Spam im ersten Quartal 2013

Inhalt

    Das Quartal in Zahlen

    • Im Vergleich zum vierten Quartal 2012 stieg der Spam-Anteil im E-Mail-Traffic um 0,5 Prozentpunkte und betrug damit 66,5 Prozent.
    • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen ging um das 4,25-Fache zurück und betrug 0,004 Prozent.
    • 3,3 Prozent aller elektronischen Mitteilungen enthielten schädliche Anhänge, das sind 0,1 Prozentpunkte mehr als im vorangegangenen Quartal.

    Besonderheiten im ersten Quartal

    Im ersten Quartal 2013 gab es einige Ereignisse, die weltweit für Aufsehen sorgten: der Tod des venezolanischen Präsidenten Hugo Chavez, der Rücktritt des Papstes Benedikt XVI. und die Amtseinführung des neuen Papstes Franziskus. Wie üblich zogen derart weltbewegende Ereignisse auch an den Spammern nicht unbemerkt vorüber. Diese nutzen das Interesse der Anwender an solch wichtigen Vorkommnissen in erster Linie dazu aus, um schädliche Links und betrügerische E-Mails in Umlauf zu bringen. Dabei ließen die Cyberkriminellen aber auch andere Spielarten des Social Engineerings keinesfalls außer Acht.

    Aktuelle Nachrichten mit schädlichen Links

    Nach dem Tod des venezolanischen Präsidenten tauchten im Spam-Strom E-Mails mit folgendem provozierenden Betreff auf: „CIA „DELETED“ Venezuela’s Hugo Chavez?“. Die Autoren des Schreibens spielten auf eine Mitschuld der US-amerikanischen Regierung und des FBI am Tod von Hugo Chavez an und forderten den Empfänger auf, mittels Klick auf einen in der E-Mail enthaltenen Link ein Video zum Thema anzuschauen.


    Folgte der unvorsichtige Nutzer diesem Link, landete er auf einer gehackten legitimen Webseite. Von dort wurde sein Browser auf eine schädliche Ressource weitergeleitet, die ein verstecktes Javascript enthält. Erfüllte das Betriebssystem des potenziellen Opfers bestimmte Kriterien, so wurde mit Hilfe eines Exploits (das Kaspersky Anti-Virus proaktiv als HEUR:Exploit.Java.CVE-2012-0507.gen erkennt) ein Schadprogramm auf dem Computer installiert.

    Doch nicht nur Nachrichten über Hugo Chavez zogen in diesem Quartal die Aufmerksamkeit der Spammer auf sich. In einer anderen Versendung mit provozierendem Text und schädlichem Link nutzen Cyberkriminelle den Namen des neuen Papstes aus, um Anwender in die Falle zu locken. Die Spam-Versendung war als Mitteilung von BBC und CNN getarnt, die Empfänger dazu ermunterte, einem Link zu folgen, um Nachrichten zum neuen Heiligen Vater zu erhalten. Beispielsweise rief eine der Betreffzeilen der Versendung zur Diskussion darüber auf, ob der neue Papst wegen sexuellen Missbrauchs angeklagt werden kann.


    Das Schema, nach dem der Computer in diesem Fall infiziert wurde, stimmt mit der Methode überein, die auch in der Versendung der „Nachrichten“ zum Tod von Chavez eingesetzt wurde: Nach einem Klick auf den in der E-Mail enthaltenen Link wurde der Browser auf eine gehackte Webseite umgeleitet. Anschließend wurde ein Exploit auf den Rechner geladen (meist aus der Exploit-Sammlung Blackhole), mit dessen Hilfe dann wiederum die Infektion des Systems mit einem Schadprogramm erfolgte.

    Interessanterweise brachten die Cyberkriminellen – bei aller Sorgfalt, die sie bei der Ausfertigung der gefälschten Nachrichtenmitteilungen an den Tag legten – immer mal wieder die Einträge im Header durcheinander: So fügten sie beispielsweise in einer Mitteilung, die angeblich von CNN stammte, als Absender den Namen „BBC“ ein.

