Spam im April 2013

Inhalt

    Der April in Zahlen

    • Der Spam-Anteil im E-Mail-Traffic stieg im April um 2,1 Prozentpunkte und betrug 72,2 Prozent.
    • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen hat sich im Vergleich zum März auf ein Drittel reduziert und betrug 0,002 Prozent.
    • Im April enthielten 2,4 Prozent aller elektronischen Mitteillungen schädliche Anhänge, das ist ein um 1,6 Prozentpunkte geringerer Wert als im Vormonat.

    Die wichtigsten Ereignisse des Monats

    Im April stieg die Zahl der Spam-Mails geringfügig an, und zwar um 2,1 Prozentpunkte. Der Anteil an „Feiertags-Spam“ ging zurück, doch die Spammer nutzten das Thema Ostern weiterhin für den Versand von betrügerischen E-Mails und Mitteilungen mit Werbung für Waren und Dienstleistungen aus. Zudem setzten die Betrüger die Namen von weltweit berühmten Politikern sowie die tragischen Ereignisse in den USA ein, um die Aufmerksamkeit der Nutzer zu gewinnen.

    Die Ereignisse in den USA im Schadspam

    Die Aufsehen erregenden Ereignisse des Monats sind – wie immer – auch an den Spammern nicht unbemerkt vorübergegangen. Im April nutzten die Cyberkriminellen das Interesse der Anwender an den tragischen Ereignissen in den USA zu ihren Zwecken aus – den Bombenanschlag auf den Boston Marathon und die Explosion in einer Düngemittelfabrik in Texas.

    Bereits einen Tag nach dem Anschlag in Boston registrierte Kaspersky Lab im Spam-Traffic mehrere Versendungen mit schädlichen Dateien oder Links. Eine dieser Versendungen haben wir in unserem Blog genauer beschrieben.

    Die als Versendungen bekannter Nachrichtenseiten (CNN und BBC) getarnten E-Mails enthielten provokante Betreffzeilen und Links, die angeblich zu einem Artikel über die tragischen Ereignisse führten. Mit einem Klick auf einen derartigen Link landete der Anwender auf einer Webseite der Cyberkriminellen, die sein System unter Verwendung des Exploit-Packs Blackhole 2 angriff. War die Attacke erfolgreich, wurde die Spionage-Malware Backdoor.Win32.Papras.ppk auf den Computer geladen. Dieses Programm ist zum Diebstahl von Informationen aus den geschützten Verbindungen des Browsers (HTTPS), von Cookies, Screenshots, Daten über den Computer (installierte Programme, Systemkonfiguration) und deren Weiterleitung an die Cyberkriminellen bestimmt.


    Das Kaspersky-Team hat eine solche schädliche Versendung bereits im ersten Quartal 2013 beobachtet. In den E-Mails mit absolut gleicher Aufmachung bezogen sich die Online-Gangster allerdings auf im März aktuelle Geschehnisse, die den neuen Papst betrafen.

    Im Rahmen einer anderen Versendung verbreiteten Cyberkriminelle Links auf Webseiten mit den Wörtern „texas“, „boston“ und „news“ in der Adresse. Klickte der Anwender auf einen solchen Link, geriet er auf eine Seite mit einer Auswahl von Videoaufnahmen der Explosionen, die von YouTube stammten. Auf dieser Seite befand sich zudem ein Exploit, das ein Schadprogramm auf den Computer lädt, welches Kaspersky Lab unter der Bezeichnung Trojan-PSW.Win32.Tepfer führt. Internet-Kriminelle setzen diesen Trojaner zum Diebstahl von Anwender-Accounts ein (Benutzername und Kennwort).


