Spam und Phishing im zweiten Quartal 2015

Inhalt

Spam: Die wichtigsten Ereignisse des Quartals

Verrauschen von Domains

Die Experten von Kaspersky Lab haben bereits genau analysiert, wie sich die große Zahl neuer Domain-Zonen auf die Spam-Mange auswirkt, ebenso wie die massenhafte Generierung von Spammer-Domains in diesen Zonen, die speziell auf den Versand von Spam ausgerichtet sind. Eine weitere Analyse von Spam-Versendungen hat gezeigt, dass die Spammer nicht nur auf die riesige Zahl neuer Domains setzen, die sie sogar innerhalb einer thematischen Versendung ändern können, sondern auch auf die Methoden ihrer textuellen Umsetzung. So kamen dem Kaspersky-Team im vergangenen Quartal verschiedene Fälle unter, in denen Domainnamen in Links verrauscht waren, die für den Übertritt auf Spammer-Ressourcen benutzt werden, sowie Fälle von Code-Obfuskation in der HTML-Struktur der Spam-Mails.

Anstelle der Spammer-Domain enthielten die Links auf die Werberessourcen in vielen Versendungen lediglich die jeweilige IP-Adresse. Doch dabei wurde nicht die direkte, sondern eine äußerlich veränderte IP-Adresse angezeigt, und zwar im Oktal- und Hexadezimalsystem. Der so modifizierten IP-Adresse wurde zusätzlich eine willkürliche Menge von Nullen vorangestellt. Die IP-Adresse selbst ändert sich dadurch nicht, dafür steigt aber die Zahl möglicher Varianten ihrer Darstellung. Damit hoffen die Spammer, die Anti-Spam-Filter in die Irre zu führen. Solche alternativen Darstellungsmethoden von IP-Adressen benutzten die Spammer sowohl in direkten Links sowie auch in verrauschten Redirects.

Die Spammer verrauschten auch die Domains selbst. Beispielsweise stellten sie den Domainnamen einmalig in Groß- und Kleinbuchstaben dar (zum Beispiel „NEEDHosT.niNjA“) und verwendeten mehrere verschiedene Codierungen in der HTML-Struktur der Mitteilungen. Außerdem versuchten sie, ihre Domains zu verbergen, indem sie eines der Zeichen im Namen der Domain-Zone durch dasselbe Zeichen aus einer anderen Codierung ersetzten, oder durch eines, das diesem ähnlich sieht. Das sah dann beispielsweise folgendermaßen aus: „domainname.com“, „domainname.cⓞ“.

Dabei wurden in einer E-Mail häufig mehrere Methoden zur Verrauschung verwendet: eine alternative Darstellung der IP-Adresse, eine entstellte Schreibweise des Domainnamens oder das traditionelle Anreichern des Mail-Körpers mit sinnlosem „Junk“-Text, um den Spam-Charakter der E-Mails vollständig zu verschleiern.

Globale Ereignisse im nigerianischen Spam

Im zweiten Quartal drehten sich die „nigerianischen“ E-Mails um das Erdbeben in Nepal, die Präsidentschaftswahlen in Nigeria und die bevorstehenden olympischen Sommerspiele in Rio de Janeiro. Tragische Ereignisse, über die Massenmedien umfassend berichten, werden alle Jahre wieder von Betrügern ausgenutzt, um die Anwender über den Tisch zu ziehen. Die dazu erfundenen Geschichten ändern sich praktisch nicht.

In einer angeblich im Namen eines Anwalts verschickten E-Mail, dessen Mandant in Nepal ums Leben gekommen ist, bitten die Betrüger den Empfänger, die Rolle eines Verwandten des Verstorbenen zu spielen und gegen ein Honorar beim Erhalt des Erbes zu helfen. In anderen Versendungen verbreiteten die Betrüger E-Mails im Namen verschiedener Organisationen und bitten darin, den Erdbebenopfern zu helfen. In einem dieser Schreiben bat beispielsweise ein „Vertreter des Roten Kreuzes“ den Empfänger, bei der Unterbringung einer Flüchtlingsfamilie zu helfen, die sich entschlossen hat, in ein anderes Land umzusiedeln und ihre Ersparnisse dorthin zu transferieren.

