Spam im August 2012

Inhalt

Der August in Zahlen

  • Der Spam-Anteil im E-Mail-Traffic sank im Vergleich zum Juli um 1,6 Prozentpunkte und betrug durchschnittlich 70,2%.
  • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen blieb im Vergleich zum Juli unverändert und betrug 0,01%.
  • Im August enthielten 3,9% aller E-Mails schädliche Dateien.

Die wichtigsten Ereignisse des Monats

Sommerende – die gefährlichste Zeit

Die Spam-Versendungen im Sommer insgesamt haben ein größeres kriminelles Potential – der Anteil von Werbung für illegale Waren, die über Partner-Programme wird verbreitet, nimmt zu, ebenso wie der Anteil von betrügerischen Mitteilungen und Nachrichten, die schädlichen Code enthalten. Gleichzeitig bewerben die Spammer verstärkt ihre eigenen Dienstleistungen sowie die Dienste anderer Vertreter des Cyberkriminellen-Business. Kurz gesagt – im August erreicht die kriminelle Spam-Aktivität ihren Höhepunkt.

Zunahme schädlicher Anhänge

Der Anteil schädlicher Anhänge ist bereits im Juli deutlich angestiegen, als deren Anteil 4,5% am gesamten E-Mail-Traffic betrug. Im August sank dieser Wert, doch er hält sich mit 3,9% immer noch auf sehr hohem Niveau.

Für die Verbreitung schädlicher Anhänge steht Cyberkriminellen ein breites Spektrum an Fallstricken zur Verfügung. Üblicherweise lassen sich die unter Schädlings-Verbreitern beliebtesten Tricks sehr einfach ausmachen – im letzten Monat war der schädliche Traffic beispielsweise ziemlich gleichförmig.


Eine Neuheit in der Trickkiste der Spammer ist eine Methode, die früher ausschließlich von Phishern verwendet wurde: Die Spammer drohen dem Anwender mit der Blockierung ihrer Bankkarte, um sie dazu zu bringen, einen Anhang zu öffnen, in dem angeblich nähere Informationen enthalten sind.

Zu den jüngsten „Innovationen“ der Spammer gehört eine Versendung gefälschter Benachrichtigungen über eine Hotelbuchung. Diese Methode kam im Juni erstmals zum Einsatz und wurde im Laufe des gesamten Sommers verwendet. Im August fanden sich im Traffic allerdings praktisch keine gefälschten Online-Tickets für Flüge mit verschiedenen Airlines mehr.

Es gab auch recht „abstrakte“ Ansätze, mittels derer die Neugier der Anwender geweckt werden sollte. Dazu gehören kurze Mails, die über den Erhalt eines Dokumentenscans informieren oder angeblich Details zu irgendeiner Transaktion enthalten.

Aber auch alte Tricks kamen zum Einsatz, wie etwa schädliche E-Cards, Mitteilungen großer Postdienstleister über die Unzustellbarkeit eines Paketes oder gefälschte Benachrichtigungen von Google über den Erhalt eines Bewerberschreibens.

Angesichts dieser Fülle von betrügerischen Methoden kamen selbst die Cyberkriminellen ins Schleudern: Auf der oben stehenden Abbildung (rechte untere Ecke) ist zu erkennen, dass in einer gefakten Mitteilung von DHL über die Unzustellbarkeit eines Pakets, im Feld „From“ die Adresse Booking.com angegeben ist, und in einer angeblich von der Bank of Amerika stammenden Nachricht (links in der Mitte) ist als Absender Fedex angegeben. Derartige Verwirrungen kamen in den Spam-Versendungen im August recht häufig vor.

Ausnutzung legaler Dienste

Cyberkriminelle nutzen häufig legale Dienste aus, um betrügerische Versendungen abzusetzen. Die Platzierung von Spam-Content auf legalen Plattformen birgt einerseits die Gefahr für die Versender, dass die Dienste schnell reagieren und die Spam-Inhalte löschen. Andererseits gibt es eine Menge offensichtlicher Vorteile: Die legalen und kostenlosen Services sind für absolut jedermann zugänglich und umsonst, unter anderem auch für Spammer; unter Verwendung von Links auf legale Ressourcen ist es leichter, den Anti-Spam-Schutz zu umgehen, und der Anwender zögert weniger, auf einen Link zu klicken, wenn dieser auf eine ihm bekannte Ressource führt.

Im August registrierten wir erneut Phishing-Mitteilungen, deren wesentlicher Spam-Content sich auf dem Dienst google.docs befand. Auch in diesem Segment von betrügerischen Mitteilungen gab es Neuheiten – nigerianische Spammer verwendeten zur Versendung ihrer Mitteilungen den Yahoo-Kalender.


