Spam im August 2014

Inhalt

    Die wichtigsten Ereignisse des Monats

    In den betrügerischen E-Mails im August wurden internationale politische Ereignisse und Namen bekannter Persönlichkeiten aus der russischen Föderation ausgenutzt. Schädliche Dateien fanden sich ebenfalls wieder im E-Mail-Traffic. Sie wurden auch mit Hilfe von gefälschten gerichtlichen Benachrichtigungen verbreitet. Spammer, die mit Werbung für medizinische Präparate ihr Geld verdienen, nutzten populäre Dienste aus, um das Interesse der Empfänger zu wecken. Zudem bewarben Spammer aktiv die Dienstleistungen von Touristikunternehmen und Inkassoagenturen.

    Schädliche Gerichtsvorladungen

    Im August registrierte Kaspersky Lab gleich mehrere Versendungen in verschiedenen Sprachen, die als Gerichtsvorladungen getarnt waren. In den E-Mails in englischer Sprache hieß es, dass der Anwender als Angeklagter vor Gericht geladen werde und sich bis zur Anhörung unbedingt mit den Informationen im Anhang vertraut machen müsse. Im angehängten Archiv befand sich der Trojaner Backdoor.Win32.Kuluoz, der in der Lage ist, andere Schadprogramme zu laden und zu starten. Bei einem Vergleich mehrerer E-Mails einer Versendung bemerkte das Kaspersky-Team, dass bestimmte Textfragmente, beispielsweise das Datum und die Zeit der Anhörung, die Stadt und der Name des Archivs, das die Schaddateien enthielt, von E-Mail zu E-Mail unterschiedlich waren. Die Absenderadressen dieser E-Mails wurden nach ein und derselben Schablone generiert, in die die Betrüger einfach Wörter aus einer vorher erstellten Datenbank einsetzten. Traditionell werden Veränderungen im Text vorgenommen, um ihm einen Anstrich von Individualität zu verleihen und um die Spam-Filtersysteme zu umgehen.

    Im August wurde derartiger Schad-Spam nicht nur in englischer und russischer Sprache versendet, sondern auch auf Tschechisch. Die Betrüger versuchten die Empfänger zu überzeugen, dass sie noch offene Schulden hätten, die sie im Laufe der nächsten 15 Tage begleichen müssten – andernfalls drohten dem Empfänger die Pfändung seines Eigentums sowie das Einfrieren seiner Bankkonten. Die im angehängten Archiv enthaltene Schaddatei Trojan-Downloader.Win32.Agent.heva gaben die Cyberkriminellen als Finanz- und Gerichtsdokumente aus. Beim Start des Trojaners wird dem User der Inhalt einer RTF-Datei angezeigt, während der Schädling in dieser Zeit das Programm Trojan.Win32.Tinba.ei lädt und installiert – ein weiterer Trojaner, der auf den Diebstahl von Finanzinformationen spezialisiert ist, insbesondere auf Konto- und Kreditkartendaten. Der Name dieses Trojaners ist eine Abkürzung von „Tinybanker“. Der Schädling wurde in Assembler geschrieben und hat eine geringe Größe, doch seine Funktionalität kann es durchaus mit vielen ähnlichen Schädlingen größeren Umfangs aufnehmen.

    Politik in „nigerianischen“ E-Mails

    Im letzten Sommermonat stießen die Kaspersky-Experten erneut auf „nigerianische“ E-Mails, die die Ereignisse in der Ukraine ausnutzten. In einer englischsprachigen E-Mail setzten die Autoren den Namen des ehemaligen Präsidenten der Ukraine, Viktor Janukowitsch, ein, um den Empfänger von der Echtheit der von ihnen erfundenen Geschichte zu überzeugen. Die unter „nigerianischen“ Betrügern überaus beliebte Bitte um Hilfe bei der Investition von Geldern – selbstverständlich gegen eine anständige Belohnung – stammte dieses Mal angeblich von einem ehemaligen Finanzberater des Ex-Präsidenten, dessen Vermögen zu einem Teil heimlich auf das Privatkonto des Beraters in London transferiert wurde.

