Spam im Mai 2013

Inhalt

    Der Mai in Zahlen

    • Der Spam-Anteil im E-Mail-Traffic ging im Mai um 2,5 Prozentpunkte zurück und betrug 69,7 Prozent.
    • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen ist im Vergleich zum April geringfügig gestiegen und betrug 0,0024 Prozent.
    • Im Mai enthielten 2,8 Prozent aller elektronischen Mitteilungen schädliche Anhänge, das sind 0,4 Prozentpunkte mehr als im Vormonat.

    Die wichtigsten Ereignisse des Monats

    Hinsichtlich gefälschter Schreiben waren die Spammer im Mai äußerst vielseitig und kreativ. In den betrügerischen Spam-Mails sowie in Werbeversendungen verwendeten sie aktiv die Namen bekannter Personen und Unternehmen. Der Anteil an ‚Feiertags-Spam‘ ging zurück, doch auch im Wonnemonat stießen die Kaspersky-Experten auf Versendungen, die die Festtage des Monats ausnutzten, etwa den Muttertag und den Memorial Day in den USA.

    Microsoft im Visier der Spammer

    Im Mai organisierten Spammer eine Phishing-Versendung im Namen des Technischen Supports von Microsoft. In den Mitteilungen, die von einer auf den ersten Blick vollkommen legitim erscheinenden Adresse der Domain microsoft.com stammten, informierten die Spammer darüber, dass das Benutzerkonto von ‚Microsoft Window‘ deaktiviert werde, da die Daten nicht aktualisiert worden seien – wie angeblich in vorangegangenen E-Mails empfohlen worden war. Um die Sperrung des Accounts zu vermeiden, müsse der Empfänger umgehend dem in der E-Mail enthaltenen Link folgen. Ein erfolgreich geköderter Anwender landete schließlich auf einer betrügerischen Phishing-Seite, die speziell zum Diebstahl von persönlichen Daten erstellt wurde.

     

    Schaut man sich das Schreiben einmal genauer an, so fällt auf, dass das Betriebssystem ‚Microsoft Window‘ (also ohne den Buchstaben ’s‘ am Ende) genannt wird. Zudem werden Gleichheitszeichen (‚=‘) als abtrennende Markierung verwendet. Außerdem enthält die E-Mail keinen Link auf die offizielle Webseite des Unternehmens oder Kontaktdaten des Technischen Supports, was für legitime Schreiben dieser Art charakteristisch ist.

    Außerdem stieß das Kaspersky-Team auch auf betrügerische Benachrichtigungen über einen Gewinn in einer Lotterie, die überhaupt nicht existiert, aber angeblich von Microsoft initiiert wurde. Gewinner dieser Lotterie war selbstverständlich der Empfänger der E-Mail.

     

    In einigen Versendungen informierten die Betrüger über den Gewinn und baten das Opfer, sich für genauere Informationen mit ihnen in Verbindung zu setzen. In anderen wiederum versprachen sie eine enorme Gewinnsumme und baten die Empfänger um die Überweisung eines geringen Betrages zur Deckung verschiedener Ausgaben im Zusammenhang mit der Gewinnauszahlung.

    ‚Feiertags-Spam‘ im Mai

    Im Mai nutzten die Spammer weiterhin das Thema Muttertag aus, um Blumen, Konfekt und Imitate von Luxusgütern zu bewerben. Der Muttertag wird in den USA traditionell am zweiten Sonntag im Mai begangen und liegt auf der Beliebtheitsskala der Spammer gleich hinter dem Valentinstag. Vor diesem Fest steigt die Zahl der Versendungen von ‚Blumen‘-Partnerprogrammen an. Die meisten dieser Versendungen sind nach einer bestimmten Schablone aufgebaut. Verändert werden lediglich die Darstellungen der Blumen und die Namen der Festtage, auf die in den Versendungen jeweils Bezug genommen wird.

