Spam und Phishing im zweiten Quartal 2016

Inhalt

Spam: die wichtigsten Ereignisse des Quartals

Das Jahr der Erpresser

Obwohl erst zwei Quartale hinter uns liegen, kann man das Jahr 2016 schon jetzt mit Fug und Recht als Jahr der Erpresser-Trojaner bezeichnen. Die Zahl der E-Mails mit schädlichen Anhängen, von denen die meisten auf die eine oder andere Weise Ransomware auf den Computer des Anwenders laden, war auch zum Ende des zweiten Quartals nach wie vor hoch. In der Zeit zwischen dem 1. und 21. Juni ging der Anteil solcher E-Mails allerdings stark zurück.

Die absolute Mehrheit der schädlichen Anhänge wurde in ZIP-Archiven verschickt. Untenstehende Grafik zeigt deutlich, wie stark der Spam mit ZIP-Anhängen zurückging, der in unseren Fallen landete:

Spam und Phishing im zweiten Quartal 2016

Anzahl der E-Mails mit schädlichen ZIP-Archiven, zweites Quartal 2016

Neben dem Rückgang im Juni beobachteten die Kaspersky-Experten noch eine weitere interessante Besonderheit: Derartiger Spam wird nicht an Wochenenden verschickt.

Dasselbe Bild zeichnen die Daten vom Kaspersky Security Network (KSN): Die Anzahl der Alarme von Kaspersky Anti-Virus ging am 1. Juni drastisch zurück und stieg am 22. Juni wieder an.

Spam und Phishing im zweiten Quartal 2016

Anzahl der Alarme von Kaspersky Anti-Virus nach Tagen, zweites Quartal 2016

Dieser Rückgang hängt mit der zeitweiligen Verschnaufpause des Botnetzes Necurs zusammen, von dem in erster Linie schädlicher Spam dieser Art versendet wird. Nachdem das Botnetz seine Arbeit wieder aufgenommen hatte, wurde die Schablone verändert, mit der die Spam-Mails erstellt werden, und die schädlichen Anhänge wurden noch komplexer.

In den E-Mails selbst ging es, wie im vergangenen Quartal auch, hauptsächlich um Rechnungen, Zahlungserinnerungen oder Preislisten, die sich angeblich im Anhang befanden. Tatsächlich enthielten diese Anhänge in JavaScript geschriebene trojanische Ladeprogramme, die in den meisten Fällen die Ransomware Locky auf die infizierten Computer luden.

Spam und Phishing im zweiten Quartal 2016

Beispielsweise wurde bei oben abgebildeter E-Mail beim Start des im Anhang befindlichen Ladeprogramms der Schädling Trojan-Ransom.Win32.Locky.agn auf den Rechner geladen, der die Informationen auf dem Computer verschlüsselt und ein Lösegeld in Bitcoin verlangt.

Über Obfuskation

Im zweiten Quartal tarnten die Spammer ihre Links weiterhin mit Hilfe verschiedener Unicodeblöcke, die für spezifische Ziele vorgesehen sind. Diese Taktik wurde im Jahr 2015 besonders populär und erfreut sich unter Spammern noch immer großer Beliebtheit.

Spam und Phishing im zweiten Quartal 2016

Der Link in diesem Beispiel sieht folgendermaßen aus:

Spam und Phishing im zweiten Quartal 2016

Überträgt die Domain von der UTF-8-Codierung in die gewohntere HTML-Form, sieht sie folgendermaßen aus:

Tatsächlich gehören die völlig normal aussehenden Buchstaben zum Unicodeblock Mathematical Alphanumeric Symbols, der für spezifische mathematische Formeln benutzt wird, und nicht für die Verwendung in gewöhnlichem Text oder Hyperlinks vorgesehen ist. Auch der Punkt in der Domain ist ungewöhnlich: Es handelt sich hierbei um einen „fullwidth full stop“, der in Hieroglyphensprachen verwendet wird. Der übrige Teil des Hyperlinks, so wie auch der gesamte Spam-Text, ist in gewöhnlicher lateinischer Schrift geschrieben.

