Spam im Januar 2012

Der Januar in Zahlen

  • Der Spam-Anteil im E-Mail-Traffic blieb im Vergleich zum Dezember unverändert und betrug durchschnittlich 76,2 Prozent.
  • Der Anteil an Phishing-Mails am gesamten E-Mail-Aufkommen blieb im Vergleich zum Dezember ebenfalls unverändert und betrug 0,02 Prozent.
  • Im Januar enthielten 4,3 Prozent aller E-Mails schädliche Dateien, das sind 0,3 Prozentpunkte mehr als im Vormonat.

Die wichtigsten Ereignisse des Monats

Valentinstag

Im Januar tauchen traditionell Spam-Versendungen auf, die bereits auf irgendeine Art den Valentinstag thematisieren. Auch in diesem Jahr – Versendungen mit verschiedenen Angeboten zum Tag der Verliebten überschwemmten im Januar das Internet.

Einen großen Teil der Mitteilungen, die dieses Thema ausnutzen, stellt unterschiedliche Werbung für Medikamente und Imitate von Luxuswaren. In den Spam-Nachrichten wird dieser besondere Tag ausgenutzt, um die Anwender dazu zu bringen, ihren Liebsten zum Fest eine imitierte Schweizer Uhr oder Pillen zur Stärkung der Manneskraft zu schenken.

Zudem werden vor dem Valentinstag saisonale Partnerprogramme reaktiviert, die auf den Verkauf von Geschenken mit entsprechendem Symbolcharakter spezialisiert sind. Ebenfalls aktiv in dieser Zeit sind Blumen-Partnerprogramme. Diese Programme bieten den Teilnehmern an, den Verkauf von Blumen zu bewerben, wobei sie für jeden gewonnenen Käufer einen bestimmten Betrag erhalten. Am Vorabend des Valentinstags sind die Blumen-Partnerprogramme überaus aktiv und ihre Versendungen machen den Löwenanteil des gesamten Valentinstags-Spam aus.


Beispiele für Spam-Mails zum Thema Valentinstag

Auch in diesem Jahr haben wir im Spam-Traffic Angebote zur Versendung von elektronischen Liebesgrüßen registriert. Da unter dem Deckmantel solcher Valentinstagsgrüße häufig Schadprogramme verbreitet werden, schenkten wir einer dieser Versendungen unsere besondere Aufmerksamkeit. Entgegen unseren Erwartungen verbarg sich unter dem Link in der Mail kein Schadprogramm, allerdings auch keine elektronische Postkarte. Näheres zu unseren Untersuchungsergebnissen in diesem Fall und dem dort verwendeten Schema finden Sie in unserem Weblog.

Schadprogramme, die als E-Postkarten getarnt waren, verbreiteten Cyberkriminelle im Jahr 2011 seltener als früher. Trotzdem sollte man sich der Gefahr gerade vor Feier- und Festtagen bewusst sein. Betrügerische Tricks, die schon vergessen scheinen, werden früher oder später wiederbelebt.

Politischer Spam

Das Jahr 2012 verspricht reich an politischen Ereignissen von internationaler Tragweite zu werden. Im März finden die Präsidentschaftswahlen in Russland statt, von April bis Mai die Wahl des französischen Präsidenten und schließlich wird im November auch in den USA ein neuer Präsident gewählt.

Die letzten Jahre und insbesondere das Jahr 2011 haben gezeigt, dass politische Aktivität in der einen oder anderen Ausformung auch Spammern nicht fremd ist. Im Januar 2012 wurde deutlich, dass es im neuen Jahr nicht weniger politischen Spam geben würde als im gerade vergangenen.

Radikale Mitteilungen riefen im Januar im russischen Internetsegment zur Revolution in Russland auf. Versendungen von Anhängern der einen oder anderen politischen Kraft konnten wir im ersten Monat des Jahres nicht ausmachen, aber wir prognostizieren deren Erscheinen für den Februar, wenn bis zum Ende der Präsidentschaftsvorwahlen nur noch weniger als ein Monat verbleibt.