     

    Am letzten Montag im Mai wird in den USA der Memorial Day begangen – ein Nationalfeiertag, der dem Gedenken an die Kriegsgefallenen gewidmet ist. In diesem Jahr wurde in Spam-Versendungen anlässlich dieses Feiertages Werbung für den Ausverkauf in Online-Autohäusern gemacht. Diese auf den ersten Blick harmlosen Spam-Kampagnen können auf das Sammeln von persönlichen Daten ausgerichtet sein, darunter auch Bank- und Kreditkartendaten. Außerdem registrierten wir eine Versendung, in der ‚Likes‘ auf Facebook zum Verkauf angeboten wurden – ebenfalls mit Bezug auf den Memorial Day.

     

    Statistik

    Spam-Herkunftsländer

    Im Mai 2013 blieb das Führungstrio der Länder unverändert, die weltweit am meisten Spam versenden. Die Spitzenposition besetzt nach wie vor China, das auf einen Spam-Anteil von 21,4 Prozent kommt. Das sind 2,5 Prozentpunkte weniger als im Vormonat.

     
    Spam-Herkunftsländer weltweit

    Auf dem zweiten Platz positionierten sich die USA, die für 16,3 Prozent des weltweiten Spam-Aufkommens verantwortlich sind. Abgeschlossen wird das Führungstrio von Südkorea. Die aus diesem Land stammende Spam-Menge stieg im Mai weiter an und erreichte schließlich einen Wert von 12 Prozent. Insgesamt entfällt auf die ersten drei Länder im Rating fast die Hälfte des weltweiten Spam-Aufkommens.

    Taiwan (5,9 %) und Vietnam (5 %) konnten ihren Platz in den Top 5 behaupten. Position sechs belegt die Ukraine mit einem Spam-Anteil von 4,8 Prozent. Kasachstan (4,3 %), im April auf Platz acht, legte fast einen Prozentpunkt zu und kletterte damit um eine Position nach oben. Der Wert Russlands (2,2 %) ging um 1,1 Prozentpunkte zurück, so dass dieses Land im Mai den zehnten Platz belegte.

    Erwähnenswert ist auch, dass die aus Kanada (1,8 %) stammende Spam-Menge um einen Prozentpunkt gestiegen ist, wodurch das Land im Rating von Position 20 auf Platz elf hochschnellte.

     
    Spam-Herkunftsländer fr Europa

    Auch im Mai stand wieder Südkorea (45,7 %) an der Spitze der Länder, die Spam nach Europa versenden, wobei der Wert dieses Landes gegenüber dem Vormonat um 2,3 Prozentpunkte gestiegen ist. Den zweiten Platz belegen die USA mit einem Wert von 5,8 Prozent – 0,9 Prozentpunkte weniger als im April. Dritter in diesem Rating ist Vietnam (5,8 %), dessen Anteil um 0,6 Prozentpunkte gestiegen ist.

    Der aus China stammende Spam-Anteil ist um 1,1 Prozentpunkte gesunken, so dass dieses Land vom fünften auf den achten Platz absackte. Die Spam-Menge, die von Deutschland nach Europa gesendet wird, blieb unverändert und beträgt weiterhin 1,2 Prozent. Aufgrund von Veränderungen in den Spam-Strömen anderer Länder ist Deutschland allerdings von dem 13. auf den 16. Platz abgerutscht.

     
    Spam-Quellen nach Regionen

    Bei den Spam-Herkunftsregionen bleibt Asien (56,1 %) Spitzenreiter. Im Vergleich zum Vormonat stieg der Wert dieses Landes um 0,4 Prozentpunkte. Darauf folgen wie bereits im April Nordamerika (18,1 %) und Osteuropa (14,6 %).

    Schdliche Anhnge und Links

    Der Anteil an schädlichen Anhängen im E-Mail-Traffic ist im Mai um 0,4 Prozentpunkte gestiegen und betrug damit 2,8 Prozent des gesamten E-Mail-Aufkommens.

