zwei KB (81,86 %), wobei ihr Anteil um 2,7 Prozentpunkte zunahm. Ebenfalls gestiegen ist der Anteil der Spam-Mails mit einer Größe zwischen 20 und 50 KB, und zwar von 3,02 auf 7,67 Prozent. Die Menge der E-Mails mit einem Umfang von zwei bis fünf KB hat hingegen im Vergleich zum vorangegangenen Quartal deutlich abgenommen, und zwar von 8,91 auf 2,50 Prozent.

Schädliche Anhänge

Derzeit werden die meisten Schadprogramme proaktiv mit automatisierten Techniken aufgespürt, was das Erstellen einer Statistik zu konkreten Schädlingsmodifikationen stark erschwert. Daher präsentieren wir nun stattdessen die weitaus informativeren Top 10 der Schadprogramm-Familien.

Тop 10 der Malware-Familien

  1. Trojan-Downloader.JS.Agent
  2. Ein typischer Vertreter dieser Familie ist ein obfuskiertes Javascript. Die Schädlinge selbst verwenden die Technologie ADODB.Stream, die es ihnen ermöglicht, DLL-, EXE- und PDF-Dateien zu laden und auszuführen.

  3. Trojan-Downloader.VBS.Agent
  4. Eine Familie von VBS-Skripten. Wie auch im Fall der Familie JS.Agent auf Platz eins verwenden diese Schädlinge die Technologie ADODB.Stream, doch sie laden in erster Linie ZIP-Archive, aus denen sie andere Malware entnehmen und starten.

  5. Trojan-Downloader.MSWord.Agent
  6. Ein charakteristischer Vertreter dieser Familie ist eine DOC-Datei mit integriertem Makro, programmiert in Visual Basic for Applications (VBA). Das Makro wird beim Öffnen des Dokuments ausgeführt, lädt eine andere schädliche Datei von der Webseite der Cyberverbrecher und startet sie auf dem Computer des Nutzers.

  7. Backdoor.Win32.Androm. Andromeda
  8. Die Familie universaler modularer Bots Andromeda/Gamarue. Die wichtigsten Funktionen dieser Bots: Laden, Speichern und Starten einer schädlichen ausführbaren Datei; Download und Start einer schädlichen DLL (ohne sie auf der Festplatte zu speichern); Selbstaktualisierung und Selbstentfernung. Die Funktionalität kann mit Hilfe von Plug-ins erweitert werden, die zu jeder Zeit von den Cybergangstern nachgeladen werden können.

  9. Trojan.Win32.Bayrob
  10. Die Trojaner dieser Familie können zusätzliche Module vom Steuerungsserver laden und starten und zudem als Proxy-Server fungieren. Sie werden für den Spam-Versand und den Diebstahl von persönlichen Daten verwendet.

  11. Trojan-Downloader.JS.Cryptoload.
  12. Ein typischer Vertreter dieser Familie ist nichts anderes als ein obfuskiertes Javascript. Die Schadprogramme dieser Familie laden Verschlüsselungsschädlinge auf den Computer des Nutzers und führen sie aus.

  13. Trojan-PSW.Win32.Fareit
  14. Das Hauptziel der Schadprogramme dieser Familie ist der Datenklau, beispielsweise Accountdaten von auf dem infizierten Computer installierten FTP-Clients, Accountdaten von Programmen zur Arbeit mit Cloud-Speichern, Cookie-Dateien in Browsern sowie Passwörter von E-Mail-Konten. Die zusammengetragenen Daten sendet der Trojaner Fareit an den Server der Cyberkriminellen. Einige Vertreter der Familie können andere Schadprogramme laden und ausführen.

  15. Trojan.Win32.Agent
  16. Schadprogramme dieser Familie zerstören, blockieren, ändern oder kopieren Daten, untergraben aber auch das reibungslose Funktionieren von Computern oder Computernetzwerken.

  17. Trojan-Downloader.Win32.Upatre
  18. Die Trojaner dieser Familie sind nicht größer als 3,5 KB, und ihre Funktion beschränkt sich auf das Herunterladen der Payload auf den infizierten Computer. Zumeist handelt es sich dabei um einen Bank-Trojaner aus der Familie Dyre/Dyzap/Dyreza. Die Hauptaufgabe dieser Bank-Trojaner besteht im Diebstahl von Bezahldaten des Nutzers.

  19. Trojan-Spy.HTML.Fraud
  20. Hierbei handelt es sich um eine Familie von trojanischen Programmen, die in Form von gefälschten HTML-Seiten umgesetzt sind. Der Schädling wird per E-Mail verschickt, getarnt als wichtige Benachrichtigung einer großen Bank, eines Online-Shops, eines Softwareunternehmens oder ähnlichem. Auf dieser gefälschten HTML-Seite gibt der Nutzer seine vertraulichen Daten ein, woraufhin diese Informationen an die Cybergangster weitergeleitet werden.

