Spam im ersten Halbjahr 2008

Ergebnisse des ersten Halbjahres

  1. In diesem Jahr verringert sich die Spam-Mange saisonal bedingt.
  2. Die Spammer versuchen qualitativ hochwertige Werbung zu produzieren.
  3. Der Markt für russischen Spam wächst sehr stark.
  4. Spam-E-Mails der Kategorie „Fälschungen hochwertiger Waren“ kursieren in deutlich größerer Menge.
  5. Zum Tarnen von Mail-Texten setzen die Spammer Tricks ein, die spezielle Eigenschaften von E-Mail-Clients ausnutzen.

Anteilsmäßige Verteilung von Spam

Im ersten Halbjahr 2008 waren durchschnittlich 85 Prozent des E-Mail-Traffics im russischen Internet Runet Spam-Sendungen. Mit 62,2 Prozent erfasste Kaspersky Lab am 3. Mai den geringsten Spam-Anteil. Der höchste Wert lag bei mit 97,8 Prozent und wurde am 1. Mai registriert.


 

Der Spam-Anteil im E-Mail-Verkehr schwankte im ersten Halbjahr 2008 ständig, dennoch kann man seinem Verlauf einige Tendenzen entnehmen. So lässt sich der hohe Spam-Anteil im Januar auf die Feiertage zurückführen. Anschließend sank der Prozentsatz stetig, wuchs jedoch schon im März wieder sprunghaft an.

Im Mai 2008 brach der Spam-Anteil jäh ein und obwohl er sich im Juni wieder etwas erhöhte, war dieser erneute Anstieg eher vernachlässigbar. Diese Entwicklung ist deutlich vom Sommerbeginn beeinflusst und wurde interessanterweise schon seit zwei Jahren nicht mehr beobachtet. Im Jahr 2007 war der saisonale Rückgang unbedeutend und trat 2006 überhaupt nicht auf.

Ein saisonal bedingter Rückgang ist charakteristisch für den Spam-Markt. Sommer ist Urlaubszeit, entsprechend weniger elektronische Post wird gelesen und in Spam-Sendungen beworbene Produkte werden seltener bestellt.

In den letzten zwei Jahren entwickelte sich der Spam-Markt jedoch so schnell, dass die sommerlichen Rückgänge nicht mehr spürbar waren. Die Spammer suchten so intensiv nach neuen Kunden, dass sogar während der Sommermonate die Anzahl der Werbesendungen weiter anstieg. Der jetzt eingetretene und für die Sommerzeit charakteristische Spam-Rückgang könnte auf die Sättigung des Reklame-Marktes zurückzuführen sein und zeigt, dass die Anzahl der Spam-Kunden ungefähr gleich bleibt. Das belegt indirekt auch die verringerte Anzahl der Spammer-Eigenwerbung. Während 2007 noch mehr als 7 Prozent des Werbemülls auf die Rubrik „Elektronische Werbedienstleistungen“ gingen, bleiben 2008 davon nur 4,3 Prozent übrig.

Typen und Größen von Spam-Mails


 

Typen von Spam-Mails

Wie die Grafik zeigt, kommen die meisten Spam-Mails im Plaintext-Format. Eine solche E-Mail kann problemlos empfangen werden und ein großangelegter Versand lässt sich entsprechend schnell organisieren. An zweiter Stelle stehen E-Mails mit integriertem HTML-Teil. Diese sind zwar etwas größer als Plaintext-Nachrichten, lassen sich per HTML jedoch optisch interessanter gestalten und bieten außerdem zusätzliche Möglichkeiten, um Spam-Filter zu umgehen. Mit 23,9 Prozent liegen E-Mails auf Platz drei, die Bilder im JPEG- und GIF-Format enthalten.

E-Mails mit anderen Typen von Anhängen kommen zusammen nicht einmal auf einen Anteil von 1 Prozent. Im Jahr 2007 experimentierten die Spammer intensiv mit unterschiedlichen Arten von Anhängen, darunter PDF, FDF, XLS und MP3. Ihre Versuche erwiesen sich jedoch als wenig effektiv, sodass sie zu klassischen Spam-Methoden zurückkehrten.