Meistens waren die Absenderadressen der „nigerianischen“ E-Mails bei kostenlosen E-Mail-Diensten registriert, selbst wenn der Verfasser so wie im oben beschriebenen Beispiel angeblich ein Vertreter irgendeiner Organisation war. Allerdings gab es auch gewiefte Betrüger, die sich bemühten, dem Namen und der Adresse des Absenders einen legitimen Anstrich zu verleihen. Sie verschickten gefälschte Mitteilungen mit der Bitte um eine freiwillige Spende, um den Erdbebenopfern in Nepal auf diese Weise Hilfe zu leisten.

Auch politische Ereignisse blieben von den „Nigerianern“ nicht unbeachtet. In einer der Versendungen versuchten die Betrüger, den Empfänger für eine Summe von zwei Millionen US-Dollar zu interessieren. Die sei der neugewählte nigerianische Präsident angeblich gewillt, dem Nutzer zu überweisen, und zwar als Entschädigung für die Betrügereien, die von den Bewohnern seines Landes begangen wurden.

Bis zu den nächsten olympischen Sommerspielen in Brasilien ist es noch lange hin, aber das Kaspersky-Team registriert schon jetzt falsche Benachrichtigungen über Gewinne in einer Lotterie zu Ehren dieses sportlichen Großereignisses. Auch vor der Fußball-Weltmeisterschaft 2014 wurde eine große Zahl derartiger Spam-Mails verschickt, doch mit der Olympiade in Verbindung stehender Spam kam dagegen bisher so gut wie gar nicht vor. Der Inhalt der E-Mails ist wiederum Standard: Die Lotterie wurde von offizieller Seite aus organisiert, die Adresse des Empfängers wurde aus Millionen von E-Mail-Adressen ausgewählt, und um den Gewinn in Empfang zu nehmen, muss unbedingt auf die E-Mail geantwortet werden. Außerdem ist es unerlässlich, die angeforderten persönlichen Informationen zu übermitteln.

An dieser Stelle ist erwähnenswert, dass E-Mails, deren Körper nur aus einem kurzen Text bestehen und die eine angehängte Datei im Format PDF- oder DOC-Format enthalten, sich unter Spammern zunehmender Beliebtheit erfreuen. Das könnte daran liegen, dass Spam-Filter eine E-Mail mit kurzem Text mit hoher Wahrscheinlichkeit als ungefährlich einstufen. E-Mails mit angehängten Dateien sind besonders gefährlich, da der Nutzer sie öffnen muss, um ihren Inhalt in Erfahrung zu bringen, und das könnte zu einer Infektion des Computers führen.

Aktualisierung des Google-Algorithmus

Eine weitere wichtige Nachricht des Quartals, die sich auf die eine oder andere Weise im Spam wiederfindet, ist die jüngste Aktualisierung des Google-Suchalgorithmus. Dadurch änderten sich die Ergebnisse der mobilen Suche dahingehend, dass nun zuerst Webseiten angezeigt werden, die für Mobilgeräte optimiert sind.

Im Zusammenhang mit dieser Neuigkeit stieg die Spam-Menge zum Thema SEO deutlich an und damit auch die Anzahl der Angebote zum Hochpushen von Webseiten bei der Suchmaschinen-Ergebnisausgabe. Die Spammer boten dabei wie üblich an, Webseiten jeder Komplexität und Ausrichtung zu erstellen sowie Kunden auf diese Seiten zu locken. Besonders betonten sie, dass die Webseiten nun unbedingt den neuen Kriterien der populären Suchmaschine entsprechen müssten. Unschlüssigen Webseiten-Besitzern drohten die Spammer mit unteren Positionen auf der Suchergebnisliste und demzufolge mit dem möglichen Verlust eines großen Teils ihrer Kundschaft.

