Spam und Phishing im dritten Quartal 2015

Inhalt

Spam: Die wichtigsten Ereignisse des Quartals

Online-Bekanntschaften

Das Thema Bekanntschaften und Dates ist typisch für Spam und wir haben ständig damit zu tun, aber im dritten Quartal 2015 waren die E-E-Mails dieser Art vielseitiger und daher interessanter zu analysieren. Wir entdeckten einige Versuche, die die Empfänger in die Irre führen und die Spam-Filter umgehen wollten. Außerdem registrierten wir neue Arten von Versendungen, die fast schon an Betrug grenzten.

Spam und Phishing im dritten Quartal 2015

Der Sinn solcher Versendungen liegt üblicherweise in der Verbreitung von Werbung für erst kürzlich erstellte und noch nicht häufig angeklickte Kontakt-Websites. Die Inhaber solcher Sites wollen mit Hilfe von Spam ein möglichst großes Publikum auf ihre Seite locken. Solche Mitteilungen wenden sich an bestimmte Zielgruppen, so wird beispielsweise für Kontaktwebsites für Senioren, Verheiratete oder Gläubige geworben.

Spam und Phishing im dritten Quartal 2015

In einer anderen Art von Werbung bieten Partnervermittlungsagenturen eine Auswahl von heiratswilligen Damen (hauptsächlich aus Russland und der Ukraine) für heiratswillige Herren aus aller Welt an. Solcher Spam wird in der Regel im englischsprachigen Internetraum verbreitet. Derartige E-E-Mails laden dazu ein, sich auf den entsprechenden Ressourcen zu registrieren. Außerdem enthalten einen kurzen Text mit dem Versprechen, die ideale Lebensgefährtin zu finden, und einen Link, der auf die beworbene Website führt.

Dem Wesen nach ähnliche E-Mails können auch im Namen einer heiratswilligen Dame selbst verschickt werden. Diese Art von Spam ist nicht mehr weit von Betrug entfernt – das Schema erinnert stark an „nigerianisches“ Spam. Die E-Mails werden im Namen eines Mädchens abgesendet, das kurz über sich selbst erzählt – ihr nicht einfaches Leben in der russischen Provinz und ihre Träume vom Märchenprinzen. Häufig ist ein Foto angehängt, auf der nicht unbedingt die Dame selbst abgebildet sein muss – das Foto kann auch von fremden Seiten aus Sozialen Netzwerken stammen und mitgeschickt werden, um der Mitteilung zu größerer Glaubwürdigkeit zu verhelfen. Daher kann selbst in verschiedenen Nachrichten, die im Namen verschiedener Mädchen verschickt werden, immer ein und dasselbe Foto auftauchen. Der Text der E-Mails wird allerdings verändert: Um die Filter zu umgehen, verwenden die Spammer immer wieder Synonyme. Für die Kontaktaufnahme geben die Spammer in solchen Schreiben normalerweise eine E-Mail-Adresse an, die sich allerdings von Mail zu Mail ändert. Offensichtlich werden solche Adressen in großer Zahl bei kostenlosen E-Mail-Services speziell für eine Versendung eingerichtet. Antwortet der Nutzer an eine solche Adresse, so erhält er im besten Fall eine Benachrichtigung darüber, dass dieser E-Mail-Account nicht existiert. Im schlimmsten Fall gibt er damit seine Adresse für weitere Spam-Versendungen preis oder wird zum Opfer mit folgendem Betrugsschema: Die junge Frau bittet ihn, Geld für ein Ticket zu schicken, damit sie ihren Auserwählten treffen kann, um dann – nachdem sie das Gewünschte erhalten hat – auf Nimmerwiedersehen zu verschwinden.