 

Größen von Spam-Mails


 

Die Übereinstimmung zwischen den Größen und Arten der Spam-Mails lässt sich leicht aus den Grafiken ablesen. Während die kleinsten Spam-Mails das Plaintext-Format verwenden, kommen Nachrichten mit HTML-Teil auf eine Größe zwischen 1 und 20 Kilobyte, fallen also in die ersten drei Kategorien. Je nach Typ enthalten diese E-Mails entweder einen HTML-Link oder große und farbige Tabellen. In größeren Spam-Mails von 20 Kilobyte und mehr sind vor allem Bilder abgelegt.

Verglichen mit Ende 2007 hat sich die Verteilung der E-Mail-Größen spürbar verändert. Die Zahl der Spam-Mails mit Größen zwischen 1 und 5 Kilobyte und von mehr als 50 Kilobyte erhöhte sich. Dagegen sank die Anzahl der Reklame-Nachrichten, die eine Größe zwischen 5 und 10 Kilobyte beziehungsweise zwischen 20 und 50 Kilobyte haben. Eine solche Veränderung kann mit zwei gegensätzlichen Tendenzen zusammenhängen. Die erste: Spammer versuchen immer kleinere Nachrichten zu erstellen, um sie in kurzer Zeit einer größeren Anzahl von Nutzern senden zu können. Die zweite: Spammer bemühen sich darum, ihren E-Mails einen interessanten Anstrich zu verpassen, um mehr potenzielle Kunden zu gewinnen.

Der Markt für russischen Spam entwickelt sich intensiv

Während russische Spammer in den Jahren 2004 und 2005 noch die Technologien und Werbemethoden ihrer westlichen Kollegen lernten, agieren sie im Runet heutzutage ebenso professionell wie aggressiv. Die dortigen Werbemüll-Ströme stammen hauptsächlich von russischsprachigen Spammern. Davon zeugen sowohl der mehrheitliche Anteil des russischsprachigen Spams im E-Mail-Traffic als auch die Aktivität der Botnetze, die den Werbemüll an russische Nutzer verschicken.

Sprachliche Verteilung von Spam im Runet


 

Im Runet kursiert immer mehr russischsprachiger Spam. Während dieser Wert noch vor einigen Jahren bei rund 60 Prozent lag, nähert er sich heute der 80-Prozent-Marke.

Interessant daran ist, dass die russischen Spammer inzwischen auch die übrigen 21 Prozent in Angriff nehmen, da sie in letzter Zeit stetig ihre Spam-Adressdatenbanken erweitert haben. Früher verschickten die russischen Spammer ihre Reklame hauptsächlich an Empfänge in verschiedenen Städten Russlands und zu einem geringeren Anteil auch in der Ukraine und Kasachstan. Nun werben sie in ihren Angeboten sehr oft damit, den Werbemüll auch in verschiedene Länder Europas und in die USA transportieren zu können. Das bedeutet, dass sich sowohl russische Unternehmer, die ihre Waren oder Dienstleistungen im Ausland verkaufen wollen, sowie ausländische Besteller der Spammer-Dienstleistungen bedienen können. Auch immer mehr Spammer-Angebote werben damit, Werbebotschaften weltweit zu verschicken. Offenbar überschwemmen russische Spammer dabei auch russische E-Mail-Adressen mit englischsprachiger Reklame. Ein Indiz dafür ist die Aktivität der Zombie-Netze, die sich an der Moskauer Zeit orientieren. Zum anderen werden klassische Spam-Nachrichten, wie zum Beispiel die Werbung für Viagra, teilweise auch mit einer russischen Betreffzeile verschickt, in lateinischen Buchstaben geschrieben ist.

Geografische Verteilung der Spam-Quellen im Runet


 

Die geografische Verteilung der Spam-Quellen im Runet zeigt sich wie von Kaspersky Lab erwartet. Die ersten beiden Plätze nehmen Russland und die USA ein und sind damit die Spitzenreiter im weltweiten Spam-Versand. Ihnen folgen Länder in Europa und Lateinamerika. Im Gegensatz dazu verliert China als Spam-Urspungsland weiterhin an Bedeutung und liegt gegen Ende des Halbjahres bei der Spam-Menge auf dem gleichen Niveau wie die Ukraine.