Einsatz von Spam in APT

Im zweiten Quartal wurden wir Zeugen einer Reihe von APT-Attacken auf den Unternehmenssektor. Die E-Mails wurden angeblich von einem Offiziellen des angegriffenen Unternehmens verschickt und enthielten die Bitte, umgehend einen gewissen Geldbetrag auf ein bestimmtes Konto zu überweisen. Der Text war recht glaubwürdig und es wurde auf eine persönliche Bekanntschaft und eine dem Schreiben vorausgegangene Korrespondenz verwiesen. In einigen Fällen war auch das Logo des angegriffenen Unternehmens vorhanden. In allen diesen E-Mails wurde besonders auf die Dringlichkeit hingewiesen („ASAP“, „urgent“, „must be completed today“). Betrüger setzen häufig auf diese Methode, damit der Empfänger in der Eile seine Vorsicht und Skepsis vergisst.

Hier ein Beispiel für den Inhalt einer solchen E-Mail:

Hello NNNNN,

How are you doing! Are you available at the office? I need you to process an overdue payment that needs to be paid today.

Thanks,

XXXXX

(Hallo NNNNN,

wie geht es Dir? Bist Du vor Ort im Büro? Ich möchte, dass Du eine überfällige Überweisung für mich tätigst, die heute erledigt werden muss.

Danke,

XXXXX)

Die E-Mails selbst wurden äußerst gezielt an einzelne Mitarbeiter verschickt, die in der Regel mit den Finanzen der Firma zu tun hatten. Dass die Cybergangster so gut informiert waren, lässt auf eine umfassende Recherche im Vorfeld der Attacke schließen.

Am wenigsten glaubwürdig war hingegen der Eintrag im Absender-Feld: Hier fand sich keine unternehmenseigene Adresse, sondern eine völlig andere, beispielsweise myfirm.moby. Möglicherweise setzten die Betrüger darauf, dass einige E-Mail-Clients standardmäßig nur den Namen des Absenders anzeigen und seine E-Mail-Adresse verbergen.

Man muss allerdings wissen, dass es überhaupt kein Problem ist, eine gefälschte Adresse im Absenderfeld einzutragen. Daher sind künftig qualitativ hochwertigere Attacken zu erwarten.

Sportliche Ereignisse im Spam

Spam-Versendungen, die verschiedene aktuelle Ereignisse zum Inhalt haben, sind schon seit Langem ein nicht wegzudenkender Teil des allgemeinen Junk-Stroms. Sportliche Ereignisse sind dabei unter Spammern nicht so beliebt wie beispielsweise politische, ihre Popularität steigt allerdings mit jedem Jahr. Während wir es durchgehend mit unerwünschten E-Mails zu tun haben, die auf politische Macher verweisen, so taucht Spam mit dem Thema Sport immer erst im Vorfeld eines bestimmten Ereignisses auf. Doch in der letzten Zeit beobachten wir, dass die entsprechenden Versendungen schon lange Zeit vor Beginn der jeweiligen Wettkämpfe auf den Weg geschickt werden. So haben die Kaspersky-Experten zum Beispiel schon vor einem Jahr, im zweiten Quartal 2015, Spam-Mitteilungen entdeckt, die auf die Olympiade 2016 in Brasilien Bezug nahmen. Die überwiegende Mehrheit dieser E-Mails zielt darauf ab, den Empfänger zu betrügen und ihm persönliche Informationen oder Geld zu stehlen.

Der klassische Text einer Benachrichtigung über den Gewinn in einer Lotterie, die der bevorstehenden Olympiade gewidmet ist, lautet, dass die Lotterie von einer offiziellen Organisation durchgeführt wird, und die Adresse des Empfängers zufällig unter Millionen von Adressen ausgewählt wurde. Um den Geldgewinn einzustreichen, müsse der Empfänge auf die E-Mail antworten und die geforderten persönlichen Informationen angeben.

Spam und Phishing im zweiten Quartal 2016

Der Text des Schreibens befindet sich häufig in einer angehängten Datei (Extension PDF, DOC, JPG), und der Mailkörper selbst enthält nur einen kurzen Text mit der Bitte, den Anhang zu öffnen.

Spam und Phishing im zweiten Quartal 2016

Wir hatten es aber auch mit traditionellen Mitteilungen zu tun, in denen der Spammer-Text direkt im Körper der E-Mail enthalten war.

Spam und Phishing im zweiten Quartal 2016

Neben betrügerischen Mitteilungen wurde auch Werbespam verschickt.

