Spam: Haupttrends im zweiten Quartal 2006

Alle Angaben beziehen sich auf die Ergebnisse der Bearbeitung der Spamströme der Analytiker von „Kaspersky Lab“. Das Gesamtvolumen des analysierten Materials beträgt 250000 – 600000 Mitteilungen pro Tag.

Haupttrends der Spam-Entwicklung im II. Quartal 2006

  1. Die Spam-Konzentration im Postverkehr ist praktisch unverändert geblieben. Es kam zu einer „Sättigung“ der Post durch Spam.
  2. Im zweiten Quartal 2006 nahm Spam mindestens 70 % der Gesamtmenge des Postverkehrs ein. Zum Ende des zweiten Quartals ist der Spam-Anteil am allgemeinen Poststrom bis auf 82,2 % angewachsen.
  3. Im zweiten Quartal schwankte der Anteil von kriminellen Spams um die 13 – 16 %. Während des Quartals wurden drei „Spitzen“ von kriminellen Spam-Angriffen festgestellt, als der Spam-Anteil dieser Art bis auf 25 % anwuchs.
  4. Die Spammer erhöhen die Geschwindigkeit der Durchführung von Spam – Angriffen. Ein Spam- Versand kann den Nutzer innerhalb von 20 – 50 Minuten erreichen. Objekte der Schnellangriffe sind meistens die Server der kostenlosen Postdienste.
  5. Aufgetaucht ist eine neue Art von „grafischen“ Spams – eine Darstellung, die in Teile zerlegt ist.

Anteilmäßige Spam-Verteilung

Spam behält seine Position: wie auch im ersten Quartal 2006 fällt der Spam-Anteil im Postverkehr nicht unter 70 %. Zum Ende des zweiten Quartals ist der Spam-Anteil bis auf 82,2 % angewachsen (ermittelter Durchschnitt der zweiten Junihälfte). In der folgenden Grafik sind zwei Perioden eines gleichmäßigen Anstiegs der Spam-Kurve sichtbar: der Spam-Anteil lag vom 28. Mai bis 4. Juni und vom 20. Juni bis zum Quartalsende über 80 %. Für den Hochsommer ist das ein unerwarteter Wert. Im Laufe der letzten drei – vier Jahre hingegen war für die Sommermonate eine unbedeutende Verringerung des Spam-Volumens charakteristisch.

Im Vergleich zum zweiten Quartal 2005 wurde die Kurve der anteilmäßigen Spam-Verteilung etwas „gleichmäßiger“. Als gute Illustration dieses Faktes dient die Situation der Spam-Verteilung im RuNet während der Maifeiertage.

In den letzten Jahren (2003 bis 20051) beobachteten die Analytiker in diesem Zeitraum einen starken „Abfluss“ von Spam in der ersten Maiwoche und einen genauso starken „Zufluss“ in der zweiten Monatshälfte. In der Grafik ist allerdings zu sehen, dass in diesem Jahr der erwartete Abfall des Spam-Anteils während der Maifeiertage nicht eingetreten ist. Der Spam-Anteil blieb hingegen im Zeitraum vom 1. bis 10. Mai ungewöhnlich hoch – 74 % bis 81 % des gesamten Versandes – der relativ geringe Rückgang der Spamangriffe trat nur nach den Maifeiertagen vom 13. bis 16. Mai auf (kleinster Wert des Spam-Anteils lag bei 70 %).

Man hat den Eindruck, dass es im Moment zu einer eigentümlichen „Sättigung“ der Postströme in der ganzen Welt durch Spam gekommen ist. Der Spam-Anteil stabilisierte sich auf relativ hohem Niveau und diese Werte sind dem Einfluss äußerer Faktoren schon leicht unterworfen, wie z. B. den regionalen Feiertagen.

Spam-Verteilung nach Themen

Die thematische Spamzusammensetzung im zweiten Quartal hat keinerlei Veränderungen erfahren: es führen die Themen „Computerbetrug “, „Bildung“ und „Medikamente; Waren/ Dienstleistungen für die Gesundheit“. Eine solche Verteilung wurde auch im ersten Quartal 2006 beobachtet.

Die Spamthematik „Computerbetrug“ behält ihren hohen Stellenwert im thematischen Rating. Der Mittelwert für diese Thematik betrug im zweiten Quartal 2006 18,2 % aller Spams. Aber das sind gemittelte Werte. In Wirklichkeit war die Verteilung von kriminellen Spams in den drei vergangenen Monaten nicht gleichmäßig. Während des Quartals wurden drei „Spitzen“ beobachtet, als der Anteil krimineller Spam-Angriffe 25 % aller Spams erreichten konnte. Die Dauer jeder dieser „Spitzen“ betrug 1 – 3 Tage. Während der übrigen Zeit betrugen die kriminellen Angriffe 13 – 16 % aller Spams.