Botnets: Verteilung nach Ländern

Die Verteilung der infizierten Computer nach Ländern stellt sich am Ende des ersten Halbjahres 2008 folgendermaßen dar:


 

Interessanterweise befinden sich die USA als zweitgrößter Spam-Lieferant nicht unter den Ländern, in denen die meisten infizierten Computer stehen. Dagegen belegt China den vierten Platz. Möglicherweise liegen diese Unterschiede an den unterschiedlichen Gesetzgebungen der Länder oder an den Möglichkeiten, Botnetze aufzuspüren und abzuschalten. In den USA geht man wesentlich stärker gegen Spam und seine Urheber vor als in China.

Botnetze, die Spam verschicken, lassen sich theoretisch von jedem beliebigen Land aus und unabhängig davon steuern, wo sich die vom Botnetz infizierten Computer befinden. Über Botnetze verschickter Spam ist im Runet zum größten Teil russischsprachig. Dabei ist die Aktivität der Botnetze je nach Tageszeit sehr unterschiedlich ausgeprägt.

Botnetze: Tagesaktivität


 

Die oben stehende Grafik zeigt die über den Tag verteilte Aktivität dreier Zombie-Netze, die von Kaspersky Lab beobachtet werden. Obwohl nur 13 Prozent der darüber infizierten Computer in Russland stehen, arbeiten die Netze nach Moskauer Zeit. Von 10 Uhr morgens bis etwa 17 oder 18 Uhr tritt eine erhöhte Aktivität auf, die außerhalb dieser Zeiten stark nachlässt. Das belegt, dass die Botnetz-Betreiber nach Moskauer Zeit leben.

Thematische Verteilung von Spam

Die thematische Verteilung von Spam stellt sich im ersten Halbjahr 2008 folgendermaßen dar:

  1. „Gesundheit und Medikamente“ – 27,45 Prozent
  2. „Bildung“ – 13,86 Prozent
  3. „Fälschungen hochwertiger Waren“ -10,68 Prozent
  4. „Erholung und Reisen“ – 8,45 Prozent
  5. „Elektronische Werbedienstleistungen“ – 4,33 Prozent


 

Das Spitzenquintett umfasst traditionell starke Spam-Kategorien und wurde um die neue Rubrik „Fälschungen hochwertiger Waren“ erweitert. Sie umfasst Werbung für gefälschte Luxusgüter, hauptsächlich Replika von Rolex-Uhren und Vertu-Handys. Spam dieser Art existiert schon lange, aufgrund seines starken zahlenmäßigen Anstiegs wurde dafür aber erst in diesem Jahr eine eigene Rubrik geschaffen.

Die seit März 2008 neu geschaffene Rubrik „Fälschungen hochwertiger Waren“ nahm sofort den dritten Platz ein und hält sich seitdem auf dieser Position. Das belegt die Aktivität der russischsprachigen Spammer, denn einen solch hohen Prozentwert erreichte die neue Rubrik eben durch die in russischer Sprache verfassten Spam-Mails. Englischsprachiger Werbemüll aus dieser Kategorie ist schon seit langem in Umlauf, hat jedoch prozentual gesehen niemals eine bedeutende Rolle gespielt.

Mit der Kategorie „Computerbetrug“ hat einer der Spitzenreiter des ersten Halbjahres 2007 nicht nur die Top Five verlassen, sondern sich auch zum klaren Außenseiter entwickelt. Sein Anteil beträgt nur noch 2,54 Prozent und blieb während des ganzen Halbjahres mehr oder weniger unverändert, wobei er die 3-Prozent-Marke nicht überschritt. Noch 2007 kam diese Rubrik beim Spam-Traffic auf einen Anteil von 6,9 Prozent. Davon entfielen auf das erste Halbjahr 2007 immerhin 8,6 Prozent und im Jahr 2006 waren es sogar 14,3 Prozent. Leider bedeutet diese Entwicklung nicht, dass Kriminelle im Internet weniger aktiv sind, sondern dass sie ihre Tätigkeiten vielmehr gezielter ausrichten. Zudem legen sie bei dem von ihnen produzierten Spam nun mehr Wert auf Qualität statt Quantität.