Spammer in den USA bringen ebenfalls ihre politische Position zum Ausdruck, obwohl die Wahlen hier erst Ende des Jahres stattfinden. Immer wieder stößt man auf Spam-Mitteilungen mit Weblinks, die auf ein „schockierendes Video“ von Barack Obama oder auf „erschreckende Fakten“ über den derzeitigen Präsidenten der USA verweisen. Außerdem finden sich im amerikanischen Spam Mitteilungen, die den Empfänger dazu auffordern, für einen anderen Kandidaten zu stimmen, um die „Ära Obama zu beenden“.

Interessanterweise fehlt die politische Note im französischen Spam fast vollständig. Im Laufe des Januars haben wir keinerlei französische Mitteilungen registriert, die das Thema Wahlen ausnutzen.

Olympische Sommerspiele 2012

Auch dieses sportliche Thema machten sich Online-Betrüger zunutze. Die Olympischen Sommerspiele 2012 werden in nigerianischen Spam-Mails als Köder eingesetzt – die Cyberkriminellen versenden Gewinnbenachrichtigungen für Lotterien, die angeblich aus Anlass der Olympiade veranstaltet würden. Solche Benachrichtigungen erkennen Anwender mit Internet-Erfahrung problemlos als Betrug, doch weniger erfahrene Nutzer können leicht auf einen solchen Schwindel hereinfallen.

Statistik

Spam-Herkunftsländer


Spam-Herkunftsländer im Januar 2012 (Top 20)

Im Januar kehrte Großbritannien auf Platz 8 in die Top 10 der Spam-Herkunftsländer zurück und verdrängte damit Kolumbien aus dem Ranking. Wir erinnern daran, dass Großbritannien im Dezember nicht in den Тop 10 vertreten war, was offensichtlich mit der saisonbedingten Urlaubszeit zu tun hatte, in der viele Anwender ihre Computer ausgeschaltet lassen, die zu Botnetzen gehören. Abgesehen davon gab es in den Top 10 keine wesentlichen Veränderungen, einige Länder haben lediglich die Plätze getauscht.

Spitzenreiter des Ratings ist nach wie vor Indien, dessen Anteil 11,5 Prozent am weltweiten Spam-Aufkommen betrug (minus 1 Prozentpunkt). Der Anteil Indonesiens verringerte sich im Vergleich zum Dezember um fast 3 Prozentpunkte und trotzdem belegt dieses Land Position zwei der Hitliste. Auf Indonesien folgt Südkorea (plus 1,6 Prozentpunkte).

Auf den Rängen vier und fünf positionierten sich zwei lateinamerikanische Länder – Brasilien und Peru. Der Spam-Anteil dieser Staaten verringerte sich um 2,1 respektive 2,5 Prozentpunkte.

Wie schon im Dezember belegt Vietnam den sechsten Platz. Dessen Spam-Anteil verringerte sich um 0,25 Prozentpunkte.

Daraus ergibt sich, dass asiatische und lateinamerikanische Länder die ersten sechs Plätze im Rating der Spam-Herkunftsländer belegen.

Erst auf den Positionen sieben und acht finden sich westeuropäische Staaten, und zwar Italien (minus 0,25 Prozentpunkte) und Großbritannien (plus 1,95 Prozentpunkte). Die Veränderungen im Anteil der übrigen Länder des Ratings lagen bei maximal einem Prozentpunkt.

Im Januar enthielten 4,3 Prozent aller E-Mails schädliche Dateien, das sind 0,3 Prozentpunkte mehr als im Vormonat.


Verteilung der Alarme von Kaspersky Mail Anti-Virus nach Ländern im Januar 2012

Die USA setzten sich an die Spitze des Länder-Ratings. Der Grund dafür war allerdings keine dort registrierte Zunahme des Alarm-Anteils (minus 2 Prozentpunkte), sondern ein deutlicher Anteils-Rückgang beim Erstplatzierten der letzten Monate: Der Anteil der Alarme unseres Mail-Anti-Virus auf russischem Territorium verringerte sich um 11 Prozentpunkte.

Wir weisen darauf hin, dass der Rückgang der Alarm-Anteile in Russland nichts mit den Festtagen zum Jahreswechsel zu tun hatte. Im Gegenteil war die Anzahl der im russischen E-Mail-Traffic entdeckten schädlichen Anhänge zu Beginn des Monats 3- bis 4-mal größer als in der zweiten Januarhälfte.