    Betrug

    Auch im April verwendeten „nigerianische“ Betrüger wieder die Namen bekannter politischer Führungspersönlichkeiten in ihren E-Mails – dieses Mal spielten Barack Obama und der Sohn von Muammar al-Gaddafi die Hauptrollen. In einem im Namen eines Angestellten des Weißen Hauses verfassten Schreiben hieß es, der US-amerikanische Präsident verschenke 100 Goldbarren an Notleidende auf der ganzen Welt, und ausgerechnet der Empfänger der E-Mail gehöre zu den künftigen Besitzern des wertvollen Metalls. Eine „nigerianische“ E-Mail in deutscher Sprache, die angeblich von einem Assistenten des Sohnes des ehemaligen lybischen Staatspräsidenten Gaddafi versendet wurde, enthielt hingegen die traditionelle Bitte um Hilfe bei der Ausschleusung und Investition eines Millionenvermögens.


    Der Ablauf eines solchen Betrugsschemas ist immer gleich: Sobald das Opfer auf das Schreiben reagiert, bitten die Betrüger um eine geringe Summe Geldes, um damit die Auslagen des Vermittlers oder die Ausstellung von Dokumenten zu bezahlen. Die Spammer zählen darauf, dass die große Differenz zwischen dem verlangten und dem für die Hilfe versprochenen Geld das potenzielle Opfer seine Vorsicht vergessen lässt und es dann auf den Vorschlag der Cyberkriminellen eingeht.

    „Nigerianische“ Betrüger haben nicht nur versucht, die Aufmerksamkeit ihrer Opfer durch das Versprechen von leicht verdientem Geld auf sich zu ziehen, sondern auch durch gute Wünsche zum Osterfest – der Feiertag wurde sowohl im Betreff als auch zu Beginn des Schreibens erwähnt.

    Auch in den traditionellen betrügerischen Benachrichtigungen über einen Lotteriegewinn tauchte das Osterfest auf – die Betreffzeile enthielt das Wort „Ostern“. Um den Anwender in die Irre zu leiten, enthielt eine der E-Mails mit einem solchen Betreff einen Link auf eine legitime Webseite einer tatsächlich existierenden Firma, die sich mit der Organisation von Lotterien befasst. Allerdings hatte dieses Unternehmen keinerlei Verbindung zu der von den Betrügern initiierten „Lotterie“.

    Feiertags-Spam

    Obwohl das Osterfest in den westlichen Ländern bereits Ende März gefeiert wurde, setzten die Spammer die Feiertagsthematik auch im April weiter ein, um Imitationen von Luxuswaren zu bewerben und Kredite anzubieten. So boten die Spammer den Empfängern in einer Versendung einen speziellen „Ostercode“ an, mit dem Kunden nachgemachte Luxusuhren mit einem Rabatt von 50 Prozent erwerben können.


    Im April registrierten die Kaspersky-Experten erneut Versendungen, die Bezug auf den Muttertag nahmen. Die Themen waren unverändert – Blumen und Luxusartikel.


    Zudem registrierten wir eine Versendung mit Werbung für Zigarren zum Vatertag, der in den USA traditionell im Juni begangen wird.


    Statistik

    Spam-Herkunftsländer

    Im April 2013 blieb das Führungstrio der Länder, die weltweit am meisten Spam versenden, unverändert. An erster Stelle steht erneut China (23,9 %), obwohl dessen Anteil um fast zwei Prozentpunkte zurückging. Der aus den USA stammende Spam-Anteil ging geringfügig auf 16,8 Prozent zurück, und das Land behauptete den zweiten Platz im Gesamtrating. Insgesamt stammten im April etwa 41 Prozent des weltweiten Spam-Aufkommens aus diesen beiden Ländern.


