Spam im Juni 2013

Inhalt

    Der Juni in Zahlen

    • Der Spam-Anteil im E-Mail-Traffic stieg im Juni um 1,4 Prozentpunkte und betrug 71,1 Prozent.
    • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen ist im Vergleich zum Mai geringfügig gestiegen und betrug 0,0032 Prozent.
    • Im Juni enthielten 1,8 Prozent aller elektronischen Mitteilungen schädliche Anhänge, das ist ein um einen Prozentpunkt geringerer Wert als im Vormonat.

    Die wichtigsten Ereignisse des Monats

    Im Juni versendeten die Spammer besonders aktiv Werbung für Waren und Dienstleistungen, die in den Sommermonaten verstärkt nachgefragt werden. So entfiel etwa im Zusammenhang mit der Prüfungszeit in Schulen und Hochschulen ein nicht geringer Teil des Juni-Spams auf Versendungen mit Angeboten zu gefälschten Diplomen und Zeugnissen, aber auch zu Ausbildungsnachweisen. Der Festtags-Spam im Juni bezog sich in erster Linie auf den Vatertag in den USA.

    Fortbildung mit ‚Promis‘

    Dass Spammer – in erster Linie in so genannten ’nigerianischen‘ E-Mails – die Namen bekannter Persönlichkeiten ausnutzen, um die Aufmerksamkeit der Anwender auf ihre Versendungen zu ziehen, ist schon lange nichts Neues mehr. Im Juni 2013 stießen die Kaspersky-Experten allerdings auf mehrere Versendungen, deren Autoren die Namen populärer Personen auf eine etwas andere Art einsetzten, und zwar in Werbung für verschiedene Seminare und Kurse.

    Unter anderem nutzten Spammer den Namen des Apple-Gründers Steve Jobs zu ihren Zwecken aus. Der Betreff einer unerwünschten Mitteilung verhieß dem Empfänger, in das Erfolgsgeheimnis des bekannten Unternehmers eingeweiht zu werden, doch die E-Mail enthielt lediglich Werbung für ein kostenloses Seminar. Seine Organisatoren versprechen, innerhalb von nur 1,5 Stunden jeder beliebigen Person beizubringen, eine persönliche Leidenschaft in eine lukrative Geschäftsidee umzuwandeln. Der Name Steve Jobs dient hier lediglich dazu, die Aufmerksamkeit auf das Seminar zu lenken.

     

    iPhone im Spam

    Die weltweit ungeheure Popularität von Apple-Smartphones und -Tablets hat dazu geführt, dass Firmen wie Pilze aus dem Boden schießen, die sich auf den Verkauf von Apple-Zubehör und verdächtig billigen offiziellen Geräten spezialisiert haben. Für viele dieser Firmen ist Spam ein durchaus annehmbares Mittel, um ihre Waren zu bewerben, und im Juni 2013 entdeckte Kaspersky Lab einige Versendungen mit derartiger Thematik.

    Im Juni trafen die Kaspersky-Analysten häufig auf Spam mit enorm preiswerten Angeboten zu Apple-Technik. Um der Versendung einen Anstrich von Legitimität zu geben, schrieben die Spammer den Namen des Unternehmens ins Absenderfeld, obwohl die E-Mail-Adresse des Absenders nicht das Geringste mit Apple zu tun hatte. Die Autoren solcher E-Mails betonten dabei besonders, dass die Zahl der zum Verkauf stehenden Waren und die Zeit, in der sie erworben werden können, äußerst begrenzt seien. Dieser weit verbreitete Trick wird eingesetzt, damit der Empfänger möglichst wenig Zeit zum Überlegen hat und sofort auf den Link klickt, um die Ware zu bestellen.