Statistik

Spam-Anteil im E-Mail-Traffic

Spam-Anteil im weltweiten E-Mail-Traffic, Januar bis Juni 2015

Der Rückgang des Spam-Anteils im weltweiten E-Mail-Traffic, den Kaspersky Lab seit Beginn des Jahres beobachtet, ist fast zum Stillstand gekommen. Im zweiten Quartal 2015 stabilisierte sich der Wert im Bereich von 53,5 Prozent und schwankte in den Grenzen zwischen 53,63 Prozent im April und 53,23 Prozent im Juni.

Spam-Anteil im russischen E-Mail-Traffic, Januar bis Juni 2015

Die Situation im russischen E-Mail-Traffic gleicht insgesamt der des weltweiten E-Mail-Traffics. Im Laufe des zweiten Quartals ging der Spam-Anteil etwa um einen Prozentpunkt pro Monat zurück. Dementsprechend wurde der meiste Spam im April (59,32 %) versendet, und im Juni mit 57,47 Prozent der geringste Wert registriert.

Spam-Herkunftsländer

Spam-Herkunftsländer weltweit, zweites Quartal 2015

Im zweiten Quartal 2015 belegten wie gehabt die USA (14,59 %) und Russland (7,82 %) die ersten Plätze im Rating der Länder, die weltweit den meisten Spam versenden. China (7,14 % gegenüber 3,23 % im ersten Quartal) verdrängte die Ukraine von Position drei. Es folgen Vietnam (5,04 % gegenüber 4,82 % im ersten Quartal), Deutschland (4,13 % gegenüber 4,39 % im ersten Quartal) und die Ukraine (3,90 % gegenüber 5,56 % im ersten Quartal).

Größen der Spam-Mails

Größen der Spam-Mails, erstes und zweites Quartal 2015

Die Verteilung nach Größe der Spam-Mails hat sich im zweiten Quartal nur unwesentlich verändert. Der größten Beliebtheit erfreuen sich nach wie vor sehr kleine E-Mails mit einer Größe von weniger als zwei KB (65,38 %), doch ihr Anteil hat ein wenig abgenommen (von 73,99 % im ersten Quartal). Um 4,81 Prozentpunkte gestiegen ist der Anteil von E-Mails mit einer Größe zwischen 20 und 50 KB (8,80 %). Leicht zugelegt, in etwa einen Prozentpunkt, haben auch die Anteile von E-Mails mit einer Größe zwischen zwei und fünf KB (17,16 %), zwischen fünf und zehn KB (3,32 %) und zwischen zehn und 20 KB (2,94 %).

Schädliche Anhänge

Top 10 der via E-Mail verbreiteten Schadprogramme, zweites Quartal 2015

Spitzenreiter im zweiten Quartal ist der uns wohl bekannte Trojan-Spy.HTML.Fraud.gen aus einer Familie von trojanischen Programmen, die als HTML-Seiten umgesetzt sind. Der Schädling wird unter anderem getarnt als wichtige Mitteilung von Banken, Internet-Shops, Softwareunternehmen via E-Mail verbreitet. Auf einer gefälschten HTML-Seite gibt der Anwender vertrauliche Daten ein, die anschließend an die Cyberkriminellen weitergeleitet werden.

Auf dem zweiten und neunten Platz befinden sich Trojan-Downloader.HTML.Agent.aax und Trojan-Downloader.HTML.Meta.as. Wir haben es in diesen Fällen mit HTML-Seiten zu tun, die Code zur Umleitung des Browsers auf eine Webseite der Cyberkriminellen enthalten. Dort erwartet den Anwender üblicherweise eine Phishing-Seite oder die Aufforderung, den in letzter Zeit populären Binbot herunterzuladen – einen Newsreader zum automatischen Download von Binärdateien. Verbreitet werden die Schädlinge in Dateianhängen. Sie unterscheiden sich nur durch den Link voneinander, über den die Umleitung erfolgt.

Abgeschlossen wird das Führungstrio vom Schädling Trojan.Win32.Fsysna.brtr, bei dem es sich um einen einfachen Spam-Bot handelt. Er benutzt einen infizierten Rechner, um Spam vom Steuerungsserver der Cyberkriminellen auf den Mail-Server umzuleiten.