Spam und Phishing im dritten Quartal 2015

Auf diese Weise werden auch Kontakt-Websites „für Erwachsene“ beworben. Die Mitteilungen enthalten entweder eine Aufforderung zur Registrierung auf der Website sowie das Versprechen auf Intimkontakte. Oder sie werden im Namen einer jungen Frau verfasst, die angeblich einen Intimpartner sucht, und enthalten einen Link auf die Ressource, auf der man angeblich zum Profil der Unbekannten gelangt. Häufig wird Spam mit Werbung für derartige Ressourcen als verschiedene Benachrichtigungen über persönliche Mitteilungen in Sozialen Netzwerken getarnt oder als Foto beziehungsweise Audiodateien, die über Messenger verschickt wurden. Im Ergebnis ist die Werbung für die Ressource komplett verschleiert und der Anwender kann gar nicht wissen, womit er es zu tun hat, bis er auf einen der mitgeschickten Links klickt. Dabei ist der Inhalt solcher Mitteilungen durchaus dazu angetan das Interesse des Nutzers zu wecken und ihn dazu zu bringen, auf den entsprechenden Link zu klicken, denn sie enthalten unzweideutige „Flirts“, eindeutige Anspielungen und offenherzige Fotos.

Spam und Phishing im dritten Quartal 2015

Eine dritte Art von Spam-Versendungen schließlich, die wir im dritten Quartal aufdeckten, ist eindeutig der Kategorie Betrug zuzuordnen. Im Verlauf des Quartals beobachteten wir eine Versendung, deren Inhalt zum Ziel hatte, den Empfänger dazu zu bringen, eine SMS an die in der E-Mail angegebene Telefonnummer zu senden; im Gegenzug versprach irgendeine junge Frau, ihm offenherzige Fotos von sich zu schicken. Der Text der Versendung wurde ständig geändert und verrauscht, ebenso wie die in der E-Mail angegebenen Telefonnummern. Wir haben Kurzmitteilungen an verschiedene dieser Nummern geschickt und festgestellt, dass es sich nicht um kostenpflichtige Nummern handelte, wie man auf den ersten Blick hätte meinen können, und dass dem Absender für das Verschicken der Nachricht kein Geld abgezogen wurde. Stattdessen traten wir in SMS-Kontakt zu einer jungen Frau. Allerdings wurde schon nach wenigen ihrer Antworten klar, dass es sich hier um einen Roboter handelte, der uns von der Notwendigkeit überzeugen sollte, eine gewisse App herunterzuladen, um weitere Chats und den Versand der versprochenen Fotos zu ermöglichen. Im Ergebnis erhielten wir von der „jungen Frau“ mehrere SMS mit verschiedenen Kurzlinks, die auf einen Artikel einer bekannten amerikanischen Zeitung führten, in dem es um nützliche mobile Apps ging. Während der Umleitung auf diesen Artikel wurde auf das Telefon des Nutzers ein Archiv mit mobiler Schadsoftware geladen.

Saisonaler Schad-Spam

Im Sommer nimmt die Spam-Menge mit saisonalen Themen traditionell zu. Das betrifft nicht nur unerwünschte Werbung, sondern auch schädlichen Spam. In der vergangenen Urlaubssaison war touristischer Spam am häufigsten: Betrüger setzten gefälschte Benachrichtigungen im Namen von Buchungsservices, Luftfahrgesellschaften und Hotels ein, um schädliche Programme in Umlauf zu bringen.

Unter den gefälschten Mitteilungen im Namen großer internationaler Fluggesellschaften und Buchungsdienste entdeckten wir auch trojanische Downloader, und zwar Trojan-Downloader.JS.Agent.hhy und Trojan-Downloader.Win32.Upatre.

Spam und Phishing im dritten Quartal 2015

Ähnliche E-Mails im Namen bekannter Fluggesellschaften gab es auch im französischsprachigen Spam. Im E-Mail-Text wurde der Empfänger darüber informiert, dass sich im Anhang sein Online-Ticket befindet. Tatsächlich aber enthielt das angehängte ZIP-Archiv den Trojaner Trojan.Win32.Xtrat und den DDoS-Bot Nitol (ein für die Organisation von DDoS-Attacken vorgesehenes Modul).