     

    Die Spammer boten allerdings nicht nur Apple-Geräte an, sondern auch damit in Verbindung stehende Kurse. Das Kaspersky-Team fing eine Versendung mit Werbung für ein Web-Seminar (Webinar) ab, das die Erstellung von Videos auf iPads und iPhones zum Inhalt hat. Die Autoren versprachen dem Empfänger, dass die Teilnahme an einem solchen Webinar es ihm nicht nur ermöglicht, selbstständig originelle und qualitativ hochwertige Videos zu erstellen, sondern das erworbene Wissen auch für zusätzliche Einnahmen nutzen zu können.

     

    Engagierte Spammer: Bildung für alle!

    Der Sommer ist nicht nur Urlaubszeit, sondern auch die Zeit der Abschlussprüfungen in Schulen und Universitäten. Im Juni registrierte Kaspersky Lab einen deutlichen Anstieg von Spam-Versendungen mit Verkaufsangeboten für gefälschte Hochschul-Zeugnisse und -Diplome. Die Adressen der Empfänger solcher Versendungen wurden häufig aus offenen Quellen und verschiedenen Datenbanken bezogen, oder sie wurden automatisch mit Hilfe eines elektronischen Wörterbuchs generiert.

    Im Juni tauchten zudem Versendungen mit Angeboten über die Immatrikulation an US-amerikanischen Hochschulen sowie über Fernstudiengänge jeglicher Art auf. Häufig enthielten solche E-Mails Links auf Webseiten, auf denen man sich online für den jeweiligen Studiengang anmelden kann. Interessant ist, dass sich die Adressen dieser Webseiten von E-Mail zu E-Mail ändern und häufig an dem Tag erstellt werden, an dem die Versendung in Umlauf gebracht wird. Möglicherweise sammeln die Spammer auf diese Weise persönliche Daten der Anwender. Zudem wurden im Spam auch akademische Titel oder Diplome angeboten, die ohne lästiges Studium käuflich zu erwerben sind.

     

    Die Nachhilfe ist eine andere verbreitete Art von Bildungsdienstleistung, die im Spam beworben wird. Die Kunden der Spammer können Privatpersonen oder auf Nachhilfe spezialisierte Agenturen sein, die anbieten, Schüler mit Hilfe von qualifiziertem Personal in verschiedenen Fächern zu fördern und somit ihre Zensuren und ihren Leistungsstand zu verbessern.

     

    Zigarren zum Fest

    Wie vom Kaspersky-Team vermutet, verschickten die Spammer auch im Juni noch Werbeangebote, die auf den Vatertag in den USA Mitte Juni Bezug nehmen. Doch während im vergangenen Jahr solche Spam-Versendungen vor allem Imitate hochwertiger Uhren bewarben, so waren die beliebtesten Vatertagsgeschenke im Jahr 2013 Zigarren. Solche Versendungen, die alle nach ähnlichen Schablonen erstellt wurden, haben wir bereits mehrere Monate in Folge registriert. In den E-Mails wurden lediglich die Bilder und die Schriftfarben geändert, die allgemeine Platzierung der Elemente blieb dabei gleich.

     

    Methoden und Tricks

    Im Juni setzten die Spammer altbekannte Tricks ein, die allerdings nichts an Aktualität eingebüßt haben. Die Kaspersky-Experten fanden insbesondere mehrere Versendungen mit Werbung für Zigaretten – sowohl elektrische als auch herkömmliche -, bei denen die Initiatoren die Möglichkeiten von Google Translate nutzten, um die Spam-Links zu bearbeiten. Zudem hängten die Spammer an das Ende jedes Links eine zufällige Buchstabenverbindung sowie die Namen von zu Google gehörenden Domains in verschiedenen Sprachen an. Als Kontaktadresse wurde in der Mitteilung eine E-Mail-Adresse bei einem kostenlosen E-Mail-Dienst angegeben. Spammer erstellen eine Vielzahl solcher Adressen und ändern diese in ihren E-Mails ständig, um so die Arbeit der Spam-Filter zu erschweren.