     
    Top 10 der via E-Mail verbreiteten Schadprogramme</p

    Platz eins des Ratings der via E-Mail verbreiteten Schadprogramme belegt nach wie vor Trojan-Spy.HTML.Fraud.gen. Bei diesem Programm handelt es sich um eine Phishing-Seite zur Eingabe von Daten, die direkt an die Cyberkriminellen weitergeleitet werden.

    Auf den Positionen zwei und drei (sowie auf den Positionen acht und neun) befinden sich Programme der Familie ZeuS/Zbot. Dieser berühmt-berüchtigte Trojaner war schon seit Langem nicht mehr so weit oben im Rating platziert. Früher allerdings, in den Jahren 2009 bis 2010, war er sehr populär. Das Ziel der Programme aus der Familie ZeuS/Zbot ist der Diebstahl verschiedener vertraulicher Informationen inklusive Kreditkartendaten von Computern. Der Anteil von Trojanern dieser Familie an den Schadprogrammen im E-Mail-Traffic betrug im Mai 26,2 Prozent.

    Im Mai konnte das Schadprogramm Exploit.MSWord.Agent.di interessanterweise auf den fünften Platz aufsteigen. Exploits werden selten mit Hilfe von Anhängen verbreitet – ihre Autoren platzieren vielmehr Links in den unerwünschten Mitteilungen, die Browser auf schädliche Webseiten umleiten, von denen wiederum unbemerkt Exploits auf die Rechner geladen werden. Die Betreiber von Exploit.MSWord.Agent.di gehen allerdings anders vor: Sie versenden ein Word-Dokument mit schädlichem Code, der die Sicherheitslücke CVE-2012-0158 zur Infektion des Computers ausnutzt.

    Ein Neueinsteiger in den Top 10 ist die Backdoor Worm.Win32.Luder.anmw, die einen befallenen Computer unbemerkt kontrollieren kann. Ebenfalls in der Hitliste vertreten sind zwei aus den vergangenen Monaten dieses Jahres bereits bekannte Schädlinge: eine Backdoor aus der Familie Androm und ein Spionage-Trojaner aus der Familie Tepfer.

     
    Verteilung der Alarme von Kaspersky Anti-Virus nach Lndern

    Auch im Mai schlug Kaspersky Anti-Virus in den USA am häufigsten Alarm. Gegenüber dem April stieg der Anteil dieses Landes um 1,8 Prozentpunkte und betrug damit 14,2 Prozent. Um 1,2 Prozentpunkte zurückgegangen ist hingegen der Wert von Deutschland (9,5 %), trotzdem besetzt es nach wie vor den zweiten Platz der Top 10. Auf Position drei befindet sich Großbritannien mit einem Anteil von 6,1 Prozent.

    An die Stelle von China und Russland, die im Vormonat das Schlusslicht der Top 10 bildeten, sind im Mai Hongkong (2,9 %) und Kanada (2,5 %) getreten.

    Auf Russland entfielen im Mai 2,2 Prozent aller Alarme von Kaspersky Anti-Virus.

    Besonderheiten im Schadspam

    Auch im Mai waren gefälschte Mitteilungen, die im Namen bekannter Online-Shops versendet werden, äußerst populär. Kurz vor Beginn der heißen Jahreszeit stieß das Kaspersky-Team auf eine Versendung von Mitteilungen, die als Benachrichtigungen von Amazon getarnt waren. Die Betrüger dankten darin dem Empfänger des Schreibens für eine nicht existierende Bestellung und informierten ihn darüber, dass er für eine mögliche Änderung der Bestellung oder zum Abrufen des Bestellstatus entweder die Webseite des Unternehmens besuchen oder auf einen der in der E-Mail enthaltenen Link klicken müsse. Die Links in der Mitteilung führten tatsächlich auf die Webseite von Amazon und nicht auf eine Phishing-Seite oder zu schädlichen Dateien. Allerdings wurde in demselben Schreiben mitgeteilt, dass im angehängten Dokument weitere Informationen zur Bestellung enthalten seien. Diese Information war durch dunkelblaue Schrift hervorgehoben, so dass sie dem Empfänger ins Auge fallen musste. Im Gegensatz zu vielen ähnlichen E-Mails versuchten die Spammer in diesem Fall nicht, den Anwender einzuschüchtern, indem sie ihm mit der Annullierung der Bestellung drohten, um ihn dazu zu zwingen, den Anhang zu öffnen. Im Gegenteil –  das Schreiben enthielt vielmehr Informationen zu den Bedingungen, unter denen man eine abgesandte Bestellung stornieren kann.