Die Fußballweltmeisterschaft wird im Gegensatz zu den olympischen Spielen schon seit Langem von Betrügern ausgenutzt, um die Aufmerksamkeit der E-Mail-Empfänger auf ihre Versendungen zu lenken. Mitte des zweiten Quartals 2016 begann die Fußballeuropameisterschaft, und im Vorfeld des lange erwarteten Ereignisses registrierte Kaspersky Lab gefälschte Benachrichtigungen über einen Lotteriegewinn im Spam-Traffic, deren Inhalt sich nicht von dem der gleichartigen Mitteilungen unterschied, die sich auf die Olympiade in Rio bezogen. Diese E-Mails enthielten ebenfalls angehängte Dokumente mit dem Haupttext des Schreibens.

Spam und Phishing im zweiten Quartal 2016

Das Thema Fußball fand sich auch bei den „nigerianischen“ Betrügern. Sie verschickten E-Mails im Namen des ehemaligen FIFA-Präsidenten und nutzen den Korruptionsskandal um seine Person aus, um dem Schreiben Glaubwürdigkeit zu verleihen. Die Spammer setzten darauf, dass die erfundene Geschichte, die davon handelte, Joseph Blatter habe während seiner FIFA-Präsidentschaft inoffiziell Gelder erhalten und diese heimlich auf sein eigenes Konto bei einer europäischen Bank überwiesen, kein Misstrauen bei den Nutzern hervorrufen würde. Ebenso wenig wie die Bitte, eben diese Gelder auf dem eigenen Konto zu verwahren und dafür eine Belohnung in Höhe von 40 Prozent der Gesamtsumme zu erhalten.

Spam und Phishing im zweiten Quartal 2016

Um den Empfänger von der Authentizität des Verfassers zu überzeugen, griffen die Betrüger auf einen ihrer Standardtricks zurück und platzierten im Absenderfeld einen entsprechenden Namen und eine Domain der dazugehörigen Organisation.

Amerikanische Politik im Spam

In den USA läuft der Präsidentschaftswahlkampf auf Hochtouren. Politiker und ihr Umfeld befinden sich im Zentrum der öffentlichen Aufmerksamkeit. Auch die Spammer mischen mit und nutzten im vergangenen Quartal die Namen der bekanntesten Politiker sowohl in betrügerischen E-Mails als auch im Werbespam aus. So wurde beispielsweise nicht wenig „nigerianischer“ Spam im Namen des amtierenden Präsidenten Barack Obama und seiner Ehefrau Michelle verschickt. In ihren offiziellen Botschaften versicherten der „Präsident“ und die „First Lady“ die Empfänger, dass auf ihren Namen bereits eine Bankkarte oder ein Scheck über eine enorme Geldsumme ausgestellt worden sei. Es müssten lediglich noch einige Formalitäten erledigt werden, dann würde das Geld dem glücklichen Auserwählten innerhalb kürzester Zeit zugestellt werden. Weitere Instruktionen aus dem Weißen Haus würde der Empfänger erhalten, nachdem er seine persönlichen Daten zurückgeschickt hätte, wie zum Beispiel seine E-Mail-Adresse inklusive Passwort sowie detaillierte Personalausweis-Daten.

Spam und Phishing im zweiten Quartal 2016

Ein anderer Politiker, dessen Name sich häufig in Spam-Mitteilungen wiederfand, ist Donald Trump, einer der Hauptanwärter auf das Präsidentenamt in den USA. Eine einzigartige Online-Verdienstmethode, von Trump persönlich empfohlen, wird den Versprechungen der Spammer zufolge jeden reicher machen, der Näheres erfahren will und auf den Link in der E-Mail klickt. Typischerweise waren diese Mitteilungen im Stile aktueller Nachrichten von CNN und Fox News aufgemacht.

Spam und Phishing im zweiten Quartal 2016

Die Links aus den Spam-Mails führten auf gefälschte Nachrichten-Seiten, die ebenfalls das Layout großer Informationssender und Nachrichtennetzwerke kopierten. In der Nachricht selbst ging es um eine einfache Verdienstmethode, bei der es sich tatsächlich um eine Spielart des Spamversands handelte, nämlich die Publikation von Links. Um an dem Programm teilnehmen zu können, muss man sich zunächst registrieren und hinterlässt den Betrügern damit seine persönlichen Daten, wie etwa Telefonnummer und E-Mail-Adresse.