Spam und Phishing im dritten Quartal 2015

Im Juli versuchten Cyberkriminelle die Anwender in die Irre zu führen, indem sie gefälschte Benachrichtigungen im Namen von Hotels verschickten. In den E-Mails wurde dem Empfänger für seinen Besuch in dem jeweiligen Hotel gedankt und angeblich eine Rechnungskopie im Anhang mitgeschickt. Tatsächlich aber befand sich in dem Archiv der Schädling Trojan-Downloader.Win32.Upatre.dhwi, der seinerseits über einen im Körper des Downloaders festgeschriebenen Link (nach Art von 98.***.**.39/cv17.rar) den Banker Trojan-Banker.Win32.Dyre lud.

Spam und Phishing im dritten Quartal 2015

Neben falschen E-Mails im Namen von bekannten Unternehmen entdeckten wir im Spam-Aufkommen auch ein Schreiben in englischer Sprache von einer Privatperson. Die E-Mail enthielt die Bitte, eine vorher getätigte Reservierung aufgrund der Absage von Mitreisenden umzuändern.

Spam und Phishing im dritten Quartal 2015

Der Text dieser E-Mail ist durchaus mit einer legitimen Kundenanfrage zu verwechseln, der ZIP-Anhang enthielt allerdings das schädliche Ladeprogramm Trojan-Downloader.JS.Agent.hhi, das wiederum auf den infizierten Computer den Schädling Backdoor.Win32.Androm lud.

Die Tricks der Spammer

In einer Standard-Phishing-E-Mail befindet sich der Mitteilungstext im E-Mail-Körper, und die persönlichen Informationen des Anwenders sollen auf einer Webseite eingegeben werden, auf die man nach einem Klick auf den im Text angegebenen betrügerischen Link gelangt, oder in die Felder einer HTML-Seite, die an den Brief angehängt ist. Oder man soll seine privaten Angaben in einer Antwort-E-Mail versenden. Letztgenannter Ansatz ist charakteristisch für E-Mails, in denen die Empfänger aufgefordert werden, ihre E-Mail-Adresse und ihr Passwort zu bestätigen.

Im dritten Quartal ersannen die Cybergangster eine neue Methode, Phishing-E-Mails zu platzieren und die Spam-Filter zu umgehen. Der Text der Phishing-E-Mail und der gefälschte Link waren in einem PDF-Dokument untergebracht, das an die E-Mail angehängt war. Beim Klick auf den Link öffnete sich eine gewöhnliche Phishing-Seite, auf der der Anwender seine persönlichen Informationen eingeben sollte. Die meisten der von uns entdeckten E-Mails, in denen die neue Methode zum Einsatz kam, kopierten Benachrichtigungen von Banken. Der Körper solcher Mitteilungen enthielt zumeist einen absolut kurzen Text mit einer Beschreibung des Problems, manchmal fehlte der Text komplett.

Spam und Phishing im dritten Quartal 2015

Im Text der entdeckten E-Mails benutzten die Spammer wieder bekannte Phrasen und Tricks: Mitteilungen über die Blockierung des Accounts, Aufforderungen, Account-Daten zu bestätigen, Sicherheitserinnerungen, Benachrichtigungen über Ermittlungen in einem Phishing-Fall usw. Die betrügerischen Links wurden, wie schon früher, durch legitime Links und Textfragmente getarnt.

Spam und Phishing im dritten Quartal 2015

Doch wir hatten es auch mit Schreiben mit ähnlichem Text im E-Mail-Körper zu tun, der echte Links auf die offiziellen Ressourcen der Bank enthielt. Die Phishing-Mitteilung war ebenfalls in einem PDF-Anhang untergebracht.