Die oben stehende Nachricht enthält nicht nur einen Link auf einen legalen Service, sondern sie wurde auch mit Hilfe des Links versendet, wodurch die technischen Header der Spam-Mitteilungen völlig legal erscheinen. Vom technischen Standpunkt aus gesehen unterscheidet sich diese Methode nur wenig vom Versand mit offenen Mail-Diensten, wie etwa mail.google.com oder mail.ru.

Werbung der Cyberkriminellen

Neben der Eigenwerbung der Spammer fanden sich in den Spam-Strömen im August auch Mitteilungen, in denen Dienstleistungen anderer Vertreter des Cyberkriminellen-Business beworben wurden. Erwähnenswert ist dabei eine Versendung mit dem Angebot, Kopien von Kreditkarten zu Geld zu machen. Die Betrüger nehmen die Dienste Dritter in Anspruch, um vom Geldautomaten Bares mit gefälschten Karten abzuheben. Interessant ist, dass die im Spam-Strom verbreiteten Verdienstangebote meist auf derartige Tätigkeiten hinauslaufen, es in den Spam-Mails aber meist nicht offen ausgesprochen wird.


Häufig fanden sich im August auch Briefe, in denen Adressen-Datenbanken für verschiedene Regionen zum Kauf angeboten wurden – von europäischen Ländern bis zum Iran. Bereits zu Zeiten der Krise in den Jahren 2008/2009 gab es Verkaufsangebote für Datenbanken zum Spam-Versand in die Gebiete solcher Staaten, in denen Spam selten zum Einsatz kommt. Man kann sagen, dass solche Angebote von wirtschaftlichen Schwierigkeiten im Spam-Business zeugen.

Statistik

Spam-Herkunftsländer

Unten stehend ein grafischer Überblick über die Länder, aus denen die Anwender in Europa unerwünschte Nachrichten erhielten.

Länder, aus denen am meisten Spam nach Europa versendet wurde, August 2012 (TOP 20)

Die Verteilung der Quellen des nach Europa gesendeten Spam hat sich im August nur unwesentlich geändert. Die ersten 7 Positionen der TOP 20 haben sich gegenüber dem Juli überhaupt nicht verändert. Dabei stieg der Anteil unerwünschter Nachrichten, die aus China stammen, um sechs Prozentpunkte, was folglich zu einer Verringerung des prozentualen Anteils der anderen Staaten führte.

Auch global gesehen nimmt China unter den Spam-Herkunftsländern wieder die Führungsrolle ein (31,5%). Platz zwei belegen die USA mit 15,7%, und auf Rang drei steht nach wie vor Indien mit einem Anteil von 12,4%.

Schädliche Anhänge

Im August enthielten 3,9% aller elektronischen Mitteilungen schädliche Dateien, das ist um 0,5 Prozentpunkte weniger als im Vormonat.

Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern

Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern im August 2012

Im Länderrating nach Alarmen des Mail-Antivirus stehen bereits den achten Monat in Folge die USA an der Spitze. Allerdings sank der Anteil der Alarme von Kaspersky Mail Antivirus auf amerikanischem Gebiet im August um fast 3 Prozentpunkte.

Der Anteil der Alarme unseres Mail-Antivirus‘ auf deutschem Territorium hat sich im Vergleich zum Vormonat praktisch nicht verändert, somit belegt Deutschland erneut den zweiten Platz des Ratings.

Wir registrierten eine deutliche Zunahme der Alarme in Australien (+2,8 Prozentpunkte) und Vietnam (+2,4 Prozentpunkte). Diese Länder belegten den vierten und fünften Platz respektive, und überholten damit Großbritannien, dessen Wert gegenüber dem Vormonat praktisch unverändert blieb.

Die Anteilsveränderungen der übrigen Länder im Rating lagen nicht über 1,5 Prozentpunkten.

ТОP 10 der Schadprogramme im E-Mail-Traffic

ТОP 10 der via E-Mail verbreiteten Schadprogramme im August 2012

Der traditionelle Spitzenreiter unseres Ratings der am häufigsten im E-Mail-Traffic verbreiteten Schadprogramme heißt auch im August wieder Trojan-Spy.HTML.Fraud.gen – mit einem um das Anderthalbfache höheren Anteil als im Vormonat. Mit anderen Worten gab es anderthalb mal mehr Mitteilungen mit angehängten Phishing-html-Seiten, die als Registrierungsformulare von Finanzorganisationen oder anderen Online-Diensten daherkommen.

