Spam im ersten Quartal 2012

Inhalt

Das Anti-Spam-Module der Kaspersky-Produkte schützt Anwender auf der ganzen Welt vor unerwünschten Mails. Unser Antispam-Labor bearbeitet täglich über eine Million Spam-Mails, die in unseren Spam-Fallen landen. Zum Schutz der Anwender kommen ein Content-Filter, eine Analyse der technischen Header, einzigartige grafische Signaturen sowie Cloud-Technologien zum Einsatz. Unsere Analysten erstellen rund um die Uhr neue Signaturen.

Das Quartal in Zahlen

  • Der Spam-Anteil im E-Mail-Traffic betrug durchschnittlich 76,6 Prozent. Das sind fast 4 Prozent weniger als der entsprechende Wert für das vierte Quartal 2011.
  • Nach wie vor werden die meisten unerwünschten Nachrichten aus Asien (44 %) und Lateinamerika versendet (21 %).
  • Der Anteil von Mails mit schädlichen Anhängen stieg im Vergleich zum vorhergehenden Quartal um 3 Prozent und betrug 3,3 Prozent.
  • Der Anteil von Phishing-Mails am gesamten E-Mail-Traffic betrug durchschnittlich 0,02 Prozent.

Besonderheiten des Quartals

Feiertage

Das erste Quartal des Jahres ist reich an Feiertagen und Festivitäten. Das machen sich die Spammer natürlich zunutze. Valentinstag, Fasching, der Internationale Frauentag, St. Patricks Day und schließlich Ostern – es scheint, als hätten die Spammer nicht eine dieser Gelegenheiten ausgelassen.

Der Feiertagsspam erschöpfte sich in den meisten Fällen in traditioneller Werbung für Medikamente oder Imitate hochwertiger Waren, der vom Layout her dem jeweiligen Feiertag angepasst war (angereichert mit „zwingenden Argumenten“, warum diese Waren ausgerechnet zum jeweiligen Fest passen). Oder es handelte sich um Partnerspam, der immer wieder zu Festtagen aktiviert wird, zum Beispiel Partnerprogramme, die auf den Verkauf von Blumen spezialisiert sind.


Politik im russischen Spam

Wie erwartet wurde im russischen Internetsegment auch im ersten Quartal 2012 weiterhin politischer Spam versendet. In den allermeisten Fällen trugen die Mitteilungen dieser Art beinahe extremistische Züge. Zudem stießen wir auch auf politischen Spam von der KPdSU (beziehungsweise gefälschte Mitteilungen im Namen dieser Partei – das ist in solchen Fällen nie mit absoluter Gewissheit zu sagen).

Es gab aber auch andere Varianten. So wurde der Empfänger in einer Spam-Mail aufgefordert, sich mit bestimmten Verhaltensregeln bei Demonstrationen vertraut zu machen. An die Nachricht war eine Word-Datei angehängt. Öffnete der Anwender die Datei, so wurde er aufgefordert, Makros zuzulassen. Startete der Nutzer die Makros, wurde auf seinem Computer ein Trojaner installiert, der Windows zum Absturz bringt.


Nutzten Cyberkriminelle diese Kundgebungen als aktuelles Thema oder handelte es sich hierbei vielmehr um eine zielgerichtete Attacke auf die Oppositionellen unter den Anwendern? Dieser Trojaner zeichnete sich dadurch aus, dass er über keine Funktionalität von typisch kommerziellen Schadprogrammen verfügte, denn er stahl keine Passwörter und installierte keine Bots. Seine einzige Aufgabe bestand darin, den infizierten Computer funktionsunfähig zu machen.

Methoden und Tricks der Spammer

Schädliche Versendungen

Beim Social Engineering beweisen die Spammer den größten Einfallsreichtum. Neben den bereits beschriebenen Versendungen mit „Verhaltensregeln für Demonstranten“ stießen wir im ersten Quartal auch auf andere Fälschungen.

Nach den Versendungen mit gefälschten Benachrichtigungen des amerikanischen Zahlungsdienstleisters NACHA begannen Spammer auch Mails vom Better Business Bureau (BBB) zu fälschen. BBB ist ein Privatunternehmen, das Verbrauchern und Unternehmern Gutachten, Beschwerden, Ratings und vieles mehr zur Verfügung stellt, um sie bei einer Entscheidungsfindung, einem Kauf oder bei Investitionen zu unterstützen.