    Die Verwendung aktueller Nachrichten in Kombination mit Links auf angeblich provozierende Fotos oder Videos ist ein beliebter Ansatz von Spammern, die Schadprogramme verbreiten. Früher hatte es das Kaspersky-Team schon einmal mit derartigen Versendungen zu tun, bei denen der Nutzer aufgefordert wurde, sich Bilder von Osama bin Laden, kompromittierende Fotos von Barack Obama oder ähnliches anzusehen. Ungeachtet der Vielfalt der von Spammern eingesetzten Themen ist das Ergebnis bei einem Klick auf dem in solchen E-Mails enthaltenen Link doch immer dasselbe: Es wird versucht, ein Schadprogramm auf den Computer zu laden.

    Ereignisse in Venezuela und „nigerianischer“ Spam

    Auch die „nigerianischen“ Spammer, die sich stets den Faktor Instabilität in irgendeinem Land zunutze machen, haben sich das Geschehen in Venezuela nicht entgehen lassen. Kaspersky Lab registrierte mehrere Versendungen in verschiedenen Sprachen, die dieses Thema ausnutzen.

    Der Inhalt des folgenden englischsprachigen Schreibens ist typisch für „nigerianischen“ Betrug: Die E-Mail stammt angeblich von einer der Führungsebene nahestehenden Person, die um Hilfe bei der Sicherung von Geldern bittet, bevor die neue Regierung dieses einzieht.


    „Nigerianische“ E-Mails mit ähnlichem Inhalt, aber anderen Namen, registrierten wir nach dem Tod des libyschen Staatsoberhaupts Gaddafi sowie nach der Inhaftierung des ägyptischen Präsidenten Mubarak.

    In der unten stehenden deutschsprachigen Versendung gibt sich der Verfasser als Freund des verstorbenen Chavez aus, der auf dessen Wunsch 23 Millionen US-Dollar für die heimliche Geliebte des Präsidenten verwahrt, die allerdings nicht aufgetaucht ist. Der Empfänger wird gebeten, beim Transfer des Geldes ins Ausland behilflich zu sein – selbstverständlich gegen eine großzügige Vergütung.


    Die möglichen Szenarien im Zusammenspiel zwischen den „nigerianischen“ Betrügern und ihren potenziellen Opfern sind wohlbekannt. Wenn der Empfänger auf das Schreiben antwortet, wird er im Zuge der darauffolgenden Korrespondenz gebeten, eine im Verhältnis zum versprochenen Honorar geringe Summe auf ein Konto zu überweisen – für die Bezahlung des Juristen, für anfallende Steuern und so weiter. Sobald die Betrüger dieses Geld erhalten haben, brechen sie jeglichen Kontakt ab.

    Soziale Fälschungen

    Spammer, die Computer mit Schadprogrammen infizieren wollen, setzen zu diesem Zweck nach wie vor gefälschte Benachrichtigungen von bekannten Dienstleistern ein. In diesem Quartal gesellten sich zu den häufig anzutreffenden Versendungen im Namen von Facebook, Twitter und vielen anderen auch gefälschte Benachrichtigungen von Foursquare. Hier greift eine einfache Regel: Je bekannter ein Anbieter, desto höher ist die Wahrscheinlichkeit, dass Spammer in dessen Namen falsche Mitteilungen versenden.


    Meist versenden Cyberkriminelle in derartigen E-Mails Links auf eine Auswahl von Exploits, die in der Lage sind, eine Sicherheitslücke auf dem Computer zu finden und diese zur Installation verschiedener Schadprogramme auszunutzen. Großer Beliebtheit unter Spammern erfreut sich die Exploit-Sammlung Blackhole.

    Beim Versenden von schädlichen E-Mails in Form von gefälschten Mitteilungen des einen oder anderen Anbieters achten Spammer häufig nicht darauf, ob die Betreffzeile oder der eingetragene Absender auch zum Inhalt des Schreibens passen. Solche Fehler begehen zum Beispiel die Cyberkriminellen, die Nachrichten im Namen der Mediengiganten CNN und BBC verschickten. Dieser Umstand könnte darauf hindeuten, dass für alle ähnlichen Versendungen ein und dieselbe Gruppe von Internetbetrügern verantwortlich ist.


