Spam im August 2009

Besonderheiten des Monats

  • Der Spam-Anteil im E-Mail-Traffic sank im Vergleich zum Juli um 0,6 Prozent und erreichte durchschnittlich 85,1 Prozent.
  • Links auf Phishing-Seiten befanden sich in 1,09 Prozent aller E-Mails, das entspricht einer Erhöhung um 0,06 Prozent gegenüber Juli.
  • Schädliche Dateien waren in 0,05 Prozent aller E-Mails enthalten, das sind 0,06 Prozent weniger als im Vormonat.
  • Die Spammer werben weiterhin mit dem Namen Michael Jackson und praktizieren in ihren E-Mails „Krisenmanagement“.
  • Um Werbefilter zu umgehen, verstecken die Spammer ihre Weblinks in HTML-Tabellen, deren Zellen jeweils unterschiedlich gefärbt sind.

Der Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic erreichte im August 2009 durchschnittlich 85,1 Prozent. Am ersten Tag des Monats wurde mit 76,3 Prozent der niedrigste Wert gemessen. Den meisten Spam erhielten die Nutzer des Runets* am 16. August mit 90,8 Prozent.

Spam-Anteil im Runet im August 2009

* Mit Runet ist das russische Internet gemeint.

Schädliche Anhänge waren in 0,05 Prozent aller E-Mails enthalten – 0,06 Prozent weniger als im Vormonat.

Im August 2009 in Spam-Mails enthaltene Schadprogramme

Es ist unschwer zu erkennen, dass sich die langsam verlaufende Epidemie von NetSky fortsetzt, denn fast die Hälfte der zehn am meisten im Spam verbreiteten Schädlinge gehört zu dieser Wurmfamilie. Der Virus-Wurm Email-Worm.Win32.NetSky verbreitet sich über infizierte Anhänge in E-Mails. Der Schädling versendet sich selbst an alle im infizierten Computer gespeicherten E-Mail-Adressen. Der Wurm wird aktiviert, wenn der Nutzer die infizierte Datei aufruft (Doppelklick auf den Anhang). Anschließend installiert sich der Wurm im System und startet seine Verbreitungs-Prozesse. Im August 2009 enthielten bereits 33 Prozent der infizierten Spam-Mails Würmer der NetSky-Familie.

Die zweite am meisten verbreitete Schädlingsfamilie ist Bredolab. Backdoor.Win32.Bredolab ist ein Trojaner aus der Familie der Backdoors und verbreitet sich über E-Mail-Anhänge. Um weniger Verdacht hervorzurufen, verwendet der Trojaner das Icon von Microsoft Excel, kommt jedoch mit der Erweiterung „exe“. Berücksichtigt man, dass die überwiegende Mehrheit der Anwender-PCs die Endung bekannter Dateiformate nicht anzeigt, erweist sich diese Methode als sehr erfolgreich. Nach dem Start des Trojaners wird der infizierte Computer in ein Botnet eingegliedert. Während der Schädling Daten aus der Kommandozentrale abfragt, lädt er weitere Module aus dem Internet: Entweder falsche Antiviren-Tools, die hunderte von Phantom-Schadprogrammen finden und für deren Beseitigung Geld fordern oder Spionageprogramme, die die Kennwörter der Nutzer stehlen. Ein solches Arbeitsschema erinnert stark an Net-Worm.Win32.Kido, der den Spam-Bot Iksmas und ein falsches Antivirus-Programm installiert. Der Anteil von Spam-Mails mit Schädlingen der Familie Bredolab lag insgesamt bei mehr als 32 Prozent.

