Spam im dritten Quartal 2009

Besonderheiten im dritten Quartal 2009

  • Der Spam-Anteil am E-Mail-Verkehr lag im dritten Quartal bei 85,7 Prozent.
  • Der Anteil der Phishing-E-Mails stieg um 0,5 Prozent und lag bei 0,99 Prozent des gesamten E-Mail-Verkehrs.
  • 0,46 Prozent aller versendeten E-Mails enthielten gefährliche Anhänge (1,22 Prozent im September).
  • Die Spammer setzten verstärkt auf Wirtschafts-Themen, der Anteil an Eigenwerbung für Spam-Dienste sank.
  • Die Spammer verwendeten auch weiterhin HTML-Tabellen und Grafik-Spam, um die Spam-Filter zu umgehen.

Der Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil am E-Mail-Verkehr betrug im dritten Quartal durchschnittlich 85,7 Prozent.
Im Sommer war traditionell weniger Spam in Umlauf, doch im September nahm sein Anteil wieder spürbar zu. Das ist allerdings kein Beleg für das allgemeine Ansteigen des Spam-Anteils am E-Mail-Verkehr – das September-Hoch hängt eher mit dem Ende der Urlaubszeit zusammen.


Anteil von Spams am E-Mail-Verkehr im 3. Quartal 2009

Das geringste Spamaufkommen gab es am 1. August mit 76,3 Prozent. Das war der einzige Tag im Verlauf dreier Monate, an dem das Spam-Niveau unter die Marke von 80 Prozent sank. Der höchste Wert wurde am 27. September mit 91,3 Prozent erreicht.

Phishing

Der Anteil der Phishing-Mails lag im dritten Quartal 2009 bei rund einem Prozent (0,99 Prozent) des gesamten E-Mail-Aufkommens und hat sich damit im Vergleich zum zweiten Quartal (0,49 Prozent) verdoppelt.


Die Kunden von PayPal und eBay waren wie schon früher am häufigsten von den Spam-Attacken betroffen. Andere Webseiten wurden lediglich im August noch öfter angegriffen.


Auf dem Diagramm ist zu sehen, dass es im August deutlich weniger Phishing-Angriffe auf PayPal und eBay im August gab. Gleichzeitig nahm der prozentuale Anteil der Attacken auf Banken zu: So erhöhte sich etwa der Anteil der Attacken auf die Chase Bank, die normalerweise auf weniger als 2 Prozent kommt, auf 30,6 Prozent, und die Bank of America verzeichnete im August 19 Prozent aller Angriffe, normalerweise sind es 3 bis 5 Prozent. Auch bei der Ally Bank waren es mehr Attacken als sonst, nämlich 11,08 Prozent anstelle der üblichen 1 bis 2 Prozent. Obwohl PayPal- und eBay-Kunden die beliebtesten Phishing-Opfer sind, lässt sich an diesen Beispielen erkennen, dass Banke-Kunden immer wieder zu den Hauptangriffszielen der Übeltäter werden.

Eine neue Phishing-Methode setzt E-Mails ein, die anstelle eines Links auf fingierte Websites eine Telefonnummer enthalten. Der Empfänger soll diese anrufen, um Zugang zu seinem Konto zu erhalten:


In anderen E-Mails wurde eine für Phishing-Nachrichten typische Methode angewandt: Darin heißt es, das Nutzerkonto werde bald blockiert. Dabei handelt es sich jedoch nicht um ein Bank- oder E-Mail-Konto, sondern um das Konto bei einer Online-Apotheke. Durch den gesperrten Zugang hätte der Nutzer angeblich nicht mehr die Möglichkeit, Medikamente ohne ärztliches Rezept zu erwerben. Um dies zu vermeiden, wird in der E-Mail empfohlen, umgehend auf der Website zu bestellen:


Es versteht sich von selbst, dass die angeblichen Konten nicht existieren. Das Kalkül der Spammer besteht jedoch darin, dass es den Nutzer interessieren könnte, Medikamente ohne ärztliches Rezept zu erwerben.

Gleichzeitig mit den ansteigenden Phishing-Aktivitäten wuchs im dritten Quartal 2009 auch der prozentuelle Anteil der E-Mails mit gefährlichen Anhängen. Ihr Anteil lag durchschnittlich bei 0,46 Prozent des gesamten E-Mail-Aufkommens und somit um 0,29 Prozent höher als im vorherigen Quartal. Den größten Anteil an diesem hohen Quartalsergebnis hat dabei der September. Im Juli und August lag die Zahl dieser E-Mails nicht sehr hoch (0,11 Prozent beziehungsweise 0,05 Prozent), stieg dann aber im September auf ein bis dahin unerreichtes Niveau von 1,22 Prozent an.

In den ersten beiden Monaten bedienten sich Spammer noch solcher Schadprogramme wie dem E-Mail-Wurm Win32/NetSky, dem Netzwerk-Wurm Win32/Mytob und dem Backdoor-Programm Win32/Bredolab. Die Hauptaufgabe der beiden Würmer und dem Trojaner besteht darin, Adressen zu sammeln und infizierte Computer an ein Zombie-Netz anzuschließen. Im September waren die Trojan-Downloader aus der FraudLoad-Familie die „Marktführer“ und stellten 48,6 Prozent aller E-Mails mit gefährlichen Anhängen.