    Nach einer längeren Pause wurde mal wieder Michail Chodorkowski zum Protagonisten der „nigerianischen“ Angelegenheiten auserkoren. Die von uns entdeckten E-Mails waren im Namen von Personen verfasst, die den Worten der Autoren zufolge zur engeren Umgebung Chodorkowskis zählen. Um die Anwender hinters Licht zu führen, brachten die Spammer die klassische Bitte um Hilfe bei der Investition von gigantischen Geldsummen hervor – gegen eine fürstliche Entlohnung, wie sich von selbst versteht. Um die E-Mails authentisch wirken zu lassen, enthielt der Mail-Körper Links auf Artikel über Chodorkowski. Zudem wurde in den Schreiben betont, dass alle künftigen Geschäfte legal seien und keinerlei Risiken für den Empfänger beinhalteten.

    In einer der entdeckten E-Mails wird nur ein Minimum an Informationen gegeben. Der Empfänger wird aufgefordert, sich mit den Betrügern in Verbindung zu setzen, sollte seinerseits ein Interesse bestehen. In einer anderen E-Mail werden nicht nur Einzelheiten des verlockenden Angebots geliefert, sondern auch Geschichten aus dem Leben Chodorkowskis, der es vor seiner Haft nicht geschafft habe, das Geld zu transferieren und nach seiner Freilassung nun gewillt sei, die Transaktion zu vollenden. Doch da der in Ungnade gefallene Milliardär für dieses Geschäft nicht mehr sein ehemaliges Unternehmen benutzen könne, suche er nach einer Person, die ihm diesbezüglich helfen kann. Interessant hierbei ist, dass die „nigerianischen“ Betrüger dem Empfänger sogar anbieten, sich vom Erhalt ihrer Versendungen abzumelden. Zu diesem Zweck müssten sie nur eine Abmeldemitteilung senden, indem sie auf den Link am Ende der E-Mail klicken. Auf diese Weise stellen die Spammer eine Datenbank mit aktiven E-Mail-Adressen für künftige Spam-Versendungen zusammen.

    Pharma-Werbung in gefälschten E-Mails von Google Play

    In Spam-Mitteilungen mit Werbung für medizinische Präparate trifft man am häufigsten auf Angebote für Medikamente, die angeblich dazu geeignet sind, schnell Gewicht zu verlieren, die Potenz zu erhöhen und die Geschlechtsorgane zu vergrößern. Zumeist ist im Körper solcher Mitteilungen ein kurzes Textstück inklusive eines Links auf die Webseite des Geschäfts vorhanden, in dem man die beworbenen Produkte kaufen kann. Die E-Mails können auch ausschließlich einen Link enthalten. Um „pharmazeutische“ Präparate zu bewerben, wird auch häufig grafischer Spam eingesetzt. Allerdings finden sich im E-Mail-Traffic auch hin und wieder ungewöhnliche Methoden, um bekannte Medikamente anzupreisen. Im letzten Herbst berichteten wir in unserem Blog beispielsweise über Benachrichtigungen im Namen bekannter Firmen, die aussahen wie Phishing-Mails. Und im August dieses Jahres stießen die Kaspersky-Experten erneut auf eine derartige Versendung.

    In diesem Fall sah die Phishing-Mail aus wie eine Benachrichtigung des App-Shops Google Play, in der über einen Kauf informiert wird. Um die E-Mail legitim erscheinen zu lassen, verwendeten die Phisher eine der tatsächlichen Adresse sehr ähnliche Absenderadresse sowie das offizielle Logo von Google Play. Die Links im Mailkörper verweisen in Phishing-Mitteilungen häufig auf die echte Webseite. In dieser Versendung waren sie dagegen nicht aktiv, sondern nur in der für Links typischen Weise farblich abgesetzt. Vermutlich setzten die Spammer darauf, dass die gefälschten Benachrichtigungen nicht so gut von Spam-Filtern detektiert werden wie traditionelle Werbung für Medikamente. Daher gestalteten sie ihre E-Mails in der Art von klassischen Phishing-Mails.