Einer der Würmer aus der Familie MyTob nahm den zweiten Rang unter den Top 10 ein und war im August in 12,53 Prozent aller infizierten Spam-Mails enthalten. Die Epidemie von MyTob verläuft ebenso wie die Epidemie von NetSky recht langsam. MyTob ist ein Netz-Virus-Wurm, der Windows-Rechner infiziert. Der Schädling verbreitet sich über infizierte E-Mail-Anhänge und nutzt die beiden Windows-Schwachstellen LSASS (MS04-011) und DCOM RPС (MS03-026) aus. MyTob versendet sich an alle im infizierten Computer gefundenen E-Mail-Adressen. Der Wurm enthält eine Backdoor-Funktion, um Befehle über IRC-Kanäle zu empfangen.

Zur Verbreitung von schädlichen Anhängen verwenden die Spammer einen alten Trick: den Versand falscher eCards. Die „Karte“ befindet sich im Anhang mit dem Namen „etwas da.card.zip“, erweist sich tatsächlich aber als Trojaner der Familie Trojan-Spy.Win32.Zbot, der auf den Diebstahl persönlicher Daten abzielt. In einigen Fällen enthält die eCard den Schädling backdoor.irc.zapchast.zwrc, einem Backdoor, das den infizierten Computer über IRC-Kommandos mithilfe von mIRC steuert. Speziell diese beiden Viren waren am häufigsten in einer solchen „Karte“ anzutreffen.

Das Schadprogramm backdoor.irc.zapchast.zwrc kursierte auch in Spam-Mails, die sich dem Gedenken an Michael Jackson widmeten:

Klickten Nutzer auf den Link, wurden sie aufgefordert, eine exe-Datei herunterzuladen, die sich ebenfalls als Backdoor herausstellte.

Phishing

Links auf Phishing-Seiten befanden sich in 1,09 Prozent aller E-Mails, das sind 0,06 Prozent mehr als im Juli. Die bei Phishern so beliebten Webseiten PayPal und eBay wurden im Laufe des ersten Halbjahres am häufigsten angegriffen und verloren erst im August ihre Positionen. Der Anteil der Angriffe auf das zu Jahresbeginn führende Portal PayPal sank um die Hälfte (minus 21,54 Prozent) und erreichte insgesamt 18,65 Prozent. Der Leidensgefährte, das Internet-Auktionshaus eBay, wurde im August dreimal weniger häufig angegriffen als im Juli und kam auf einen Anteil von 10,05 Prozent (minus 19,96 Prozent). Die Bank CHASE befand sich im Vormonat nicht einmal unter den ersten zehn Plätzen der am häufigsten attackierten Organisationen, landete im August mit 30,60 Prozent aller Angriffe jedoch unerwartet auf Platz eins. Eine ähnliche Situation gab es bereits schon einmal im Dezember 2008, als CHASE sich ebenso unerwartet und von außerhalb der Top 10 auf den ersten Platz katapultierte. Damals betrug der Anteil der Phishing-Angriffe 55,9 Prozent! Die Bank of America machte verglichen mit dem Monat Juli nur einen Platz gut, dennoch stieg der Anteil der auf sie durchgeführten Angriffe beachtlich – bis auf 19,45 Prozent gegenüber 3,18 Prozent im Juli.

Unternehmen, die Phishing-Angriffen im August ausgesetzt waren

In einer an die Nutzer von PayPal gerichteten Phishing-Mail imitierten die Übeltäter die offizielle Mailadresse des Portals, indem sie den Buchstaben „l“ in PayPal durch die Ziffer „1“ ersetzten. Auf diese Weise war die gefälschte Adresse fast identisch mit der echten: service@PayPa1.com.

In einer englischsprachigen Spam-Nachricht wurde Kunden der Citibank angeboten, ihre persönlichen Daten in die zuvor gehackte Seite der freien protestantischen Kirche einzutragen.

Die wachsende Zahl von Phishing-Angriffen wurde Ende August besonders spürbar. In der letzten Woche dieses Monats erhöhte sich der Prozentsatz von Spam-Mails aus der Kategorie „Computerbetrug“ um 4,6 Prozent.

