Spam im Juni 2014

Inhalt

    Die wichtigsten Ereignisse des Monats

    Im Juni nutzten die Spammer aufsehenerregende Ereignisse wie die Fußball-Weltmeisterschaft und die Situation in der Ukraine in ihren betrügerischen E-Mails aus. Diese waren dazu bestimmt, Geldmittel und Finanzinformationen der Internetnutzer abzugreifen.

    Kurz vor dem Ramadan und dem Vatertag kursierten verschiedene Angebote zu Waren und Dienstleistungen im englischsprachigen Spam. Mit am weitesten verbreitetet waren im Juni Werbemitteilungen für Kontaktbörsen sowie für Tankkarten und Schmuck.

    Fußball-Weltmeisterschaft

    Im Juni begann die zwanzigste Fußball-Weltmeisterschaft, der die Fans auf der ganzen Welt schon ungeduldig entgegenfieberten. Populäre Sportereignisse, zu denen die WM zweifellos zählt, ziehen nicht nur ein Millionenpublikum an, sondern auch die Aufmerksamkeit von Spammern und Phishern. In diesem Fall registrierte das Kaspersky-Team die ersten betrügerischen Versendungen zum Thema FIFA-WM bereits im November letzten Jahres, lange vor Beginn des Sportereignisses. Im Juni versendeten Cyberkriminelle E-Mails in portugiesischer Sprache mit dem Angebot, an einer Verlosung von Eintrittskarten für die Eröffnungszeremonie und für WM-Spiele teilzunehmen. Zu diesem Zweck sollte man einem betrügerischen Link folgen, um anschließend Registrierungsdaten und Kreditkarteninformationen einzugeben. Der gefälschte Link war unmittelbar mit einer Grafikdatei verbunden, die dem Anwender beim Öffnen der E-Mail angezeigt wurde. Die Phishing-Seiten waren auf der kostenlosen Domain .tk registriert – die nationale Top-Level-Domain des von Neuseeland abhängigen Gebietes Tokelau. Um die Empfänger von der Echtheit der E-Mail zu überzeugen, verwendeten die Spammer in der Absenderadresse Domains des Kreditkartenunternehmens VISA und von der FIFA.

    Feiertags-Spam

    Der englischsprachige Feiertags-Spam war im Juni dem Vatertag gewidmet, der in den USA am dritten Sonntag im Juni begangen wird. Die Spammer verschickten Werbung für elektronische Gadgets, Imitate von Markenwaren und für Waffen aus verschiedenen Epochen, wobei die Empfänger durch Rabatte, Schlussverkäufe und niedrige Preise gelockt werden sollten. Um die Spam-Filter zu umgehen, setzten die Spammer Junk-Text ans Ende der E-Mail, zumeist ein Zitat aus einem literarischen Werk. Außerdem nutzten sie einen populären Kurzlink-Service zur Tarnung der realen Adresse und zur Umleitung des Browsers auf eine Spammer-Seite. In der Betreffzeile und im Mailkörper wurde auf den Festtag hingewiesen.

    Religiöse Feiertage werden im Spam weniger ausgenutzt als weltliche, und die Spammer tragen stets Sorge dafür, dass die Anwender auch die passenden Werbeangebote erhalten. Verweise auf den Ramadan finden sich alljährlich im Spam-Traffic, und auch dieses Jahr bildete keine Ausnahme: Die Kaspersky-Experten registrierten Werbung von Restaurants mit Bezug zum Ramadan (und der gleichzeitigen Aufforderung, sich dort die Live-Übertragungen der Fußball-WM anzuschauen). Außerdem gab es Angebote für IT-Dienstleistungen und für Services zum Versand von Werbe-SMS. Der Monat Ramadan dauert noch bis Ende Juli an, und wir erwarten, dass die Spammer den Versand von Spam-Mitteilungen zu diesem Thema bis dahin nicht einstellen werden.

    Die Ukraine im „nigerianischen“ Spam

    Die politischen Ereignisse in der Ukraine wurden erneut von „nigerianischen“ Betrügern ausgenutzt, deren Ziel es ist, vertrauensseligen Anwendern das Geld aus der Tasche zu ziehen. Dieses Mal gab sich der Autor des Schreibens als persönlicher Assistent einer ukrainischen Politikerin aus, die angeblich zu den ersten Todesopfern der gewaltsamen Konflikte in Kiew gehörte. Den Regeln dieses Genres folgend hinterließ die Verblichene dem Assistenten selbstverständlich mehrere Millionen US-Dollar, die nun umgehend aus der Ukraine geschleust werden müssten, und zwar auf das Konto eines ausländischen Empfängers. Für die Hilfe und Bereitstellung der persönlichen Kontonummer des Opfers versprachen die Betrüger eine Belohnung und erklärten sich sogar bereit, eine gewisse Summe für die Auslagen bereitzustellen, die sich durch die Überweisung des Geldes ergeben könnten.