Den vierten Platz belegt Trojan-Banker.Win32.ChePro.ink. Er ist in Form eines CPL-Applets umgesetzt (einer Komponente der Windows-Systemsteuerung) und für den Download von Trojanern auf den Computer vorgesehen, die wiederum auf den Diebstahl von vertraulichen Finanzinformationen spezialisiert sind. In erster Linie greifen Schädlinge dieses Typs brasilianische und portugiesische Banken an.

Es folgt Trojan-PSW.Win32.Fareit.auqm auf Platz fünf. Schädlinge aus der Familie Fareit stehlen Browser-Cookies, Passwörter zu FTP-Clients und E-Mail-Programmen und schicken diese Daten dann an einen entfernten Server der Cyberkriminellen.

Auf Platz sieben und acht befinden sich Trojan-Downloader der Familie Upatre: Trojan-Downloader.Win32.Upatre.Vxd und Trojan-Downloader.Win32.Upatre.vwi. Ihre wichtigste Aufgabe besteht im Laden, Entpacken und Starten eines anderen Schadprogramms. Der Schädling tarnt sich üblicherweise als PDF- oder RTF-Dokument.

Den letzten Platz der Top 10 belegt Exploit.MSWord.CVE-2014-1761.k. Es handelt sich dabei um ein Word-Dokument, das ein Exploit enthält. Existiert die entsprechende Sicherheitslücke auf dem Rechner, lädt es andere Schadprogramme auf den Computer, die ebenfalls auf den Diebstahl persönlicher Daten spezialisiert sind.

Schadprogramm-Familien

Geht es nicht um konkrete Programme, sondern um populäre Schadprogramm-Familien, so führt die Familie Upatre das entsprechende Rating wie schon im ersten Quartal 2015 an. In den meisten Fällen laden die Vertreter der Familie Upatre den Banker Dyre, auch bekannt als Dyreza oder Dyzap. Die Liste der von ihm angegriffenen Finanzinstitute hängt von der Konfigurationsdatei ab, die aus dem Steuerungszentrum geladen wird.

Immer populärer werden auch Schädlinge der Familie MSWord.Agent, die im ersten Quartal nur den dritten Platz belegten. Zur Erinnerung: Es handelt sich bei diesen Schadprogrammen um eine DOC-Datei mit integriertem Makro, programmiert in Visual Basic for Applications (VBA), das beim Öffnen des Dokumentes ausgeführt wird. Der Schädling lädt und startet andere Schadsoftware, beispielsweise einen Vertreter aus der Familie Andromeda.

Wieder zurückgekehrt in Top 3 sind die Banker der Familie ZeuS/Zbot. Vertreter dieser Familie sind auf Angriffe auf Server und Computer von Endanwendern spezialisiert, sowie auf das Abfangen von Daten. Obwohl die ZeuS/Zbot-Schädlinge verschiedene schädliche Aktionen ausführen können, werden sie in den meisten Fällen zum Diebstahl von Bankinformationen eingesetzt. Diese Schadprogramme können auch CryptoLocker installieren – ein Schadprogramm, das vom Anwender Geld für die Entschlüsselung seiner vorher chiffrierten Daten erpresst.

Zielländer der Schadversendungen

Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, zweites Quartal 2015

Das Führungstrio der Länder, auf deren Territorium der meiste Schadspam landete, hat sich erneut geändert. Deutschland (19,59 %), das im ersten Quartal nur den vierten Platz belegte, stieg an die Spitze des Ratings auf: Ein Fünftel aller Alarme von Kaspersky Anti-Virus weltweit stammen aus diesem Land. Großbritannien (6,31 %), das im ersten Quartal noch Platz eins besetzte, befindet sich nun auf Platz zwei, und auf dem dritten Rang positionierte sich Brasilien (6,04 %).

In die USA (5,03 %) wird traditionell eine große Menge von E-Mails mit schädlichen Anhängen geschickt. Im zweiten Quartal reichte es für dieses Land trotzdem nur für den vierten Platz.

Erwähnenswert ist zudem, dass Russland (4,74 %), das nach den Ergebnissen des ersten Quartals noch den zehnten Platz belegte, nun auf Position fünf aufgestiegen ist.