Spam-Herkunftsländer

Spam-Herkunftsländer

Im August gab es starke Veränderungen beim Ranking der Spam-Herkunftsländer. Den ersten Platz nahm Brasilien mit 11,8 Prozent ein. Das war allerdings weniger durch den steigenden Spam-Anteil bedingt, der sich insgesamt um 3,3 Prozent erhöhte. Vielmehr kam der Spitzenplatz von Brasilien durch den sinkenden Anteil der USA zustande (minus 21,33 Prozent im Vergleich zu Juli). Den zweiten Platz eroberte Polen mit 8 Prozent des weltweiten Spams, was einem Anstieg von 5,5 Prozent im Vergleich zu Juli entspricht. Die ersten fünf Plätze komplettieren dann drei asiatische Länder: Vietnam (6,83 Prozent), Indien (6,55 Prozent) und Korea (5,52 Prozent), die beim Spam-Versand zulegten und China sowie Russland aus der Fünfergruppe verbannten. China nahm im Juli den dritten Platz ein und rutschte im August auf den 9. Rang ab. Aus Deutschland kommt derzeit noch weniger Spam und so liegt das Land auf dem 21. Platz. Die Spam-Menge aus Deutschland nahm um 0,4 Prozent ab und betrug letztendlich 1,29 Prozent.

Die thematische Zusammensetzung von Spam

Die Verteilung der Spam-Themen im Runet im August 2009

Die Top Five der Spam-Themen im August:

  1. Bildung — 14,29 % (- 0,3 %)
  2. Gesundheit und Medikamente — 13,77 % (- 11,53 %)
  3. Replikate hochwertiger Waren — 10,38 % (+ 3,58 %)
  4. Werbung für Spammer-Dienstleistungen — 9,89 % (- 5,51 %)
  5. Erholung und Reisen — 8,96 % (+ 5,66 %)

Hervorzuheben ist auch der Anstieg des Themengebiets „Computerbetrug“, das sich nicht unter den Top Five befindet. Im Vergleich zum Vormonat hat sich der Anteil betrügerischer Spam-Mails fast verdoppelt und im August 7,5 Prozent erreicht (plus 3,4 Prozent).

Im August setzten die Spammer den Namen des verstorbenen King of Pop Michael Jackson weiterhin zur Verbreitung ihrer Machwerke ein. So führte der Klick auf ein nach einer oft genutzten Spammer-Methode mit „Rauschen“ versehenes Foto, das sich in einer Spam-Mail mit dem Betreff „Michael Jackson dead? NO!!!“ befand, auf eine Seite mit Viagra-Werbung.

In deutschsprachigen Spam-Mails häufen sich dagegen nach wie vor Angebote für Arbeit und Kredite.

Die vielversprechendste Offerte unter derartigen Angeboten war diese:

An sich ist der Text dieser E-Mail nicht gerade originell, Betreffzeile und Link erscheinen aber mehr als arglistig.

Des Weiteren kursierten diesen Monat eine Menge Spam-Nachrichten, in denen angeblich Frauen die Bekanntschaft mit deutschen Bürgern suchten. Entgegen der bisherigen Taktik stammten die heiratswilligen Bräute im August erstmals nicht mehr nur aus Russland. Hier ein Beispiel für eine Spam-Mail mit dem Angebot eines „Mädchens aus den USA“:

Die vom „Mädchen“ gemachten grammatischen Fehler sind identisch mit den Fehlern anderer „Bräute“ aus anderen Ländern. Darüber hinaus ist der Satz „Mir 30 Jahre“ eine in der russischen Sprache übliche Satzkonstruktion. Wenn Sie auf eine derartige E-Mail einer schönen jungen Amerikanerin antworten, beginnen Sie also unzweifelhaft einen Briefwechsel mit einem schneidigen Spammer aus Russland.