    Dieses immer gleiche „nigerianische“ Betrugsschema wiederholt sich Jahr für Jahr, allein die dahinter stehenden Legenden und Geschichten ändern sich. Wir möchten die User jedoch einmal mehr darauf aufmerksam machen, dass alle in „nigerianischem“ Spam verpackten Bereicherungsvorschläge einzig und allein der Bereicherung von Cyberkriminellen auf Kosten der Anwender dienen.

    Bekanntschaften im Netz

    Ein bedeutender Teil des Spams war im Juni Werbung für unterschiedlichste Kontakt-Webseiten, die sich an verschiedene soziale Gruppen richteten: Die Spammer bewarben aktiv Kontaktseiten für Schwarze, für Moslems, für Christen sowie für Nutzer fortgeschrittenen Alters und für verheiratete Personen.

    Die Kaspersky-Experten registrierten zudem einzelne E-Mails und Versendungen im Namen verschiedener Personen, die im Internet jemanden kennenzulernen wünschten, mit dem sie dann „eine ernsthafte Beziehung eingehen oder eine Familie gründen“ könnten. Mittels Spam wurde dabei nicht nur nach heterosexuellen Beziehungen gesucht, sondern auch nach gleichgeschlechtlichen Partnerschaften. In der Regel hängten die Absender ein Foto ihrer Person an das Schreiben und wiesen zudem auf ihre E-Mail-Adresse hin beziehungsweise gaben einen Link auf ihre Profilseite bei irgendeinem Kontakt-Service an (was ebenfalls häufig eine verschleierte Werbung dieses Dienstes war – die E-Mails stammten dann von nicht existierenden Anwendern und dienten schlicht als Lockmittel). In der E-Mail beschrieben die Absender ihr Äußeres, zählten ihre Interessen auf und teilten mit, dass sie sich eine Korrespondenz wünschten. Häufig erklärten die Absender, dass sie die Kontaktdaten des Empfängers in einem Sozialen Netzwerk oder auf einer anderen Kontakt-Webseite gefunden hätten, was nicht unbedingt der Wahrheit entsprach.

    Die Spammer verschickten auch E-Mails, in denen sie versprachen, auf Grundlage ihrer „Datenbank der Seelenverwandten“, passende Paare nach absolut beliebigen Kriterien zusammenstellen zu können (Alter, Hautfarbe, Interessen und so weiter) – und zwar innerhalb von drei Minuten. Um diesen Service zu nutzen, wurde der Empfänger gebeten, eine SMS an die in der Spam-Versendung angegebene kostenpflichtige Nummer zu schicken. Neben dem Geld, das so vom mobilen Konto des Anwenders abgezogen wurde, erhielten die Spammer auf diese Weise Zugriff auf seine Kontaktdaten, insbesondere auf die Telefonnummer.

    Für diejenigen, die sich mit Kontaktbörsen nicht anfreunden können und Bekanntschaften im wahren Leben bevorzugen, boten die Spammer Lektionen in der Verführung von Frauen („24 Tipps, um anziehend auf Frauen zu wirken“) und andere Ratschläge für eine erfolgreiche Beziehung an.

    In einer der Versendungen fanden wir Werbung eines Dating-Spam-Dienstes. Die Spammer boten hier als Dienstleistung an, eine neue Kontakt-Webseite zu erstellen und sie bei Anwendern aus vielen Ländern zu bewerben (selbstverständlich mittels Spam-Versendungen). Als Kontaktdaten wurden eine E-Mail- und eine ICQ-Adresse angegeben.

    Juwelen und Schmuck

    In den Spam-Versendungen im Juni hatten wir es mit einer Vielzahl von Angeboten für Schmuck und Edelsteine zu tun. Meist handelte es sich dabei um Aktions- und Bonusangebote von kleinen Juweliergeschäften, kleinunternehmerischen Goldschmieden und von Firmen, die Diamanten fördern und verarbeiten.