Die Veränderungen im Ranking umfassen nicht nur den radikalen Rückgang der Alarme von Kaspersky Mail-Anti-Virus in Russland, sondern auch die Zunahme der Alarme in Deutschland um mehr als das Doppelte.

Der Anteil der übrigen Länder veränderte sich nur leicht.


Top 10 der im E-Mail-Traffic verbreiteten Schadprogramme im Januar 2012

Mehr als 14 Prozent aller von Kaspersky Mail-Anti-Virus gefundenen Schadprogramme entfallen auf Trojan-Spy.HTML.Fraud.gen, den traditionellen Spitzenreiter unseres Ratings. Im Vergleich zum Dezember stieg der Anteil dieses Schädlings um 3 Prozentpunkte.

Trojan-Spy.HTML.Fraud.gen ist ein Schadprogramm in Form einer HTML-Seite, die ein Registrierungsformular einer Finanzorganisation oder eines Online-Dienstes kopiert. Die auf einer solchen Seite eingegebenen Registrierungsdaten werden an die Cyberkriminellen weitergeleitet. Daher ist die Verwendung dieses Schädlings faktisch als Phishing-Methode zu bezeichnen.

Die E-Mail-Würmer Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q und Email-Worm.Win32.NetSky.c positionierten sich auf den Plätzen zwei, vier, sechs und zehn im Rating der im E-Mail-Traffic entdeckten Schadprogramme. Drei von ihnen, Mydoom.m und beide Schädlinge der Familie NetSky, führen nur zwei Funktionen aus: Sie sammeln E-Mail-Adressen auf den infizierten Rechnern und versenden sich selbst an diese. Bagle.gt verfügt ebenfalls über diese zwei Funktionen, ist aber zudem noch in der Lage, sich mit Internet-Ressourcen zu verbinden, um von dort weitere Schadprogramme herunterzuladen.

In den Top 10 der Schadprogramme standen im Januar Programme der Familie Trojan-Dropper.Win32.Injector auf den Plätzen sieben bis neun. Solche Trojan-Dropper werden sowohl für die verborgene Installation anderer Schadprogramme auf Computern eingesetzt, als auch zu dem Zweck, die Erkennung der von ihnen transportierten Schädlinge durch Antiviren-Programme zu verhindern.

Phishing


Top 100 der am häufigsten von Phishern angegriffenen
Organisationen nach Kategorien, Januar 2012

Beginnend mit Januar 2012 veröffentlicht Kaspersky Lab in seinen Monatsberichten ein neues, nach Kategorien eingeteiltes Top-100-Rating der Organisationen, die am häufigsten Phishing-Attacken ausgesetzt sind. Das Rating basiert auf den Alarmen des Anti-Phishing-Moduls auf den Computern der KSN-Teilnehmer, das alle Phishing-Links aufspürt, denen ein Anwender versucht hat zu folgen – egal, ob es sich dabei um einen Link in einer Spam-Mail oder auf einer Webseite handelt.

Die KSN-Daten zeigen, dass rund 65 Prozent aller Klicks auf Phishing-Links über E-Mail-Clients vollzogen werden. Das heißt, dass die elektronische Post der wichtigste Verbreitungskanal von Phishing-Links bleibt. Weitere 26 Prozent der Klicks auf Phishing-Links erfolgen direkt aus Internet-Browsern. Dazu gehören auch die Übergänge aus dem Web-Interface von E-Mail-Anbietern und aus sozialen Netzwerken sowie die Übertritte auf Phishing-Seiten, die mit Hilfe von Black-SEO-Technologien auf die obersten Plätze der Ergebnisliste von Suchmaschinen gepusht wurden.

Die Organisationen aus den Top 100 teilen sich in neun Kategorien auf:

  1. Finanz- und Bezahlorganisationen sowie Banken. Wie der Name schon sagt, umfasst diese Kategorie Banken, deren Kunden Zielscheibe von Phishing-Attacken waren. Außerdem gehören in diese Kategorie Bezahlsysteme, darunter Visa, MasterCard und PayPal, sowie Kreditorganisationen und Investmentfonds.

    Im Januar belegte diese Kategorie im Rating der von Phishern angegriffenen Organisationen den ersten Platz. Fast ein Viertel aller Alarme von Kaspersky Anti-Phishing entfiel auf Webseiten, die für den Diebstahl von Zugangsdaten für Bankkonten und Bezahlsysteme genutzt werden.