    „Altweibersommer“ der Spammer

    Im englischsprachigen Internetsegment beschäftigten sich etliche Spam-Versendungen mit dem Thema Erholung. Die Mitteilungen priesen günstige Trips nach Hawaii, Costa Rica oder Reisen in den tropischen Regenwald an und enthielten Vermietungsangebote für Flugzeuge, sowohl für Dienst- als auch für Touristenreisen. Solche Mitteilungen kamen von sich ändernden Adressen und enthielten Links auf erst kürzlich erstellte Webseiten. Deren Besucher wurden aufgefordert, die Preise für die angebotenen Dienstleistungen zu vergleichen und sich das günstigste Angebot von den Werbepartnern herauszusuchen.

    Wir stießen auch auf Versendungen mit dem Angebot zur Teilnahme an Verdienstprogrammen im Netz – so genannten binären Optionen –, um auf diese Weise schnell viel Geld zu verdienen, das dann wiederum alle Kosten für den geplanten Urlaub decken würde.

    Wie man seine Schulden (nicht) zurückzahlt

    Ein anderes bemerkenswertes Thema in den Spam-Versendungen des Monats August ist das Angebot zur Hilfe bei der Rückerstattung aller möglicher Schulden, das sich sowohl an Privatpersonen als auch an Unternehmen richtet. Die Spammer verschickten grell aufgemachte Mitteilungen, die Phrasen nach der Art von „Bezahle so viel, wie Du kannst“ und Werbeaufrufe enthielten, angehäufte Schulden nicht zurückzuzahlen. Der Hyperlink in den E-Mails verwies auf eine gerade erst erstellte Webseite, die lediglich aus einer einzigen Seite bestand und einen zum Thema passenden Namen wie beispielsweise „zero-debt-now” trug. Auf der Webseite standen verschiedene Angebote, um Schulden zu konsolidieren (das heißt einen allgemeinen Kredit für die Rückzahlung mehrerer anderer Kredite aufzunehmen), um ganz allgemein einen Kredit aufzunehmen oder um eine Kreditkarte zu günstigen Konditionen zu erwerben.

    Umgekehrt fand sich häufig das Angebot, Geld von allen Schuldnern einzutreiben: schnell, ohne Einschaltung von Gerichten, in vollem Umfang, und durchgeführt von freiberuflichen Juristen oder von allen nur erdenklichen Inkasso-Agenturen, die sich auf die Vollstreckung überfälliger finanzieller Forderungen spezialisiert haben. In den E-Mails stand eine kurze Beschreibung der Tätigkeit der jeweiligen Organisation, des Weiteren die angebotenen Dienstleistungen, einige statistische Daten (etwa der Umfang der eingezogenen Mittel und Zahl der zufriedenen Kunden) und eine Kontakt-Telefonnummer. Die Ziffern der Telefonnummern waren häufig vorsätzlich entstellt und verrauscht, mit dem Ziel, die Anti-Spam-Filter zu umgehen. Die Autoren der Mitteilungen versprachen einen erfolgreichen Abschluss der Fälle, selbst wenn andere darauf spezialisierte Unternehmen bereits gescheitert waren.

    Statistik

    Spam-Anteil im E-Mail-Traffic


    Spam-Anteil im E-Mail-Traffic im August 2014

    Der Spam-Anteil im E-Mail-Traffic betrug im August 2014 durchschnittlich 67,2 Prozent, ein um 0,2 Prozentpunkte höherer Wert als im Vormonat. Im Verlauf des gesamten Monats nahm der Anteil unerwünschter Nachrichten stetig zu. Während der prozentuale Spam-Anteil zu Monatsbeginn noch 64,9 Prozent betrug, so waren es am Monatsende schon 70,4 Prozent.

    Spam-Herkunftsländer

    Im August 2014 wurde das Rating der Länder, die Spam in die ganze Welt versenden, nach wie vor von den USA (15,9 %) angeführt, deren Wert innerhalb eines Monats um 0,7 Prozentpunkte angestiegen ist. Es folgt Russland mit sechs Prozent, wobei der Anteil des von dort stammenden Spams ein wenig zugenommen hat, und zwar um 0,4 Prozentpunkte. Abgeschlossen wird das Führungstrio von China mit 4,7 Prozent, das damit einen um 0,6 Prozentpunkte geringeren Wert als im Vormonat erzielte.