Den zweiten Platz des Ratings belegt der E-Mail-Wurm Email-Worm.Win32.Bagle.gt, der neben der Standardfunktionalität von E-Mail-Würmern (Sammeln von E-Mail-Adressen auf dem infizierten Computer und dem Versand ihrer selbst an diese) mit der Möglichkeit ausgestattet ist, sich mit Internetressourcen zu verbinden und andere Schadprogramme auf den Computer des Anwenders zu laden. Seine etwas simpler gestrickten „Verwandten“, die auf die Standardfunktionalität beschränkt sind – Mydoom.m und Mydoom.l –, belegen die Positionen vier und zehn respektive.

Die seit Juni im Rating vertretenen Programme der Familie Androm haben die TOP 10 der am häufigsten im E-Mail-Traffic detektierten Schädlinge im August buchstäblich überschwemmt: Fünf der oben aufgeführten Schadprogramme gehören ebendieser Familie an. Sind diese Schädlinge im System des Anwenders installiert, laden sie aus dem Internet andere schädliche Programme.

Phishing

Der Anteil an Phishing-Mails am gesamten E-Mail-Aufkommen blieb gegenüber dem Juli unverändert und betrug 0,01%.

Top 100 der im August 2012 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Das Kategorien-Rating der von Phishern angegriffenen Organisationen hat sich im Vergleich zum Vormonat nicht verändert. Immer häufiger werden soziale Netzwerke attackiert (+1 Prozentpunkt), und erneut steigt der Anteil der Attacken auf Finanzorganisationen (+1,5 Prozentpunkte). Der Anteil an Phishing-Attacken auf Online-Shops verringerte sich um mehr als 1,5 Prozentpunkte.

Spam-Themen

Spam-Themen im August 2012

Wie angenommen, brachte der August wesentliche Veränderungen im europäischen Spam-Traffic. Obgleich der Anteil der Mitteilungen mit dem Thema „Persönliche Finanzen“ auf höchstem Niveau verbleibt, ist er im Vergleich zum Vormonat deutlich zurückgegangen (-21,5 Prozentpunkte). Wir erinnern daran, dass die meisten Mitteilungen, die zu dieser Kategorie gehören, zweifelhafte Verdienstangebote enthalten. Auch wenn die Kaufaktivität im August zurückgekehrt ist, was zu einer Zunahme von Mitteilungen führte, in denen verschiedene Waren und Dienstleistungen angeboten werden, wird Spam mit Arbeitsangeboten noch für lange Zeit sehr populär bleiben. Die zunehmende Arbeitslosigkeit in Europa führt dazu, dass es immer mehr potentielle Opfer solcher Versendungen gibt, was die Spammer zu ihren Zwecken ausnutzen.

Wir weisen darauf hin, dass das englischsprachige Spam im August eine größere Vielfalt aufwies als noch im Vormonat. Neben dem Anstieg des Anteils von „pharmazeutischen“ Mitteilungen (+9,2 Prozentpunkte) registrierten wir zudem eine recht große Zahl von unerwünschten Nachrichten im E-Mail-Traffic mit Kasino-Werbung (+3,6 Prozentpunkte) und „erwachsenem“ Content, der fast 1,5% des gesamten Spam-Traffics ausmachte.

Etwa 3% aller europäischen Spam-Mitteilungen enthielten Schadprogramme und Links auf infizierte Websites, die als Benachrichtigungen von Steuerbehörden getarnt waren.

Fazit

Wie vorhergesagt, war der August von krimineller Aktivität im Spam geprägt. Der September verspricht in dieser Hinsicht ruhiger zu werden. Gleichzeitig führte das Wiedererwachen der Geschäftsaktivität zu einer Verringerung des Anteils von Mitteilungen mit Angeboten für illegale Verdienstmöglichkeiten.

Die leichten Veränderungen in der Verteilung des Anteils von Phishing-Attacken im August lassen sich damit erklären, dass der letzte Sommermonat eine Übergangszeit für die Phisher ist: Einerseits haben sie nach wie vor Schüler und Studenten im Visier, die während der Ferien viel Zeit im Netz verbringen. Dementsprechend ist das Interesse der Phisher an sozialen Netzwerken im August noch immer groß. Andererseits erwacht zum Ende des Monats die Geschäftsaktivität wieder zu neuem Leben, und die Finanzinstitutionen geraten erneut in den Fokus der Cyberkriminellen.

Wir prognostizieren, dass der Anteil der Angriffe auf den Bankensektor im September weiter steigen wird, während das Interesse der Phisher an sozialen Netzwerken etwas nachlassen wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.