Spam im April 2012

Der April in Zahlen

  • Der Spam-Anteil im E-Mail-Traffic stieg im Vergleich zum März um 2,2 Prozentpunkte und betrug durchschnittlich 77,2 Prozent.
  • Der Anteil an Phishing-Mails am gesamten E-Mail-Aufkommen blieb im Vergleich zum März unverändert und betrug 0,01 Prozent.
  • Im April enthielten 2,8 Prozent aller E-Mails schädliche Dateien, was exakt dem Vormonatswert entspricht.
  • Über 20 Prozent aller Phishing-Attacken im April richteten sich gegen Facebook-Anwender.

Die wichtigsten Ereignisse des Monats

Neue Tricks im Betrugs- und Schadspam

Spammer, die Schadcode und Phishing-Mails in Umlauf bringen, suchen immer nach dem kürzesten Weg zu den Computern der Anwender. Schädlicher Spam ist schnell entwickelt, denn Cyberkriminelle füllen ihr Arsenal an technischen Neuheiten und neuen Social-Engineering-Tricks systematisch auf.

Wikipedia und Amazon – ein missglückter Trick?

Im April registrierten wir Spam in Form einer gefälschten Benachrichtigung von Facebook. Die Mitteilung, die angeblich von dem sozialen Netzwerk stammte, enthielt die Information, dass ein Nutzer den Empfänger als Freund hinzufügen möchte. Wie die meisten der Mitteilungen, die im Laufe des letzten Jahres als Facebook-Benachrichtigungen daherkamen, war auch diese Versendung qualitativ hochwertig und sah auf den ersten Blick echt aus. Wäre es nach den Online-Betrügern gegangen, so wäre der Anwender mit einem Klick auf einen beliebigen, in der Mitteilung enthaltenen Link keineswegs bei Facebook gelandet, sondern auf einer mit schädlichem Code infizierten Seite. Das ist noch nichts neues, das Besondere liegt allerdings darin, dass die Links in den Mails nicht auf eine gehackte Domain oder gerade erst registrierte Webseiten der Domain-Zone .in oder .co.cc verwiesen, sondern auf Seiten bei Wikipedia oder Amazon.


Die Cyberkriminellen hatten die schädlichen Skripte offenbar auf neu von ihnen erstellten Wikipedia-Seiten platziert, sowie – als Werbung für gebrauchte Waren getarnt – auf der Webseite Amazon.com. Warum „offenbar“? Dieser Trick funktionierte nicht allzu gut, denn die Systeme zur Freigabe solcher Einträge reagierten bei Wikipedia und Amazon schnell. Noch während die Spam-Mail verbreitet wurde, funktionierten die Links bereits nicht mehr.

Diablo III – Phishing bereits vor Veröffentlichung

Anfang Juni kommt das von vielen Gamern sehnsüchtig erwartete Online-Rollenspiel Diablo III auf den Markt. Mit diesem Spiel verbinden Sicherheitsexperten gewisse Befürchtungen, denn Blizzard hat den Handel mit Gegenständen in seinem neuen MMORPG offiziell erlaubt. Es ist daher äußerst wahrscheinlich, dass die Nutzer von Diablo III sehr schnell ins Fadenkreuz von Phishern geraten werden. Doch kaum jemand hätte damit gerechnet, dass Cyberkriminelle dieses Spiel bereits vor seiner Veröffentlichung zu ihren Zwecken ausnutzen würden.

In den Spam-Strömen tauchten Phishing-Mails auf, die auf die Ungeduld der Gamer setzen, die die Veröffentlichung nicht abwarten können. In den Mails wurde ihnen mitgeteilt, dass sie das Recht erworben hätten, für eine gewisse Zeit die Beta-Version von Diablo III zu testen. Dazu sollten sie sich auf der Webseite battle.net einloggen, auf der die Spieler-Konten von Blizzard gespeichert sind. Der in der Mail enthaltene Link führte selbstverständlich nicht auf die angegebene Webseite, sondern auf eine Phishing-Seite. Der Text variiert leicht von Mitteilung zu Mitteilung, doch der Sinn bleibt derselbe.


Gelangten die Online-Betrüger in den Besitz der Spieler-Konten, so erhielten sie damit Zugriff auf so populäre Online-Spiele wie World Of Warcraft und Starcraft, deren Accounts sich auf dem Schwarzmarkt nach wie vor einer großen Nachfrage erfreuen.