     

    Außerdem setzten die Spammer im Juni aktiv Elemente zur Verrauschung des Textes ein. Insbesondere die Autoren der Versendungen aus der Rubrik Bildung garnieren ihre Schreiben mit einer willkürlichen Auswahl von Symbolen. Dadurch wurde die E-Mail zwar schwer lesbar, doch die sinnvollen Textabschnitte wie etwa der Name des Studiengangs, der Universität oder Fakultät sowie die Preise für die Ausbildung und die Kontaktdaten waren für das menschliche Auge problemlos zu erfassen.

     

    Spammer, die Apple-Produkte zu Schleuderpreisen anboten, setzten auf eine andere, wohl bekannte Methode. Um den Inhalt der Versendung zu verschleiern und die Spam-Filter zu umgehen, integrierten sie in die Mitteilung einen realen Nachrichtentext über Apple sowie einen Link auf die Webseite der Nachrichtenagentur.

    Einige Spam-Versendungen, die Urlaubsreisen nach Russland und ins Ausland bewerben, verwendeten gleichzeitig kyrillische und lateinische Buchstaben innerhalb eines Wortes. Eine ähnliche Technik verwendeten die Autoren von Immobilienanzeigen: Ein Teil der Ziffern im Text wurde durch ähnlich aussehende Buchstaben ersetzt, Leerzeichen wurden mit Bedacht weggelassen und zusätzliche Symbole eingesetzt.

    Statistik

    Spam-Herkunftsländer

    Auch im Juni blieb das Führungstrio der Länder unverändert, die weltweit am meisten Spam versenden. Der aus jedem Land verbreitete Spam-Anteil ist allerdings gestiegen. Die Führungsposition belegt nach wie vor China mit einem Spam-Anteil von 23,9 Prozent – das ist ein um 2,5 Prozentpunkte höherer Wert als im Vormonat.

     
    Spam-Herkunftsländer weltweit

    Auf dem zweiten Platz positionierten sich die USA (17,2 %), die gegenüber dem Mai um 0,9 Prozentpunkte zugelegt haben. Südkorea schließt wie gehabt das Führungstrio ab – die aus diesem Land versendete Spam-Menge steigt weiterhin und erreichte im Juni einen Wert von 14,5 Prozent.

    Rang vier konnte Taiwan (5,8 %) für sich behaupten, wobei sich dessen Anteil verglichen mit dem Vormonat praktisch nicht änderte. Vietnam (3,3 %) gehört allerdings nicht länger zu den Top 5: Der aus diesem Land stammende Spam-Anteil ging um 1,7 Prozentpunkte zurück, so dass Vietnam auf Position sechs abrutschte. Dafür belegt die Ukraine mit 3,7 Prozent nun Platz fünf.

    Die Positionen sieben und acht besetzen Weißrussland (2,8 %) respektive Kasachstan (2,7 %). Im Juni konnte Kaspersky Lab einen geringfügigen Rückgang der Spam-Ströme aus diesen beiden Ländern beobachten: Bei Weißrussland waren es 0,6 Prozentpunkte, bei Kasachstan 1,6 Prozentpunkte.

    Der Anteil Russlands (2,1 %) ging um 0,1 Prozentpunkte zurück, so dass dieses Land nun aus den Top 10 auf Rang 11 abrutschte. Um einen Prozentpunkt gestiegen ist hingegen die aus Italien (2,1 %) verbreitete Spam-Menge.

     
    Spam-Herkunftsländer für Europa

    Der unangefochtene Spitzenreiter unter den Ländern, die Spam nach Europa versenden, ist und bleibt Südkorea (55,3 %), dessen Wert in diesem Monat drastisch angestiegen ist – und zwar um 9,6 Prozentpunkte. Die USA (4,6 %) und Vietnam (3,7 %) gehören nicht mehr zum Führungstrio und sackten auf die Positionen vier und fünf ab, wobei sie ihre Plätze für Italien (6,7 %) und Taiwan (5 %) räumten. Dabei stieg der Wert Italiens gegenüber dem Mai um 3,9 Prozentpunkte, als dieses Land noch den siebten Platz belegte. Bis auf Position sechs konnte sich Indien (2,2%) im Juni-Rating ‚hocharbeiten‘, das im Vormonat noch den zwölften Platz belegte.