    Tankkarten

    Eine populäre Spam-Thematik im englischsprachigen Internetsegment ist der Absatz von Tankkarten, mit denen an Tankstellen bargeldlos bezahlt werden kann. Diese Art für Sprit zu bezahlen ist äußerst bequem für Unternehmen mit einem großen Fuhrpark, für die der Kraftstoffverbrauch der Mitarbeiter aufgrund der vielen gefahrenen Kilometer schwer zu kontrollieren ist. Die Autoren der Spam-Mails forderten den Empfänger auf, die Spritpreise zu vergleichen und den günstigsten Tankstellenbetreiber auszuwählen, um dann eine spezielle Tankkarte zu bestellen. Eine Besonderheit der von Kaspersky Lab entdeckten Spam-Versendungen dieser Art bestand darin, dass die Links aus den E-Mails auf Webseiten führten, die auf erst kürzlich erstellten Domains registriert waren. Die Seiten selbst waren ausschließlich zum Preisvergleich vorgesehen.

    Statistik

    Spam-Anteil im E-Mail-Traffic


    Spam-Anteil im E-Mail-Traffic

    Im Juni betrug der Spam-Anteil im E-Mail-Traffic durchschnittlich 64,8 Prozent, das sind rund fünf Prozentpunkte weniger als im vorangegangenen Monat. Das höchste Spamniveau wurde mit 65,8 Prozent in der zweiten Juniwoche registriert, das niedrigste (63,5 %) in der dritten Juniwoche.

    Geografische Verteilung der Spam-Quellen

    Bisher haben wir die Statistik der Spam-Herkunftsländer auf der Grundlage von Daten erstellt, die wir aus unseren Spam-Fallen in den verschiedenen Ländern erhielten. Der von uns abgefangene Spam unterscheidet sich aber trotz allem von den unerwünschten Mitteilungen, die bei den echten Empfängern ankommen. Beispielsweise landet dort kein zielgerichteter Spam, der an Fachunternehmen adressiert ist. Daher hat Kaspersky Lab seine Datenquelle geändert. Ab sofort erstellen wir nun mit Hilfe des KSN (Kaspersky Security Network) eine Spam-Statistik zu den E-Mails, die Anwender der Produkte von Kaspersky Lab auf der ganzen Welt erhalten. Da die Daten für die Statistik für diesen Monat aus einer anderen Quelle stammen als bisher, wäre ein Vergleich mit der Statistik für den Vormonat nicht korrekt.


    Verteilung der Spam-Quellen nach Ländern

    Im Juni 2014 wurde das Führungstrio der Länder, die weltweit das meiste Spam versenden, von den USA (13,2 %), Russland (7 %) und China (5,6 %) gebildet.

    Auf dem vierten Platz befindet sich Vietnam (5,3 %), auf dem fünften Argentinien (4,1 %). Es folgen Deutschland (3,7 %), Spanien (3,6 %), die Ukraine (3,2 %) und Italien (2,9 %).

    Abgeschlossen werden die Top 10 von Indien, woher im Juni 2,8 Prozent des weltweiten Spam-Aufkommens stammten.

    Schädliche Anhänge

    Im Juni setzten sich die Top 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen zusammen:


    Тop 10 der via E-Mail verbreiteten Schadprogramme

    Spitzenreiter nach Verbreitung ist nach wie vor der Schädling Trojan-Spy.HTML.Fraud.gen. Bei der Trojaner-Familie Fraud.gen handelt es sich um eine gefälschte HTML-Seite, die sich als wichtige Mitteilung von Großbanken, Internet-Shops, Softwareherstellern oder ähnlichen Einrichtungen tarnt.

    Den zweiten Platz belegt Trojan-Downloader.MSWord.Agent.z. Dieser Schädling kommt als Word-Datei (Format *.doc) mit integriertem, in Visual Basic for Applications (VBA) geschriebenem Makro daher, das beim Öffnen des Dokuments ausgeführt wird. Das Makro selbst lädt und startet ein Schadprogramm.

    Die Plätze drei, vier, fünf und sieben werden von verschiedenen Modifikationen des uns wohl bekannten Schädlings Bublik besetzt. Sie zählen zu den absolut gewöhnlichsten Trojan-Downloadern, die eine Schaddatei auf den Computer des Anwenders laden und diese ausführen.

    Die siebte Position belegt Backdoor.Win32.Androm.elwa. Bei diesem Schädling handelt es sich um eine Spielart von Andromeda-Gamarue, ein universeller modularer Bot. Auf seiner Grundlage können Botnetze mit den unterschiedlichsten Möglichkeiten aufgebaut werden. Die Funktionalität des Bots wird mit Hilfe eines Systems von Plug-ins erweitert, die von den Cyberkriminellen in gewünschter Zahl zu beliebiger Zeit geladen werden können.