  2. Online-Shops und Internet-Auktionshäuser. Bekanntermaßen hängen viele Anwender-Konten in vielen Internet-Shops mit Kreditkarten zusammen und enthalten persönliche Informationen, zum Beispiel Name, E-Mail-Adresse, Postadresse und Telefonnummer. Kauft ein Anwender in gefälschten Online-Shops ein, so gibt er alle für die Bezahlung notwendigen Kreditkarteninformationen ein, die dann Cyberkriminellen in die Hände fallen. Daher überrascht es nicht, dass 20,38 Prozent der Alarme unseres Anti-Phishing-Moduls auf Phishing-Attacken auf verschiedene Shops und Auktionshäuser entfallen.
  3. Soziale Netzwerke. Auch Accounts in sozialen Netzwerken sind für Cyberkriminelle ein Leckerbissen, da sich auf dem Schwarzmarkt viele Käufer dafür finden. Der Anteil der Alarme unseres Produkts auf Phishing-Seiten, die auf den Diebstahl von Accounts sozialer Netzwerke ausgerichtet sind, ist ein wenig geringer als der vergleichbare Wert der Kategorie Online-Shops (20,05 %).
    Suchmaschinen. In dieser Kategorie sind Suchmaschinen zusammengefasst, auf denen Phishing-Attacken registriert wurden. Praktisch jede Suchmaschine erlaubt es Anwendern nicht nur, schnell alles Erdenkliche im Internet zu finden, sondern bietet ihnen auch andere Dienste an, zu denen normalerweise auch E-Mail gehört. Einige Suchmaschinen-Anbieter haben auch eigene soziale Netzwerke und Bezahlsysteme. 14,6 Prozent der Alarme von Kaspersky Anti-Phishing entfallen auf Webseiten, die auf den Diebstahl von Zugangsdaten für unterschiedliche Suchmaschinen-Angebote abzielen. In dieser Kategorie sind die Suchmaschinen und Angebote von Google und Yahoo Spitzenreiter.

  4. IT-Anbieter. Viele Soft- und Hardware-Hersteller bieten kostenpflichtige Webdienste an, zum Beispiel Dienstleistungen oder den Zugriff auf Produkte und Updates, die man nur nach Registrierung nutzen kann. Um dem Anwender den Kaufprozess zu erleichtern, werden seine Bankdaten (beispielsweise Details der EC- oder Kreditkarte) häufig in seinem Konto beim Hersteller gespeichert. Einige Anbieter, insbesondere Microsoft, bieten zusätzliche Services an – zum Beispiel ein Instant-Messaging-Programm und einen E-Mail-Client. Diese Konten sind für Online-Betrüger ebenfalls interessant. Daher waren besonders Apple und Electronic Arts sowie Microsoft und seine Xbox im Visier der Verbrecher. Der Anteil der Phishing-Alarme auf Webseiten von IT-Anbietern betrug im Januar 2012 insgesamt 7,6 Prozent aller Alarme des Anti-Phishing-Moduls von Kaspersky Lab.
  5. E-Mail- und Instant-Messaging-Programme. Zugangsdaten für diese Dienste erfreuen sich auf dem Schwarzmarkt einer großen Nachfrage und sind daher für Phisher überaus interessant. 5,3 Prozent aller Alarme von Kaspersky Anti-Phishing entfielen im Januar auf Phishing-Attacken auf diese Nutzer. Wir weisen darauf hin, dass zu dieser Kategorie nicht die E-Mail-Dienste von Suchsystemen zählen: Cyberkriminelle, die Zugriff auf einen E-Mail-Account bei einem Suchmaschinen-Anbieter erhalten, haben gleichzeitig auch Zugriff auf alle anderen Dienste desselben Unternehmens. Festzustellen, welcher dieser Dienste das ursprüngliche Ziel der Attacke war, ist nahezu unmöglich.

    Auf jede der drei folgenden Kategorien entfielen im Januar weniger als ein Prozent aller Alarme von Kaspersky Anti-Phishing.