    Spam-Herkunftsländer weltweit

    Position drei belegt Südkorea (11,4 %), dessen Anteil im April um 1,5 Prozentpunkte zulegte. Taiwan behauptete seinen Platz unter den ersten Fünf mit 5,5 Prozent. Indien, das im März Position fünf belegte, büßte insgesamt nur 0,5 Prozentpunkte ein, sackte dadurch aber vier Ränge nach unten und belegt mit einem Wert von 2,9 Prozent nun den neunten Platz. Aufgerückt auf Platz fünf ist hingegen Vietnam (4 %). Der Anteil Russlands am weltweiten Spam-Aufkommen (3,3 %) ist um einen Prozentpunkt gestiegen, so dass es vom zehnten auf den siebten Platz aufstieg. Deutschland (1,6 %), im März noch auf Rang acht, verlor einen Prozentpunkt und befindet sich nun auf der 12. Position im Rating. Der Anteil Italiens ging um 2,1 Prozentpunkte zurück und das Land rutschte vom sechsten auf den 14. Platz.


    Spam-Herkunftsländer für Europa

    Im April stand erneut Südkorea an der Spitze der Länder, die Spam nach Europa versenden, wobei der Anteil dieses Landes um 6,6 Prozentpunkte gestiegen ist und damit 43,4 Prozent betrug. Der aus China stammende Spam-Anteil ging hingegen deutlich zurück und lag bei insgesamt 3,7 Prozent, wodurch das Land von dem zweiten auf den fünften Rang abrutschte.

    Die USA (6,7 %) sind nach wie vor unter den ersten drei Ländern vertreten, wenngleich der Wert um 3,4 Prozentpunkte zurückging. Vietnam sprang mit 5,2 Prozent vom fünften auf den dritten Platz. Italien, das im März noch den vierten Rang belegte und dessen Wert im April nur noch weniger als ein Drittel des März-Anteils betrug, belegt mit einem Ergebnis von 1,9 Prozent nun den elften Platz.


    Spam-Quellen nach Regionen

    Bei den Spam-Herkunftsregionen bleibt Asien mit 55,7 Prozent Spitzenreiter. Die Positionen zwei und drei belegen im April wie bereits im Vormonat Nordamerika (17,6 %) und Osteuropa (13,6 %).

    Schädliche Anhänge und Links

    Der Anteil an schädlichen Anhängen im E-Mail-Traffic ging im April um 1,6 Prozentpunkte zurück und betrug damit 2,4 Prozent am gesamten E-Mail-Aufkommen.


    Top 10 der via E-Mail verbreiteten Schadprogramme

    Das am häufigsten im E-Mail-Traffic vertretene Schadprogramm ist und bleibt Trojan-Spy.HTML.Fraud.gen. Zur Erinnerung: Bei diesem Trojaner handelt es sich um eine HTML-Seite, die sich als Registrierungsformular für das Online-Banking tarnt. Gibt der Anwender seine Zugangsdaten in die entsprechenden Felder ein und klickt anschließend auf den „Senden“-Button, fallen diese persönlichen Daten Verbrechern in die Hände.

    Auf Position zwei landete im April das Schadprogramm Email-Worm.Win32.Bagle.gt. Dieser Wurm versendet eine Kopie seiner selbst an die Kontakte aus dem Adressbuch des Anwenders (Standardfunktionalität bei dieser Art von Schädlingen) und ist zudem in der Lage, sich mit einem Steuerungszentrum zu verbinden, um andere Schadprogramme auf den infizierten Computer zu laden.

    Platz drei belegt das Schadprogramm Backdoor.Win32.Androm.pta. Schädlinge dieser Art ermöglichen es Cyberkriminellen, einen damit infizierten Computer unbemerkt zu steuern, andere schädliche Dateien auf das System zu laden und sie zu starten, verschiedene Informationen vom Computer zu versenden und vieles mehr. Zudem werden mit einem solchen Programm infizierte Computer nicht selten an ein Botnetz angeschlossen. Im Jahr 2013 sind Backdoors aus der Familie Backdoor.Win32.Androm häufig in den Top 10 vertreten, was möglicherweise mit den Versuchen Cyberkrimineller zusammenhängt, neue Zombienetze aufzubauen.

    Auf Platz vier befindet sich der Trojaner Trojan-PSW.Win32.Tepfer.hjva, der für den Diebstahl von Passwörtern zu Anwender-Accounts entwickelt wurde.