    Mehrere Positionen büßten die Ukraine (1,9 %), China (1,3 %) und Japan (0,6 %) ein. Im Juni belegten sie die Plätze acht, zwölf beziehungsweise 16. Der aus Russland stammende Spam-Anteil ging um 1,1 Prozentpunkte zurück und betrug insgesamt 1 Prozent. Daher rutschte das Land vom zehnten auf den 13. Platz ab. Ebenfalls deutlich abgenommen haben die aus Großbritannien (0,5 %) stammenden Spam-Ströme, so dass das Land im Juni auf Position 20 landete – das sind ganze sechs Plätze niedriger als noch im Mai.

     
    Spam-Quellen nach Regionen

    Bei den Spam-Herkunftsregionen bleibt Asien (57,3 %) Spitzenreiter – im Vergleich zum Vormonat stieg der Anteil der Region um 1,2 Prozentpunkte. Zum Führungstrio gehören zudem – wie bereits in den Vormonaten – Nordamerika (18,7 %) und Osteuropa (13,2 %). Allerdings stieg der aus Nordamerika stammende Spam-Anteil um 0,6 Prozentpunkte, während sich der Wert Osteuropas um 1,4 Prozentpunkte verringerte.

    Schädliche Anhänge und Links

    Der Anteil der schädlichen Anhänge ging im Juni um 1 Prozentpunkt zurück und betrug damit 1,8 Prozent des gesamten E-Mail-Aufkommens.

     
    Top 10 der via E-Mail verbreiteten Schadprogramme

    Platz eins des Ratings der via E-Mail verbreiteten Schadprogramme belegt nach wie vor Trojan-Spy.HTML.Fraud.gen. Bei diesem Programm handelt es sich um eine Phishing-Seite zur Eingabe von Daten, die direkt an die Cyberkriminellen weitergeleitet werden.

    Auf Position zwei befindet sich der Schädling Email-Worm.Win32.Bagle.gt. Dieser Virus-Wurm versendet sich selbst an die E-Mail-Adressen, die er auf dem infizierten Rechner findet. Zudem kann der Schädling ohne Wissen des Anwenders Dateien aus dem Internet laden.

    Rang drei belegte im Juni das Programm Email-Worm.Win32.Mydoom.I. Wie es sich für einen Wurm gehört, sucht er auf dem befallenen Computer nach E-Mail-Adressen und verschickt sich dann selbst in Form eines Anhangs (Dateien mit den Erweiterungen .doc, .htm, .html und .txt). Dabei wird als Absenderadresse eine der auf dem Computer gefundenen Adressen angegeben.

    Mydoom.m, ein weiterer Vertreter der Wurm-Familie Mydoom, positionierte sich auf Platz sechs. Die Aufgabe dieses Wurms besteht neben der Vervielfältigung seiner selbst im Versand von verborgenen Suchanfragen an Suchsysteme wie Google, Yahoo, Altavista und Lycos. Der Wurm vergleicht die Adressen der Webseiten auf der ersten Seite der Suchergebnisse mit einer Adressliste, die er vorher von den Servern der Cyberkriminellen geladen hat. Findet er eine Übereinstimmung, öffnet der Wurm einen Link auf der Seite des Suchsystems, erhöht somit die Zahl der Seitenbesuche und verbessert auf diese Weise die Position in der Ergebnisliste.

    Position vier belegte Trojan-Dropper.Win32.Dorifel.aewv. Die Hauptaufgabe dieses Trojaners besteht im Ausführen von Befehlen von einem entfernten Server sowie dem Download und Start anderer Schadprogramme.