  6. Massenmedien. Phishing-Attacken, deren Ziel die Anwender-Konten auf den Webseiten verschiedener Nachrichten-Portale sind. Da diese Accounts möglicherweise mit denen von sozialen Netzwerken zusammenhängen, versuchen Cyberkriminelle daher, auf diese Weise Zugriff auf die letztgenannten zu erhalten. Es ist nicht ausgeschlossen, dass solche Attacken im Auftrag der Konkurrenz durchgeführt werden, um den guten Ruf des angegriffenen Portals zu beschädigen. Zudem ist ein Fall bekannt, bei dem Cyberkriminelle Zugriff auf Accounts von Anwendern erhielten, die Artikel auf der entsprechenden Seite editieren können. Diese Möglichkeit nutzten die Verbrecher, um auf Nachrichtenportalen Informationen oder schädliche Links zu platzieren. Vermutlich sind sie mit Hilfe von Phishing-Attacken an diese Accounts gekommen. Auf diese Kategorie von Webseiten entfielen 0,8 Prozent aller Alarme des Anti-Phishing-Moduls.
  7. Online-Games. 0,4 Prozent aller Alarme von Anti-Phishing entfielen auf Diebstahlversuche von Onlinespiel-Konten.
  8. Regierungsorganisationen. 0,4 Prozent der Attacken richteten sich gegen Anwender-Konten auf Webseiten von Regierungsorganisationen. Wie wir bereits berichteten, haben solche Angriffe saisonalen Charakter. Ein großer Teil von ihnen wird durchgeführt, wenn die Abgabefrist für die Steuererklärungen in den USA und in Großbritannien bevorsteht. Dementsprechend sind die Finanzämter dieser Länder die Lieblingsziele der Phisher unter den staatlichen Organisationen.

Zur Kategorie „Sonstige“ gehören im Wesentlichen Mobilfunkanbieter, Internet-Provider und einige andere Organisationen. In den meisten Fällen enthalten die Anwender-Konten auf solchen Webseiten ebenfalls Finanzinformationen.

Spam-Themen


Spam-Themen im Januar 2012

Das Führungsduo im englischsprachigen Spam hat sich im Vergleich zum Dezember nicht geändert. Der Anteil der erstplatzierten Kategorie ging geringfügig zurück (minus 1,6 Prozentpunkte), während der Anteil von Spam der Thematik „Persönliche Finanzen“ etwas zunahm (plus 3,3 Prozentpunkte).

Um das Doppelte gestiegen ist der Anteil der Kategorie „Bildung“. Im Januar war das Ausbildungsangebot zum Grafikdesigner im Spam-Traffic besonders verbreitet.

Der Anteil von Mitteilungen mit dem Thema „Computer und Internet“ ist um das Vierfache gestiegen. Interessant ist, dass über die Hälfte dieser im Januar von Kaspersky Lab registrierten Mitteilungen Werbung für Druckerpatronen enthielt.

Fazit

Wie die Praxis zeigt, gibt es weniger Versendungen, die sich auf den Valentinstag beziehen als auf den Jahreswechsel. Im Jahr 2011 betrug deren Anteil in der Hochphase (der zweiten Februarwoche) 0,21 Prozent aller Spam-Nachrichten. Es besteht kein Anlass zu der Annahme, dass es in diesem Jahr mehr „Valentinstags-Spam“ geben wird, doch trotzdem werden wir es Anfang Februar mit unerwünschten Mitteilungen dieser Art zu tun haben.

Eine der traditionellen Spielarten von Valentinstags-Spam sind Schadversendungen, die als elektronische Valentinstagsgrüße getarnt sind. In den letzten Jahren gab es nicht allzu viele solche Versendungen im Spam-Traffic, doch man sollte sie trotzdem nicht vollkommen außer Acht lassen. Die Anwender sollten vorsichtig sein, wenn Sie E-Cards unbekannten Ursprungs erhalten. Besonders gefährlich ist es, auf einen Link zu einem „Valentinstagsgruß“ zu klicken, der mit der Erweiterung .exe endet.

Besonders erwähnenswert ist, dass der Spam-Anteil mit schädlichen Anhängen im E-Mail-Traffic nicht abnimmt und sich nach wie vor mit 4,3 Prozent auf einem recht hohen Niveau hält. Zudem führt im englischsprachigen Spam die Thematik „Computerbetrug“ mit einem komfortablen Vorsprung. Diese Faktoren machen in Kombination den englischsprachigen Spam für den Anwender brandgefährlich.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.