    Methoden und Tricks

    Es ist kein Geheimnis, das die Spammer in letzter Zeit kaum etwas Neues zu bieten haben: Alle Tricks wurden irgendwann schon einmal in der einen oder anderen Form angewendet. Das hat zur Folge, dass die Betrüger nun dazu übergehen, verschiedene Methoden und Ansätze zu kombinieren, darunter auch recht bekannte, die allerdings im Laufe der Zeit unpopulär wurden. Zudem haben sich die Spammer mit den Möglichkeiten legaler Anbieter vertraut gemacht und setzen diese nun zur Umgehung der Spam-Filter ein.

    Nutzung legaler Dienste

    Im ersten Quartal 2013 stieß Kaspersky Lab auf eine Versendung, die typisch ist für Spam mit Werbung für „Männer-Medikamente“. Hier kamen die folgenden Tricks zum Einsatz:

    Um den Empfänger noch weiter in die Irre zu führen, fügten die Spammer am Ende des Links eine sinnlose Frage an, die aus willkürlich gewählten Wörtern besteht („?/constitutional contextualization“).


    Spammer nutzen häufig Kurzlink-Dienste. Erstens versuchen sie auf diese Weise die Spam-Filter zu umgehen, indem sie in jeder E-Mail einen einmaligen Link erstellen. Zweitens entstehen den Cyberkriminellen durch die Nutzung von Kurzlink-Services keine zusätzlichen Kosten, die zum Beispiel dann anfallen, wenn sie Domains kaufen oder legitime Webseiten hacken. Auf der anderen Seite versuchen große Kurzlink-Anbieter, die Inhalte derjenigen Webseiten im Auge zu behalten, auf die sie die Anwender umleiten, und die schädlichen Links schnell außer Betrieb zu setzen.

    Die Rückkehr des „weißen Textes“

    Ein einfacher Ansatz, um die Lesbarkeit des E-Mail-Inhalts zu erschweren, ist als „weißer Text“ bekannt und erfreut sich unter Spammern erneut großer Beliebtheit. Bei dieser Methode wird der E-Mail ein willkürliches Textstück hinzugefügt (in diesem Quartal waren es im Wesentlichen Nachrichtenfragmente), das in hellgrauer Schrift auf grauem Grund und im Gegensatz zum eigentlichen Werbetext mit vielen Zeilenumbrüchen dargestellt wird. Dieser Ansatz zielt zum einen darauf ab, dass die inhaltsbezogenen Spam-Filter eine solche E-Mail als Nachrichtenversendung einstufen. Zweitens machen zufällig ausgewählte Nachrichtenfragmente jede E-Mail einmalig, was die Erkennung schädlicher Inhalte erschwert.


    Statistik

    Spam-Anteil im E-Mail-Traffic

    Im Laufe des ersten Quartals 2013 schwankte der Spam-Anteil im E-Mail-Traffic deutlich und betrug durchschnittlich insgesamt 66,55 Prozent. Das sind 0,53 Prozentpunkte mehr als im vorangegangenen Quartal.

    Spam-Anteil im E-Mail-Traffic, erstes Quartal 2013

    Eine der größten Versendungen des Quartals war eine Versendung nach der Methode „Pump and Dump“. Dabei handelt es sich um eine Form des Betrugs auf dem Aktienmarkt. Spammer kaufen Aktien kleiner Unternehmen, treiben dann die Aktienpreise künstlich in die Höhe, indem sie in ihren Versendungen falsche positive Informationen über den Zustand dieser Firmen verbreiten, und verkaufen dann die Aktien wieder zu höheren Preisen. Aufgrund dieser Versendung erreichte die Spam-Menge in der ersten Januarwoche die Quartals-Rekordhöhe von 73,4 Prozent.