    Die Top 5 werden von einem Vertreter der Familie ZeuS/Zbot abgeschlossen, und zwar von dem Programm Trojan-Spy.Win32.Zbot.Ibda. Das Ziel dieses Trojaners ist der Diebstahl verschiedener vertraulicher Informationen von Computern, inklusive Kreditkartendaten. In diesem Monat entdeckten die Kaspersky-Experten über 1.300 Trojaner-Modifikationen aus der Familie Zeus/Zbot – sie machen rund sieben Prozent aller Schadprogramme im E-Mail-Traffic aus.

    Ebenfalls unter den ersten zehn Plätzen befindet sich ein Spionage-Trojaner aus der Familie Tepfer, die in diesem Jahr weit verbreitet ist.

     
    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern

    Nach Häufigkeit der Alarme von Kaspersky Anti-Virus belegte im Juni Russland den ersten Platz mit einem Anteil von 29,4 Prozent. Das sind dreizehnmal mehr Alarme als im Vormonat, als der Anteil Russlands insgesamt ganze 2,2 Prozent betrug. Ein derart deutlicher Zuwachs hängt mit der gestiegenen Anzahl von E-Mails zusammen, die mit Würmern infiziert sind, in erster Linie mit den Schädlingen Net-Worm.Win32.Kido.ih, Worm.Win32.AutoRun.dtbv und IM-Worm.Win32.Sohanad.bm.

    USA, der Spitzenreiter aus dem Vormonat, landete im Juni auf dem zweiten Platz. Gegenüber dem Mai ging der Anteil dieses Landes um 4,7 Prozentpunkte zurück und betrug 9,6 Prozent. Den dritten Platz belegte Deutschland (7,9 %), dessen Anteil um 1,6 Prozentpunkte zurückging. Die Positionen vier und fünf wurden von Indien (5,9 %) und Australien (4,9 %) besetzt.

    Um 2,7 Prozentpunkte ging die Zahl der Alarme von Kaspersky Anti-Virus in Großbritannien zurück (3,3 %), das damit den achten Platz belegte. Italien (2,4 %) positionierte sich auf dem vorletzten Platz der Top 10, wobei sein Anteil gegenüber dem Monat Mai um 2,8 Prozentpunkte zurückging.

    An die Stelle von Kanada, dem Zehntplatzierten im Monat Mai, ist im Juni China mit einem Anteil von 1,7 Prozent getreten.

    Besonderheiten im Schadspam

    Im Juni entdeckte Kaspersky Lab eine umfassende Schadversendung: Ins Visier der Spammer gerieten Organisationen, die mit dem US-amerikanischen Unternehmen LexisNexis zusammenarbeiten, das den Online-Zugriff auf verschiedene Datenbanken bereitstellt. In einer gefälschten E-Mail, abgeschickt von der auf den ersten Blick legitimen Adresse ‚einvoice.notification@lexisnexis.com‘, wurde mittgeteilt, dass für das jeweilige Unternehmen eine Rechnung über die von LexisNexis geleisteten Dienste ausgestellt worden sei. Weiter hieß es, nähere Informationen zur Rechnung und Bezahlung seien in dem an die E-Mail angehängten Archiv zu finden und die Rechnung könne als PDF-Datei ausgedruckt werden. In dem Archiv ‚LexisNexis_Invoice_06212013.zip‘ befand sich jedoch der Trojaner Tepfer, der zum Diebstahl von Benutzernamen und Kennwörtern eingesetzt wird.

     

    Die Betrüger haben beträchtliche Mühen darauf verwendet, die gefälschte E-Mail echt wirken zu lassen: Es wurden sowohl das Logo als auch vertrauenswürdige Kontaktdaten von LexisNexis verwendet. Wenn man aber genauer hinschaut, sieht man, dass im Schreiben in drei verschiedenen Sätzen darauf hingewiesen wird, dass der Anwender den Anhang öffnen müsse. Das allein sollte den Empfänger der E-Mail bereits misstrauisch machen.

    Phishing

    Im Juni stieg der Anteil von Phishing-Mails am weltweiten E-Mail-Aufkommen geringfügig und betrug insgesamt 0,0032 Prozent.