    Die Positionen fünf, acht und neun werden von Schadprogrammen der Familie Trojan.Win32.Bublik besetzt. Sie sammeln auf einem infizierten System FTP-Passwörter, Zugangsdaten zu E-Mail-Accounts und Zertifikate. Außerdem ist dieser Trojaner in der Lage, Formulare in den Browsern Mozilla Firefox und Google Chrome nach gespeicherten Benutzernamen und Passwörtern zu durchsuchen. Gefundene Daten sendet das Programm an die Cyberkriminellen.


    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern

    Nach wie führen die USA mit 12,4 Prozent und Deutschland mit 10,7 Prozent das Rating der Länder an, in denen Kaspersky Anti-Virus am häufigsten Alarm schlug. Im April landete Großbritannien (6,8 %) auf dem dritten Platz. Darüber hinaus blieb die Zusammenstellung der attackierten Länder weitestgehend unverändert.

    Im April verwendeten die Spammer häufig den Namen des internationalen Logistikunternehmens DHL, um gefälschte Benachrichtigungen mit schädlichen Anhängen in Umlauf zu bringen. Das Kaspersky-Team hat gleich mehrere Versendungen in englischer und holländischer Sprache registriert.

    In einem Schreiben in englischer Sprache wurde der Empfänger darüber informiert, dass ein Kurier des Postdienstleisters ein Paket angeblich nicht zustellen konnte und der Adressat es nun selbst abholen müsse. Um das Paket ausgehändigt zu bekommen, müsse er auf jeden Fall den im angehängten Archiv enthaltenen Paketschein ausdrucken. Cyberkriminelle versuchen stets, auf den Empfänger einzuwirken, so auch in diesem Fall: Sie teilten ihm mit, dass er für die Aufbewahrung des Paketes eine Strafe zahlen müsse. Die Höhe der Summe und die Frist, innerhalb der das Paket abzuholen sei, variieren von E-Mail zu E-Mail.

    Im angehängten Archiv „DHL.REPORT.ID680.zip“ befand sich die Datei „DHL.REPORT.F3B5DJ7.exe“ (die Bezeichnung des Archivs unterschied sich lediglich durch die Zahlenkombinationen, der Name der darin enthaltenen ausführbaren Datei war immer gleich). Selbstverständlich enthielt diese Datei keinerlei Paket-Informationen, sondern es handelte sich dabei um ein trojanisches Programm der Familie ZBot (ZeuS), und zwar um Trojan-Spy.Win32.Zbot.krhu.


    ZeuS wird seit 2007 aktiv nicht nur zum Diebstahl von Anmeldeinformationen zum Online-Banking eingesetzt, sondern auch für den Aufbau von Botnetzen. Dank der einfachen Konfiguration und der Benutzerfreundlichkeit, wenn es um den Diebstahl von Webdaten geht, stieg ZeuS zu einem der gefährlichsten und am weitesten verbreiteten Spionage-Programme auf.


    In einer auf Holländisch verfassten E-Mail hieß es, dass sich in der angehängten Datei die Rechnung für die von DHL geleisteten Dienste befinde. Tatsächlich befand sich im Archiv „Uw recentste DHL factuur.zip“ die schädliche Datei „Uw recentste DHL factuur.pdf.exe“, die Kaspersky-Lab-Produkte mit heuristischen Methoden als Trojan.Win32.Generic erkennen.

    Gefälschte Mitteilungen von Online-Shops erfreuen sich unter Cyber-Gangstern, die schädliche Dateien versenden, ebenfalls großer Beliebtheit. Im April registrierten die Kaspersky-Experten eine Versendung gefälschter Benachrichtigungen im Namen des deutschen Versandhauses Otto. Auf den ersten Blick war in der E-Mail mit „otto-newsletter“ ein scheinbar legitimer Absender angegeben – eine unter Betrügern sehr beliebte Methode, um den Empfänger in die Irre zu führen.