Besonderheiten im Schad-Spam

Auch im zweiten Quartal spürte das Kaspersky-Team zahlreiche schädliche E-Mails auf, die Makroviren enthielten. Die meisten derartigen Versendungen entfielen jedoch auf das vorhergehende Quartal. Ihre Gesamtzahl ging zwar zurück, doch stellen sie nach wie vor eine ernsthafte Gefahr dar: Die von uns entdeckten Makroviren gehörten zu der Kategorie Trojan-Downloader und sind auf den Download anderer Schädlinge ausgerichtet. In dem Versuch, den Empfänger von der Echtheit ihrer E-Mails zu überzeugen, maskierten sie die Betrüger als Geschäftskorrespondenz und gaben die schädlichen Anhänge als Finanzunterlagen oder Bestellungen aus.

In einigen E-Mails gaben die Cyberkriminellen Kontaktdetails der Absender an und verwendeten Logos, um dem Schreiben einen offiziellen Anstrich zu verleihen. Die in der Mitteilung angegebenen E-Mail-Adressen stammten dabei aus dem Absenderfeld. Diese Einzelheiten machten die betrügerische E-Mail für den Empfänger noch überzeugender.

Wir stießen auch auf E-Mails, die offizielle Mitteilungen von Unternehmen kopierten, wobei sich die Cyberverbrecher bemühten, einen Zusammenhang zwischen dem Inhalt des Schreibens und dem Tätigkeitsfeld der jeweiligen Firma herzustellen. Die E-Mails aus einer von uns entdeckten Versendung gaben sich beispielsweise als Benachrichtigungen eines Telekommunikationsanbieters aus. Den Text der Mitteilung sollte der Empfänger lesen können, wenn er den Word-Anhang öffnet. Doch anstelle der versprochenen Informationen befand sich in der Nachricht der Schädling Trojan-Downloader.VBS.Agent.amj.

Eine andere Thematik, die nichts von ihrer Popularität unter Spammern eingebüßt hat, ist die Tarnung von E-Mails als Benachrichtigung über den Erhalt von Faxen oder Scans verschiedener Dokumente. Solche Fälschungen werden zumeist in englischer oder deutscher Sprache versendet, und die Anhänge, die von den Betrügern als Dateien mit Faxen oder Scans ausgegeben werden, enthalten verschiedene Arten von Schadprogrammen: die DownloaderTrojan.Upatre und Trojan.Downloader, sowie den Keylogger HawkEyePHPLogger. Der Text im Körper derartiger E-Mails kann sehr kurz sein oder umgekehrt detaillierte Informationen über das angehängte Dokument enthalten.

Im September 2014 fingen wir eine schädliche Versendung ab, die einen für Spam untypischen Anhang enthielt, und zwar ein Archiv im Format ARJ. Auch im Jahr 2015 setzten Betrüger ungewöhnliche Archivformate ein, um Schädlinge zu verbreiten: Im April und Mai tauchten im Spam-Traffic Mails mit CAB- und ACE-Anhängen auf, ebenfalls Archivdateien in einem heute nicht mehr populären Format. Die Archive enthielten den Trojaner Trojan-Downloader.Win32.Cabby und den Keylogger HawkEye Keylogger. Im Gegensatz zu den im Spam häufig verwendeten Erweiterungen ZIP und RAR sind die Erweiterungen CAB und ACE den Anwendern möglicherweise nicht bekannt und erwecken daher eventuell auch keinen Verdacht beim Empfänger.

Im zweiten Quartal 2015 verbreiteten Betrüger im Rahmen einer Versendung schädliche Anhänge in den Formaten ZIP und APK. Während ZIP-Archive in der überragenden Mehrheit von Spam-Mitteilungen vorkommen, sind Anhänge im Format APK verhältnismäßig selten, da es sich dabei um komprimierte ausführbare Anwendungsdateien für Android handelt. In den von Kaspersky Lab entdeckten ZIP-Archiven befand sich ein Trojaner der Familie Upatre. Die Datei „Check_Updatesj.apk“ erkennt Kaspersky Anti-Virus korrekt als den Verschlüsselungstrojaner SLocker für Android, bei dessen Start die Bilder, Dokumente und Videodateien verschlüsselt werden, die sich auf dem Gerät befinden. Anschließend wird dem Nutzer eine Mitteilung mit der Aufforderung angezeigt, für die Entschlüsselung der Dateien eine bestimmte Summe zu zahlen. Da die Betrüger ihre Schädlinge in APK- und ZIP-Anhängen im Rahmen einer Versendung in Umlauf brachten, hofften sie möglicherweise darauf, nicht nur PC-Nutzer unter ihren Opfern zu finden, sondern auch Besitzer von Android-Smartphones und -Tablets, die ihre E-Mails auf diesen Geräten verwalten.