Politischer Spam

Im April wurde der an ein US-amerikanisches und französisches Publikum gerichtete politische Spam reaktiviert. Verweise auf Barack Obama gab es fast so häufig wie im ersten Jahr nach seiner Wahl. Dabei wird sein Name nicht nur in politischen Mitteilungen benutzt, die die „Entlarvung seines politischen Kurses“ zum Inhalt haben oder Hinweise darauf liefern, dass der Präsident der USA „Angst davor hat, die bevorstehenden Wahlen zu gewinnen“, sondern auch in der Werbung für verschiedene traditionelle Spammer-Waren. Ein Beispiel ist die folgende Spam-Mail, die den Anwender zum Kauf von Viagra bewegen soll:


Je näher die Wahlen in den USA rücken, desto größer wird das Interesse der Anwender sowohl am Kampf um das Präsidentenamt als auch an den Kandidaten und der Person des aktuellen Präsidenten. Die Spammer werden dieses Interesse nicht nur befeuern, indem sie Propaganda verbreiten, sondern es auch zu ihren Zwecken ausnutzen. In den kommenden Monaten erwarten wir eine wachsende Zahl von Mitteilungen, die Links auf Seiten enthalten mit angeblich skandalträchtigen Informationen über den einen oder anderen Kandidaten oder über die Wahl insgesamt. Beim Klick auf einen solchen Link sieht der Nutzer bestenfalls Werbung für Medikamente zur Potenzsteigerung wie im oben dargestellten Beispiel. Im schlimmsten Fall erwartet ihn ein Schadprogramm.

Auch der französische Polit-Spam wurde reaktiviert, obwohl wir auf dem Höhepunkt des französischen Wahlkampfes weitaus mehr politische Versendungen in Frankreich erwartet hatten. Die Zahl der von uns registrierten Versendungen war recht gering. Unter ihnen befand sich das Angebot zum Kauf von T-Shirts mit aufgedrucktem Pro-Sarkozy-Text.


Andere aktuelle Themen

Auch die kritische Lage in Syrien hat sich im Spam niedergeschlagen. „Nigerianische“ Spammer versenden aktiv Mitteilungen von „Juristen und Bankangestellten, die in diesem Land arbeiten“. Ende des Monats registrierten wir ebenfalls Nachrichten von der „Ehefrau Assads“. Regelmäßig haben wir es mit Mitteilungen von „Familienmitgliedern von Staatsoberhäuptern“ verschiedener Länder zu tun, in denen die Lage instabil ist. Hin und wieder werden die nigerianischen Mails auch im Namen der Staatoberhäupter selbst verfasst. Es ist durchaus möglich, dass demnächst Mails auftauchen, die angeblich von Baschar al-Assad selbst stammen. Die Kinder des Präsidentenpaares Assad sind noch recht klein, daher ist kaum zu erwarten, dass nigerianische Spams in ihrem Namen verschickt werden. Doch Spammern ist nichts heilig. Für sie ist eine Krise in irgendeinem Land lediglich eine weitere potenzielle Möglichkeit, Geld zu machen.

Auch die Zahl von Versendungen zum Thema Fußball-Europameisterschaft nimmt zu. Dieses Ereignis rückt immer näher und das öffentliche Interesse daran wächst von Tag zu Tag. Viele Spam-Versendungen bieten Fußball-Fans, die nicht rechtzeitig reserviert haben, freie Plätze in polnischen und ukrainischen Hotels an. Man muss dazu sagen, dass das Spammer-Angebot sehr dürftig ist und die Preise selbstverständlich um ein Vielfaches höher liegen.

Die Sommerolympiade in London machen sich „Lotterie“-Betrüger zunutze. Praktisch täglich registrieren wir Mails mit Benachrichtigungen über den Gewinn in einer Lotterie, die angeblich vom Olympischen Komitee durchgeführt wird.


Statistik

Spam-Herkunftsländer


Spam-Herkunftsländer im April 2012 (Top 20)

Im April hat sich die Zusammensetzung der Top 20 der Spam-Herkunftsländer im Vergleich zu den Vormonaten deutlich verändert.