Statistik

Spam-Anteil im E-Mail-Traffic

Spam und Phishing im zweiten Quartal 2016

Spam-Anteil im weltweiten E-Mail-Traffic, erstes und zweites Quartal 2016

Den größten Spam-Anteil im zweiten Quartal registrierten wir mit 59,46 Prozent im Mai, ein um fast drei Prozentpunkte höherer Wert als im April. Der Spam-Anteil im weltweiten E-Mail-Traffic betrug im zweiten Quartal 2016 durchschnittlich 57,25 Prozent.

Spam-Herkunftsländer

Spam und Phishing im zweiten Quartal 2016

Spam-Herkunftsländer weltweit, zweites Quartal 2016

Im zweiten Quartal 2016 blieb die Zusammensetzung des Führungstrios im Rating der Spam-Herkunftsländer mit den USA (10,79 %), Vietnam (10,10 %) und Indien (10,01 %) unverändert. Allerdings änderten sich die Werte der ersten drei Länder deutlich, und der Abstand zwischen ihnen hat sich damit auf ein Minimum reduziert.

Aufgestiegen auf den vierten Platz ist China (6,52 %). Der Anteil dieses Landes stieg im Laufe des Quartals um 1,43 Prozentpunkte. Position fünf belegt Mexiko (4,55 %), gefolgt von Russland (4,07 %) und Frankreich (3,60 %). Brasilien (3,28 %), das im ersten Quartal noch Rang vier belegte, hat 2,2 Prozentpunkte verloren und landete damit auf Platz acht. Am Ende der Top 10 stehen Deutschland (2,97 %) und die Türkei (2,30 %).

Größen der Spam-Mails

Spam und Phishing im zweiten Quartal 2016

Größen der Spam-Mails, erstes und zweites Quartal 2016

Der Tradition folgend hatten die meisten versendeten unerwünschten Mitteilungen auch im zweiten Quartal 2016 eine Größe von bis zu zwei KB (72,26 %), wobei ihr Anteil allerdings um 9,6 Prozentpunkte abnahm. Um 6,76 Prozentpunkte gestiegen ist hingegen der Anteil der unerwünschten Nachrichten mit einer Größe von 10 bis 20 KB. In den übrigen Kategorien gab es nur minimale Veränderungen.

Schädliche Anhänge

Derzeit werden die meisten Schadprogramme proaktiv mit automatisierten Techniken aufgespürt, was das Erstellen einer Statistik zu konkreten Schädlingsmodifikationen stark erschwert. Daher präsentieren wir nun stattdessen eine weitaus informativere Statistik: Die Top 10 der Schadprogramm-Familien nach Anteil der Alarme bei einer konkreten Familie an allen Alarmen von Kaspersky Anti-Virus.

Тop 10 der Malware-Familien

Das Führungstrio bleibt unverändert und wird nach wie vor von den Familien Trojan-Downloader.JS.Agent (10,45 %), Trojan-Downloader.VBS.Agent (2,16 %) und Trojan-Downloader.MSWord.Agent (1,82 %) gestellt.

Die Familie Trojan.Win32.Bayrob ist um eine Position aufgestiegen und belegt jetzt den vierten Platz (1,68 %). Die Familie Backdoor.Win32.Androm (0,55 %) verlor hingegen einige Positionen und rutschte damit von Rang vier auf den vorletzten Platz des Ratings ab.

Spam und Phishing im zweiten Quartal 2016

Top 10 der Schadprogramm-Familien, zweites Quartal 2016

Unter den neuen Familien in unseren Top 10 möchten wir die Familie Trojan.Win32.Inject (0,61 %) besonders erwähnen. Die Schadprogramme dieser Familie schleusen ihren Code in den Adressraum anderer Prozesse ein.

Wie auch im vergangenen Quartal werden die Top 10 von der Familie Trojan-Spy.HTML.Fraud (0,55 %) abgeschlossen.

Zielländer der Schadversendungen

Spam und Phishing im zweiten Quartal 2016

Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, zweites Quartal 2016

Den ersten Platz in diesem Rating belegt nach den Ergebnissen des zweiten Quartals 2016 Deutschland (14,69 %), obwohl sich der Anteil dieses Landes um 4,24 Prozentpunkte verringerte. Es folgt China (13,61 %), dessen Anteil dagegen um 4,18 Prozentpunkte zugenommen hat. Den dritten Platz besetzt Japan (6,42 %), das im vorangegangenen Quartal mit einem Wert von 4,29 Prozent den siebten Platz belegte.