    Auf Platz acht folgt Email-Worm.Win32.Bagle.gt. Dieser E-Mail-Wurm versendet sich selbst an alle E-Mail-Adressen, die er auf dem infizierten Rechner findet. Zudem verfügt der Wurm über eine Funktion zum Download von Dateien aus dem Internet – ohne dass der Nutzer etwas davon bemerkt. Für den Versand der infizierten Mitteilungen benutzt Email-Worm.Win32.Bagle.gt eine eigene SMTP-Bibliothek.

    Auf dem neunten Platz befindet sich Trojan-Banker.Win32.ChePro.ilc. Dieser Downloader ist als CPL-Applet umgesetzt (Komponente der Windows-Systemsteuerung) und lädt Trojaner herunter, die zum Diebstahl vertraulicher Informationen eingesetzt werden. Im Wesentlichen sind die Schadprogramme dieses Typs auf brasilianische und portugiesische Banken spezialisiert.

    Platz zehn belegt Email-Worm.Win32.Mydoom.l. Dieser Netzwurm wird in Form von E-Mail-Anhängen über Filesharing-Netze oder schreiboffene Netzressourcen verbreitet. Die Adressen für den Versand der E-Mails sammelt der Schädling auf bereits infizierten Computern. Die Betreiber von Email-Worm.Win32.Mydoom.l haben die Möglichkeit, die Malware entfernt mit einem infizierten Computer zu steuern.


    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern

    Deutschland hat bezüglich der Zahl der Alarme von Kaspersky Anti-Virus einen gewaltigen Sprung nach vorne gemacht, so dass es mit Großbritannien die Plätze tauschte und nun die Spitzenposition innehat (plus 8,17 Prozentpunkte).

    Russland ist wieder in den Top 20 unseres Ratings vertreten. Genauer gesagt belegte es im Juni den 13. Platz (2,03 %).

    Im Juli überholten die Vereinigten Arabischen Emirate nach Anzahl der schädlichen Anhänge mit einem Plus von 0,96 Prozentpunkten Australien, Hongkong und Vietnam. Dagegen fiel die Schweiz im Juni aus den Top 20 heraus.

    Die Werte der übrigen Länder unterlagen im Juni keinen größeren Veränderungen.

    Besonderheiten im Schad-Spam

    Die Urlaubssaison kommt in Gang und viele planen bereits ihre bevorstehende Reise. Diejenigen, für die das Urlaubsziel bereits feststeht, nehmen die Organisation meist selbst in die Hand und buchen dazu Flugtickets und Hotels. Neben dem traditionellen Anstieg des saisonalen Werbe-Spams dieser Art beobachten wir auch eine Zunahme der Anzahl betrügerischer Mitteilungen im Namen verschiedener Buchungs-Services, darunter auch weltweit bekannte. Solche Mitteilungen kommen als Buchungsbestätigungen daher und enthalten schädliche Anhänge, die als Rechnungen getarnt sind. Die E-Mails enthalten fiktive Angaben für die Auftragsnummer sowie für das An- und Abreisedatum (beziehungsweise für die Abflugzeiten), und auch der Preis für die Reise fehlt nicht. Einer der Schädlinge, die am häufigsten in gefälschten E-Mails dieser Art anzutreffen sind, ist Trojan-Spy.Win32.Ursnif. Dieser Trojaner stiehlt vertrauliche Daten und sendet sie an einen entfernten Server. Der Schädling ist in der Lage, den Netztraffic abzuhören, andere Schadprogramme zu laden und zu starten sowie einige Systemanwendungen zu deaktivieren, zum Beispiel die Firewall.

    Für den Versand von schädlichen Anhängen verwenden Cyberkriminelle schon seit Langem nicht nur gefälschte Mitteilungen von großen Buchungsdiensten, Banken oder Online-Supermärkten, sondern auch von Online-Fachgeschäften. So entdeckten die Kaspersky-Experten im vergangenen Monat eine schädliche Versendung im Namen eines Internet-Zoogeschäftes. Der Empfänger wird ganz klassisch dazu aufgefordert, die angehängte Rechnung zu speichern oder auszudrucken, in der es um die Einkäufe für seinen tierischen Liebling geht. Für weitere Fragen wurde der Nutzer mittels eines Links in der E-Mail an den echten Kundenservice des Geschäftes auf dessen offizieller Webseite verwiesen. Im Archiv befand sich anstelle der angekündigten PDF-Datei mit Informationen zum Einkauf der Schädling Trojan-Banker.Win32.Shiotob.c. Diese Malware stiehlt verschiedene Systeminformationen, Benutzernamen sowie FTP-Passwörter und Autorisierungsdaten für verschiedene Webseiten.