Spam und Phishing im dritten Quartal 2015

Darüber hinaus entdeckten unsere Kollegen eine etwas andere Variante von Phishing-E-Mails unter Verwendung von Mediabox-Objekten in PDF-Dateien, die an die E-Mail angehängt waren.

Spam und Phishing im dritten Quartal 2015

Ein Mediabox-Objekt ist ein Dokument, das sich mit einem Mausklick öffnet und für die Umleitung des Anwenders auf eine Phishing-Website benutzt wurde.

Statistik

Spam-Anteil im E-Mail-Traffic

Spam und Phishing im dritten Quartal 2015

Spam-Anteil im weltweiten E-E-Mail-Traffic, April – September 2015

Nach vergleichsweise stabilen Monaten im zweiten Quartal hat der Spam-Anteil im weltweiten E-Mail-Traffic erneut begonnen, sich zu verändern. Auf eine geringe Zunahme im Juli und August folgte im September ein deutlicher Rückgang. Insgesamt betrug der Durchschnittswert des Spam-Anteils im dritten Quartal 54,19 Prozent, das ist ein geringfügig höherer Durchschnittswert als im vorangegangenen Quartal.

Spam-Herkunftsländer

Spam und Phishing im dritten Quartal 2015

Spam-Herkunftsländer weltweit, drittes Quartal 2015

Im dritten Quartal 2015 behaupteten die USA mit einem Anteil von 15,34 Prozent am weltweiten Spam-Aufkommen ihre Führungsrolle unter den Spam-Herkunftsländern. Aufgestiegen auf Platz zwei ist Vietnam (8,42 %), dessen Wert gegenüber dem vorherigen Quartal um 3,38 Prozentpunkte gestiegen ist. Rang drei belegt China (7,15 %); der Anteil dieses Landes hat sich innerhalb der vergangenen drei Monate praktisch nicht geändert.

Der Anteil Russlands (5,79 %) ging im dritten Quartal um 2,03 Prozentpunkte zurück und das Land rutschte damit vom zweiten auf den vierten Platz. Darauf folgen Deutschland (4,39 %) und Frankreich (3,32 %), deren Werte sich gegenüber dem vorangegangenen Quartal nur unwesentlich veränderten.

Größen der Spam-E-Mails

Spam und Phishing im dritten Quartal 2015

Größen der Spam-E-Mails, zweites und drittes Quartal 2015

Die am häufigsten verschickten Spam-E-Mails im dritten Quartal waren sehr klein, mit einer Größe von 2 KB oder weniger (79,05 %), ihr Anteil stieg gegenüber dem zweiten Quartal um 13,67 Prozentpunkte. Ungefähr um dieselbe Prozentpunktzahl ging der Anteil der unerwünschten Nachrichten mit einer Größe zwischen 2 und 5 KB (3,21 %) zurück. Der Anteil aller anderen E-Mail-Größen war gegenüber dem vorangegangenen Quartal nur leichten Schwankungen unterworfen.

Schädliche Anhänge

Spam und Phishing im dritten Quartal 2015

TOP 10 der via E-E-Mail verbreiteten Schadprogramme, drittes Quartal 2015

Spitzenreiter unter den via E-Mail verbreiteten Schädlingen ist auch im dritten Quartal 2015 wieder Trojan-Spy.HTML.Fraud.gen. Bei diesem Schädling handelt es sich um eine Phishing-HTML-Seite, die getarnt als wichtige Mitteilung von Banken, Internet-Shops, Software-Unternehmen und anderen Organisationen verbreitet wird.

Den zweiten und neunten Platz unserer ТОР 10 belegen die Downloader Trojan-Downloader.JS.Agent.hhi und Trojan-Downloader.JS.Agent.hfq, bei denen es sich um obfuskiertes Java-Skript handelt. Die Downloader verwenden die Technologie ADODB.Stream, die es ihnen ermöglicht, Dateien der Formate DLL, EXE und PDF zu laden und auszuführen.