    Spam-Herkunftsländer weltweit

    Auf Position vier befindet sich Vietnam (4,7 %) mit einem Zuwachs von 1,2 Prozentpunkten und einem Aufstieg von vier Positionen gegenüber dem Juli. Platz fünf belegt Argentinien (4,4 %), das eine Position im Rating abrutschte, dessen Anteil am weltweit verschickten Spam allerdings geringfügig zunahm.

    Deutschland (3,6 %) befindet sich mit einem leicht rückläufigen Wert nach wie vor auf dem sechsten Platz. Die Ukraine (2,9 %) belegte den achten Rang und war damit im August nicht mehr unter den ersten Fünf. Brasilien (2,9 %) hingegen machte einen kleinen Satz nach vorne, legte 0,5 Prozentpunkte in diesem unrühmlichen Rating zu und landete damit im August auf Platz neun. Abgeschlossen werden die Top 10 von Indien mit einem Wert von 2,8 Prozent.

    Erwähnenswert ist zudem die geringfügige Zunahme der Spammer-Aktivität in Südkorea (1,9 %), das im August auch in unserer Hitliste vertreten war.

    Schädliche Anhänge

    Im August sah die Verteilung der zehn am häufigsten via E-Mail verbreiteten Schadprogramme folgendermaßen aus:


    Top 10 der via E-Mail verbreiteten Schadprogramme

    Das Rating führt der Schädling Trojan.JS.Redirector.adf an. Sein Name spricht für sich: Es handelt sich um eine HTML-Seite, welche den Browser beim Öffnen auf eine infizierte Webseite umleitet. Dort wird der Anwender normalerweise aufgefordert, Binbot herunterzuladen – eine Software zum automatischen Handel mit binären Optionen, die zurzeit im Netz äußerst populär sind. Verbreitet wird der Schädling via E-Mail in einem nicht passwortgeschützten ZIP-Archiv.

    Den dritten und sechsten Platz belegen die trojanischen Download-Programme Trojan-Downloader.Win32.Upatre.to und Trojan-Downloader.Win32.Upatre.tq. Die Schädlinge dieser Familie sind relativ einfach aufgebaut und nicht größer als etwa 3,5 KB. Sie laden normalerweise einen Bank-Trojaner aus einer Familie, die unter den Namen Dyre/Dyzap/Dyreza bekannt ist. Die Liste der von diesem Banker angegriffenen Finanzinstitutionen hängt von der Konfigurationsdatei ab, die aus dem Steuerungszentrum geladen wird.

    Den vierten Platz belegt Trojan-Banker.Win32.Fibbit.rq. Dieser Bank-Trojaner dringt in die Java-Anwendung für das Online-Banking ein, um Authentifizierungsdaten und andere Informationen sowie Schlüssel zu stehlen, und um Transaktionen und deren Ergebnisse zu manipulieren.

    Position fünf und sechs besetzen Backdoor.Win32.Androm.enji respektive Backdoor.Win32.Androm.erom. Beide Schädlinge gehören zu der Familie des universalen modularen Bots Andromeda – auch bekannt als Gamarue. Zu ihren Grundfunktionen zählen der Download, das Speichern und Starten einer ausführbaren Datei, der Download und Upload eines DLL-Files (ohne das Speichern auf der Festplatte) sowie der Download von Plug-ins. Sie verfügen zudem über die Möglichkeit, sich selbst zu aktualisieren und zu löschen. Die Funktionalität des Bots kann mit Hilfe eines Systems von Plug-ins erweitert werden, die von den Cyberkriminellen jederzeit in dem benötigten Umfang hochgeladen werden können.