    Phishing

    Im Juni veränderte sich das Rating der von Phishern angegriffenen Organisationen kaum. Angeführt wird die Hitliste nach wie vor von den E-Mail- und Suchportalen (32,1 %), deren Anteil im Laufe des Monats um 0,2 Prozentpunkte zurückging. Platz zwei belegen die Sozialen Netzwerke (27,7 %), wobei der Anteil der Attacken auf diese Art von Organisationen um 3,7 Prozentpunkte zunahm. Die Werte der Finanz- und Bezahlorganisationen (11,6 %) und der Online-Shops (10,6 %) gingen um 1,2 respektive 1,5 Prozentpunkte zurück. Der Anteil der Phishing-Attacken auf Telefon- und Internetprovider ging um 0,1 Prozentpunkte zurück – diese Kategorie bildete damit das Schlusslicht unserer Top 5.


    Top 100 der von Phishern am häufigsten angegriffenen Organisationen nach Kategorien

    Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Im Juni verschickten Betrüger gefälschte Mitteilungen im Namen von Electronic Arts, einem US-amerikanischen Spiele-Hersteller und -Publisher. Die Phisher versuchten, sich Zugriff auf die Anwenderkonten von Origin zu verschaffen, der Online-Distributionsplattform von Electronic Arts. Um ihre Opfer in die Irre zu führen, griffen die Verbrecher zu einem alten Trick. Sie verschickten E-Mails, in denen von verstärkten Sicherheitsmaßnahmen die Rede war, und baten den Empfänger um Bestätigung, dass er tatsächlich Inhaber des Accounts ist. Für den legitimen Anstrich enthielt das Schreiben das Firmenlogo von Origin, Links auf die offizielle Webseite des Unternehmens und die für solche Mitteilungen übliche Warnung, niemandem sein persönliches Passwort zu verraten.

    Fazit

    Der Spam-Anteil im weltweiten E-Mail-Traffic nahm im Juni um fünf Prozentpunkte ab und betrug 64,8 Prozent. Dieser Rückgang kann saisonalen Charakter haben, da die Geschäftstätigkeit im Sommer zurückgeht und viele Spam-Bots während der Ferienzeit deaktiviert sind.

    Im Juni nutzten Cyberkriminelle Aufsehen erregende politische und sportliche Ereignisse aus, um die Anwender zu betrügen. Am Vorabend der Fußball-Weltmeisterschaft – dem wichtigsten Ereignis für Fußballfans überhaupt – versuchten Phisher, den Empfängern Bankinformationen zu entlocken, indem sie ihnen die Teilnahme an einer imaginären Ticketverlosung versprachen. „Nigerianische“ Betrüger nutzten erneut die politische Situation in der Ukraine aus und baten um Hilfe bei der Überweisung von nicht existierenden Millionen.

    Das Rating der von Phishern angegriffenen Organisationen unterlag im Juni keinen größeren Veränderungen. Angeführt wird diese Hitliste von den E-Mail- und Suchportalen (32,1 %). Position zwei behaupten die Sozialen Netzwerke (27,7 %), deren Wert um 3,7 Prozentpunkte anstieg, was sich dadurch erklären lässt, dass die Aktivität von Schülern und Studenten in Sozialen Netzwerken in der Ferienzeit traditionell zunimmt. Diesen Umstand versuchen sich auch Betrüger zunutze zu machen. An dritter Stelle befinden sich die Finanz- und Bezahlorganisationen mit einem Anteil von 11,6 Prozent.

    Bei den schädlichen E-Mail-Anhängen steht nach wie vor der Schädling Trojan-Spy.HTML.Fraud.gen an der Spitze, der getarnt als Benachrichtigung von Banken und Online-Shops verbreitet wird. Im Zusammenhang mit der Urlaubssaison stieg auch die Zahl der gefälschten Mitteilungen mit schädlichen Anhängen, die angeblich von verschiedenen Buchungsdiensten stammen. Nach Zahl der Alarme von Kaspersky Anti-Virus belegte Deutschland (16,4 %) im Juni den ersten Platz.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.