Auf Position drei und sechs befinden sich die Downloader Trojan-Downloader.VBS.Small.lj und Trojan-Downloader.VBS.Agent.aqp – VBS-Skripte, die ebenfalls die Technologie ADODB.Stream verwenden und die ZIP-Archive laden und die daraus entpackte Schadsoftware starten.

Rang vier belegt Trojan-Downloader.MSWord.Agent.oq. Dieser Schädling ist eine DOC-Datei mit integriertem VBS-Makro, das beim Öffnen des Dokuments ausgeführt wird. Das Makro lädt von der Website der Cyberkriminellen ein anderes VBS-Skript und startet es auf dem Computer des Anwenders.

Abgeschlossen werden die TOP 5 von EMail-Worm.Win32.Mydoom.l. Dieser Wurm wird in Form eines E-Mail-Anhangs über Filesharing-Netze und schreiboffene Netzressourcen verbreitet. Die Adressen für den Versand der E-Mails sammelt der Schädling auf bereits infizierten Computern. Die Betreiber von EMail-Worm.Win32.Mydoom.l haben die Möglichkeit, einen infizierten Computer remote zu steuern.

Auf den Plätzen sieben, acht und zehn befinden sich die Schädlinge Trojan-Downloader.HTML.Meta.ay, Trojan-Downloader.HTML.Agent.aax und Trojan-Downloader.HTML.Meta.aq respektive. Bei diesen Schadprogrammen handelt es sich um HTML-Seiten, die Code zur Umleitung des Browsers auf eine Webseite der Cyberkriminellen enthalten. Dort erwartet das Opfer üblicherweise eine Phishing-Seite oder die Aufforderung, ein Programm zur Arbeit mit einem Service zum automatischen Handel mit Binäroptionen herunterzuladenden. Verbreitet werden die Schädlinge in Dateianhängen. Sie unterscheiden sich nur durch den Link voneinander, über den die Umleitung des Anwenders auf die Site der Betrüger erfolgt.

Schadprogramm-Familien

Wie auch in den ersten zwei Quartalen 2015 wird das Rating der am weitesten verbreiteten Schadprogramm-Familien wieder von dem Downloader Upatre (9,46 %) angeführt. In den meisten Fällen laden die Schädlinge dieser Familie einen Bank-Trojaner auf die Computer der Opfer, der als Dyre/Dyzap/Dyreza bekannt ist.

Wie schon im vergangenen Quartal belegt die Familie MSWord.Agent (5,55 %) den zweiten Platz. Bei diesem Schädling handelt es sich um eine DOC-Datei mit integriertem Makro, programmiert in Visual Basic for Applications (VBA), das beim Öffnen des Dokumentes ausgeführt wird. Der Schädling lädt und startet andere Schadsoftware, beispielsweise einen Vertreter aus der Familie Andromeda.

Auf Platz drei befindet sich die Familie VBS.Agent (5,44 %). Im Gegensatz zu MSWord.Agent wird hier ein integriertes VBS-Skript verwendet. Für den Download und Start verschiedener Malware auf dem Computer des Anwenders verwenden die Vertreter dieser Familie die Technologie ADODB.Stream.

Zielländer der Schadversendungen

Spam und Phishing im dritten Quartal 2015

Verteilung der Alarme von Kaspersky Lab Antivirus nach Ländern, drittes Quartal 2015

Wieder hat sich das Führungstrio der Länder, in die die meisten Spam-Nachrichten geschickt wird, verändert. Dabei ist die bedeutendste Veränderung der Aufstieg Russlands auf den dritten Platz (7,56 %). Innerhalb des Quartals stieg der Wert des Landes um 2,82 Prozentpunkte, was einen Aufstieg von Position fünf auf Platz drei zur Folge hatte.