Die Hauptziele der Versendung waren kleine und mittelständische Unternehmen. In der Mail war von einer angeblich beim BBB eingegangenen Beschwerde die Rede – die klassische Methode des Erschreckens: Reagiert der Anwender nicht auf diese Beschwerde, so würde er sein Rating beim BBB riskieren. Tatsächlich landete der Anwender, wenn er auf den in der Mail enthaltenen Link klickte, auf einer gehackten Webseite samt integriertem Skript, die seinen Browser auf eine schädliche Webseite mit dem bekannten Exploit-Pack Blackhole umleitete.

Ein ähnliches Schema nutzte auch eine andere Versendung, die als E-Mail von US Airways getarnt war. Dem Nutzer wurde hier angeboten, einen Flug online zu buchen.


Mit einem Klick auf den Link geriet der Anwender auf eine Webseite mit einem Skript, das ihn auf eine Webseite mit dem Exploit-Pack Blackhole umleitete. Fand das Exploit ein verwundbares Programm auf dem Rechner, wurde dort eine Modifikation des Trojaners ZeuS/Zbot installiert.

Schädliche Versendungen waren unter anderem auch als Finanz-Newsletter, Stellenangebote, Mitteilungen über Banktransaktionen und Benachrichtigungen von sozialen Netzwerken getarnt.


Betrug

Die Betrüger bewiesen im ersten Quartal 2012 auch viel Phantasie. „Nigerianische“ Spammer versprachen den Anwendern erneut Millionen – dieses Mal die des verblichenen libyschen Diktators Gaddafi. Zudem gaben sie sich als Direktor des FBI aus und versuchten so, den Anwendern persönliche Daten zu entlocken.


Für uns besonders interessant war eine Versendung, die angeblich von der Hackergruppe Anonymous stammte. In ihrer Mail, die in typischer Manier aufgemacht war, also einige Phrasen enthielt, die als Visitenkarte der Gruppe durchgehen, forderten die falschen Aktivisten die Empfänger der Nachricht auf, ihren Protest gegen das Vorgehen von Regierungen verschiedener Länder zu unterstützen. Zu diesem Zweck musste der Nutzer lediglich seinen Namen, das Land, in dem er lebt, sowie seine Handynummer an die in der Mail angegebene Adresse schicken.


In diesem Fall setzten die Betrüger auf die Popularität der Hackerbewegung. Die Bitte, Namen und Telefonnummer zu versenden, könnte dem Anwender harmlos erscheinen. Allerdings können Cyberkriminelle diese Daten auf ganz und gar unangenehme Art und Weise nutzen, etwa indem sie den Inhaber des Telefons bei einem kostenpflichtigen Service anmelden.

Bemerkenswert ist, dass im Feld „From“ in dieser Versendung eine Domain der Organisation NACHA erscheint. Die Betrüger werden kaum gewollt haben, dass ihre Versendung mit dieser Organisation in Verbindung gebracht wird. Wahrscheinlicher ist, dass die Personen, die diese Mails versendet haben, sie als Versendung von NACHA getarnt und dann schlicht und ergreifend vergessen haben, das gefälschte Feld „From“ in der von den Bots ausgegebenen Schablone auszutauschen.

Spam-Statistik

Spam-Anteil und Zerschlagung von Botnetzen

Der Spam-Anteil am gesamten E-Mail-Traffic betrug im ersten Quartal 2012 durchschnittlich 76,6 Prozent. Im Vergleich zum vierten Quartal 2011 ist das ein Rückgang um fast 4 Prozent.



Spam-Anteil im E-Mail-Traffic, erstes Quartal 2012

Der Rückgang unerwünschter Mitteilungen im E-Mail-Verkehr hängt nicht zuletzt damit zusammen, dass Kaspersky Lab in Zusammenarbeit mit Forschungsgruppen aus dem CrowdStrike Intelligence Team, dem HoneyNet Project und Dell SecureWorks die zweite Version des P2P-Botnetzes Hlux/Kelihos unschädlich gemacht hat.

Unseren Daten zufolge bestand das Botnetz aus mehr als 100.000 infizierten Rechnern. Hlux wurde erstmals im Dezember 2010 registriert, gleich nach der Schließung der Steuerungszentralen so großer Botnetze wie Pushdo/Cutwail und Bredolab. Im September 2011 wurde die erste Modifikation abgeschaltet, allerdings entwickelten die Cyberkriminellen schnell eine neue Version des Bots und Ende September 2011 erschien eine neue Modifikation des Botnetzes – mit erweiterter Funktionalität. Diese Variante wurde im März 2012 unschädlich gemacht.