    Auf den Plätzen sieben und acht befinden sich Trojan.Win32.Bublik.clhs und Trojan.Win32.Bublik.bwbx – unterschiedliche Modifikationen des Kaspersky Lab hinlänglich bekannten Schädlings Bublik. Sie zählen zu den allereinfachsten Trojan-Downloadern, die eine schädliche Datei auf den Computer des Anwenders laden und sie dort ausführen.

    Die Top 10 werden abgeschlossen von Trojan-Spy.Win32.LssLogger.bos, einem multifunktionalen Schädling, der über eine sehr breite Funktionalität verfügt. In erster Linie ist aber seine Fähigkeit hervorzuheben, Passwörter zu einer langen Liste von Programmen zu stehlen. Alle gestohlenen Informationen werden daraufhin via E-Mail an Online-Kriminelle übermittelt.


    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern

    Im August 2014 legte Großbritannien (13,16 %) 6,26 Prozentpunkte zu und stand somit erneut an der Spitze im Rating nach Alarmen von Kaspersky Anti-Virus. Damit überholte dieses Land sowohl Deutschland (9,58 %, minus 1,49 Prozentpunkte) als auch die USA (7,69 %, minus 1,59 Prozentpunkte), die nun die Plätze zwei respektive drei belegen.

    Sehr unerwartet kam der Sprung Russlands (6,73 %) vom achten auf den vierten Platz unseres Ratings, wobei der Anteil dieses Landes im August um 3,33 Prozentpunkte zunahm.

    Italien (3,31 %) rutschte von dem fünften auf den achten Platz ab, mit einem Rückgang von 1,33 Prozentpunkten. Honkong (2,74 %) legte hingegen um 0,28 Prozentpunkte zu und überholte damit Australien, die Türkei und Vietnam.

    Besonderheiten im Schad-Spam

    Auch im August 2014 nutzten Betrüger, die schädliche Anhänge via E-Mail versenden, wieder gefälschte Benachrichtigungen des Sozialen Netzwerks Facebook als Köder. Dieses Mal erhielt der Nutzer eine Mitteilung über die baldige Deaktivierung des Accounts. Dem Text zufolge war das Soziale Netzwerk in den letzten Tagen (in einigen E-Mails hieß es „in den letzten Monaten“) Hackerangriffen ausgesetzt. Die Entwickler baten die Anwender daher, das Tool aus dem E-Mail-Anhang zu installieren, um mögliche negative Folgen zu vermeiden.

    Jede E-Mail der Versendung enthielt ein passwortgeschütztes ZIP-Archiv, in dem sich eine ausführbare Datei befand und ein für das Entpacken notwendiges, einmaliges Passwort. Dabei trug das angehängte Archiv den Namen des Anwenders, dem die E-Mail zugeschickt wurde (Benutzername seines E-Mail-Accounts). Derselbe Name wurde auch benutzt, um das Passwort für das Archiv zu generieren. In der E-Mail betonten die Betrüger, dass sich die Datei nur auf einem PC mit einem Betriebssystem von Microsoft öffnen ließe. Im Archiv befand sich unter der Maske des Tools ein trojanischer Downloader, genauer gesagt ein Vertreter der Familie Trojan-Downloader.Win32.Haze. Solche Schädlinge laden andere Malware, die in der Regel auf den Diebstahl von persönlichen Daten des Computerbesitzers spezialisiert sind, oder auf den Versand von infizierten E-Mails an die Adressen aus der Kontaktliste des Nutzers.

    Phishing

    Auf den Computern der Anwender von Kaspersky-Lab-Produkten löste das Modul „Anti-Phishing“ im August 2014 insgesamt 32.653.772-Mal Alarm aus, das sind 12.495.895 Alarme mehr als im Juli. Diese deutliche Zunahme hängt vermutlich mit dem sommerlichen Rückgang der Nachfrage nach Werbe-Spam zusammen. Die Spammer, die keine Einnahmeeinbußen hinnehmen wollen, verlegen sich unter anderem auf den Versand von Phishing-Mails.

    Im August belegte Australien den ersten Platz im Rating der von Phishern angegriffenen Länder, wobei sich der Wert dieses Landes verdoppelte und somit 24,4 Prozent betrug. Brasilien (19,5 %) sackte auf den zweiten Platz ab. Die Positionen drei bis fünf belegten Großbritannien (15,2 %), Kanada (14,6 %) und Indien (14,5 %).