Die auffälligste Änderung liegt in dem Vorrücken der USA von Platz 20 auf Position zwei. Der Spam-Anteil der Vereinigten Staaten ist um mehr als 7 Prozentpunkte gestiegen. Um 5 Prozentpunkte zugelegt hat der Spam-Anteil, der aus China stammt, wodurch dieses Land auf Platz fünf des Ratings kletterte. Gleichzeitig ging der Anteil von Junk-Mails aus Indonesien um 5,2 Prozentpunkte zurück. Dadurch fiel dieses Land um 10 Positionen zurück und landete damit auf dem 12. Platz der Top 20.

Wir vermuten, dass diese Veränderungen mit der Umverteilung der Spammer-Botnetze und deren anteiliger Verlagerung in Regionen zu tun haben, in denen die Spam-Aktivität in den letzten Jahren vermindert war. Dazu ist anzumerken, dass sowohl die USA als auch China (und insbesondere Hongkong) im ersten Quartal 2012 zu den wichtigsten Zielscheiben der Spammer gehörten, die schädliche Versendungen verbreiten. Die Infizierung neuer Computer in diesen Ländern hat offensichtlich auch dem Aufbau neuer Zombie-Netze an diesen Standorten gedient.

Die übrigen Anteile der Spam-Herkunftsländer schwankten um bis zu 2,5 Prozentpunkte.

Im April enthielten 2,8 Prozent der E-Mails schädliche Dateien, was exakt dem Vormonatswert entspricht.


Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern im April 2012

Wie bereits im Laufe des gesamten ersten Quartals 2012, belegen die USA den ersten Platz des Ratings der Länder, in denen die Mail-Anti-Virus-Komponente unserer Lösungen am häufigsten Alarm geschlagen hat. Der Anteil der Alarme ist dort leicht gestiegen, und zwar um 0,64 Prozentpunkte.

Australien (minus 3,9 Prozentpunkte) und Hongkong (minus 2 Prozentpunkte), die im März den zweiten respektive dritten Platz belegten, blieben hinter Vietnam zurück, das von der vierten auf die zweite Position kletterte. Der Anteil der Alarme des Mail-Anti-Virus in diesen Ländern stieg um 2,4 Prozentpunkte.

Der Anteil der übrigen Länder aus dem Rating variierte um bis zu 2 Prozentpunkte.

Top 10 der Schadprogramme im E-Mail-Traffic


Top 10 der Schadprogramme im E-Mail-Traffic im April 2012

13,7 Prozent aller Entdeckungen von Kaspersky Mail-Anti-Virus entfallen auf Trojan-Spy.HTML.Fraud.gen, den traditionellen Spitzenreiter unserer Hitliste. Das sind 1,6 Prozentpunkte mehr als im Vormonat. Dieses Schadprogramm in Form einer HTML-Seite tarnt sich als Registrierungsformular einer Finanzorganisation oder eines Online-Dienstes. Die auf einer solchen Seite eingegebenen Registrierungsdaten werden an die Cyberkriminellen gesendet.

Die Stammgäste in unserem Rating, die E-Mail-Würmer Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Mydoom.m und Email-Worm.Win32.NetSky.q, belegen die Plätze drei, fünf und neun. Zur Erinnerung: Die Funktionalität der E-Mail-Würmer der Familien Mydoom und Netsky beschränkt sich bei infizierten Rechnern auf das Sammeln von E-Mail-Adressen und den Selbstversand dorthin. Bagle.gt ist der einzige Wurm aus den Top 10, der zudem mit Internet-Ressourcen kommunizieren kann, um von dort Schadprogramme zu laden.

Erwähnenswert ist die Positionierung des Skript-Trojaners Trojan-Downloader.JS.Iframe.cvq im Rating. Sein Anteil betrug fast 2 Prozent an allen Alarmen. Etwa weitere 10 Prozent entfielen im April auf Skript-Schädlinge, die mit proaktiven Methoden aufgespürt wurden. Dieser Wert ist recht beunruhigend, da Skript-Schadprogramme in HTML-Mitteilungen ihr zerstörerisches Werk beginnen, sobald der Anwender die Mitteilung nur öffnet.

Phishing

Der Anteil an Phishing-Mails im E-Mail-Traffic blieb im Vergleich zum März unverändert und betrug 0,01 Prozent.