    Die meisten Versendungen solcher Art von Aktien-Spam gab es in den Jahren 2006 bis 2007. Anschließend verschwanden derartige Versendungen praktisch völlig und tauchten nur noch höchst selten in den Spam-Strömen auf. Diese Versendungen zeichneten sich schon in den oben genannten Jahren durch ihren Umfang aus. Dabei geht es den Spammern darum, die Sache innerhalb kürzester Zeit abzuwickeln, also im Laufe von etwa ein bis zwei Tagen, bevor der Betrug auffliegt. Je mehr sie innerhalb dieses engen Zeitfensters versenden, desto mehr potenzielle Opfer können die angebotenen Aktien kaufen.

    Spam-Herkunftsländer

    Im ersten Quartal 2013 halten China (24,3 %) und die USA (17,7 %) wie gehabt die Führungspositionen im Rating der Spam-Herkunftsländer inne. Den dritten Platz besetzt Südkorea mit einem recht hohen Anteil von 9,6 Prozent.

    Spam aus diesen Ländern wird in unterschiedliche Regionen versendet: Der größte Teil des chinesischen Spams geht nach Asien, Spam aus den USA wird im Wesentlichen nach Nordamerika versendet (das heißt der größte Teil ist sozusagen interner Spam), und Spam aus Korea gelangt in der Regel nach Europa.

    Spam-Herkunftsländer weltweit, erstes Quartal 2013

    Brasilien (2,2%), das in der Jahresstatistik 2012 den fünften Platz belegte, rutschte auf Rang neun ab: Der Anteil der von dort stammenden unerwünschten Nachrichten hat sich fast halbiert. Diese Entwicklung hängt damit zusammen, dass Brasilien Ende 2012 landesweit den TCP-Port 25 geschlossen hat, der standardmäßig für den ausgehenden SMTP-Traffic reserviert ist. Genau über diesen Port läuft der meiste ausgehende Spam von infizierten Computern. Die Schließung des Ports 25 ist Standardpraxis für Internetprovider, doch in diesem Fall wurde das Problem auf höherer Ebene gelöst.

    Zu den Top 5 der Spam-Herkunftsländer gehört außerdem Indien (4,4 %), das 2012 den dritten Platz belegte, sowie Taiwan, dessen Anteil sich mehr als verdoppelt hat, so dass dieses Land vom zehnten auf den fünften Platz aufstieg. Russland (3,2 %) legte 1,2 Prozentpunkte zu und kletterte damit eine Position nach oben auf den siebten Platz.

    Spam-Herkunftsregionen

    Asien ist wie gehabt Spitzenreiter unter den Spam versendenden Regionen – auf diesen Kontinent entfallen 51,8 Prozent aller ausgehenden unerwünschten Nachrichten. Darauf folgt Nordamerika mit einem Wert von 18,3 Prozent.

    Spam-Herkunftsregionen weltweit, erstes Quartal 2013

    Der Anteil der aus Osteuropa (11,1 %) stammenden Spam-Menge ist gestiegen. Während in den Top 10 mit Russland nur ein osteuropäisches Land vertreten ist, wird die Hälfte der Plätze elf bis 20 bereits von Ländern aus Osteuropa belegt.

    Der Beitrag Lateinamerikas zum weltweiten Spam-Aufkommen ging aufgrund des gesunkenen Anteils von Brasilien, Peru und Argentinien zurück, die in diesem Quartal noch nicht einmal mehr unter den ersten 20 Plätzen vertreten sind.

    Größe der Spam-Mails

    Größe der Spam-Mails, erstes Quartal 2013

    Im ersten Quartal 2013 überwogen sehr kurze E-Mails mit einer Größe von nicht mehr als einem KB. Die Verwendung von kompakten Mitteilungen ermöglicht es den Spammern, mehr E-Mails mit geringerem Traffic-Aufkommen zu versenden. Zudem sind diese E-Mails problemloser individuell zu gestalten, da sie nur kurze Phrasen enthalten, die von Nachricht zu Nachricht geändert werden können, was wiederum die Arbeit der Spam-Filter erschwert.