Außergewöhnlicher Spam

Neue Technologien beeinflussen immer stärker alle Bereiche unseres Lebens, so auch das religiöse Umfeld. Weltweit betreiben viele Kirchen zum Beispiel eigene Webseiten. Ein weiteres Beispiel ist eine Twitter-Seite, auf der Menschen Gebete schicken können, die später an der Klagemauer platziert werden. Jetzt kommt Spam ins Spiel – ein gewisser James aus den USA verschickte im August Spam-Mails mit dem Angebot, für alle Interessenten zu beten:

Der in der E-Mail enthaltene Link führt zu einer Webseite, auf der weder darum gebeten wird, eine teure SMS zu versenden noch Geld auf ein Bankkonto zu überweisen. Es ist lediglich notwendig, seine Kontaktdaten anzugeben und James mitzuteilen, wofür er beten soll. Das Ansinnen ist unbestritten edelmütig, doch wer mit Spam-Mails für sein Ansinnen wirbt, ruft auch Zweifel an seiner Ehrlichkeit hervor.

Methoden und Tricks der Spammer

Im August griffen die Spammer erneut zu einer längst aufgegebenen Methode: Ein Weblink wird durch die eingefärbten Zellen einer HTML-Tabelle „gezeichnet“. Allem Anschein nach war uns nur vorläufig eine Pause vor solchen Spam-„Mosaiken“ gegönnt, währenddessen haben die Spammer ihre Einfärbe-Kunst verfeinert. Aus vormals unleserlichen Texten wurden qualitativ hochwertige Bilder.

Der größte Mangel dieser Methode besteht darin, dass einige Nutzer sich E-Mails nicht im HTML-Format, sondern im Textformat anzeigen lassen. Dann ist die schöne Grafik jedoch nicht sichtbar. Solche Spam-Mails sind außerdem nichts für Faulpelze: Die mittels HTML-Tabelle gezeichnete Adresse lässt sich nicht anklicken, sondern der Nutzer muss den Weblink selbst im Browser eingeben. Sogar die neugierigsten und unvorsichtigsten Nutzer werden dies in der Regel nicht machen.

Kaspersky Lab registrierte einige Spam-Mails, die ziemlich gekonnte Fälschungen offizieller Mitteilungen waren. Die Spammer bemühten sich, neben der Absenderadresse auch andere technische Aspekte der E-Mails zu fälschen.

Deutsche Spammer wandten sich auch einer alten Methode zu und spielten in ihrer Viagra-Werbung mit Buchstaben: Sie wechselten deren Plätze in einem Wort nach dem Zufallsprinzip, entfernen einige Zeichen oder fügten überflüssige Buchstaben hinzu. Darüber hinaus kürzten sie auf zufällige Art und Weise Schlüsselwörter in der Mail. So kann das Wort Viagra als V, Vi, Via oder Vgra geschrieben werden. Offenbar muss der Nutzer selbst erraten, was sich hinter dem V verbirgt, das ihm sehr preiswert angeboten wird.

Der Einsatz einer solchen Methode macht eine Mail jedoch weniger verständlich, was nicht im Sinne des Spammers ist.

Fazit

Der August war nicht gerade reich an Aufsehen erregenden gesellschaftlichen Ereignissen, die die Spammer als Aufhänger für ihre zahlreichen Spam-Mails hätten verwenden können. Deshalb griffen sie erneut auf den Tod von Michael Jackson als Thema zurück.

Die Internetbetrüger wurden im August aktiver. Die zunehmende Zahl von Phishing-Mails, nigerianischen Briefen, Angeboten russischer sowie anderer heiratswilliger Frauen und zweifelhaften Verdienstmöglichkeiten hat die Anzahl der Betrugsopfer unausweichlich erhöht.

Da die Aktivität von Cyberkriminellen deutlich zugenommen hat, sollte man unbedingt einige grundlegende Sicherheitsregeln beachten: keine persönlichen Daten oder Kennwörter an verdächtige unbekannte Adressen senden, keine Anhänge öffnen und nicht auf Links klicken, die in Spam-Mitteilungen enthalten sind. Natürlich ist auch immer ein aktives und aktuelles Antiviren-Programm Pflicht.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie der Autoren frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.