     
    Top 100 der im Juni 2013 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

    Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Im Juni behaupteten die Sozialen Netzwerke (31,3 %) erneut ihre Spitzenposition im Rating der am häufigsten von Phishern angegriffenen Organisationen, wenngleich ihr Wert um 4,6 Prozentpunkte zurückging.

    Die Positionen zwei und drei belegten – wie bereits im Mai – die Suchsysteme (15,6 %) und die Finanz- und Bezahlorganisationen (14,3 %). Im vorangegangenen Monat waren ihre Werte praktisch gleich, doch im Juni stieg der Anteil der Suchmaschinen um 0,61 Prozentpunkte, während sich der Anteil der Finanz- und Bezahlorganisationen um denselben Wert verringerte.

    Die Kategorie E-Mail-Dienste stieg auf Rang vier auf, da ihr Wert sich fast verdreifacht hat und somit im Juni 13,2 Prozent erreichte. Die IT-Anbieter (9,5 %) rutschten auf den fünften. Platz ab. Telefon- und Internetprovider (8,2 %) behaupteten den sechsten Platz, wohingegen die Online-Shops (5,7 %) zwei Positionen einbüßten und im Juni damit den siebten Platz belegten.

    Im Juni stieß das Kaspersky-Team auf mehrere Versendungen von gefälschten Mitteilungen im Namen des bekannten elektronischen Bezahlsystems PayPal. In einer dieser E-Mails wurde mittgeteilt, dass verdächtige Zahlungen mit der Kreditkarte des Anwenders registriert wurden, die dieser bei PayPal benutzt, und in diesem Zusammenhang sei der Zugriff auf das persönliche Konto gesperrt worden. Um das elektronische Konto wieder zu entsperren, müsse der Anwender das an die E-Mail angehängte Archiv ‚AccountVerification.zip‘ öffnen. Die im Archiv enthaltene Datei ‚Verify Account.html‘ wird im Browser geöffnet und ist eine gefälschte Seite zur Aktualisierung des PayPal-Profils. Die Betrüger hofften darauf, dass der Anwender auf dieser Seite seine Kreditkartendaten, seine PayPal-Zugangsdaten und andere persönliche Informationen eingeben würde, die ihnen damit in die Hände fallen würden. Damit erhalten die Betrüger nicht nur Zugriff auf den PayPal-Account des Opfers, sondern auch auf dessen Kreditkarte.

     

    Fazit

    Zu Beginn des Sommers stieg erwartungsgemäß der Anteil an ‚Bildungs‘-Spam. Zudem missbrauchten die Spammer auch im Juni die Namen bekannter Persönlichkeiten, um Waren und Dienstleistungen zu bewerben. Den Hype um die Produkte der Firma Apple nutzten die Spammer zur Werbung für Zubehör und Anwendungen sowie für Rabatte auf bekannte elektronische Gadgets.

    Über die Hälfte des weltweiten Spam-Aufkommens stammte auch im Juni aus drei Ländern – China, USA und Südkorea. Dabei steigen die Werte jedes dieser Länder weiterhin an. Südkorea bleibt Spitzenreiter unter den Ländern, die am meisten Spam nach Europa versenden, gefolgt von Italien und Taiwan. Die USA und Vietnam fielen im Juni dagegen auf die Ränge vier und fünf zurück.

    Entgegen den Vorhersagen ging die Zahl der Phishing-Attacken auf Soziale Netzwerke im Juni zurück, allerdings konnten sie ihre Führungsposition im Rating trotzdem behaupten. Dafür stieg die Zahl der Attacken auf den Sektor E-Mail- und IM-Clients drastisch an. Diese Entwicklung lässt sich damit erklären, dass in der Ferienzeit die Zahl der Nutzer von E-Mail-Programmen und Tools wie ICQ‎, Jabber oder Skype zunimmt. Die Accounts bei diesen Diensten erfreuen sich auf dem Schwarzmarkt einer großen Nachfrage, was die Phisher wiederum zu gesteigerter Aktivität anspornt.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.