Spam im Februar 2014

Inhalt

    Die wichtigsten Ereignisse des Monats

    Im Februar verschickten die Spammer vermehrt Werbeangebote zum Valentinstag (14. Februar). Und natürlich ging der Monat auch nicht ohne ’nigerianische‘ Betrüger ins Land – den jüngsten Anlass, die Nutzer um ihr Geld zu bringen, bildeten die politische Situation in der Ukraine sowie die sie begleitenden tragischen Ereignisse. Zu den bemerkenswertesten Versendungen des Monats zählt die Verlosung einer kostenlosen Laserbehandlung der Augen.

    Die Abenteuer „nigerianischer Touristen“ in der Ukraine

    Politische Unruhen ziehen meist auch die Aufmerksamkeit von Betrügern auf sich, daher ist es nicht verwunderlich, dass die Ereignisse in der Ukraine im Februar häufig in ’nigerianischen‘ Mails verarbeitet wurden. Dieses Mal setzten uns die Betrüger die wohlbekannte erlogene Geschichte über den Diebstahl aller Wertgegenstände vor – mit der damit verbundenen Bitte, dem so in Not geratenen Touristen materielle Hilfe zu leisten.

    In einer von Kaspersky Lab entdeckten betrügerischen Versendung informierte der Autor den Empfänger darüber, dass ein Familienausflug nach Kiew einen katastrophalen Ausgang genommen habe: Mit vorgehaltener Pistole hätten unbekannte Gangster ihm alle Wertgegenstände bis auf die Reisepässe abgenommen. Die örtliche Polizei und die Botschaft könnten den Touristen keine Hilfe leisten, und der Manager des Hotels lasse sie nicht gehen, da die Ausgeraubten kein Geld haben, um die Rechnung zu bezahlen. Und nun seien die unglücklichen Reisenden gezwungen, unbekannte gute Menschen um Hilfe zu bitten, die in der Lage sind, finanzielle Unterstützung zu leisten. Sie bräuchten das Geld allerdings schnell, da nur noch wenig Zeit bis zum Rückflug verbleibe, doch die Touristen versprechen, die gesamte Summe nach Rückkehr in die Heimat zurückzuzahlen.

    In einer anderen ’nigerianischen‘ Botschaft stellen sich die Betrüger ebenfalls als Tourist vor, der mit der Familie in die Ukraine gereist ist und dem die Tasche mit allen Sachen samt Reisepass gestohlen wurde. Die Botschaft habe ihm einen vorläufigen Pass ausgestellt, Geld für Flugtickets und Hotelrechnung habe der ’nigerianische‘ Tourist allerdings nicht. Doch im Gegensatz zu dem vorherigen Brief, bittet der Betrüger hier um eine konkrete Summe. Doch auch in diesem Fall versucht er, den mitfühlenden Empfänger zu einer schnellen Reaktion zu bewegen, indem er behauptet, dass bis zum Rückflug nur noch wenig Zeit verbleibt und darauf hinweist, dass die Banken einige Tage brauchen, um das Geld auf das Konto des Touristen zu überweisen.

    Die Geschichte des ausgeraubten Touristen sowie einige andere Legenden der Betrüger werden universell eingesetzt – sie lassen sich mit jedem beliebigen Ereignis verbinden, das aktuell weltweit Aufsehen erregt. Doch alle diese Geschichten mit Bezugnahme auf reale Ereignisse sind nichts anderes als ein Köder der Betrüger. Und das Opfer, das auf die Bitte reagiert, hilft in Wirklichkeit niemandem damit und erhält sein Geld auch keinesfalls zurück.

    Feiertags-Spam

    Im englischsprachigen Spam mit Bezug auf den Valentinstag registrierten wir Versendungen mit Werbung für gefälschte Markenware sowie Angebote über Blumen und erlesenes Naschwerk. Dabei kamen die Werbemails in festtäglicher Aufmachung daher. Zudem entdeckten wir einen betrügerischen Brief mit dem Angebot, eine große Geldsumme mit Hilfe einer speziellen App zu verdienen, die als Valentinsgeschenk versendet wurde.