Downloadprogramme verfolgen das Ziel, Schad- oder Werbeprogramme auf dem infizierten Computer herunter zu laden und zu installieren. Die FraudLoad-Familie wurde erstellt, um auf befallenen Computern eines der in letzter Zeit sehr populären gefälschten Antivirus-Programme zu installieren. Diese Programme melden eine in Wirklichkeit nicht vorhandene Gefahr und verlangen eine Gebühr für deren Beseitigung. In der Regel sind gefälschte Antivirus-Programme nur schwer wieder vom Computer zu entfernen.

Der größte Teil schädlicher E-Mails wurde als fingierte Versandmitteilung eines Kurierdienstes (meistens DHL und UPS) oder eines Geldüberweisungs-Dienstes (meistens Western Union) verschickt. In den E-Mails wurde mitgeteilt, dass die Sendung nicht zugestellt werden konnte beziehungsweise der Empfänger einen Geldbetrag erhalten hätte und dass sich im Anhang die Quittung oder der Abholcode für den überwiesenen Betrag befindet. Tatsächlich befand sich im Anhang ein Schadprogramm.


Außerdem nutzten die Übeltäter die Popularität sozialer Netzwerke aus. So wurden zum Beispiel gefälschte Twitter-Einladungen verschickt:


Spam-Herkunftsländer


Das Rating der Länder, aus denen Spam verschickt wird, sieht aus wie gewohnt: Auf dem ersten Platz liegen die USA, gefolgt von Brasilien. Unter den Top 10 befinden sich wie auch schon früher viele ostasiatische und osteuropäische Länder. Allerdings hat sich der Spam-Versand aus den verschiedenen Ländern im Laufe des Quartals verändert. So fiel im August der Spam-Anteil der USA drastisch, zur gleichen Zeit stieg der Anteil der aus Polen verschickten Spam-E-Mails an.


Arten und Größe der Spam-Mails


Verteilung der Spam-E-Mails nach ihrer Größe

Die Zahl der ultrakurzen E-Mails (kleiner als 5 KB) nahm im Vergleich zum ersten Halbjahr ab. Im dritten Quartal machten sie 47,2 Prozent des gesamten Spam-Aufkommens aus und lagen somit um 10,7 Prozent unter dem Durchschnittswert für das erste Halbjahr. Dagegen nahm die Zahl der E-Mails mit einer Größe von 5 bis 10 KB sowie von 10 bis 20 KB etwas zu. Verglichen zum ersten Halbjahr stieg der Anteil der E-Mails im HTML-Format im dritten Quartal um 8,2 Prozent.


Verteilung der Spam-Mails nach Formaten

Somit kursierten weniger kurze E-Mails im Textformat und mehr HTML-Mails. Das ist ein Zeichen dafür, dass die Spammer sich Gedanken über die äußere Form der E-Mails machen. Außerdem ist es im HTML-Format wesentlich einfacher, eigentlich verlinkte URLs, auf die der Link im Text verweist, vor dem unerfahrenen Nutzer zu verstecken.

Methoden und Tricks der Spammer

Um Spam-Filter zu umgehen haben die Spammer im dritten Quartal bekannte Methoden verwendet: HTML-Tabellen und Grafik-Spam. Es sei erwähnt, dass die in Form von Tabellen aufgeführten Adressen und Telefonnummern leicht lesbar sind, ordentlicher aussehen als früher und dem Format der E-Mails entsprechen. Als diese Methode noch ganz neu war, waren die Buchstaben und Zahlen häufig übermäßig groß, was einen ungelenken Eindruck machte. Die Spammer färben die Tabellenzellen nun nicht mehr nur schwarz ein, sondern auch in anderen Farben.

Im unten aufgeführten Beispiel ist der Schriftzug „Replica Watches binnew.com“ zu sehen, in Wirklichkeit eine HTML-Tabelle mit vielen Zellen, von denen einige eingefärbt sind.


12Bei Grafik-Spam experimentieren die Spammer weiterhin. Waren früher in den E-Mails noch Bilder anzutreffen, auf denen der Text in verschiedene Richtungen geneigt war, so können sich die Buchstaben einer Zeile jetzt auf verschiedener Höhe befinden oder die Zeilen wellenförmig geschrieben sein:


Außerdem haben sich die Spammer einer alten Methode erinnert, um Links zu verschleiern. So wurden dem Link in einer der E-Mails zufällige Zeichen hinzugefügt und der Nutzer darum gebeten, diese aus der Adresse zu löschen.

Auch wenn solche E-Mails ein Problem für Spam-Filter darstellen können, haben sie doch einen wesentlichen Nachteil: Der Nutzer muss selbst die Adresse in der Navigationszeile des Browsers eingeben und nicht nur auf einen Hyperlink klicken oder die Adresse in das Browserfenster kopieren. In einigen Fällen müssen nicht alle, sondern nur bestimmte Ziffern gelöscht werden. Meist nehmen sehr eifrige Nutzer diese Bürde auf sich.

