Spam im August 2011

Der August in Zahlen

  • Der Spam-Anteil im E-Mail-Verkehr sank im Vergleich zum Juli um 0,9 Prozentpunkte und betrug durchschnittlich 80 Prozent.
  • Der Anteil an Phishing-Mails am gesamten E-Mail-Aufkommen stieg im Vergleich zum Juli um 0,01 Prozentpunkte und betrug 0,03 Prozent.
  • Im August enthielten 5,9 Prozent aller E-Mails schädliche Dateien – 1,2 Prozentpunkte mehr als im Vormonat.

Die wichtigsten Ereignisse des Monats

Spam mit schädlichen Anhängen: neue und fast vergessene Methoden

Im August nahm der Anteil von Spam mit schädlichen Anhängen erneut zu und machte 5,9 Prozent aller unerwünschten Nachrichten aus. Für den Versand ihrer schädlichen Mitteilungen wenden die Cyberkriminellen unterschiedliche Methoden an – sowohl bereits bekannte und bewährte als auch völlig neue.

Seit Ende Juli und über den ganzen August registrierten wir Mitteilungen, die als Benachrichtigungen der Paketdienste UPS, FedEX und DHL getarnt waren. Am aktivsten wurden diese Fälschungen zwischen dem 8. und 11. August verbreitet.

In den E-Mails wurde mitgeteilt, dass der jeweilige Paketdienst eine Sendung nicht zustellen konnte und man sie dringend aus der jeweiligen Niederlassung abholen müsse. Es gab noch andere Varianten der Benachrichtigung: Die Empfänger-Adresse sei nicht korrekt ausgefüllt worden oder dem Anwender werde demnächst ein Paket zugestellt. An alle Mitteilungen war ein Zip-Archiv gehängt, angeblich ein archiviertes Formular, das für die erfolgreiche Versendung beziehungsweise den Empfang des Pakets unbedingt ausgefüllt werden müsse.

Tatsächlich enthielten die Anhänge verschiedene schädliche Objekte. So waren in einer recht umfangreichen Versendung gefälschter Mitteilungen von UPS verschiedene Modifikationen des Schadprogramms Trojan-Downloader.Win32.FraudLoad angehängt. Am zahlreichsten waren die Versendungen verschiedener Modifikationen von Backdoor.Win32.Agobot. Dieser Schädling wurde in Mitteilungen verbreitet, die als Benachrichtigungen dreier Paket-Unternehmen getarnt waren: UPS, FedEX und DHL. Seltener trafen wir in derartigen E-Mails auf verschiedene Modifikationen des Trojaners Trojan.Win32.Yakes.cap. Die oben erwähnten Schädlinge laden weitere Schadprogramme auf den Computer des Anwenders.

Der Versand von gefälschten Benachrichtigungen der genannten Logistikunternehmen ist kein neuer Ansatz. Die Cyberkriminellen setzen diese Methode bereits seit mindestens zwei Jahren ein. Doch da die Spammer immer wieder darauf zurückgreifen, scheint sie nach wie vor effektiv zu sein.

Außerdem registrierten wir im August einige neue Tricks zur Schadcode-Verbreitung, die allerdings alle mehr oder weniger nach demselben Prinzip funktionieren: Je rätselhafter das Thema und je kürzer der Text, desto größer die Chance, die Neugier des Anwenders zu wecken. Insgesamt hatten wir es mit drei verschiedenen Arten von Mitteilungen zu tun:

  • Die erste enthielt im Betreff das Wort „Changelog“ und ein Datum. Text war in der Mitteilung praktisch nicht vorhanden. Er bestand im Wesentlichen aus einigen Wörtern, sinngemäß etwa „Wie versprochen“ oder „Siehe Anhang“.
  • Der Betreff der zweiten Gruppe lautete „End of July Statement required” oder „End of July Statement”. Im Text der Mitteilung hieß es, dass der Absender „wie angefragt” offene Rechnungen für einen bestimmten Tag übermittelt (meist mit Datumsangabe).
  • Die Mitteilungen der dritten Gruppe nannten sich „Interne Rechnungen von ATFT Corp.“ und teilten dem Empfänger mit, dass „die internen Rechnungen für das Jahr 2010” im Anhang zu finden seien. Außerdem wurde ihm für die „Unterstützung des Prozesses“ gedankt.