Top 100 der im April 2012 am häufigsten von Phishern angegriffenen Organisationen nach
Kategorien (Alarme des Anti-Phishing-Moduls)

Das Kategorien-Rating der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Im April gab es entscheidende Veränderungen im Kategorien-Rating der am häufigsten von Phishern angegriffenen Organisationen: Erstmals seit vier Monaten musste die Kategorie Finanzinstitute, Bezahlorganisationen, Banken (23,61 Prozent) den ersten Platz an die Sozialen Netzwerke abtreten (28,8 Prozent). Der Anteil der Kategorie Soziale Netzwerke ist um fast 6 Prozentpunkte gestiegen. Den wichtigsten Beitrag zu diesem Zuwachs haben die zahlreichen Attacken auf das soziale Netzwerk Facebook geleistet: Über 20 Prozent aller Phishing-Angriffe richteten sich im April gegen Facebook-User.

Im Vergleich zum März sank der Anteil der Angriffe auf Finanzorganisationen. Zurückgegangen ist auch der Anteil der Attacken auf Online-Shops und Suchsysteme sowie auf IT-Anbieter. Alle Änderungen lagen bei maximal 1,5 Prozentpunkten.

Insgesamt kann man also eine gewisse Verschiebung bei den Angriffszielen der Phisher konstatieren – weg von den Finanzinstituten und hin zu den Nutzern sozialer Netzwerke.

Spam-Themen


Spam-Themen im April 2012

Der Anteil der traditionellen Spitzenreiter unseres Ratings der populärsten Spam-Themen – „Computerbetrug“ und „Persönliche Finanzen“ – hat sich im Vergleich zum März nur unwesentlich geändert. Der Anteil der erstgenannten Kategorie sank um 2,2 Prozentpunkte, der der zweiten stieg um 0,8 Prozentpunkte.

Auf hohem Niveau bleibt der Anteil der Werbung für Online-Kasinos (etwas über 6 Prozent).

Die meisten Spam-Mitteilungen mit Werbung für Online-Kasinos enthalten Merkmale von Betrug, Schadprogrammen oder gar beidem. Die Kategorie „Persönliche Finanzen“ besteht zum größten Teil aus zweifelhaften Angeboten für billige Kredite oder schnelle Verdienstmöglichkeiten, was ebenfalls nach Betrug riecht.

All diese Daten weisen zusammengenommen recht eindeutig darauf hin, dass über die Hälfte aller Spam-Versendungen im April auf den Diebstahl finanzieller oder persönlicher Informationen abzielten, sowie auch direkt auf die finanziellen Mittel der Nutzer und die Installation von Schadcode auf ihren Computern.

Die auffälligste Veränderung nach den Ergebnissen des Monats ist die Zunahme der Thematik „Innenausstattung“ um 4,75 Prozentpunkte. Im April gab es einige groß angelegte Versendungen zu diesem Thema. Vermutlich hat der Anstieg dieser Kategorie mit den Frühjahrsaktionen vieler Möbelhäuser und Baumärkte zu tun.

Der Anteil der restlichen Thematiken änderte sich Vergleich zum Vormonat um maximal 1,5 Prozentpunkte.

Fazit

Die Ergebnisse des Monats weisen darauf hin, dass Spam immer gefährlicher wird: der hohe Anteil von Schadcode in den Anhängen, eine auffallend hohe Zahl von Spam-Mails mit schädlichen Links sowie die steigende Zahl von Spam mit schädlichen Skripten, die das Öffnen von E-Mails an sich schon zu einer Gefahr werden lassen. Die Tatsache, dass es Monat für Monat immer wieder neue derartige Versendungen gibt, zeugt von einer mangelnden Aufklärung der Anwender – Spam wäre nicht so eine attraktive Methode zur Verbreitung von Schadcode, wenn es für seine Verbreiter nicht gewinnbringend wäre. Die Nutzer ahnen manchmal noch nicht einmal, welche Gefahr es für die Funktionsfähigkeit ihres Computers, ihre persönlichen Daten oder gar ihr Geld bedeutet, wenn sie eine Spam-Mail öffnen.

Für die nächsten Monate prognostizieren wir die Rückkehr uns bereits bekannter Versendungen, die „sensationelle Neuigkeiten“ über den regierenden Präsidenten der USA, Barack Obama, enthalten. Zudem wird sich der Fokus der Phishing-Attacken weiter in Richtung soziale Netzwerke verschieben und möglicherweise auch in Richtung Online-Games. Die sommerliche Urlaubssaison steht bevor, in der Schüler und Studenten online am aktivsten sind. Beide Gruppen verfügen nicht über dicke Bankkonten, nutzen dafür aber verschiedene soziale Netzwerke und Online-Dienste.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.