    Géographie des attaques de phishing*, août 2014

    *Prozentualer Anteil der Anwender, auf deren Computern das System Antiphishing Alarm schlug, an allen Anwendern von Kaspersky-Lab-Produkten in dem jeweiligen Land.

    Top 10 der Länder nach Anteil der angegriffenen Anwender:

      Land Prozentualer Anteil der Anwender
    1 Australien 24,4
    2 Brasilien 19,5
    3 Großbritannien 15,2
    4 Kanada 14,6
    5 Indien 14,5
    6 Vereinigte Arabische Emirate 14,1
    7 Ecuador 13,1
    8 Dominikanische Republik 13
    9 Österreich 12,8
    10 China 12,7

    Ziele der Phishing-Attacken

    Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Systems Anti-Phishing schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

    Im August 2014 gab es keine einschneidenden Veränderungen in dem Rating der von Phishern angegriffenen Organisationen. Nach wie vor führen die E-Mail- und Suchportale (30,8 %) die Hitliste an, deren Wert im Laufe des Monats um 1,3 Prozentpunkte zugenommen hat. Der Anteil der Phishing-Attacken auf die Sozialen Netzwerke (17,3 %) stieg um 3,3 Prozentpunkte. Das hatte zur Folge, dass im August fast die Hälfte aller Phishing-Attacken auf eine dieser beiden Kategorien entfiel.


    Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, August 2014

    Auf das Finanz-Phishing entfielen insgesamt 35,2 Prozent der Alarme der heuristischen Komponente des Systems Anti-Phishing; das sind 6,6 Prozentpunkte weniger als im Vormonat. Der allgemeine Rückgang der Attacken auf den Finanzsektor hat sich auch auf die Werte der einzelnen Kategorien ausgewirkt. So ging der Anteil der Alarme in den Kategorien Banken, Online-Shops und Bezahlsysteme um 4,9 Prozentpunkte, 1,2 Prozentpunkte respektive 0,6 Prozentpunkte zurück.

    Top 3 der angegriffenen Organisationen

      Organisation Anteil der Alarme
    1 Google 12,61%
    2 Facebook 10,05%
    3 Yahoo! 6,38%

    Im August belegten erneut die Google-Dienste mit 12,61 Prozent den ersten Platz unter den am häufigsten von Phishern angegriffenen Organisationen, wobei ihr Wert um einen Prozentpunkt zulegte. Das traditionell am häufigsten von Phishern angegriffene Soziale Netzwerk Facebook behauptet Position zwei mit einem Wert von 10,05 Prozent. Sein Anteil stieg um 0,4 Prozentpunkte. Rang drei belegten das Suchsystem und die Dienste von Yahoo (6,38 %). Im Juli befanden sich auf dieser Position noch die Services von Windows Live.

    Im Spam-Traffic des letzten Sommermonats entdeckten die Kaspersky-Experten mehrere Phishing-Versendungen, die auf den Diebstahl von Benutzernamen und Passwörtern für die Yahoo-Services abzielten. In den E-Mails wurde der Empfänger darüber informiert, dass Yahoo Login-Versuche in den Account des Empfängers von einem unerkannten Gerät beobachtet habe, das E-Mail-Konto aber auf einem anderen Computer angemeldet gewesen sei. Das hätte das Misstrauen des Anbieters geweckt. Der Account würde nun blockiert, wenn der Empfänger der E-Mail seine Daten (Benutzername und Kennwort) nicht auf einer speziellen Webseite bestätigt. Im Körper der E-Mail fanden sich zwei Links zur Verifizierung der persönlichen Daten: einer zur Bestätigung des Passwortes und damit auch zur Verhinderung der Blockierung, der zweite zum Schutz des Accounts, für den Fall, dass die Anmeldung nicht durch den Anwender vollzogen worden sei. Beide Links in der E-Mail hatten ein und dieselbe Adresse und führten auf ein und dieselbe Phishing-Seite. Dabei wurde der Text der E-Mails in verschiedenen Versendungen praktisch nicht verändert, und bei der Gestaltung wurde das Yahoo-Logo herangezogen.