Interessant ist, dass alle Mitteilungen eindeutig aus ein und derselben Quelle stammen. Gleich waren nicht nur der Trick an sich und der Stil des Textes, sondern auch das Schema, nach dem die Zip-Archive benannt wurden: Auf irgendein tatsächlich existierendes Wort folgten ein Unterstrich und ein Datum, dann ein weiterer Unterstrich und schließlich ein lateinischer Buchstabe und ein oder zwei Ziffern.

Außerdem lässt sich eine Verbindung zwischen diesen Mitteilungen und den gefälschten Benachrichtigungen von Logistikunternehmen feststellen, von denen vorher die Rede war. Bei den in diesen Mitteilungen verbreiteten Schädlingen handelte es sich um verschiedene Modifikationen von Trojan.Win32.Yakes und Backdoor.Win32.Agobot.

Für die Verbreitung der Modifikationen von Trojan-Downloader.Win32.FraudLoad kam ebenfalls ein neuer Social-Engineering-Trick zum Einsatz. Die E-Mails waren als Benachrichtigungen der US-amerikanischen Polizei getarnt, die dem Empfänger mitteilte, er habe gegen die Straßenverkehrsordnung verstoßen und solle daher die an die E-Mail angehängte Quittung ausdrucken sowie an die zuständige Behörde schicken.


Die Cyberkriminellen suchen also nach neuen Mitteln, um die Aufmerksamkeit der Anwender auf sich zu ziehen. Vermutlich werden die alten Tricks mittlerweile von den meisten Leuten zweifelsfrei als Betrug entlarvt und bringen daher auch nicht mehr genügend Geld ein.

Bemerkenswert ist auch, dass die meisten schädlichen Anhänge früher in E-Mails verbreitet wurden, die mit „erotischen Fotos“ von „jungen Damen, die Kontakt suchen“ lockten oder mit „Skandalfotos von Prominenten“. Jetzt fälschen die Spammer aber offizielle Benachrichtigungen oder Geschäftskorrespondenz. Das liegt daran, dass die meisten Anwender kein Schadprogramm in einer E-Mail mit angehängten „geschäftlichen Dokumenten“ erwarten, die zufällig bei ihnen gelandet ist. Außerdem wimmelt es in Sozialen Netzwerken sowieso von „erotischen Fotografien junger Damen, die Kontakt suchen“. Daher sind interne Dokumente irgendeines Unternehmens für die Anwender heutzutage um einiges interessanter.

Aktuelle Themen in Spam: Ramadan

Da die Zielgruppe der Spammer international und multikulturell ist, gibt es auch Versendungen, die sich speziell an Muslime richten. In diesem Jahr fiel das islamische Ramadan-Fest in den August, und wie jedes Jahr gab es auch 2011 Spam-Mitteilungen zu diesem Thema.

In diesem Jahr registrierten die Experten von Kaspersky Lab gleich mehrere Versendungen, die „korrektes“ Essen während des Ramadan anpriesen. So erhielten wir zum Beispiel eine Versendung, in der Essenlieferungen mit Rabatt für die Zeit des Ramadan angeboten wurden. Eine andere Versendung pries ein Restaurant an, das nachts geöffnet ist, das heißt in der Zeit, in der Muslime während des heiligen Festes Nahrung zu sich nehmen dürfen.