Auf Rang vier landete Brasilien. Den fünften Platz in unserem Rating belegt Italien (4,86 %). Russland bleibt auch nach den Ergebnissen des zweiten Quartals auf Platz sechs, mit einem Wert von 4,36 Prozent.

Die USA (4%) belegte im zweiten Quartal im Rating der Zielländer von Spam-Schadversendungen den siebten Platz. Abgeschlossen werden die Top 10 von Österreich mit einem Wert von 2,29 Prozent.

Phishing

Im zweiten Quartal 2016 verhinderte das „Antiphishing“-System von Kaspersky Lab 32.363.492 Versuche der Nutzer von Kaspersky-Produkten, eine Phishing-Seite zu besuchen. Das sind rund 2,6 Millionen weniger als im vorangegangenen Quartal. Insgesamt wurden im zweiten Quartal weltweit 8,7 Prozent der individuellen Anwender der Produkte von Kaspersky Lab von Phishern angegriffen.

Geografie der Attacken

Das Land mit dem größten Anteil der von Phishern angegriffenen Nutzer wurde im zweiten Quartal China (20,22 %), mit einem Plus von 3,52 Prozentpunkten gegenüber dem vorangegangenen Quartal.

Spam und Phishing im zweiten Quartal 2016

Geografie der Phishing-Attacken*, zweites Quartal 2016

*Anteil der Anwender, auf deren Computern das Antiphishing-System Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land.

Der Anteil der in Brasilien angegriffenen Anwender ging um 2,87 Prozentpunkte zurück und betrug 18,63 Prozent, so dass dieses Land den zweiten Platz in unseren Тop 10 belegte. Auf Position drei befindet sich Algerien (14,3 %), dessen Wert gegenüber dem vorangegangenen Quartal um 2,92 zugelegt hat.

Top 10 der Länder nach Anteil der angegriffenen Anwender

China 20,22%
Brasilien 18,63%
Algerien 14,3%
Großbritannien 12,95%
Australien 12,77%
Vietnam 11,46%
Ecuador 11,14%
Chile 11,08%
Katar 10,97%
Moldawien 10,94%

Ziele der Phishing-Attacken

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Im zweiten Quartal ging der Anteil der Kategorie „Globale Internetportale“ (20,85 %), dem Spitzenreiter des vorangegangenen Quartals, deutlich zurück, und zwar um 7,84 Prozentpunkte. Zugenommen hingegen hat der Anteil der Kategorie „Finanzorganisationen“ (46,23 %, plus 2,07 Prozentpunkte), die in sich die Rubriken „Banken“ (25,43%, plus 1,51 Prozentpunkte), „Bezahlsysteme“ (11,42 %, minus 0,42 Prozentpunkte) und „Online-Shops“ (9,39 %, plus 0,99 Prozentpunkte) vereint.

8-de

Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, zweites Quartal 2016

Der Anteil der Kategorie „Soziale Netzwerke“ hat um 2,65 Prozentpunkte zugelegt und ist damit auf 12,4 Prozent gestiegen. Ebenfalls zugenommen hat der Anteil der Kategorie „Online-Games“, und zwar um 1,96 Prozentpunkte auf 5,65 Prozent. Innerhalb desselben Zeitraums ging der Anteil der Kategorie „Mobilfunk- und Internetanbieter“ (4,33 %) um 1,17 Prozentpunkte zurück, ebenso wie der Anteil der Kategorie „Instant-Messaging-Systeme“ (1,28 %), der um 2,15 Prozentpunkte geringer ausgefallen ist als im vorangegangenen Quartal.

Die Top-Themen des Quartals

Die Olympiade in Brasilien

Brasilien ist nicht zum ersten Mal unter den ersten zehn Ländern mit den am häufigsten von Phishern angegriffenen Nutzern. So richtete sich die Aufmerksamkeit der Betrüger im vergangenen und im laufenden Jahr auf die Olympiade, die aktuell in Brasilien stattfindet. Im vergangenen Quartal gehörten nicht nur gewöhnliche User zu den potenziellen Opfern der Phisher, sondern auch die Organisatoren der Olympischen Spiele selbst.