    Wir gehen davon aus, dass die Spammer auch im März verschiedene Feiertage (z.B. den St. Patrick’s Day) zum Anlass für ihre unerwünschten Versendungen mit Werbung für alle nur erdenklichen Waren und Dienstleistungen nehmen werden.

    Wiederherstellung des Sehvermögens

    Im englischsprachigen Internet bewarben die Spammer aktiv Laserbehandlungen der Augen zur Verbesserung der Sehkraft, die sie teilweise mit erheblichen Rabatten oder sogar kostenlos durchzuführen versprachen. Der Inhalt der Mails einer solchen Versendung bestand aus einem Werbe-Flyer mit einem anklickbaren Link-Feld, das einen nach einer Reihe von Redirects auf eine der Spammer-Seiten mit Angeboten für Laser-Augenbehandlungen führte, aber auch für andere Waren und Dienstleistungen. Normalerweise wurde in der Mail der Name der beworbenen Klinik genannt, die der interessierte Anwender, wenn gewünscht, mit Hilfe einer Suchmaschine finden könnte. Um den Empfänger zu überzeugen, fanden sich in einigen Mitteilungen Danksagungen zufriedener Patienten.

    Refill-Patronen

    Ein anderes Thema im Spam war die Werbung für Refill-Toner bzw. Tintenpatronen für Drucker und Kopiergeräte. Innerhalb der letzten zwei Jahre hat die Spammenge mit derartigen Angeboten deutlich zugenommen. Solche Mitteilungen registrierten wir in unterschiedlichen Sprachen, doch Art und Aufmachung der Versendungen waren im Großen und Ganzen gleich.

    Die Versendungen in englischer, schwedischer und anderen Sprachen enthielten im Wesentlichen nur Angebote für Druckerpatronen. Dabei wurde in der Werbung gleich auf die vorhandenen Druckermodelle und die Preise für das Auffüllen der Patronen hingewiesen. In einigen Mitteilungen wurde die Aufmerksamkeit des Empfängers auf Rabattmarken und kurzfristige Promo-Aktionen gelenkt. Und in einer Versendung rühmte sich ein gewisser Manager aus China, in dessen Namen die Mails verschickt worden waren, der erfolgreichen Teilnahme seines Unternehmens an einer internationalen Fachmesse in Deutschland. Um den Leser von der Echtheit des Schreibens zu überzeugen, war an das Schreiben ein Foto von der Messe angehängt, verbunden mit der Bitte, benötigte Tinte unbedingt bei ihm zu bestellen.

    Statistik

    Spam-Anteil im E-Mail-Traffic

    spamreport_february_06s

    Spam-Anteil im E-Mail-Traffic

    Der Spam-Anteil im E-Mail-Traffic hat sich im Laufe des Monats praktisch nicht verändert, abgesehen von einer geringen Zunahme in der dritten Woche des Monats. Der durchschnittliche Spam-Anteil betrug im Februar 69,9%.

    Spam-Herkunftsländer

    Im Februar 2014 sah die Liste der Länder, die Spam in die ganze Welt versenden, folgendermaßen aus:

    spamreport_february_07

    Spam-Herkunftsländer weltweit

    Den ersten Platz belegte wieder einmal China (23%). Im Vormonat lag dieses Land auf Position zwei, doch eine Steigerung der versendeten Spam-Menge um 7 Prozentpunkte sicherte China erneut die Führungsposition. Es folgen die USA mit 19,1%. Innerhalb des vergangenen Monats verlor der Spitzenreiter aus dem Januar 2,8 Prozentpunkte und belegt daher nun die zweite Position. Ebenfalls zum Führungstrio gehört Südkorea (12,8%). Der Anteil des aus diesem Land versendeten Spams hat sich nicht wesentlich verändert.

    Auf dem vierten Platz positionierte sich Russland (7%), dessen Wert um 1,1 Prozentpunkte zulegte. Abgerutscht auf Rang fünf ist Taiwan mit 5,1%, dessen Anteil sich im Gegenteil um 1,1 Prozentpunkte verringerte.

    Ein Rückgang der versendeten Spam-Menge um durchschnittlich 0,2 Prozentpunkte registrierten wir in Indien (3,4%), Vietnam (3%), der Ukraine (2,3%) sowie in Rumänien (2%).