Wir erinnern daran, dass Spam in erster Linie eine Bedrohung ist, die in jedem Fall bekämpft werden muss. Daher darf man Spam-Werbemitteilungen auch nicht wie gewöhnliche Werbung ansehen. Selbst eine äußerlich völlig harmlose E-Mail kann ein schädliches Skript enthalten. Die Spammer verschmähen weder das Geld ihrer Auftraggeber noch jenes, das sie erhalten, wenn sie den Anwendern Schadprogramme „frei Haus“ liefern.

Statistik

Spam-Herkunftsländer


Spam-Herkunftsländer im August 2011

Im August blieben die vier Spitzenpositionen im Ranking der Spam-Herkunftsländer unverändert. Nach wie vor werden sie von Indien (15,6 Prozent), Indonesien (11,7 Prozent), Brasilien (9,24 Prozent) und Peru (6 Prozent) besetzt.

Als einziges westeuropäisches Land in der Hitliste fiel Italien im August aus den Top 10 auf Platz neunzehn zurück (minus einen Prozentpunkt). In den Top 10 vertreten war hingegen Polen, von wo aus 1,3 Prozentpunkte mehr Spam verbreitet wurde als im Juli. Die Top 10 der Spam-Herkunftsländer setzte sich im August also ausschließlich aus asiatischen, lateinamerikanischen und osteuropäischen Ländern zusammen.

Russland belegt nach wie vor den elften Platz, allerdings hat sich der Anteil der aus diesem Land verbreiteten Spam-Menge im Vergleich zum Juli unwesentlich verringert. Auch der aus der Ukraine stammende Spam-Anteil ging um fast einen Prozentpunkt zurück.

Der Spam-Strom aus den zwei von uns im Juli hervorgehobenen Ländergruppen (Indien, Brasilien und Indonesien, Ukraine, Thailand, Peru) fließt weiterhin synchron.

Die lokalen Spam-Höchst- und Mindestwerte der ersten vier Länder Indonesien, Ukraine, Thailand und Peru haben sich auch im August ähnlich entwickelt, obwohl der aus Indonesien stammende Spam-Anteil im Laufe des letzten Monats zunahm und die aus den anderen drei Ländern versendete Spam-Menge geringer wurde. Trotzdem fallen die lokalen Höchst- und Mindestwerte dieser vier Länder zeitlich deutlich zusammen. Sehen Sie selbst:


Spam-Anteil von Indonesien, Peru, der Ukraine und Thailand
im Zeitraum vom 18. Juli bis zum 28. August

Die Kurven spiegeln die Versendungsdynamik von Indien und Brasilien wider und haben sich in den letzten zwei Augustwochen ein wenig voneinander entfernt. Doch die Veränderungen der Werte zu den aus diesen Ländern stammenden Spam-Mengen sind so unbedeutend, dass diese Abweichungen mit großer Wahrscheinlichkeit auf lokale Faktoren zurückzuführen sind – etwa das Vorhandensein anderer Botnetze in dieser Region, die von anderen Personen gesteuert werden.


Spam-Anteil von Indien und Brasilien im Zeitraum vom 18. Juli bis zum 28. August

In der Gruppe Vietnam, Südkorea, Russland und Italien gab es bei der der Entwicklung des Spam-Verkehrs keine Gemeinsamkeiten:


Spam-Anteil von Russland, Korea, Vietnam und Italien
im Zeitraum vom 27. Juli bis zum 28. August

Bei den lokalen Mindest- und Höchstwerten des aus Russland und Vietnam stammenden Spams gibt es einige Ähnlichkeiten, daher werden wir dieses Paar weiterhin beobachten.

Im August enthielten 5,9 Prozent aller elektronischen Mitteilungen schädliche Dateien – 1,2 Prozentpunkte mehr als im Vormonat.

Im Länder-Ranking nach Häufigkeit der Alarme von Kaspersky Mail-Anti-Virus ist Russland deutlich abgesackt. Der Anteil dieses Landes lag im August bei 8,96 Prozent und damit um 5,1 Prozentpunkte unter dem Juli-Wert. Als Folge belegte Russland den zweiten Platz und überließ damit den USA die Spitzenposition.