Die thematische Zusammensetzung von Spam

Bei der inhaltlichen Verteilung des Spams im Runet (Mit Runet ist das russische Internet gemeint) im dritten Quartal 2009 bietet sich ein Bild, das im vollkommenen Gegensatz zum ersten Halbjahr steht: Die Rubriken, deren Anteil zu Jahresbeginn zurückgegangen war, haben im dritten Quartal zugenommen und übertrafen teilweise sogar ihre Vorjahreswerte:


Anteil der E-Mails aus dem Bereich „Bildung“ am
Spam-Gesamtaufkommen


Anteil der E-Mails aus dem Bereich „Reise und Erholung“ am
Spam-Gesamtaufkommen

Offensichtlich haben die Unternehmen, die Seminare und Trainings anbieten, so wie auch kleinere Tourismusdienstleister, die mithilfe von Spam für sich werben, einen erheblichen Druck durch die Krise verspürt. Jetzt, wo sich die wirtschaftliche Situation wieder verbessert, nimmt ihre Aktivität wieder zu.

Gleichzeitig ist der Bereich „Werbung für Spam-Dienstleistungen“, der während der Krise einen vorher nie da gewesenen Aufschwung erlebt hatte, stark zurückgegangen:


Anteil der E-Mails, die Spammer-Dienstleistungen anbieten, am
Spam-Gesamtaufkommen

Es ist offensichtlich, dass der sinkende Anteil der Spammеr-Werbung mit der Zunahme der Spam-Aufträge zusammenhängt. Haben die Spammer bei einem Auftragseinbruch früher noch ihre Eigenwerbung forciert, besteht dafür nun keine Notwendigkeit mehr. Somit wirkt sich das Nachlassen der Wirtschaftskrise auf die inhaltliche Verteilung des Spams aus. Das gilt auch umgekehrt: Schaut man sich das Verteilungsschema der Spamkategorien an, kann man erkennen, wie die verschiedenen Wirtschaftszweige die Krise bewältigen.

Audio-Drogen

Im Laufe des Jahres berichteten wir immer wieder über Spam-E-Mails, durch die der Empfänger auf verschiedene Art und Weise dazu gebracht wird, eine SMS-Nachricht an eine teure Premium-Nummer zu versenden. Ihr hoher Preis dient den Spammern beziehungsweise deren Auftraggebern als Einnahmequelle. Um den Nutzer dazu zu überreden, diese Nachricht zu versenden, geben die Spammer verschiedenste Gründe: Warnung vor einer möglichen Sperrung des Kontos oder des Accounts, Kauf einer – real nicht vorhandenen – Dienstleistung, Bezahlung für die Nutzung einer Website und viele andere mehr.

Im dritten Quartal ist eine neue Methode aufgetaucht: Die Spammer bieten an, per SMS für ein Audio-File zu bezahlen, dessen Anhören angeblich einen ähnlichen Effekt hat wie diverse Drogen.

Mittlerweile ist das Internet voll von Mitteilungen darüber, dass solche Dateien keinen rauschähnlichen Effekt haben können. Deshalb ist die Zahl solcher Spam-Mails sofort zurückgegangen. Wie auch in anderen Fällen war diese Form des Betrugs so lange erfolgreich, bis sie aufgedeckt wurde.

Fazit

Die Menge des Spams im dritten Quartal entspricht den Erwartungen: Nach der Sommerpause folgte der Herbstanstieg.

Gesetzmäßig sind auch die inhaltlichen Veränderungen des Spams. Wie wir bereits angenommen haben, spiegeln die Spam-Inhalte die Situation in der Wirtschaft wider. Die vor einem Jahr begonnene Krise ging einher mit einer sinkenden Zahl E-Mails, die Waren und Dienstleistungen anbieten. Jetzt, wo die Krise allmählich nachlässt, treten solche Spam-Mails wieder häufiger auf. Gleichzeit ging die Eigenwerbung der Spammer wieder zurück. Das bedeutet, dass die Spammer gegenwärtig ausreichend Auftraggeber haben.

Gestiegen ist der Anteil an Phishing-E-Mails und E-Mails mit gefährlichen Anhängen. In der Regel hat ein abrupter Anstieg der Betrugs-E-Mails seine Ursache in einem einmaligen massiven Angriff und dauert meist nicht lange. Die Nutzer sollten allerdings weiterhin auf der Hut bleiben und nicht einfach Links in E-Mails anklicken, deren Absender sie nicht kennen. Sehr vorsichtig sollte man sich gegenüber den Anhängen von E-Mails verhalten. Wenn man berücksichtigt, dass die Spammer gekonnt Social-Engineering-Tricks einsetzen, kann nicht ausgeschlossen werden, dass in Zukunft solche E-Mails Mitteilungen von Freunden und Bekannten imitieren oder aber von geknackten Nutzerkonten aus verschickt werden.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie der Autoren frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.