Spam und Phishing im zweiten Quartal 2016

Der Wirbel um die Olympiade ließ auch im zweiten Quartal nicht nach, und auch die Betrüger kamen nicht zur Ruhe. Sie versendeten gefälschte Benachrichtigungen über den Gewinn in einer Lotterie, die angeblich von der brasilianischen Regierung und dem IOC zu Ehren der Spiele ins Leben gerufen wurde.

„Pornovirus“ für Facebook-Nutzer

Die Nutzer des Sozialen Netzwerkes Facebook sind häufig Phishing-Attacken ausgesetzt. Im Laufe einer solchen Attacke, die im zweiten Quartal durchgeführt wurde, markierten die Betrüger ihre potenziellen Opfer in einem provokanten Video. Um sich dieses Video anschauen zu können, musste man zunächst auf eine gefälschte YouTube-Seite gehen und eine Browsererweiterung installieren.

Spam und Phishing im zweiten Quartal 2016

Diese Erweiterung erfragte Rechte zum Lesen aller Browserdaten, wodurch es den Betrügern im Folgenden möglich war, die eingegebenen Passwörter, Benutzernamen, Kreditkartennummern und andere vertrauliche Informationen des Nutzers mitzulesen. Außerdem verbreitete diese Erweiterung bei Facebook einen Link auf sich selbst, allerdings nicht im Namen des Opfers.

Die Tricks der Phisher

Hack von Domains mit guter Reputation

Um die Filter der Schutzsoftware zu umgehen, sind die Betrüger bemüht, ihre Phishing-Seiten auf Domains mit guter Reputation unterzubringen. So wird die Wahrscheinlichkeit, dass die Seiten blockiert werden, wesentlich verringert und das Vertrauen der potenziellen Opfer wächst. Ein großes Glück ist es für die Phisher, wenn sie zu ihren Zwecken die Domain einer Bank oder einer Regierungsorganisation ausnutzen können. In diesem Quartal wurden wir mit einer Phishing-Attacke konfrontiert, die es auf die Besucher der Webseite eines in Brasilien populären Elektronikhandels abgesehen hatte. Die gefälschte Seite befand sich auf der Domain einer großen indischen Bank. Das ist keineswegs der erste Fall, in dem Betrüger die Domain einer großen Bank hacken und ihre Inhalte dort platzieren.

Spam und Phishing im zweiten Quartal 2016

Phishing, das sich gegen die Nutzer des brasilianischen Online-Shops americanas.com richtet

Bei dem Versuch, auf der gefälschten Seite Waren zu erwerben, wird vom Opfer eine Vielzahl persönlicher Daten erfragt. Für den folgenden Bezahlvorgang wird ein Formular angeboten, auf dem das Logo einer brasilianischen Bank steht.

Mit dem Hack von Domains staatlicher Strukturen durch Phisher haben wir es wesentlich häufiger zu tun. So registrierten die Kaspersky-Experten im zweiten Quartal eine Vielzahl von Fällen, in denen Phishing-Seiten auf den Domains von Regierungsbehörden verschiedener Länder untergebracht wurden. Hier einige davon:

Spam und Phishing im zweiten Quartal 2016

Phishing-Seiten, die auf den Domains von Regierungsbehörden untergebracht sind.

Die Wahrscheinlichkeit, dass diese Links auf den Schwarzen Listen landen, ist aufgrund der guten Reputation der jeweiligen Domain wesentlich verringert.

Тop 3 der von Phishern angegriffenen Organisationen

Der Löwenanteil des zielgerichteten Phishings richtet sich gegen die Anwender einiger der populärsten Marken. Diese Unternehmen haben eine Vielzahl von Kunden rund um den Globus. Daher ist die Chance der Betrüger groß, bei ihren Phishing-Attacken viele Treffer zu landen. Mehr als die Hälfte aller Alarme der heuristischen Komponente unseres „Antiphishing“-Systems entfällt auf Phishing-Seiten, die sich hinter den Namen von weniger als 15 bekannten Unternehmen verstecken.

Auf die Тop 3 der angegriffenen Organisationen entfielen im zweiten Quartal 23 Prozent aller Alarme der heuristischen Komponente.