Der Anteil der USA nahm um 2,6 Prozentpunkte zu und stieg auf 10,1 Prozent, womit das Juni-Niveau wiederhergestellt wurde.



Verteilung der Alarme von Kaspersky Mail Anti-Virus nach Ländern im August 2011

Die Zahl der Alarme von Kaspersky Mail-Anti-Virus sank in Deutschland (5,45 Prozent) und Indien (5,1 Prozent) ebenso stark, wie sie im Vormonat gestiegen war, und zwar um 3,8 Prozentpunkte respektive 2,8 Prozentpunkte.

Deutlich gestiegen (plus 3,7 Prozentpunkte) ist der Anteil der Alarme von Kaspersky Mail-Anti-Virus in Japan. In diesem Land besteht die Top 20 der am häufigsten von Mail-Anti-Virus entdeckten Schadprogramme fast vollständig aus Modifikationen der bereits erwähnten Schädlinge Trojan.Win32.Yakes und Backdoor.Win32.Agobot.

Die beiden am häufigsten im E-Mail-Verkehr entdeckten Schadprogramme sind zwei uns seit langem bekannte Schädlinge:



Top 10 der im E-Mail-Verkehr verbreiteten Schadprogramme im August 2011

Auf Trojan-Spy.HTML.Fraud.gen, den traditionellen Spitzenreiter in der Hitliste, entfallen im August fünf Prozent der Alarme von Kaspersky Mail-Anti-Virus – 0,5 Prozentpunkte weniger als im Juli. Auf Position zwei befindet sich der E-Mail-Wurm Email-Worm.Win32.Mydoom.m. Hierbei handelt es sich um den einzigen E-Mail-Wurm im August-Ranking. Zur Erinnerung: Dieser Schädling erfüllt nur zwei Aufgaben: Er sammelt E-Mail-Adressen auf infizierten Rechnern und verschickt sich selbst an diese.

Den dritten Platz der Hitliste der am häufigsten von Kaspersky Mail-Anti-Virus aufgespürten Schadprogramme belegt der Schädling Trojan-Downloader.Win32.Deliver.ll. Trojaner dieser Familie stellten den größten Teil unseres Rankings im März dar. Bei diesem Schadprogramm handelt es sich um einen klassischen Trojan-Downloader, der ohne Wissen des Anwenders andere Schädlinge auf einem infizierten Computer installiert.

Vier der zehn Schadprogramme der Hitliste sind Modifikationen des oben erwähnten Trojan.Win32.Yakes. Sie belegen die Plätze vier, fünf, acht und neun.

Phishing

Der Anteil an Phishing-Mails im E-Mail-Verkehr ist im Vergleich zum Juli nur unwesentlich gestiegen und betrug 0,03 Prozent.

Die ersten vier Plätze im Ranking der am häufigsten von Phishern angegriffenen Organisationen blieben gegenüber dem Vormonat unverändert.


Top 10 der von Phishern angegriffenen Organisationen*

* Das Ranking wird auf der Grundlage des Anteils der im Netz verbreiteten Phishing-URLs erstellt. Es ist kein Indikator für den Sicherheitsgrad der angegebenen Organisationen, sondern spiegelt vielmehr die Popularität der verschiedenen Dienste unter Phishern wider. Wir weisen darauf hin, dass die Phisher bevorzugt Dienste angreifen, die unter Anwendern beliebt sind.

Der Aufstieg des Sozialen Netzwerks Orkut (6 Prozent) von Platz sieben auf Platz fünf der am häufigsten von Phishern angegriffenen Organisationen ist eine der wichtigsten Veränderungen im August.