Phishing

Im zweiten Quartal 2015 gab es auf den Computern der Anwender von Kaspersky-Lab-Produkten 30.807.071 Alarme des Anti-Phishing-Systems. Den Datenbanken von Kaspersky Lab wurden in diesem Zeitraum 509.905 Schablonen von Phishing-URLs hinzugefügt.

Schon mehrere Quartale in Folge werden die meisten Anwender anteilsmäßig in Brasilien angegriffen. Im zweiten Quartal 2015 hat sich der Wert dieses Landes gegenüber dem vorangegangenen Quartal fast halbiert. Dasselbe trifft auch auf die Werte vieler anderer Länder zu.

Geografie der Phishing-Attacken*, zweites Quartal 2015

* Anteil der Anwender, auf deren Computern das Antiphishing-System Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land

Top 10 der Länder nach Anteil der angegriffenen Anwender:

  Land Prozentualer Anteil der Anwender
1 Brasilien 9,74%
2 Indien 8,3%
3 China 7,23%
4 Russland 6,78%
5 Frankreich 6,54%
6 Japan 5,93%
7 Malaysia 5,92%
8 Polen 5,81%
9 Kasachstan 5,79%
10 Vereinigte Arabische Emirate 5,75%

Ziele der Phishing-Attacken

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Die Kategorie „Globale Internetportale“ verbuchte wieder einmal einen großen Anteil der Alarme für sich – im zweiten Quartal 2015 betrug er 42,35 Prozent, das sind 16,69 Prozentpunkte mehr als im vorangegangenen Quartal. Leicht zugenommen (und zwar um 0,13 Prozentpunkte) hat auch der Anteil der Kategorie „Instant-Messaging-Systeme“ (4,05 %). Die Anteile aller anderen Kategorien haben abgenommen: „Soziale Netzwerke, Blogs“ um 2,6 Prozentpunkte, „Banken“ um 5,56 Prozentpunkte, „Online-Shops“ um 1,56 Prozentpunkte, „Bezahlsysteme“ um 2,84 Prozentpunkte, „Mobilfunk- und Internetanbieter“ um 1,33 Prozentpunkte und „Online-Games“ um 0,78 Prozentpunkte.

Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, zweites Quartal 2015

Dass Instant-Messaging-Programme (IM) unter Betrügern so beliebt sind, hat vielfältige Gründe. Cyberkriminelle verwenden beispielsweise gestohlene Accounts für die Versendung von Phishing-Mails oder von Weblinks auf Schadprogramme an die Kontaktliste der betroffenen User. Die IM-Konten werden auch für den Spam-Versand, für das Erpressen von Geld sowie für andere Betrugsschemata genutzt.

Verteilung der Phishing-Attacken auf verschiedene Instant-Messaging-Programme, zweites Quartal 2015

Ein großer Teil der Alarme in dieser Kategorie entfällt auf den populären chinesischen IM-Service QQ des Telekommunikationsunternehmens Tencent.

Beispiele für Phishing-Seiten, die Anmeldeseiten des IM-Anbieters QQ kopieren

Platz zwei belegt Skype (8,88 %). Der Anteil dieses Chat-Dienstes von Microsoft beträgt weniger als ein Zehntel des Anteils des Spitzenreiters.

Beispiel für eine Phishing-Seite, auf der Skype-Nutzer aufgefordert werden, ihren Account zu verifizieren.