Zielländer der Schadversendungen

Im Rating der Länder, die den meisten Schadspam erhalten, gab es entscheidende Veränderungen.

spam_report_q1_2016_de_23

Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, erstes Quartal 2016

Wie schon im gesamten Jahr 2015 belegt Deutschland (18,93 %) auch im ersten Quartal 2016 den ersten Platz. Doch auf Position zwei erschien ganz unterwartet China (9,43 %), das nach den Ergebnissen des letzten Jahres nur auf 14. Platz kam. Das dritte Land auf dem Siegertreppchen ist Brasilien mit einem Anteil von 7,35 Prozent.

Auf Rang vier positionierte sich Italien (6,65 %), und den fünften Platz in unserem Rating belegte Großbritannien (4,81 %). Russland befindet sich nach den Ergebnissen des ersten Quartals 2016 mit einem Wert von 4,47 Prozent auf Platz sechs.

Die USA (3,95 %), die im Laufe vieler Monate unter den ersten Fünf in der Hitliste der Zielländer von Spam mit schädlichen Anhängen waren, belegten im ersten Quartal 2016 nur den achten Platz.

Phishing

Im ersten Quartal 2016 schlug das „Antiphishing“-System auf den Computern der Nutzer von Kaspersky-Lab-Produkten 34.983.315 Mal Alarm.

Geografie der Attacken

Spitzenreiter nach Anteil der angegriffenen Anwender innerhalb eines Landes wurde erneut Brasilien (21,5 %), mit einem Plus von 3,73 Prozentpunkten. Der Anteil der attackierten Nutzer in China (16,7 %) und Großbritannien (14,6 %) hat gegenüber dem vorangegangenen Quartal ebenfalls zugenommen, und zwar um 4,4 respektive 3,68 Prozentpunkte. In Japan (13,8 %), dem Erstplatzierten des vergangenen Jahres nach Anteil der angegriffenen Anwender, ging der Prozentsatz um 3,18 Prozentpunkte zurück.

Spam und Phishing im ersten Quartal 2016

Geografie der Phishing-Attacken*, erstes Quartal 2016

*Anteil der Anwender, auf deren Computern das Antiphishing-System Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land

Top 10 der Länder nach Anteil der angegriffenen Anwender

Brasilien 21,5 %
China 16,7 %
Großbritannien 14,6 %
Japan 13,8 %
Indien 13,1 %
Australien 12,9 %
Bangladesch 12,4 %
Kanada 12,4 %
Ecuador 12,2 %
Irland 12,0 %

Ziele der Phishing-Attacken

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

spam_report_q1_2016_de_25

Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, erstes Quartal 2016

Im ersten Quartal 2016 steht wieder einmal die Kategorie „Globale Internetportale“ (28,69 %) an der Spitze, mit einem Plus von 0,39 Prozentpunkten gegenüber dem vorangegangenen Quartal. Die zweite und dritte Position belegen zwei Finanzkategorien, und zwar „Banken“ (plus 4,81 Prozentpunkte) sowie „Bezahlsysteme“ (minus 0,33 Prozentpunkte). Abgeschlossen werden die Top 5 von den Kategorien „Soziale Netzwerke“ (9,75 %) und „Online-Shops“ (8,40 %), deren Anteile im ersten Quartal um 0,33 respektive 4,06 Prozentpunkte abnahmen.

Online-Shops

Die Angriffe auf Nutzer von Online-Shops sind deswegen interessant, weil sie zumeist mit einem Diebstahl von Kreditkartendaten und anderen persönlichen Informationen einhergehen.

spam_report_q1_2016_de_26

Verteilung der von Phishern angegriffenen Online-Shops, erstes Quartal 2016

Der beliebteste Internet-Shop der Phisher ist der Apple Store. Im ersten Quartal 2016 betrug sein Anteil an der Kategorie „Online-Shops“ 27,82 Prozent. Mit merklichem Abstand folgt ein weiterer höchst populärer Online-Anbieter, und zwar Amazon (21,60 %).

spam_report_q1_2016_de_27

Beispiel für eine Phishing-Seite, die zum Diebstahl von Apple IDs und Bankkartendaten bestimmt ist

Drittplatzierter in diesem Rating ist die unter Gamern beliebte Internet-Vertriebsplattform Steam (13,23 %), die Computerspiele und Programme in Umlauf bringt. Steam belegt Rang 19 im Gesamtrating der von Phishern angegriffenen Organisationen.

Die Verbreitung von Links auf Phishing-Seiten, die sich der Thematik Online-Games und Game-Services bedienen, erfolgt über Banner und Mitteilungen in Sozialen Netzwerken und in Foren; etwas seltener via E-Mail.

spam_report_q1_2016_de_28

Wir weisen darauf hin, dass das Interesse der Internetkriminellen an Steam und Game-Services insgesamt wächst – das Geld und die persönlichen Daten von Online-Gamern sind häufig nicht nur das Ziel von Phishern, sondern auch von Malware-Autoren.