Den ersten Platz belegt nach wie vor Deutschland (18,47 %), dessen Wert um 1,12 Prozentpunkte zurückging; auf Position zwei befindet sich Brasilien (11,7 %), wobei die Menge an Schad-Spam, die den Anwendern in diesem Land zugeschickt wurde, sich gegenüber dem zweiten Quartal fast verdoppelt hat.

Großbritannien (4,56 %), das im zweiten Quartal den zweiten Platz belegte, befindet sich nun auf Position sechs.

Besonderheiten im Schad-Spam

Anfang September entdeckten wir im Spam-Traffic eine umfangreiche schädliche Versendung, deren E-Mails aussahen wie automatische Benachrichtigungen des E-Mail-Services über die Nicht-Zustellung einer E-Mail. Der Text und der Betreff ähnelten einer solchen automatischen Mitteilung, die Absenderadresse gehörte allerdings einer Privatperson, was Zweifel an der Legitimität des Schreibens aufkommen ließ. Das angehängte Archiv im ZIP-Format mit dem Namen „Google_drive_1711“ war ebenfalls verdächtig, da Benachrichtigungen von E-Mail-Diensten keine Anhänge enthalten. Eine Untersuchung hat gezeigt, dass sich in dem Archiv der Trojaner Trojan-Downloader.JS.Agent.hhi befand, der seinerseits die Backdoor Backdoor.Win32.Androm lädt.

Spam und Phishing im dritten Quartal 2015

Zu Beginn des dritten Quartals verschickten Cyberkriminelle aktiv E-Mails in französischer Sprache, die Makro-Viren enthielten. Die von uns entdeckten Makro-Viren gehörten zur Kategorie der trojanischen Ladeprogramme und wurden für den Download und die Installation des Bank-Trojaners Dridex auf den Computern der Opfer benutzt. Um den Empfänger in die Irre zu führen, gaben die Betrüger die Mitteilungen als Auftragsbestätigung oder Rechnung aus.

Spam und Phishing im dritten Quartal 2015

Ebenfalls im Juli nutzten die Spammer zur Verbreitung schädlicher Dateien das für Werbe-Spam traditionelle Thema Kredite aus. In einigen von uns registrierten Schreiben lockten die Betrüger potentielle Kunden mit den allergünstigsten Bedingungen zur Kreditaufnahme, mit niedrigen Zinsen und anderem. In anderen Mitteilungen wurde der Empfänger darüber informiert, dass sein Kreditantrag bewilligt wurde. Ähnliche Inhalte können sich auch in gewöhnlichem Werbe-Spam finden, aber für Schadspam sind Anhänge charakteristisch, die als detaillierte Kreditinformationen getarnt sind.

Spam und Phishing im dritten Quartal 2015

Interessant ist, dass die schädlichen E-Mails, die im Anhang den Trojaner Trojan-Downloader.Win32.Upatre enthalten, an die Adressen von Mitarbeitern verschiedener Unternehmen geschickt wurden.

Phishing

Im dritten Quartal 2015 verhinderte Kaspersky Lab mit Hilfe des „Antiphishing“-Systems 36.300.537 Versuche der Anwender von Kaspersky-Produkten, auf Phishing-Websites zu gelangen. Das ist ein um sechs Millionen höherer Wert als im vorangegangenen Quartal. 15.764.588 dieser Versuche wurden von heuristischen Detektionskomponenten blockiert und 20.535.949 mit Hilfe von Deterministik. Den Datenbanken von Kaspersky Lab wurden in diesem Zeitraum 839.672 Schablonen von Phishing-URLs hinzugefügt.

Die meisten Anwender werden anteilsmäßig nach wie vor in Brasilien(21,07 %) angegriffen. Im dritten Quartal stieg der Anteil der von Phishern angegriffenen Anwender in diesem Land um 11,33 Prozentpunkte, d.h. der Wert stimmt praktisch mit dem des ersten Quartals überein.