Im ersten Halbjahr 2008 gestalteten die russischen Spammer ihre Werbebotschaften qualitativ hochwertiger. Das fällt besonders bei denjenigen E-Mails auf, in denen sie selbst ihre Dienstleistungen anpreisen. Der Prozentsatz der entsprechenden Werbung fiel im Vergleich zu 2007 von 7,2 Prozent auf 4,3 Prozent. Um ihre Versandmethoden anzupreisen, nutzen Spammer zum Beispiel international viel beachtete Ereignisse wie die Fußball-Europameisterschaft 2008 und tarnten ihre Reklame als persönliche Nachrichten. Um Kunden zu gewinnen und sich öffentlich unbescholten zu geben, warben die Spammer auch damit, bei der Suche nach vermissten Personen zu helfen. Damit entsteht der Eindruck, dass Spammer ihre Tätigkeit als völlig legal ansehen, während Spam in praktisch allen Ländern und auch in Russland verboten ist.

Tricks und Methoden der Spammer

Im ersten Halbjahr 2008 machten sich die Cyberkriminellen daran, altbekannte Versandmethoden zu verbessern. Diesmal bemühten sich die Spammer darum, ihre E-Mails einerseits mit verfremdeten Textbausteinen auszustatten, die dem Nutzer andererseits aber als völlig „sauber“ erscheinen sollten. Um Spam-Filter zu täuschen, verwendeten sie HTML-Tags.

Spammer setzen HTML-Code seit langem ein, um Spam-Filter zu umgehen. Damit kann man zum Beispiel die Farbe der zusätzlichen Text-Fragmente verändern, wodurch sich jede Reklame-E-Mail in ein Unikat verwandeln lässt. Cyberkriminelle können mit HTML-Kommandos auch die zusätzlichen Textbausteine für den Anwender unsichtbar machen, indem sie für Text- und Hintergrund die gleiche Farbe verwenden. Da E-Mails mit derartigem Text inzwischen von allen Reklame-Filtern erfolgreich blockiert werden, dachten sich die Spammer neue Tricks aus, die die speziellen Eigenschaften von E-Mail-Clients ausnutzen.

Im Januar 2008 kursierten Spam-Nachrichten, die Pseudo-HTML-Tags enthielten. Dabei handelt es sich um eine zufällige Abfolge von Buchstaben, die von spitzen Klammern eingefasst ist. Dazwischenstehender Text wurde vom E-Mail-Client als falsch geschriebener HTML-Tag interpretiert und beim Öffnen der E-Mail nicht dargestellt.

E-Mail in der HTML-Darstellung E-Mail, wie sie der Empfänger sieht
чМи<gpn>ни-игруш<x>ки на
uma<eznkyjrayc>xxx.in<aogecvugxp>fo
Мини-игрушки на umaxxx.info

Im Februar begannen die Spammer damit, die Textbausteine mit Tag-Kommentaren zu strecken. Solche Tags zeigt der E-Mail-Client dem Nutzer ebenfalls nicht an. Da jeder der Tags zufälligen Text enthält, sind die damit ausgestatteten E-Mails Unikate und für Spam-Filter daher kein Werbemüll.

In folgendem Beispiel haben die Übeltäter nicht nur zufälligen Text in die Tag-Kommentare gesetzt, sondern mittels HTML-Code auch den wirklichen Weblink vor dem Nutzer verborgen. Der Link ist in der linken Spalte blau hervorgehoben. Auf den ersten Blick verweist der Link auf die populäre Webseite postcard.ru, führt jedoch zu einer ganz anderen Internet-Adresse.