    Abgeschlossen werden die TOP 10 von Japan (1,8%). Im Vergleich zum Vormonat verlor das Land 0,3 Prozentpunkte und rutschte damit in unserem Rating um einen Platz nach unten.

    Eine gewisse Zunahme der Spammer-Aktivität waren hingegen in Deutschland (0,7%) und Großbritannien (0,7%) zu beobachten, die im Februar auch in unserem Rating vertreten waren.

    spamreport_february_08

    Spam-Herkunftsländer für Europa

    Unter den Ländern, die Spam nach Europa versenden, belegte im Februar Südkorea (48,6%) den ersten Platz. Im Vergleich zum Vormonat stieg der Wert dieses Landes um 1,2 Prozentpunkte. Darauf folgen die USA (8,2%), deren Wert um 3 Prozentpunkte zugelegt hat, wodurch das Land einen Rang nach oben kletterte. Im Januar belegten die USA mit einem Wert von 5,3% den dritten Platz, auf dem sich nun Taiwan befindet (5,5%), dessen Anteil an verschicktem Spam um 0,3 Prozentpunkte zurückgegangen ist.

    Um einen Platz aufgestiegen, und damit auf Position 4, ist Russland (5%). Sein Wert stieg um 2 Prozentpunkte. Gleich um sechs Positionen in die Höhe geschnellt ist China (3,9%), dessen Anteil an der verschickten Spam-Menge um 2,5 Prozentpunkte zugenommen hat.

    Ein Anstieg des Spam-Anteils um 0,5 Prozentpunkte war auch in der Ukraine (2,3%) und in Vietnam (1,8%) zu beobachten. Während das erstgenannte Land allerdings nur eine geringe Veränderung in der Liste bewirkte (die Ukraine stieg von Position 8 auf Platz 7), so legte Vietnam gleich ganze acht Zähler zu und war damit unter den ersten Zehn.

    Abgeschlossen werden die TOP 10 nach den Ergebnissen des Monats von Indien, mit einem Wert von 1,6%. Die Werte von Großbritannien und Deutschland sind mit 1,5% und 1,4% respektive nur wenig geringer.

    Italien (1%) hingegen rutschte um sieben Positionen ab und ist damit nicht mehr in den TOP 10 vertreten. Der Anteil des versendeten Spams ging hier um mehr als einen Prozentpunkt zurück. Ein Rückgang wurde auch in Spanien (0,8%) und Argentinien (0,7%) registriert. Spanien ist damit nicht mehr unter den ersten 10, obgleich es noch im Vormonat den 6. Platz belegte.

    spamreport_february_09

    Spam-Herkunftsregionen

    Bei den Spam-Herkunftsregionen liegt nach wie vor Asien auf Platz eins. Der Wert dieser Region betrug im Februar 54%, das ist um 5 Prozentpunkte mehr als im Vormonat. Es folgt auf Platz zwei Nordamerika (20%), dessen Anteil am Spam-Versand um 3,2 Prozentpunkte zurückging. Auf Position drei befindet sich Osteuropa (16,2%) – der Wert dieser Region stieg um 1,2 Prozentpunkte. Unter den ersten fünf im Rating der Spam-Herkunftsregionen positionierten sich zudem Westeuropa (4,5%), Lateinamerika (2,7%) und der Nahe Osten (2,4%).

    Schädliche Anhänge

    Im Februar setzten sich die TOP 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen zusammen:

    spamreport_february_10s

    Den ersten Platz belegt wie schon seit Monaten der Schädling Trojan-Spy.HTML.Fraud.gen. Bei diesem Schadprogramm handelt es sich um eine gefälschte HTML-Seite, die sich via E-Mail getarnt als wichtige Mitteilung von großen Banken, Internet-Shops, Software-Herstellern usw. verbreitet.

    Auf den Positionen zwei und neun befinden sich Backdoor.Win32.Androm.bngy und Backdoor.Win32.Androm.bmvm. Die Schädlinge der Familie Andromeda sind Backdoors, die es Cyberkriminellen ermöglichen, einen befallenen Computer verborgen zu steuern. Häufig werden mit solchen Programmen infizierte Computer an ein Botnetz angegliedert.