Spam und Phishing im dritten Quartal 2015

Geografie der Phishing-Attacken *, drittes Quartal 2015

* Anteil der Anwender, auf deren Computern das Antiphishing-System Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land

Ebenfalls stark gestiegen sind die Anteile der angegriffenen Anwender in Japan (+10,9 Prozentpunkte) und China (+7,85 Prozentpunkte), diese beiden Länder belegten den zweiten und dritten Platz in unseren TOP 10 respektive.

TOP 10 der Länder nach Anteil der angegriffenen Anwender:

Land Prozentualer Anteil der Anwender
1 Brasilien 21,07
2 Japan 16,86
3 China 15,08
4 Vietnam 14,5
5 Bangladesch 13,32
6 Nigeria 13,05
7 Russland 12,91
8 Kasachstan 12,85
9 Indien 12,44
10 Kolumbien 12,25

Ziele der Phishing-Attacken

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Der Anteil der Kategorie „Globale Internet-Portale“ (30,93 %) – unbestrittener Spitzenreiter im Rating der von Phishern angegriffenen Organisationen – ist im dritten Quartal deutlich zurückgegangen, und zwar um 11,42 Prozentpunkte. Dafür ist der Anteil der Kategorie „Soziale Netzwerke und Blogs“ (21,44 %) erneut gestiegen, dieses Mal um 6,69 Prozentpunkte. Den dritten Platz belegt die Kategorie „Banken“ (18,07 %), deren Anteil um 4,65 Prozentpunkte zugenommen hat. Ebenfalls um das Anderthalbfache gestiegen ist der Anteil der Kategorie „Online-Games“ (4,02 %).

Spam und Phishing im dritten Quartal 2015

Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, drittes Quartal 2015

Der Anteil der Phishing-Angriffe auf Organisationen der Kategorie „Cloud-Datenspeicher“ ist um 0,26 Prozentpunkte gestiegen und betrug 1,06 Prozent. Immer mehr User nutzen die Technologie der Cloud-Datenspeicher, und das zieht Betrüger an. Gestohlene Informationen werden von Cyberkriminellen genutzt, um deren Besitzer zu erpressen, zielgerichtete Attacken zu organisieren oder sie werden an Dritte verkauft.

Häufig wird diese Art von Phishing-Schreiben via E-Mail oder über Soziale Netzwerke in Form von Mitteilungen mit der Aufforderung verbreitet, irgendein Dokument herunterzuladen, das angeblich bei einem populären Cloud-Service hinterlegt wurde. Die Mitteilungen können von einem kompromittierten Account aus der Freundesliste stammen oder – im Fall von E-Mails – im Namen der Administration des Cloud-Dienstes verschickt werden.

Über Phishing-Seiten, die die Websites bekannter Cloud-Speicher imitieren, werden auch verschiedene Schadprogramme verbreitet. In solchen Fällen lädt der Anwender mit einem Klick auf die Seite selbstständig Malware auf seinen Computer.

Unten ist ein Beispiel für eine Attacke dargestellt, bei der der Nutzer aufgefordert wird, ein wichtiges PDF-Dokument zu laden. Der Link aus der E-Mail führt auf eine Phishing-Seite, die der Aufmachung des populären Dienstes Dropbox nachempfunden ist.

Spam und Phishing im dritten Quartal 2015

Beispiel für eine Phishing-Attacke auf Dropbox-Nutzer

Neben dem Diebstahl der in der Cloud gespeicherten Daten und der Verbreitung von Malware benutzen Cyberkriminelle den Namen Dropbox auch häufig, um E-Mail-Account-Daten des Opfers zu stehlen.

Spam und Phishing im dritten Quartal 2015

Beispiel für eine Phishing-Seite, die die Marke Dropbox ausnutzt

Und hier noch ein weiteres Phishing-Beispiel: Die Betrüger versuchen in diesem Fall die Apple ID des Nutzers und das Passwort für den Cloud-Datenspeicher iCloud abzugreifen.

