Spam im Februar 2010

Besonderheiten des Monats

  • Der Spam-Anteil im E-Mail-Traffic hat sich im Vergleich zum Januar nicht verändert und lag bei durchschnittlich 86,1 Prozent.
  • Links auf Phishing-Seiten befanden sich in 0,87 Prozent aller E-Mails, das sind 0,06 Prozent mehr als im Januar.
  • Schädliche Dateien waren in 1,18 Prozent aller E-Mails enthalten, 1,11 Prozent mehr als im Vormonat.
  • Um die Spam-Filter zu umgehen, griffen Spammer bei ihrer Werbung für verschiedene Medikamente auf alte und bewährte Methoden zurück.

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic lag im Februar 2010 bei durchschnittlich 86,1 Prozent. Der mit 80,5 Prozent geringste Anteil wurde am 15. Februar registriert. Die größte Spam-Menge war mit 90,8 Prozent am 21. Februar in Umlauf.


Spam-Anteil im Februar 2010

Spam-Herkunftsländer


Spam-Herkunftsländer

Auch im Februar führten die USA wieder die Liste der Spam-Herkunftsländer an. Gegenüber dem Vormonat verringerte sich die von dort verschickte Spam-Menge allerdings um rund 7 Prozent. Den zweiten Platz belegt Indien mit 8,8 Prozent des gesamten Spam-Aufkommens und verbreitete damit 2,7 Prozent mehr Werbemüll als noch im Januar.

Zu den wichtigsten Veränderungen in den Top 20 der Spam-Herkunftsländer gehört die Verringerung des Spam-Anteils von Brasilien (minus 4,7 %), Russland (minus 2,5 %) und China (minus 1,3 %). Brasilien fiel damit von Platz 2 des Rankings auf die neunte Position zurück.

Die Menge des aus Korea und Vietnam (Platz drei und vier) abgeschickten Spams hat sich jeweils verdoppelt: plus 2,5 Prozent bei Vietnam und plus 3,9 Prozent bei Korea.

Bemerkenswert ist die Platzierung von Ländern wie Japan, Israel, Thailand und Saudi Arabien, aus denen vorher weniger als ein Prozent Spam verbreitet wurde.

Deutschland belegt mit einem Spam-Anteil von 2,6 Prozent im Februar Platz 10 unserer Hitliste.

Phishing

Links auf Phishing-Seiten befanden sich in 0,87 Prozent aller E-Mails, das sind 0,06 Prozent mehr als im Januar.

Auch im Februar standen wieder PayPal (53,97 %) und eBay (14,05 %) an der Spitze der am häufigsten von Phishing-Attacken betroffenen Organisationen. Die Plätze drei und vier blieben im Vergleich zum Vormonat ebenfalls unverändert: Dort hielten sich HSBC mit 7,65 Prozent und Facebook mit 6,05 Prozent.


Organisationen, die im Februar 2010 Phishing-Attacken
am häufigsten ausgesetzt waren

Im Februar registrierten wir Phishing-Versendungen, die von den Cyberkriminellen offensichtlich recht nachlässig organisiert wurden. In angeblich von PayPal verschickten E-Mails, in denen die Anwender aufgefordert wurden, ihre persönlichen Daten zu bestätigen, fehlte ein entsprechender Link auf die Phishing-Website. Zudem wurde auch die Grafik mit dem PayPal-Logo nicht richtig platziert – in der linken oberen Ecke der Mitteilung ist davon nur ein dunkelblauer Streifen zu erkennen.

Die gegen Anwender des sozialen Netzwerks Facebook gerichteten Phishing-Angriffe machten hingegen nach wie vor einen sehr professionellen Eindruck. In der HTML-Version der E-Mail weist nichts auf eine Fälschung hin. Nur der Link, auf den der Anwender klicken soll, hat rein gar nichts mit Facebook zu tun und sieht folgendermaßen aus: www.facebook.com.*********.com.pl

Schädliche Dateien waren in 1,18 Prozent aller elektronischen Mitteilungen enthalten, 1,11 Prozent mehr als im Vormonat.

Im Februar 2010 waren das soziale Netzwerk Facebook und die Bank HSBC nicht nur für Phisher ein attraktives Angriffsziel, sondern auch für Cyberkriminelle, die Malware in Umlauf bringen. Wir registrierten Versendungen im Namen von Facebook, in denen der Anwender aufgefordert wird, eine neue Sicherheitsvereinbarung zu bestätigen, die angeblich ab sofort in dem sozialen Netzwerk gelten sollte. Die „Vereinbarung“ war in Form eines Zip-Archivs an die E-Mail drangehängt. Anstelle einer Vereinbarung enthielt das Archiv allerdings einen Schädling, und zwar einen Trojan-Downloader.

Die Versendungen im Namen der Bank HSBC enthielten keine Attachments. In bester Phisher-Tradition war hier ein Link enthalten, auf den der Anwender unbedingt klicken sollte, um seine Internet-Banking-Aktivität zu bestätigen. Der Link führte allerdings nicht auf eine Phishing-Site, sondern auf die Datei „hsbc.exe”. Diese enthielt den Backdoor.IRC.Zapchast.zwrc, der umgehend versucht, sich auf dem Computer des Anwenders zu installieren.