Verteilung der Spam-Quellen nach Regionen

Hinsichtlich der Geografie der Spam-Quellen beobachten wir eine Fortsetzung der Trends des Jahres 2011: Langsam, aber unaufhörlich steigt der Spam-Anteil aus den Ländern Asiens (fast 10 Prozent mehr) und Lateinamerikas (plus 14 Prozent). Zudem steigt auch der aus Afrika (über 21 Prozent Zuwachs) und dem Nahen Osten (fast 30 Prozent mehr) stammende Spam-Anteil. Und obwohl die Spam-Menge, die aus der afrikanischen und nahöstlichen Region versendet wird, bisher nicht groß ist, ist die Zuwachsrate dort auffällig hoch.



Verteilung der Spam-Quellen nach Regionen, viertes Quartal 2011 und erstes Quartal 2012

Die Anteile sowohl von West- als auch von Osteuropa gehen weiterhin zurück und betrugen im ersten Quartal 2012 insgesamt 23,4 Prozent am allgemeinen Spam-Aufkommen. Damit kamen über 35 Prozent weniger Spams aus den europäischen Ländern. Nach der Zerschlagung des Hlux-Botnetzes sind weitere Veränderungen in der geografischen Verteilung der Spam-Quellen zu erwarten.

Spam-Herkunftsländer

An der Spitze der Spam versendenden Länder steht nach wie vor Indien, gefolgt von Indonesien und Brasilien. Die Top 20 der Spam-Herkunftsländer haben sich im Vergleich zum vorhergehenden Quartal praktisch nicht geändert – bei keinem einzigen Land betrugen die Veränderungen mehr als 1 Prozentpunkt.


Spam-Herkunftsländer, erstes Quartal 2012

Während sich die Intensität der Versendungen aus verschiedenen Ländern innerhalb einer Region normalerweise praktisch synchron verändert, ist das im asiatischen Raum nicht der Fall und jedes Land unterliegt einer eigenen Dynamik. So zeigten die zu den Top 5 gehörenden Länder Südkorea und Vietnam fast gegensätzliche Tendenzen:


Verbreitungsdynamik von Spam aus Südkorea und Vietnam, erstes Quartal 2012

Das zeigt, dass die infizierten Computer in diesen Ländern zu verschiedenen Botnetzen gehören. Im Prinzip ist das auch nicht erstaunlich: Asien ist gegenwärtig eine sehr attraktive Region für Botmaster und verschiedene, voneinander unabhängige Botnetze können infizierte Computer aus dieser Region nutzen.

Schädliche Anhänge und Links

Schadspam-Anteil

Im letzten Quartal lag der Schadspam-Anteil noch bei 3,2 Prozent. Im ersten Quartal 2012 stieg der Anteil von E-Mails mit schädlichen Anhängen um 3,1 Prozent und betrug damit 3,3 Prozent. Die folgende Grafik zeigt die Verteilung dieses Wertes nach Monaten:


Anteil von E-Mails mit schädlichen Anhängen im E-Mail-Traffic, erstes Quartal 2012

Das Diagramm zeigt, dass der Anteil von schädlichem Spam im Januar am größten war – in diesem Monat enthielten mehr als 4 Prozent aller Mitteilungen schädliche Anhänge. Im Februar und März betrug dieser Wert 2,8 Prozent.

Der relativ hohe Anteil von Schadspam im Januar ist im Wesentlichen mit den langen Neujahrsferien in Russland zu erklären und der damit eingehergehenden, nicht besonders regen Geschäftstätigkeit in den übrigen Wochen dieses Monats. Da viele Botmaster deshalb mit einer rückläufigen Auftragslage zu tun hatten, übernahmen sie den Versand von Partner-Spam und damit auch die Vorlieben der Partnerprogramme – die Verbreitung von Werbung für pharmazeutische Produkte und Schadcode.

Der Rückgang des Schadspam-Anteils im Februar und März ist sicherlich nur eine kurzfristige Erscheinung und man kann mit hoher Wahrscheinlichkeit behaupten, dass der Anteil von schädlichen Versendungen im zweiten Quartal wieder zunehmen wird. Zur Verbreitung von Schadcode werden nicht nur Mail-Anhänge verwendet, sondern auch schädliche Links. Daher ist ein Rückgang des Anteils von schädlichen Anhängen im E-Mail-Verkehr nicht unbedingt immer mit einem Rückgang des Anteils von schädlichen Versendungen gleichzusetzen.