Spam und Phishing im dritten Quartal 2015

Beispiel für eine Phishing-Attacke auf iCloud-Nutzer

Im Erfolgsfall erhält der Angreifer unter anderem Zugriff auf die vom Anwender gesammelten Inhalte und sein E-Mail-Postfach.

TOP 3 der angegriffenen Organisationen

Die Betrüger konzentrieren ihre Kräfte weiterhin auf die populärsten Marken, gegen die sich der größte Teil des zielgerichteten Phishings richtet. Auf diese Weise spekulieren sie auf größere Erfolgschancen ihrer Phishing-Attacken. Mehr als die Hälfte aller Alarme der heuristischen Komponente unseres „Antiphishing“-Systems entfällt auf Phishing-Seiten, die sich unter den Namen von weniger als 30 bekannten Unternehmen verbergen.

Auf die ТОР 3 der von Phishern angegriffenen Organisationen entfielen im dritten Quartal 26,39 Prozent aller Alarme der heuristischen Komponente.

Organisation Prozentualer Anteil an allen Alarmen
1 Yahoo! 15,38
2 VKontakte 9,44
3 Facebook 8,95

Beim Spitzentrio der von Phishern angegriffenen Organisationen gab es im dritten Quartal einige Veränderungen. Den ersten Platz belegt nach wie vor Yahoo! (15,38 %), doch der Anteil des Unternehmens hat sich fast halbiert und ist um 13,65 Prozentpunkte zurückgegangen. Auf Position zwei befindet sich nun das russische Soziale Netzwerk VKontakte (9,44%). Facebook (8,95 %) verlor 1,49 Prozentpunkte und rutschte damit von Platz zwei auf Position drei.

Fazit

Der Spam-Anteil im E-Mail-Traffic betrug im dritten Quartal 2015 durchschnittlich 54,2 Prozent, das ist um 0,8 Prozentpunkte weniger als im vorangegangenen Quartal. Das Führungstrio der Länder, die Spam in die ganze Welt versenden, sieht für das dritte Quartal folgendermaßen aus: USA (15,3 %), Vietnam (8,4 %) und China (7,2 %).

Die Urlaubssaison und die Sommerferien waren der Grund für die Zunahme von Schad-Spam mit touristischen Themen. Cyberkriminelle verschickten gefälschte Benachrichtigungen im Namen bekannter Hotel-Buchungsservices, Fluggesellschaften und Hotels sowie E-Mails im Namen von Privatpersonen. In der Regel enthielten solche E-Mails ein angehängtes Archiv mit den verschiedensten trojanischen Ladeprogrammen.

Den ersten Platz im Rating der via E-Mail verbreiteten Schadprogramme behauptete auch im dritten Quartal der Schädling Trojan-Spy.HTML.Fraud.gen. Bei den Schadprogramm-Familien steht bereits das ganze Jahr die Familie Upatre an der Spitze. Am häufigsten schädlichen Attacken ausgesetzt waren im dritten Quartal die Nutzer in Deutschland – auf sie entfiel ein Anteil von 18,5 % aller Alarme von Kaspersky E-Mail-Antivirus.

Zu den Besonderheiten des Quartals gehörte die Einführung eines neuen Tricks zur Umgehung der Spam-Filter: Die Autoren von Phishing-E-Mails platzierten den Text ihrer Mitteilung und den betrügerischen Link nicht im E-Mail-Körper, sondern in einem angehängten PDF-Dokument.

Insgesamt wehrten die Lösungen von Kaspersky Lab im dritten Quartal mehr als 36 Millionen Versuche ab, auf eine Phishing-Website zu gelangen, das ist ein um sechs Millionen höherer Wert als im vorangegangenen Quartal. Das Land mit dem größten Anteil an von Phishern angegriffenen Nutzern ist wie gehabt Brasilien mit 21,07 Prozent.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.