    Schädliche Anhänge und Links

    Der Anteil der E-Mails mit schädlichen Anhängen stieg gegenüber dem vorangegangenen Quartal um 0,1 Prozentpunkte und betrug insgesamt 3,3 Prozent.

    Top 10 der via E-Mail verbreiteten Schadprogramme, erstes Quartal 2013

    Der größten Beliebtheit unter Cyberkriminellen erfreut sich nach wie vor das Schadprogramm Trojan-Spy.HTML.Fraud.gen, das als HTML-Seite daherkommt. Dieser Schädling tarnt sich als Registrierungsformular für Online-Banking-Systeme und wird von Phishern eingesetzt, um Finanzinformationen der Anwender abzugreifen.

    Auf Platz zwei befindet sich ein E-Mail-Wurm aus der Familie Bagle, der nicht nur eine Kopie seiner selbst an die E-Mail-Kontakte aus dem Adressbuch des Anwenders verschickt, sondern auch Befehle von einem entfernten Server zur Installation anderer Schadprogramme empfangen kann.

    Position drei belegte im ersten Quartal 2013 der Schädling Trojan-Banker.HTML.Agent.p. Wie auch Fraud.gen erscheint dieser Schädling als HTML-Seite, die ein Registrierungsformular von Online-Banking-Diensten oder anderen Internet-Diensten imitiert.

    Neben einigen alten E-Mail-Würmern, die ständig im Internet kursieren, sind auch Trojan.Win32.Bublik.aknd und einige Backdoors der Familie Androm in den Top 10 vertreten.

    Bublik sammelt von infizierten Computern FTP-Passwörter, Login-Daten für E-Mail-Accounts und Zertifikate. Darüber hinaus kann dieser Trojaner Formulare in den Browsern Mozilla Firefox und Google Chrome nach gespeicherten Benutzernamen und Passwörtern durchsuchen. Die gefundenen Daten sendet das Programm daraufhin an die Cyberkriminellen.

    Programme des Typs Backdoor ermöglichen es Online-Gangstern, einen infizierten Computer unbemerkt zu steuern, unter anderem um beispielsweise weitere schädliche Dateien auf den Rechner zu laden und diese zu starten oder verschiedene Informationen vom Computer zu versenden. Außerdem werden mit solchen Programmen infizierte Computer häufig an ein Botnetz angeschlossen. In den meisten Fällen wurden die Backdoors der Familie Androm mittels gefälschter Nachrichten verbreitet, die im Namen von Booking.com, DHL, British Airways und anderen versendet wurden. Auf diese Weise kommen auch die trojanischen Programme der Familie ZeuS/Zbot in Umlauf.

    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, erstes Quartal 2013

    Die meisten Alarme von Kaspersky Anti-Virus entfallen wie gehabt auf die USA (13,2 %) und Deutschland (11,2 %). Insgesamt wird in diese beiden Länder fast ein Viertel aller schädlichen E-Mails gesendet. Den dritten Platz im Rating belegte Italien (8,7 %), das mitunter noch nicht einmal unter den ersten zehn Plätzen erscheint. Im Februar wurde allerdings eine umfangreiche Versendung nach Italien geschickt, die den Schädling Trojan-Banker.HTML.Agent.p enthielt und aufgrund der Italien im Februar sogar den ersten Platz in den Top 10 einnahm.

    Darüber hinaus gab es im Länder-Rating nach Alarmen von Kaspersky Anti-Virus keine wesentlichen Veränderungen.

    Phishing

    Im ersten Quartal 2013 ging der Anteil der Phishing-Mails im E-Mail-Traffic um das 4,25-Fache zurück und betrug insgesamt 0,004 Prozent.