Einige Arten von kriminellen Spams sind in der ganzen Welt verbreitet. Das sind vor allem Phishing und „nigerianische“ Spam. Es gibt aber auch Spamarten, die für verschiedene Regionen einzigartig sind. Zum Beispiel, die Teilnahme an getarnten Schemen zur Geldwäsche (wird Spammern als legales Geschäft angeboten) wird ausschließlich den Nutzern des westlichen Teiles des Internets angeboten. Die Nutzer des RuNets bekommen Sendungen mit Vorschlägen von verschiedenen Prüfungsfragen für Abschluss- und Aufnahmeprüfungen.

Einzigartiger Spam-Inhalt im RuNet

Vorgesehen – die gesetzliche Regulierung von Spam

Das zweite Quartal 2006 ist beendet, und damit ist auch die Zeit der „freien“ Existenz für die Spam- Verteiler zu Ende gegangen. Am 1. Juli 2006 ist eine Neufassung des Gesetzes „Über die Werbung“ in Kraft getreten, in dem der Vertrieb von Werbung über die Telekommunikationsnetze vorgeschrieben ist. Spam ist vielfältig, aber größtenteils Werbung. Das bedeutet, dass der gesamte „Werbeteil“ von Spam ab 1. Juli 2006 durch die Gesetzgebung geregelt wird2.

Das bevorstehende Inkrafttreten der Neufassung des Gesetzes hat sich indirekt auf den Inhalt russischsprachiger Spams im zweiten Quartal ausgewirkt. Die Spammer haben versucht, diese Neuheit für sich zu nutzen und dies als zusätzliche Möglichkeit der Einwirkung auf den Nutzer zu verwenden. So begann ein Versand, der den eigentlichen Spamdienst bewirbt (Dienstleistung zur Organisierung und Durchführung des Spam-Versandes), mit dem Aufruf sich zu beeilen: „Beeilen Sie sich mit der Bestellung eines Versandes vor dem Inkrafttreten des Neuen Gesetzes über die Werbung“.

Eine der Spammeragenturen fand eine originelle Lösung aus dem Dilemma: Spam versenden und dabei das Gesetz nicht verletzen. Im Juni wurde Werbung von dieser Agentur verschickt… in ukrainischer Sprache (Thema: „VERSAND IHRER REKLAME PER EMAIL“). In der Ukraine gibt es bis jetzt keine entsprechende Gesetzgebung und die ukrainische Firma darf solche Dienstleistungen anbieten. Und was in der Firma in den Kontakten als Moskauer Telefon eingetragen ist, leitet den Spam -Versand zur Basis „Geschäftliches Moskau“, was aus Sicht der Spammer keinerlei Bedeutung hat. Im Übrigen, eine juristische Adresse der Agentur oder zumindest eine Büroadresse fehlen im Spam -Versand auf jeden Fall, wie das so üblich ist.

Spam und Examenszeit

Im Mai und Juni gab es im RuNet eine Welle von kriminellen Spams, diesmal verbunden mit den Abschlussprüfungen an Schulen und Aufnahmenprüfungen an Hochschulen. Sofort boten einige Spam – Versande Antworten zum Einheitlichen Staatsexamen (ESE) an. Bemerkenswert ist, dass die Spammer überall betonten, dass sie die Antworten aus einer Druckerei gestohlen haben. Möglich, aus Sicht der Spammerlogik erhöht dies ihren Wert. Dabei haben die gewissenhaftesten Spammer die potentiellen Käufer darauf hingewiesen, dass die von ihnen gekaufte Variante mit der richtigen Antwort nicht übereinstimmen muss,1 % Fehler nehmen sie auf sich (Zitat aus einem Spam: „ 99 % aller Antworten sind richtig, wir haben sie für viel Geld von einem Arbeiter einer Moskauer Druckerei gekauft.“).

Inhaltliche Besonderheit des zweiten Quartals 2006: die bemerkenswertesten einzelnen Spam – Angriffe

Massiver Spam-Angriff mit zufälligen Zahlen im Titel und im Inhalt der Mitteilung

Anfang Juni wurde ein Spam-Angriff ohne Werbecharakter festgestellt. Die Spam-Mitteilung bestand aus beliebigen (zufälligen) Zahlen im Titel und im Inhalt der Mitteilung. Da es ausnahmslos ein Massenangriff war und alle Regionen des Internets berührte (d.h. alle Heimanwender berührte), hat er ein relativ großes Feedback hervorgerufen. Viele Nutzer wandten sich an ihre Provider und Hilfsdienste mit den Fragen: Was war das? Wird durch solch einen Versand nicht irgendein verborgener Virus verbreitet, der außer dem „Zumüllen“ des Briefkastens eine zusätzliche Bedrohung darstellt? Wirklich – dieser Versand stellte keinerlei zusätzliche Bedrohungen dar und enthielt keine Schädlinge. Aber der Geschwindigkeit des Versandes und dem Massencharakter nach war es ein herausragender Versand. In der Regel sind das Testsendungen: die Spammer überprüfen die Stammdaten der Postadressen oder testen ihre neuen technologischen Entwicklungen.