Top 3 der angegriffenen Organisationen

Wie bereits in früheren Berichten erläutert, richtet sich der größte Teil des nicht zielgerichteten Phishings gegen Anwender einer kleinen Gruppe populärer Unternehmen, die eine Vielzahl von Kunden rund um den Globus haben. So erhöhen die Betrüger bei der Organisation von Phishing-Attacken ihre Chancen, im Ziel zu landen.

Auf die Тop 3 der von Phishern angegriffenen Organisationen entfallen 45,14 Prozent aller detektierten Phishing-Links.

  Organisation Prozentualer Anteil an allen detektierten Phishing-Links
1 Yahoo! 29,03%
2 Facebook 10,44%
3 Google 5,67%

Gegenüber dem ersten Quartal 2015 gab es in der Zusammensetzung des Spitzen-Trios keine Veränderungen. Nach wie vor sind hier Yahoo mit einem Plus von 23,82 Prozentpunkten, Facebook (-0,53 Prozentpunkte) und Google (-2,44 Prozentpunkte) vertreten. Die deutliche Zunahme des Anteils der Alarme auf gefälschten Yahoo-Seiten ist mit dem allgemeinen Rückgang der Zahl der Detektionen zu erklärten; in Zahlen ausgedrückt sind die Alarme auf gefälschten Yahoo-Seiten nur unwesentlich gestiegen.

Im zweiten Quartal 2015 hatten wir es mit Massen von Phishing-Seiten zu tun, die vorgaben, Veröffentlichungen auf einer Facebook-Seite zu sein, die ein offenherziges YouTube-Video enthielt. Bei dem Versuch, das Video zu starten, wurde ein Schadprogramm auf den Computer geladen.

Beispiele für gefälschte Facebook-Seiten, die Schaddateien verbreiten

Fazit

Der Spam-Anteil im E-Mail-Traffic betrug im zweiten Quartal 2015 durchschnittlich 53,4 Prozent, das sind rund 5,8 Prozentpunkte weniger als im vorangegangenen Quartal.

Im zweiten Quartal basierten die erlogenen Geschichten aus den „nigerianischen“ E-Mails auf realen Ereignissen: der bevorstehenden Sommerolympiade in Rio de Janeiro, den Präsidentschaftswahlen in Nigeria und dem Erdbeben in Nepal. Die Betrüger lockten die Empfänger nicht nur mit dem Versprechen einer Belohnung oder Entschädigungszahlung in die Falle, sondern auch mit angeblichen Lotteriegewinnen und freiwilligen Spenden für die Erdbebenopfer in Nepal.

Anlass für den verstärkten Versand von Spam zum Thema SEO war die Veröffentlichung des neuesten Updates des Suchalgorithmus Google Search. Das Ziel des Updates war es, bei der mobilen Suche diejenigen Webseiten besser zu positionieren, die für mobile Geräte optimiert sind.

Das Führungstrio der Länder, die Spam in die ganze Welt versenden, sieht im zweiten Quartal folgendermaßen aus: USA (14,6 %), Russland (7,8 %) und China (7,1 %).

Das Rating der via E-Mail verbreiteten Schadprogramme wird nach den Ergebnissen des zweiten Quartals von Trojan-Spy.HTML.Fraud.gen angeführt. Unter den Schadprogrammfamilien ist die Familie Upatre Spitzenreiter. Nutzer in Deutschland waren Malware-Attacken am häufigsten ausgesetzt – auf sie entfielen 19,6 Prozent der Alarme von Kaspersky Anti-Virus.

Cyberkriminelle gaben die Schaddateien, die sie als Anhänge verschickten, als Faxe oder Scans, Updates für den Flash Player oder als Geschäftskorrespondenz aus. Außerdem verschickten die Betrüger auch weiterhin Makroviren in Word- und Excel-Dokumenten, und sie verwendeten Spam-untypische Archive (CAB und ACE) sowie APK-Dateien.

Im zweiten Quartal 2015 registrierte das Antiphishing-System mehr als 30 Millionen Alarme auf den Computern der Anwender von Kaspersky-Lab-Produkten. Der größte Anteil der von Phishern angegriffenen Anwender war in Brasilien zu beobachten, auch wenn sich der Wert des Landes gegenüber dem vorangegangenen Quartal fast halbiert hat.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.