    Top 100 der im ersten Quartal 2013 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien*

    *Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Im ersten Quartal 2013 nahmen die Phishing-Attacken auf Soziale Netzwerke zu  (37,6 %)  – die Phisher tarnten ihre E-Mails aktiv als Benachrichtigungen von Facebook und LinkedIn. Auf dem zweiten Platz befinden sich die Suchmaschinen (16,2 %). Ihr hoher Rang lässt sich dadurch erklären, dass große Unternehmen wie Betreiber von Suchmaschinen noch eine Vielzahl anderer Dienste wie Cloud-Speicher, E-Mail-Konten, Soziale Netzwerke und vieles mehr anbieten. Häufig ist bereits ein einziger Account der Schlüssel zu all diesen Diensten, daher sind Suchsysteme ein attraktives Ziel für Cyberverbrecher.

    Platz drei belegte die Kategorie Finanzinstitute, Bezahlorganisationen, Banken (14,2 %). Anders als etwa bei den Sozialen Netzwerken, wo ein großer Teil der Attacken auf ein oder zwei Organisationen entfällt, ist die Verteilung der Angriffe auf Banken sehr viel breiter gestreut: Es wird eine riesige Zahl verschiedener Banken attackiert, wobei große und weltweit bekannte Finanzinstitute ebenso betroffen sind wie kleine lokale Banken.

    Verteilung der Hostings von Phishing-Webseiten nach Ländern, erstes Quartal 2013

    Was die Länder angeht, in denen Phishing-Webseiten gehostet werden, so stehen hier die USA (25,4 %) auf dem ersten Platz, gefolgt von Großbritannien (8,2 %) und Deutschland (7,7 %) auf dem zweiten respektive dritten Platz. Die Top 5 schließen Russland mit sechs Prozent und Indien mit 5,2 Prozent ab.

    In den Top 10 der Länder mit den meisten Phishing-Webseiten sind auch Kanada (4,5 %) und Australien (3,9 %) vertreten. Diese beiden Länder gelten bezüglich Cyberkriminalität als sicher, und die von dort aus versendete Spam-Menge ist mit unter einem Prozent minimal.

    Fazit

    Über das gesamte Jahr 2012 war der Spam-Anteil beständig rückläufig. Im ersten Quartal 2013 schwankte der Anteil an unerwünschter Korrespondenz von Monat zu Monat, und der Durchschnittswert für das Quartal hat sich gegenüber dem vorangegangenen Quartal praktisch nicht geändert. Das Kaspersky-Team erwartet, dass der Spam-Anteil weiterhin auf dem aktuellen Niveau bleiben oder aber ein wenig steigen wird, da sich große Versendungen mit mehreren Millionen E-Mails in letzter Zeit häufen.

    Die Spammer sind bemüht, die Aufmerksamkeit der Anwender auf ihre Mitteilungen zu lenken: Sie nennen klangvolle Namen und weltbewegende Ereignisse oder fälschen einfach Benachrichtigungen populärer Web-Ressourcen. Viele derartige E-Mails enthalten Links auf schädliche Programme, darunter auch Exploits. Kaspersky Lab möchte den Leser einmal mehr daran erinnern, dass man in keinem Fall auf Links in E-Mails klicken sollte, selbst wenn diese anscheinend von bekannten Personen stammen. Es ist weitaus sicherer, die gewünschte Adresse manuell im Browser einzugeben.

    USA und China, die Spitzenreiter unter den Spam-Herkunftsländern, werden ihre Führungspositionen in nächster Zeit kaum aufgeben, solange keine Initiativgruppe die Steuerungszentren der in diesen Ländern untergebrachten Botnetze schließt. Im ersten Quartal 2013 gehörte auch Südkorea zum Führungstrio, wobei der meiste Spam aus diesem Land in europäische Länder gesendet wird.

    Bei den per Spam-Mails versendeten bösartigen Programmen waren diejenigen Schädlinge in der Überzahl, die zum Diebstahl von Benutzernamen und Passwörtern eingesetzt werden. Besonders beliebt bei den Cyberverbrechern sind Trojaner, die auf den Diebstahl von Online-Banking-Daten spezialisiert sind. Zudem enthielten viele Spam-Versendungen Links auf Exploit-Sammlungen – im ersten Quartal 2013 erfreute sich hier das Exploit-Pack Blackhole der größten Beliebtheit unter Online-Kriminellen.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.