Spam und die Fußball-Weltmeisterschaft

Die Spammer haben das sportliche Hauptereignis Anfang Sommer – die Weltmeisterschaft im Fußball nicht übergangen. Wie immer wurde das Interesse für ein populäres Thema genutzt: angeboten wurden Souvenirs mit der Aufschrift WM – 2006, T-Shirts berühmter Fußballspieler, Gewinnkarten für das Finale und dgl. m. Wie erwartet, waren das einmalige Angriffe. Mit dem Abschluss der Meisterschaft hat dieser Versand wieder aufgehört.

Möglichkeiten und Methoden der Spammer

Spammer verstärken die Geschwindigkeit der Spam-Angriffe

Im zweiten Quartal 2006 haben die Analytiker von „Kaspersky Lab“ eine Zunahme der Anzahl schneller Spam-Angriffe festgestellt, in deren Verlauf die Spam-Sendungen innerhalb von 20 – 50 Minuten den Nutzer erreichen. Die überwiegende Mehrzahl solcher Angriffe ist auf die Server der kostenlosen Postdienste gerichtet (zum Beispiel: Angriffe im RuNet auf die Server der Dienste Mail.ru und Yandex) und sollte nicht nur als Werbung für die eine oder andere Ware/Dienstleistung gelten, sondern auch als Demonstration der Kraft der Spammer dienen.

Die Organisation des Schnell-Versandes ist eine komplizierte Ingenieuraufgabe, die unter anderem die Synchronisierung der Steuerung hunderter und tausender von Zombie-Rechnern so fordert, dass im Endeffekt der Versand der individuellen Kopien einer Mitteilung jeden Empfänger der Liste des Spam- Versandes erreicht. Die erfolgreiche Realisierung einer ähnlichen Aufgabe zeugt vom hohen Niveau der technischen Vorbereitung und Verwaltung der Spammergruppen.

Ungeachtet der guten technischen Ausrüstung der Postdienste, stellen Millionen Sendungen, innerhalb von einigen zehn Minuten eine riesige Belastung für den Postserver dar. Eine solche Belastung kann zu einer Verzögerung der Arbeit der Postserver führen und, im schlimmsten Fall, zu ihrer Überlastung.

Spammer setzten Experimente mit „grafischem“ Spam fort

„Grafische“ Spams (d.h. Mitteilungen, in denen der Werbetext als grafische Darstellung enthalten ist) sind ein populärer und weit verbreiteter Spammertrick. Ihr Ziel ist es, die Arbeit der Module zur Textanalyse, die zur Anti-Spam-Software gehören, unmöglich zu machen; sowie eine Gruppierung der einzelnen Mitteilungen und ihre Identifizierung als einheitlichen Massenversand zu erschweren.

Das zweite Quartal 2006 hat die Nutzer mit einem Überfluss „grafischer“ Spams erfreut. Überwiegend ist solch ein Spam englischsprachig. Meistens enthält es entweder Vorschläge für Potenz- und Suchtmittel (Viagra, Cialis und dgl. m.) oder animiert zum Kauf von diesen oder jenen Aktien (Stock Alert und dgl. m.).

Die Anzahl „grafischer“ Spams steigt in den letzten zwei Jahren unentwegt an. Aber im letzten halben Jahr sind „grafische“ Spams nicht nur quantitativ, sondern auch qualitativ ruckartig angestiegen.

Die Spammer veränderten die Software für den Versand von „grafischen“ Spams. Jetzt besteht die Darstellung mit dem Text, den die Nutzer auf dem Bildschirm sehen, oft aus einigen Fragmenten, d.h. „das Bild“ ist nicht eine einzelne Datei, sondern vereinigt in der Regel 4 – 10 grafische Dateien. Jedoch, der einfache Nutzer bemerkt es nicht und sieht am Bildschirm die gesamte Darstellung.

Beispiel für ein „Fragment eines grafischen Spams“, wie es der Empfänger sieht:

In Wirklichkeit besteht die Darstellung aus einigen Teilen, wie zum Beispiel, solchen:

Hier ist dieselbe Mitteilung, in der Fragmente der Darstellung aufgezeigt sind:

Alles in allem, halten die Spammer „grafische“ Spams für eine zukunftsträchtige Technologie, um Spam-Filter zu umgehen und werden ihre Arbeit in dieser Richtung fortsetzen. Das bedeutet, dass in nächster Zeit die Anzahl von „Spam in Bildern“ nur noch ansteigen wird. Gleichzeitig sind die leistungsstarken modernen Filter in der Lage, „grafische“ Spams zu bekämpfen. Insbesondere „Kaspersky Antispam“ bietet einige Module zur Bearbeitung von Grafiken, sowie andere Technologien zur erfolgreichen Erkennung solcher Spams an.


1Siehe, z.B. Analytischer Bericht für 2005:
http: // www.spamtest.ru/document.html? context=15948*pubid=178371715

2Die wichtigsten Bestimmungen der Neufassung des Gesetzes, die unmittelbar Spam und dessen Vertrieb betreffen, sind ausführlich auf den Seiten der analytischen und informellen Quelle zu Spam – der Web-Seite „Spamtest“ zu finden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.