Länder als Zielscheibe von schädlichen Versendungen

Im ersten Quartal 2012 sah die Verteilung der Alarme des Mail-Antivirus-Moduls von Kaspersky Lab nach Ländern folgendermaßen aus:


Verteilung der Alarme nach Ländern, erstes Quartal 2012

Der Anteil der Alarme unseres Mail Anti-Virus auf dem Gebiet des Vorjahres-Spitzenreiters Russland betrug nur 2 Prozent, so dass dieses Land nicht einmal mehr in den Top 10 vertreten ist. Auf Position eins landeten die USA, obwohl der Anteil der Alarme hier verglichen mit dem vorhergehenden Quartal nur unwesentlich gestiegen ist, und zwar um nur 0,5 Prozentpunkte. Fast verdoppelt hat sich hingegen der Anteil der Alarme auf dem Territorium von Hongkong, das dadurch auf Platz zwei der Top 10 landete.

In unserem Jahresbericht 2011 wiesen wir darauf hin, dass die Dynamik von schädlichen Versendungen auf den Territorien der USA und Indien gegensätzlich verläuft: Wurde mehr Schadspam in den USA registriert, so ging der Anteil derartiger Alarme in Indien deutlich zurück und umgekehrt. Im ersten Quartal 2012 konnten wir dieses Phänomen nicht mehr beobachten.

In dem Bericht für das dritte Quartal 2011 berichtete Kaspersky Lab darüber, dass die Ähnlichkeit zwischen der Internet-Landschaft in den USA und in Australien dazu geführt hat, dass der Anteil der Alarme des Mail Anti-Virus in den USA und in Australien synchron verläuft. Dieser Trend hat sich im ersten Quartal 2012 fortgesetzt.


Dynamik der Alarme des Mail Anti-Virus in den USA und in Australien, Dezember 2011 bis März 2012

Eine genauere Analyse zeigte eine Kongruenz lokaler Maxima bei den Alarmen des Mail Anti-Virus in diesen Ländern, und zwar praktisch im Verlauf des gesamten März.


Dynamik der Alarme des Mail Anti-Virus in den USA und in Australien nach Tagen, März 2012

Top 10 der Schadprogramme im E-Mail-Traffic

Im ersten Quartal 2012 steht der Schädling Trojan-Spy.HTML.Fraud.gen an der Spitze der am häufigsten aufgespürten Schadprogramme. Auf ihn entfielen mehr als 14 Prozent aller Detektionen. Trojan-Spy.HTML.Fraud.gen ist ein Schadprogramm in Form einer HTML-Seite, die sich als Registrierungsformular einer Finanzorganisation oder eines Online-Dienstes tarnt. Auf einer solchen Seite eingegebene Daten werden an die Cyberkriminellen gesendet.


Top 10 der Schadprogramme im E-Mail-Traffic, erstes Quartal 2012

Auf Platz zwei positionierte sich erneut Email-Worm.Win32.Mydoom.m. Dieser E-Mail-Wurm erfüllt ebenso wie sein Kollege Mydoom.l (8. Platz) nur zwei Funktionen auf infizierten Computern: Das Sammeln von E-Mail-Adressen und den Selbstversand dorthin. Über diese Funktionalität verfügen auch die Schädlinge der Familie Email-Worm.Win32.NetSky auf den Plätzen 6, 7 und 9. Email-Worm.Win32.Bagle.gt steht auf Platz 4. Zusätzlich zu der oben beschriebenen Funktionalität der klassischen E-Mail-Würmer verbindet sich dieser Schädling mit Internetressourcen, um von dort Schadprogramme herunterzuladen.

Wir weisen darauf hin, dass sich die Verbreitung von E-Mail-Würmern absolut unkontrolliert vollzieht, da der in sie integrierte Mechanismus nicht vorsieht, Befehle von einem „Master“ entgegenzunehmen und auszuführen. Die im Rating vertretenen Familien verbreiten sich im Traffic im Laufe mehrerer Jahre und sind ihren Entwicklern vermutlich schon seit langem von großem Nutzen. Außer dem Phishing-Schädling Trojan-Spy.HTML.Fraud.gen verbreiten die Verbrecher neue Modifikationen verschiedener Trojan-Downloader oder Trojan-Dropper.

Häufig gehen die Versendungen so schnell vorüber, dass die entsprechenden Samples gar nicht erst in den Antiviren-Datenbanken auftauchen. In einem solchen Fall blockiert der Mail Anti-Virus den schädlichen Anhang mit proaktiven Methoden. Im ersten Quartal 2012 wurden 11 Prozent aller entdeckten schädlichen Programme proaktiv erkannt.

Zudem darf man nicht vergessen, dass Cyberkriminelle Schadcode nicht nur über Anhänge, sondern auch über schädliche Links verbreiten.