Organisation Prozentualer Anteil an allen Alarmen
1 Microsoft 8,10
2 Facebook 8,03
3 Yahoo! 6,87

Im zweiten Quartal hat sich die Reihenfolge innerhalb des Führungstrios der von Phishern angegriffenen Organisationen verändert. Spitzenreiter ist jetzt Microsoft (8,10 %), dessen Anteil um 0,61 Prozentpunkte gestiegen ist. Auf den zweiten Platz aufgestiegen ist das Soziale Netzwerk Facebook (8,03 %), dessen Wert um 2,32 Prozentpunkte zugelegt hat. Der Erstplatzierte des vorangegangenen Quartals, Yahoo! (6,87 %), hat 1,49 Prozentpunkte verloren und landete damit auf Platz drei.

Microsoft, den Spitzenreiter des zweiten Quartals, zählen wir zu der Kategorie „Globale Internetportale“, da die Nutzer mit nur einem Account Zugriff auf eine Vielzahl von Webdiensten des Unternehmens erhalten. Das zieht Betrüger an, denn mit nur einer erfolgreichen Attacke erhalten sie ebenfalls Zugriff auf eine Vielzahl der vom Opfer genutzten Dienste.

spam_report_q2_2016_de_24

Beispiel für Phishing auf Live.com, einem Online-Dienst von Microsoft

Fazit

Im zweiten Quartal 2016 ist der durchschnittliche Spam-Anteil im weltweiten E-Mail-Traffic mit einem Plus von 0,33 Prozentpunkten gegenüber dem vorangegangenen Quartal nur unwesentlich gestiegen und betrug damit 57,25 Prozent. Bei den Spam-Herkunftsländern sind nach wie vor die USA Spitzenreiter. Und wie bereits im ersten Quartal gehören auch Vietnam und Indien zum Führungstrio.

Erstplatzierter unter den Ländern, in die die meisten schädlichen Anhänge geschickt werden, bleibt nach den Ergebnissen des zweiten Quartals Deutschland, mit geringem Abstand gefolgt von China. Auf Position drei befindet sich Japan, das im ersten Quartal Platz sieben besetzte.

Die im E-Mail-Traffic am weitesten verbreitete Malware-Familie ist wie gehabt Trojan-Downloader.JS.Agent, gefolgt von Trojan-Downloader.VBS.Agent und Trojan-Downloader.MSWord.Agent. Ein bedeutender Teil des Schadspams diente der Verbreitung von Erpresser-Trojanern, wie zum Beispiel Locky. Interessant ist, dass die Cyberkriminellen fast einen Monat lang keinen Schadspam versendeten, das Botnetz Necurs dann aber erneut in Betrieb genommen wurde. In nächster Zeit erwarten wir keine deutliche Abnahme der Schadspam-Menge, obwohl es denkbar ist, dass sich die E-Mail-Schablonen und die Komplexität der Schadprogramme ändern, ebenso wie die Social-Engineering-Methoden, mit denen die Cybergangster die Nutzer dazu bringen, schädliche Anhänge aufzurufen.

Die Zielrichtung der Phishing-Attacken hat sich ein wenig weg von den „Globalen Internetportalen“ hin zu der Kategorie „Finanzorganisationen“ verschoben.

Sowohl beim Phishing als auch beim Spam nutzen die Betrüger das Thema Olympische Spiele in Brasilien aktiv aus. Mit Hilfe dieses Köders versuchen die Cybergangster, die Nutzer auf ihre gefälschten Seiten zu locken und dort vertrauliche Daten abzuschöpfen oder dem Opfer einfach Geld abzupressen.

Politische Ereignisse, wie etwa die Präsidentschaftswahlen in den USA, stehen ebenfalls im Fokus der Spammer. Beim Phishing kamen gehackte Webseiten von Regierungsbehörden zum Einsatz.

In vielerlei Hinsicht lässt sich ein Trend des Quartals ablesen: Cyberkriminelle betrügen die Nutzer und stehlen ihr Geld, nicht indem sie langatmige Kampagnen starten und umständliche Tricks bemühen, sondern auf sehr direktem Weg, mit Hilfe irgendeines Erpresser-Trojaners, der ungeschützte Anwender dazu zwingt, Lösegeld zu zahlen. Oder mit Hilfe von Phishing gegen Finanzorganisationen. All das unterstreicht einmal mehr die Notwendigkeit sowohl eines komplexen Schutzes der Computer als auch einer gesteigerten Achtsamkeit seitens der Internetuser.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.