E-Mail in der HTML-Darstellung E-Mail, wie sie der Empfänger sieht

<html>
<!– этнический тюльпан высказываться грызун –>
<!– первобытный одновременный негодный –>f

<body>
Вам пришла виртуальная открытка.
<!– irretrievable wei –><bR>
Для ее получения зайдите на сайт <a href=“http://www.postcard.ru/card.php?289723****“><table><tr><td><a href=“http://usadba.e-brest.net/card.php?fr=Bishop****&n=a-log@mail.ru„>www.postcard.ru/card.php?289723****</td></tr></table></a>
и нажмите на ссылку ‚получить открытку‘
<!– shitepoke bordeaux afghanistan –><br>
<!– narcosis thrash numismatist craven –><br>
Служба рассылки открыток POSTCARD.RU
</html>

Вам пришла виртуальная открытка.
Для ее получения зайдите на сайт

www.postcard.ru/card.php?289723****

и нажмите на ссылку ‚получить
открытку‘
Служба рассылки открыток
POSTCARD.RU

Die Übersetzung dieser E-Mail lautet:
Sie haben eine virtuelle Ansichtskarte erhalten.
Um Sie abzurufen, gehen Sie auf die Webseite www.postcard.ru/card.php?289723**** und klicken Sie auf den Link „Karte erhalten“.

Glückwunschkartenanbieter POSTCARD.RU

In der linken Spalte sind die für die Textverfremdung verwendeten HTML-Tags in roter Farbe dargestellt.

Im April 2008 dachten sich die Spammer einen neuen Trick aus: Eine der neuesten Methoden zum Verfremden von Text basiert auf dem Austausch zufälliger Buchstaben in Weblinks durch spezielle UTF-8-Codes. Damit bringen sie die Spam-Filter dazu, jede Nachricht als einzigartig einzustufen. Ein E-Mail-Client wandelt die Codes in die entsprechenden Buchstaben um, sodass der Anwender keine Modifikationen bemerkt.

2. Variante einer E-Mail in HTML-Darstellung E-Mail, wie sie der Empfänger sieht
Экслюзивные фут&#x4=1;олки от: Наша &#x420=#x430;ша, Камеди кл&#=430;б и Нинавижу &=x434;ом2 к праздникам на www.mnogoma&=101;k.info Экслюзивные футболки от: Наша Раша,
Камеди клаб и Нинавижу Дом2
к праздникам на www.хххmaek.info

Zusammenfassung

In den letzten Jahren wurden wir Zeuge, wie der russische Spam-Markt entstand. Dessen Dienste sind heute spezialisiert und unterscheiden sich damit nicht von einem beliebigen anderen entwickelten Markt: Herstellen von Software zum Spam-Versand, Sammeln von Adressen für Spam-Datenbanken, Zusammenarbeit mit den Spam-Auftraggebern oder Erstellen und Versenden von Spam. Die zahlreichen Angebote werden jeweils von vielen Personen betreut – die Zeit der Einzelgänger im Spammer-Milieu ist längst vorbei.

Spammer sind vor allem in Städten wie Moskau und St. Petersburg tätig. Wahrscheinlich ist der dortige Markt bereits zwischen großen Spammer-Unternehmen aufgeteilt, die anscheinend auch einen festen Kundenstamm betreuen. Die Cyberkriminellen bemühen sich über hochwertig gestaltete Werbung außerdem um neue Auftraggeber. Offenbar arbeiten mittlerweile nicht mehr nur Programmierer an Spam-Mails, sondern auch Marktforscher und Designer.

Leider spielt sich diese professionelle Arbeitsweise in einem ungesetzlichen Umfeld ab. Spam ist in Russland wie auch in vielen anderen Ländern illegal. Deswegen arbeiten Spammer intensiv mit anderen Vertretern der Cyberkriminalität wie Internetbetrügern und Virenschreibern zusammen. Genau diese Zusammenarbeit macht Spam besonders gefährlich.

Was ist im nächsten Halbjahr zu erwarten? Höchstwahrscheinlich werden die Spammer ihre Experimente mit HTML-Codes fortsetzen. Es ist auch nicht ausgeschlossen, dass sie im zweiten Halbjahr wieder zu einigen alten Methoden und Tricks greifen. Zweifellos wird die Spam-Menge im Herbst wieder steigen. Nach dem saisonalen Rückgang der Spammer-Aktivität erfolgt auf jeden Fall wieder ein Aufschwung

.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.