Phishing

Der Anteil der Phishing-Mails ging im ersten Quartal 2012 leicht zurück und betrug durchschnittlich 0,02 Prozent des gesamten E-Mail-Traffics.


Anteil von Phishing-Mails im E-Mail-Traffic, erstes Quartal 2012

Seit Anfang 2012 veröffentlicht Kaspersky Lab in seinen Berichten ein neues Rating, nämlich die Top 100 der Kategorien von Organisationen, die am häufigsten Phishing-Attacken ausgesetzt sind. Weitere Informationen zu jeder Kategorie finden Sie hier.


Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien.
Alarme des Anti-Phishing-Moduls im ersten Quartal 2012

Das Kategorien-Rating der von Phishern angegriffenen Organisationen wird auf der Grundlage der Alarme unserer Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Im Laufe des gesamten ersten Quartals war die Verteilung der Phishing-Attacken nach Organisationen verschiedener Kategorien stabil. Die einzige erwähnenswerte Veränderung besteht in der Zunahme des Anteils von Attacken auf die Kunden des Internet-Shops Amazon im Januar. In diesem Monat belegte die Kategorie „Online-Shops und Internet-Auktionshäuser“ den zweiten Platz des Ratings. Allerdings setzte sich schon im Februar die Kategorie „Soziale Netzwerke“ aufgrund eines hohen prozentualen Anteils von Angriffen auf Facebook auf Position zwei fest – dieses soziale Netzwerk war zwei Monate in Folge unter allen Organisationen führend.

Nach den Daten von KSN werden fast 70 Prozent aller Umleitungen über Phishing-Links aus Mail-Clients vorgenommen. Das bedeutet, dass die E-Mail der wichtigste Verbreitungskanal von Phishing-Links ist.

Fazit

Der Spam-Anteil im E-Mail-Traffic geht erfreulicherweise zurück. Zum großen Teil hängt das mit dem aktiven Kampf verschiedener unabhängiger Organisationen gegen Botnetze zusammen. Allerdings zeigt die Praxis, dass die Zerschlagung von Botnetzen nicht ausreicht, wenn man die Bedrohungen effektiv bekämpfen will. Hier ist eine Zusammenarbeit mit Strafverfolgungsbehörden unerlässlich, inklusive der damit einhergehenden Ermittlungen und Gerichtverfahren. Erfreulich ist, dass die Arbeit in diese Richtung ebenfalls vorangeht. So haben verschiedene Finanzorganisationen in den USA gemeinsam mit Microsoft gegen die Betreiber eines ZeuS-Botnetzes geklagt und sie der Verletzung verschiedener Gesetze beschuldigt, von CAN-SPAM (amerikanisches Gesetz gegen Spam) bis zum RICO Act (Racketeer Influenced and Corrupt Organizations Act).

Die Spam-Geografie hat sich verglichen mit dem vorhergehenden Quartal praktisch nicht geändert. Allerdings sollte man nicht davon ausgehen, dass diese Stabilität anhält: Die Abschaltung von Botnetzen führt in der Regel zu starken Veränderungen in der Geografie der Spam-Quellen, so dass die Verbrecher versuchen, Botnetze in aus ihrer Sicht sichereren (oder vorteilhafteren) Regionen aufzubauen.

Der Anteil schädlicher Anhänge im Spam hat sich verringert, befindet sich aber nach wie vor auf hohem Niveau. Zudem enthält ein nicht geringer Teil des Schadspams keine Anhänge, sondern schädliche Links auf Webseiten mit Exploits, die bei Drive-by-Attacken eingesetzt werden. Solche Versendungen zeichnen sich dadurch aus, dass die Links in den Mails über mehrere, unterschiedlich aufgebaute Umleitungen auf Webseiten mit Exploit-Packs führen. Dabei handelt es sich um Exploit-Sammlungen, die dafür ausgelegt sind, auf einem Computer eine Sicherheitslücke in einer populären Anwendung wie Java, dem Flash Player oder dem Adobe Reader zu finden. Außerdem sind die Organisatoren derartiger Versendungen meist sehr kreativ, was den Einsatz verschiedener Social-Engineering-Methoden betrifft.

Derzeit kann es sowohl gefährlich sein, auf einen Link in einer Spam-Mail zu klicken, als auch eine angehängte Datei zu öffnen, selbst wenn es sich nur um ein Textdokument handelt. Außerdem sind einige moderne Schädlinge so aufgebaut, dass das Öffnen der Spam-Mail selbst gefährlich werden könnte. Wir rufen unsere Anwender erneut dazu auf, ihre Software immer auf dem neusten Stand zu halten und Spam-Mails zu löschen, ohne sie zu öffnen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.