Auch der Internet-Versandhandel Amazon geriet ins Visier der Malware-Verbreiter. In E-Mails, die im Namen dieses Großkonzerns verschickt wurden, wird dem Kunden angeblich die Paket-Verfolgungsnummer für eine bereits abgeschlossene und bezahlte Bestellung mitgeteilt. In dem an die Mail angehängten Zip-Archiv fand der User allerdings eine ausführbare Datei, und zwar Trojan-Dropper.Win32.Agent.bqdn.

Im Februar griffen die Cyberbetrüger immer häufiger auf alte und bewährte Methoden zur Verbreitung von Schadprogrammen zurück. So verschickten sie beispielsweise Nachrichten mit passend auf die Jahreszeit gemünzten Überschriften und Texten und versuchten den Anwender dazu zu bringen, sich ein angehängtes „Video“ anzugucken. In einer dieser Versendungen wurden skandalöse Fotos von Britney Spears angekündigt.

Interessanterweise gab es trotz des Valentinstags keinen Boom von „Postkarten-Spam“. Wir hatten im Vorfeld vermutet, dass uns im Rahmen dieses Festtags eine Schwemme von gefälschten E-Cards bevorstünde, die zur Verbreitung von Malware genutzt werden. Dieser Fall ist jedoch nicht eingetreten.

Die thematische Zusammensetzung von Spam

Der Themenkomplex „Medikamente und Gesundheit“ wird größtenteils durch Werbung für Viagra und Abnehmpräparate repräsentiert und überwiegt einmal mehr in den Versendungen aus westlichen Ländern. Diese Art von Spam erreichte innerhalb weniger Tage einen Anteil von 40 Prozent.

Bei der Werbung für Präparate „für Erwachsene“ nutzten die Spammer den Valentinstag und beteuerten, das beste Geschenk zu diesem Fest sei eine Liebesnacht. Schablonen-Sites kanadischer Internet-Apotheken waren dementsprechend ausgeschmückt:

In der zweiten Februarhälfte taten sich die Spam-Versendungen mit Viagra-Werbung ebenfalls durch Originalität hervor. Wie bereits erwähnt galt das besondere Interesse der Spammer im Februar dem populären Internet-Versandhandel Amazon. Mittels gefälschter Mitteilungen dieses Unternehmens verbreiteten sie schädliche Anhänge und Werbung für Websites, auf denen Viagra verkauft wird:

Klickte der User auf den Link, landete er nicht bei Amazon.com, sondern auf einer Schablonen-Site, die billige Arzneien anbot.

Viagra wurde zudem auch in deutscher Sprache beworben:

Im Ranking der Versendungen aus westlichen Ländern lag die Kategorie „Computer-Betrug“ ebenso wie im Vormat auch im Februar auf Platz 2, obwohl sich ihr prozentualer Anteil um 2 Prozent verringerte. Diese Rubrik setzt sich im Wesentlichen aus Mitteilungen über einen angeblichen Lottogewinn und nigerianische Mails zusammen, die häufig aktuelle Themen aufgreifen.

Auch noch im Februar sammelten die „Nigerianer“ angeblich Spenden für die Erdbebenopfer in Haiti und unzählige Gewinne in zweifelhaften Lotterien standen im Zusammenhang mit der bevorstehenden Fußball-Weltmeisterschaft.

Die „Werbung für Imitate von Luxusgütern“ (minus 2 % im Vergleich zum Januar) legte Empfängern nahe, es gäbe kein besseres Geschenk zum Valentinstag als eine gefälschte Rolex beziehungsweise die Fälschung einer anderen bekannten Marke:

Der Anteil von Spam der Rubrik „Andere Waren und Dienstleistungen“ verdoppelte sich im Vergleich zum Vormonat (plus 4 %). In vielen Versendungen wurden Geschenke zum Valentinstag angepriesen. Zumeist handelte es sich dabei um Angebote für günstige Blumen, für den Versand einer romantischen Flaschenpost oder für Gutscheine der bekannten Marke Victoria’s Secret.

Einige wenige Spammer, darunter auch deutsche, richteten ihr Augenmerk im Februar auch auf die Winterolympiade. Innerhalb kurzer Zeit erhielten wir E-Mails mit dem Angebot, auf den Ausgang verschiedener Wettkämpfe zu setzen, darunter auch die olympischen Winterspiele.

Methoden und Tricks der Spammer

Bei der Umgehung von Spam-Filtern bewiesen die Absender von deutschsprachigem Spam den größten Einfallsreichtum.

Links auf Websites, die Abnehmpräparate und Viagra bewerben, wurden in grafischen Anhängen verbreitet, wobei die Bilder selbst verrauscht waren.

Zur Verbreitung von Viagra-Werbung anlässlich des Valentinstags kam ebenfalls ein alter Trick zur Anwendung — die Tarnung des Texts mit Hilfe von Ziffern:


Fazit

Wie wir vermutet hatten, bewegt sich der Anteil von Phishing-Mails auf dem Niveau von Januar 2010. Die Zunahme von schädlichen Anhängen und die Fülle von Spam der Kategorie „Computer-Betrug“ setzt die Anwender allerdings anderen Gefahren aus.

Eine interessante Veränderung im Februar ist der auffällige Rückgang von Spam, die Links auf Domains mit der Endung .cn enthalten. Diese Entwicklung hängt mit den strengeren Vorgaben bei der Registrierung von Domains in China zusammen. Jetzt verweisen viele Links in Spam-Versendungen, die Viagra oder pornografische Inhalte bewerben, auf Domains mit der Endung .ru.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.