Top 3 der von Phishern angegriffenen Organisationen

Der Löwenanteil des zielgerichteten Phishings richtet sich gegen die Anwender einiger der populärsten Marken. Diese Unternehmen haben eine Vielzahl von Kunden rund um den Globus. Daher ist die Chance der Betrüger groß, bei ihren Phishing-Attacken viele Treffer zu landen.

Auf die Unternehmen aus den Top 3 der von Phishern angegriffenen Organisationen entfielen im ersten Quartal 2016 insgesamt 21,71 Prozent aller detektierten Phishing-Links.

Organisation Prozentualer Anteil an allen Alarmen
1 Yahoo! 8,51
2 Microsoft 7,49
3 Facebook 5,71

Gegenüber dem vierten Quartal 2015 hat sich die Zusammensetzung des Führungstrios geändert. Auf dem ersten Platz befindet sich erneut Yahoo! (plus 1,45 Prozentpunkte), auf den zweiten Platz ist Microsoft mit einem Plus von 2,47 Prozentpunkte aufgestiegen, und der Dritte im Bunde ist Facebook (minus 2,02 Prozentpunkte).

Phishing-Attacken auf Facebook gibt es übrigens in praktisch allen Sprachen der Welt.

spam_report_q1_2016_de_29

Spam und Phishing im ersten Quartal 2016

Außerdem erfreut sich Facebook unter Cyberkriminellen auch als Mittel zur Verbreitung von schädlichen Inhalten großer Beliebtheit. Über eines dieser Schemata berichteten wir kürzlich in unserem Blog.

Fazit

Im ersten Quartal 2016 hat der Spam-Anteil im E-Mail-Traffic gegenüber dem vorangegangenen Quartal um 2,7 Prozentpunkte zugenommen. Deshalb aber von einer steigenden Tendenz zu sprechen, ist verfrüht. Denn zu Beginn jedes Jahres nimmt der Spam-Anteil deutlich zu, was damit zusammenhängt, dass die Menge an normaler elektronischer Korrespondenz über die Weihnachtsfeiertage spürbar zurückgeht.

Bei den Spam-Herkunftsländern sind nach wie vor die USA Spitzenreiter. Unter den ersten Fünf befinden sich zudem Vietnam, Indien, Brasilien und China – große, sich schnell entwickelnde Länder mit einem gut funktionierenden Internet.

Die Spam-Mails werden immer kleiner. Im ersten Quartal überschritten Mitteilungen mit einer Größe von nicht mehr als zwei KB den Anteil von 80 Prozent am gesamten Spamaufkommen.

Im ersten Quartal ist die Zahl der Spam-Mails mit schädlichen Anhängen deutlich angestiegen. Der Anteil schädlicher Anhänge im E-Mail-Traffic erreichte seinen Höhepunkt im März, als er das Vierfache des monatlichen Durchschnittswertes aus dem Vorjahr betrug. Eine so drastische Zunahme ist unter anderem mit der Popularität von erpresserischen Verschlüsselungsschädlingen zu erklären, die entweder direkt in den E-Mails enthalten waren, oder mit Hilfe eines trojanischen Downloaders auf den Computer des Nutzers geladen wurden.

Mit diesem Anstieg bestätigt sich unsere kürzlich getroffene Vorhersage über die schrittweise voranschreitende Kriminalisierung von Spam, die zunehmende Bedrohung durch Spam und die damit einhergehende Abnahme des allgemeinen Spam-Anteils im E-Mail-Traffic. Sprachenvielfalt, Social Engineering, eine Unmenge von verschiedenen Attachment-Typen, völlig unterschiedliche Texte innerhalb einer einzigen Versendung – all das hebt Spam auf ein neues Gefahrenniveau. Hinzu kommt, dass solche Schadversendungen eine sehr große geografische Reichweite haben. Die Geografie der via E-Mail verbreiteten Schädlinge hat sich in diesem Jahr wesentlich verändert. Unter anderem liegt China nun auf Platz zwei der am stärksten davon betroffenen Länder.

Eine weitere Bestätigung der Tendenz zur Kriminalisierung von Spam ist die Zunahme von betrügerischem – und insbesondere auch „nigerianischem“ – Spam, die im ersten Quartal 2016 zu verzeichnen war.

Die stetige Zunahme von Schadspam wird sich kaum weiter fortsetzen, denn je weiter schädlicher Spam verbreitet ist, desto mehr Leute wissen um seine Gefahr und unterlassen es, schädliche Anhänge zu öffnen. Daher verebben solche Attacken in der Regel nach einigen Monaten. Allerdings könnten sie von anderen – noch komplexeren Angriffen – abgelöst werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.