    Platz drei belegt der Netzwurm Asprox. Er infiziert automatisch Websites, lädt und startet andere Software, sammelt wertvolle Informationen auf dem Computer, wie etwa gespeicherte Passwörter, Zugangsdaten zu E-Mail und FTP-Accounts.

    Die Ränge vier und fünf besetzen Trojan-Spy.Win32.Zbot.rpce und Trojan-Spy.Win32.Zbot.rpce. Zbot – Trojaner, die auf den Diebstahl von vertraulichen Daten spezialisiert sind. Wir erinnern daran, dass dieser Schädling zudem in der Lage ist, Cryptolocker zu installieren, ein Schadprogramm, das Geld für die Dechiffrierung von Anwenderdaten fordert.

    Es folgt Email-Worm.Win32.Bagle.gt, ein E-Mail-Wurm, der sich selbst an alle auf einem infizierten Computer gefundenen E-Mail-Adressen versendet. Zudem ist der Wurm in der Lage, Daten aus dem Internet für den Anwender unbemerkt herunterzuladen. Für den Versand der infizierten Mitteilungen verwendet Email-Worm.Win32.Bagle.gt eine eigene SMTP-Bibliothek.

    Position acht belegt Trojan.Win32.Inject.hpdp. Es handelt sich hierbei um einen Spion und Keylogger (Limitless Logger). Das Programm fängt Tastatureingaben, Systeminformationen, Autorisierungsdaten auf verschiedenen Websites, Passwörter von E-Mail-Clients sowie Kennwörter zu Passwortspeichern ab.

    Abgeschlossen werden die TOP 10 von Trojan.Win32.Bublik.cbds, einem kleinen Trojan-Downloader, der Trojaner der Familie Zbot lädt und startet.

    Besonderheiten im Schadspam

    Rechtzeitig zum Valentinstag nahm auch die Menge der unerwünschten Nachrichten zu, die Bekanntschaften im Netz zum Inhalt hatten. An die Mails von schönen Unbekannten, die sich nichts sehnlicher wünschen, als mit dem Empfänger Kontakt aufzunehmen, waren an Stelle der versprochenen Fotos verschiedene Schadprogramme, z.B. Trojan.Win32.Reconyc.rb, angehängt. Dabei handelt es sich um einen Trojan-Dropper, der zwei verschiedene Schädlinge im System installiert: Einer von ihnen ist ein Spion, der alle Dokument-Dateien (*.docx, *.xlsx, *.pdf) von dem Computer stiehlt, indem er sie an ein bestimmtes Postfach schickt; der zweite ist ein IRC-Bot/Wurm mit dem Namen ShitStorm, der DDoS-Attacken auf Websites initiieren und sich via MSN- und P2P-Services versenden kann. Wir hatten es zudem mit nicht wenigen Schädlingen zu tun, die zur Gruppe der Erpresser gehören und den Computer des Anwenders blockieren, um dann Lösegeld für das Entsperren zu fordern. Dazu gehört beispielsweise Trojan-Ransom.Win32.Gimemo.boyz.

    spamreport_february_11

    Auch Mitteilungen ohne Text fielen uns in die Hände, deren Themen sich auf Grund der Betreffzeilen problemlos erschlossen, wie etwa ‚guck Dir meine Nacktfotos im Anhang an‘. In den an solche Mitteilungen angehängten Archiven verbargen sich ebenfalls Schädlinge, unter anderem Backdoor.Win32.Androm.bnaf aus der Familie Andromeda, der es Cyberkriminellen ermöglicht, für den Nutzer unbemerkt einen infizierten Computer zu steuern.