    Während in einer Versendung die Phishing-Seite vollständig die offizielle Login-Seite imitierte, so wurde in einer anderen Versendung ein Hintergrund verwendet, der sich von dem auf der offiziellen Seite unterscheidet.

    Sieht man sich einmal den HTML-Code der Phishing-Seiten an, so wird klar, dass im ersten Fall die vom Opfer eingegebenen Daten an eine PHP-Seite der Betrüger geschickt wurden, und im zweiten Fall an eine E-Mail-Adresse, die bei einem kostenlosen E-Mail-Dienst registriert ist. Im HTML-Code wird zudem auf die Adresse verwiesen, die im Absenderfeld eingesetzt wird, sowie auf den Betreff der E-Mail. Dadurch erhielten die Betrüger die Möglichkeit, die erhaltenen Informationen mit den Passwörtern und Benutzernamen der Anwender im Rahmen einer bestimmten Versendung zu identifizieren.

    Fazit

    Der Spam-Anteil im weltweiten E-Mail-Traffic stieg im August 2014 um 0,2 Prozentpunkte und betrug 67,2 Prozent. Bei den Spam-Herkunftsländern, die unerwünschte Mitteilungen in die ganze Welt versenden, blieben im August die USA (15,9 %), Russland (6 %) und China (4,8 %) Spitzenreiter.

    Im letzten Sommermonat verschickten Online-Betrüger, die die politischen Ereignisse in der Ukraine aufmerksam verfolgen, „nigerianische“ E-Mails an die Internet-Nutzer, in denen sie diese um ihre Hilfe baten. Die E-Mails in englischer Sprache wurden im Namen eines Beraters des ehemaligen Präsidenten der Ukraine, Viktor Janukowitsch, verfasst, wobei der Autor um Hilfe bei der Investition von größeren Summen bat. Die Ereignisse um den ehemaligen Oligarchen Michail Chodorkowski gaben den Spammern wieder einmal Anlass, Anwender um Geld zu erleichtern.

    Von Cyberkriminellen als Gerichtsvorladungen getarnte schädliche E-Mails waren im August keine Seltenheit im Spam-Traffic. Mitteilungen dieser Art wurden in verschiedenen Sprachen erstellt, und die daran angehängten Schaddateien waren nicht ausschließlich auf den Diebstahl von persönlichen Informationen, sondern auch darauf ausgerichtet, Geld von den Opfern für die Entschlüsselung der auf ihren Computern chiffrierten Daten zu erpressen.

    Für die Pharma-Werbung wurden im August gefälschte Benachrichtigungen des Online-Shops Google Play verfasst. Die darin enthaltenen Links führten auf Werbeseiten mit bekannten medizinischen Präparaten.

    Zudem bewarben Spammer im August intensiv die Dienste von Reiseveranstaltern und Inkasso-Unternehmen.

    Die Liste der via E-Mail verbreiteten Schadprogramme wurde im August 2014 von Trojan.JS.Redirector.adf angeführt. Der uns wohlbekannte Trojan-Spy.HTML.Fraud.gen, der viele Monate lang die Spitzenposition innehatte, nimmt jetzt weiterhin den zweiten Platz ein.

    Die Zahl der Alarme des Anti-Phishing-Systems auf den Computern der Nutzer von Kaspersky-Lab-Produkten stieg um beinahe das 1,5-Fache und betrug insgesamt 32.653.772 Alarme. Laut Statistik entfielen 24,4 Prozent aller Attacken auf Anwender in Australien. Das Rating der von Phishern angegriffenen Organisationen wird nach wie vor von den E-Mail- und Suchportalen (30,8 %) angeführt. Der Gesamtwert des Finanz-Phishings ging um 6,6 Prozentpunkte zurück und betrug 35,2 Prozent. An der Spitze der Top 3 der von Phishern angegriffenen Organisationen stand im August das Unternehmen Yahoo.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.