    In dem Schreiben wird dem Nutzer im Namen des Unternehmens für die Bestellung gedankt, doch es ist in keiner Weise die Rede davon, dass der Empfänger die angehängte Datei öffnen müsse. Die Betrüger setzen ganz offensichtlich darauf, dass der Anwender aus eigener Initiative beziehungsweise aus Neugier das „Archiv „Besstellung_bei_OTTO.zip“ öffnet. Es enthält eine schädliche Datei, die Kaspersky Lab als Trojaner der Familie Trojan.Win32.Bublik führt. Der Schädling wird von Cyberkriminellen auf einem infizierten Computer zum Sammeln von gespeicherten Login-Daten, Passwörtern und anderen wertvollen Informationen genutzt. Im April belegte eines der Programme aus dieser Familie den fünften Platz unter den am häufigsten via E-Mail verbreiteten Schadprogrammen.

    Phishing

    Im April reduzierte sich der Anteil an Phishing-Mails gegenüber dem Vormonat auf ein Drittel und betrug insgesamt 0,002 Prozent.


    Top 100 der im April 2013 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

    Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Im April gab es in den Top 5 der am häufigsten von Phishern angegriffenen Organisationen keine wesentlichen Veränderungen. Die Sozialen Netzwerke behaupten weiterhin die Spitzenposition nach Anzahl der Phishing-Attacken – ihr Wert stieg um einen Prozentpunkt an und betrug insgesamt 35,5 Prozent. Zum Führungstrio gehören außerdem die Finanz- und Bezahlorganisationen (17 %) sowie die Suchsysteme (15,3 %), die die Positionen zwei respektive drei belegen.

    Den vierten Rang behaupteten die IT-Anbieter (9,1 %), und abgeschlossen werden die Top 5 von den Mobilfunk- und Internetprovidern mit 8,7 Prozent.

    Fazit

    Der Vorhersage von Kaspersky Lab entsprechend ging der Anteil von „Feiertags-Spam“ im April zurück. Wir registrierten zwar Versendungen, die das orthodoxe Osterfest zum Inhalt hatten, allerdings benutzten die Spammer diese Thematik nicht nur dazu, Waren und Dienstleistungen zu bewerben, sondern auch, um die Anwender zu betrügen. Es fanden sich auch nicht wenige betrügerische Versendungen, die die Namen bekannter politischer Führungspersönlichkeiten ausnutzten.

    Tragische Ereignisse lassen sich Spammer nur selten entgehen, und auch der April 2013 bildete hier keine Ausnahme. Nach zwei Explosionen in den USA, die das weltweite Interesse auf sich zogen, wurde das Internet mit schädlichen Versendungen überschwemmt, die diese tragischen Ereignisse ausnutzten. Insgesamt ist der Spam-Anteil im April geringfügig gestiegen.

    Ein Großteil des weltweiten Spam-Aufkommens wurde im April aus China und den USA verbreitet. Für den nach Europa gesendeten Spam war in erster Linie Südkorea verantwortlich: Zusammen mit den USA (2. Platz) verschickte dieses Land die Hälfte der für Europa bestimmten unerwünschten Mitteilungen. Vietnam schließt das Führungstrio in diesem unrühmlichen Rating ab.

    Der Anteil von Phishing-Mails hat sich auf ein Drittel reduziert, bei der Verteilung der von Phishern angegriffenen Organisationen gab es allerdings keine wesentlichen Veränderungen. Wie bereits im vorangegangenen Monat sind die Sozialen Netzwerke nach Anzahl der Attacken führend, und es steht zu erwarten, dass sie auch im Mai ihre Position behaupten werden. Möglicherweise wird der Wert der Online-Spiele im folgenden Monat zunehmen: Während der Ferienzeit sind Schüler und Studenten traditionell aktiver, was die Nutzung von verschiedenen Sozialen Netzwerken und Game-Services angeht.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.