    Schädlinge dieser Art wurden im Februar auch mit herkömmlichen Methoden verbreitet, und zwar in Form gefälschter Benachrichtigungen von Vertretern bekannter sozialer Netzwerke. In gefälschten Mitteilungen im Namen von Facebook hieß es zum Beispiel, dass seit dem letzten Login des Anwenders im System auf den Pinnwänden seiner Freunde viele interessante Dinge passiert seien, über die er Informationen in dem angehängten Archiv erhalten würde. Das Archiv enthielt den Schädling Backdoor.Win32.Androm.bmvv aus der oben erwähnten Familie Andromeda.

    spamreport_february_12

    Phishing

    Das Rating der von Phishern angegriffenen Organisationen war im Februar keinen bedeutenden Veränderungen unterworfen.

    spamreport_february_13

    Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

    Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Den ersten Platz belegen mit Abstand die sozialen Netzwerke (27,3%), die im Laufe des Monats nur 0,06 Prozentpunkte eingebüßt haben. Der Wert der E-Mail-Dienste (19,34%) ging ebenfalls nur geringfügig zurück und diese Kategorie behauptete auch im Februar die zweite Position. Aufgestiegen auf Platz drei sind die Finanz- und Bezahlorganisationen (16,73%), der Anteil der Phishing-Attacken auf diesen Sektor stieg um 1,1 Prozentpunkte.

    Die Suchsysteme rutschten auf Platz 4 ab (16,51%) – ihr Wert ging um 0,4 Prozentpunkte zurück. Die Ränge fünf und sechs belegen wie auch im Januar die Internet-Provider (8,43%) und IT-Anbieter (5,85%).

    Phishing-Mails im Namen großer Finanz- und Bezahlorganisationen verschiedener Länder werden von Cyberkriminellen in großem Stil verschickt, um auf diese Weise persönliche Finanzinformationen der Nutzer zu ergaunern. Im Februar entdeckten wir betrügerische Benachrichtigungen, deren Absender angeblich die malaysische Bank HongLeong war, konkret die technische Abteilung dieser Bank. In dem Schreiben wurde mitgeteilt, dass die Bank Maßnahmen zur Verbesserung der Datensicherheit durchführe und alle Kunden bitte, ihre Kontodaten zu bestätigen, indem sie einen in der Mail aufgeführten Link aufrufen. Mit einem Klick auf den Link gelangt der Anwender auf eine Phishing-Seite, die die offizielle Login-Seite des Online-Bankings kopiert. Alle eingegebenen Daten werden an die Betrüger weitergegeben, die online vollständigen Zugriff auf die Konten des Opfers erhalten. Wir weisen darauf hin, dass die Adresse im Absenderfeld sofort die Fälschung verrät, obgleich die Betrüger den Namen der Bank verwendeten und sich sehr bemühten, das Opfer glauben zu machen, das Schreiben stamme von einer konkreten Person, indem sie Nachname und Initialen im Namen des Postfachs angaben. Allerdings war der Domainname der zur Bank gehörenden Domain überhaupt nicht ähnlich – wie sich herausstellte, gehörte die Domain zu einer australischen Universität. Möglicherweise hatten sich die Betrüger Zugriff auf das elektronische Postfach verschafft und es für Phishing-Versendungen benutzt, ohne dass sein Inhaber etwas davon wusste.

    Fazit

    Der Spam-Anteil im weltweiten E-Mail-Traffic stieg im Februar um 4,2 Prozentpunkte und betrug dàmit 69,9%. Der Anstieg dieses Wertes gegenüber dem Januar hängt unter anderem mit der Flaute in den ersten Tagen des Jahres zusammen.

    Im Februar wurden den Nutzern im Runet Festtagsangebote über Waren und Dienstleistungen zum Valentinstag gesendet. Und in den ’nigerianischen‘ Mails versuchten die Betrüger, die Wachsamkeit der User zu untergraben, indem sie die realen Ereignisse in der Ukraine ansprachen und sich als Touristen ausgaben, die dort mittel- und hilflos gestrandet waren.

    Unter den Schreiben mit schädlichen Anhängen gab es sowohl Standard-Benachrichtigungen von bekannten sozialen Netzwerken als auch Mitteilungen zum Thema ‚Bekanntschaften im Netz‘, deren Anteil im Zusammenhang mit dem Valentinstag im letzten Monat erhöht war.

    Das Rating der von Phishern angegriffenen Organisationen wurde auch im Februar wieder von den sozialen Netzwerken angeführt. Position zwei behaupten die E-Mail-Dienste, und auf dem dritten Rang positionierten sich die Finanz- und Bezahlorganisationen, deren Wert um 1,1 Prozentpunkte zulegte.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.