Außerdem ist das nachlassende Interesse der Phisher an Online-Spielen interessant: RuneScape, das im Juli noch Platz sechs belegte, sackte um zwei Positionen ab (minus 1,1 Prozentpunkte). World of Warcraft – im Vormonat auf Platz zehn – ist im August gar nicht mehr in den Top 10 der am häufigsten von Phishern angegriffenen Organisationen vertreten, obwohl sich der Anteil der Angriffe auf dieses Online-Spiel nicht verändert hat.

Bemerkenswert ist der zehnte Platz der US-amerikanischen Bundessteuerbehörde IRS in unserem Ranking. In den nächsten Monaten wird diese Organisation weiter oben im Ranking stehen, denn die Abgabefrist für die Steuererklärungen der US-Bürger rückt näher, und in dieser Zeit steigt der Anteil der Phishing-Attacken auf die IRS regelmäßig an.

Spam-Themen


Thematische Spam-Kategorien im August 2011

Der englischsprachige Spam bestand im August fast zur Hälfte aus Betrugsspam. Vor dem Hintergrund des steigenden Anteils an schädlichen Anhängen dient das ein weiteres Mal als Anlass, die Nutzer zur Vorsicht im Netz aufzurufen.

Den zweiten Platz der unter Spammern beliebtesten Themen belegen Finanzthemen, darunter Angebote für zweifelhafte Kredite und Sofortverdienste. Der Anteil von Spam dieser Art stieg im Vergleich zum Juli um das Anderthalbfache.

Verdoppelt hat sich der Anteil der Mitteilungen „für Erwachsene“.

Gleichzeitig ging der Anteil der unerwünschten Nachrichten mit medizinischen Themen, einschließlich Werbung für Viagra und Tabletten zum Abnehmen, von 28 Prozent im Juni auf 4,5 Prozent im August deutlich zurück. Nicht weniger deutlich ging im Spam-Verkehr auch der Anteil der Werbung für Replikate hochwertiger Waren zurück.

So stieg im August im englischsprachigen Spam der Anteil an Mitteilungen, die nicht versuchen, den Anwendern irgendwelche Waren anzudrehen, sondern auf die Installation von Schadcode, den Diebstahl persönlicher Daten oder den Einbezug von Anwender-Computern in ein Betrugsschema abzielen.

Fazit

Der Anteil der schädlichen Anhänge im Spam-Verkehr nimmt weiterhin zu. In den letzten zwei Monaten stieg dieser Wert um ein Drittel. Insgesamt ist das eine normale Tendenz für die Sommermonate, denn während der Urlaubszeit, in der die Spammer weniger Aufträge von ihren Kunden erhalten, verlagern sie ihren Fokus auf die einträglicheren Versendungen der Partner-Programme. Partner-Programme, die den Spammern ein Honorar für die Installation von Malware zahlen, sind jederzeit recht beliebt, doch in den Sommermonaten nimmt ihre Popularität regelmäßig zu. Für die Verbreitung der Schadprogramme verwenden die Spammer sowohl neue als auch altbewährte Tricks. Die Aufrüstung des Arsenals der Cyber-Betrüger sowie der steigende Anteil von schädlichen Anhängen ist Anlass für uns, die Anwender wieder einmal daran zu erinnern, dass die Sicherheit des Computers in erster Linie von der Aufmerksamkeit und Vorsicht seines Besitzers abhängt.

Die thematische Zusammensetzung des englischsprachigen Spams zeugt auch davon, dass die in unerwünschten Nachrichten angepriesenen Waren sich während der Urlaubszeit keiner großen Nachfrage erfreuen. Daher sind die Cyberkriminellen gezwungen, nach anderen Methoden des Geldabgreifens, die nicht von der Kaufbereitschaft der Anwender abhängen, zu suchen.

Vermutlich nimmt im September der Anteil von schädlichem und betrügerischem Spam wieder ab, und auf den vorderen Plätzen des Rankings der Spam-Themen werden wieder Medikamente und Replikate hochwertiger Waren stehen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.