     

    Im angehängten Archiv mit der Bezeichnung ‚Your Order Details with Amazon.zip‘ befand sich die ausführbare Datei ‚Your Order Details with Amazon.PDF.exe‘. Kaspersky-Produkte erkennen sie als Backdoor.Win32.Androm.qp. Im Mai belegte eines der Schadprogramme dieser Familie den siebten Platz unter den im E-Mail-Traffic am weitesten verbreiteten Schädlinge, und im April war ein Programm dieser Familie sogar unter den ersten drei im Rating. Hat Backdoor.Win32.Androm sich auf einem Computer eingenistet, so kann sie beispielsweise andere Schaddateien laden, verschiedene Informationen vom Computer absenden oder ihn an ein Botnetz anschließen.

    Im Mai versendeten die Spammer weiterhin schädliche E-Mails im Namen bekannter Logistikunternehmen: In den Spam-Fallen von Kaspersky Lab blieben Mitteilungen hängen, die angeblich vom Paketdienst UPS stammten. Der Empfänger wurde darin informiert, dass ein UPS-Kurier ihm eine Sendung aufgrund einer falschen Adresse nicht zustellen konnte und das Paket nun umgehend bei der Firma abgeholt werden müsse. Um mit dem zuständigen Büro in Verbindung zu treten, müsse das angehängte Dokument ausgedruckt werden.

     

    Anstelle des versprochenen Dokuments befand sich im angehängten Archiv ‚UPS_Label_23052013.zip‘ die ausführbare Datei ‚UPS_Label_23052013.exe‘, die Kaspersky Lab unter der Bezeichnung Trojan-PSW.Win32.Tepfer.kxdh führt. Im April belegte eines der Schadprogramme aus dieser Familie den vierten Platz in der Hitliste der via E-Mail verbreiteten Schadprogramme, und im Mai den zehnten Rang. Dieser Trojaner stiehlt Passwörter von FTP-Clients und E-Mail-Programmen sowie in den Browser eingegebene Benutzernamen und Kennwörter. Um den Empfänger von der Legitimität der Mitteilung zu überzeugen, wird im Schreiben auf die allgemeine Absenderadresse hingewiesen, an die keine Antwort geschickt werden könne. Zudem enthielt die E-Mail einen Vertraulichkeitshinweis.

    Auch in einer anderen Versendung im Mai stießen die Kaspersky-Experten auf den Trojaner Tepfer.kdkq. Die schädliche Datei hatte die Bezeichnung ‚wupos_digital_cert_{DIGIT[19]}.exe‘ und war in eine Zip-Datei gepackt, die an die E-Mail angehängt wurde, welche angeblich vom Sicherheitsdienst von Western Union stammte.

    In dem Schreiben wurde dem Empfänger mitgeteilt, dass er für die Durchführung von Online-Überweisungen ein neues digitales Zertifikat installieren müsse, das sich im Anhang der E-Mail befinde.

     

    In der E-Mail hieß es zudem, dass sich der Empfänger bei Fragen an den Kundendienst von Western Union wenden könne. Auf diese Art und Weise versuchen die Spammer, die Zweifel des Anwenders an der Legitimität des Schreibens zu zerstreuen.

    Phishing

    Im Mai stieg der Anteil von Phishing-Mails am weltweiten E-Mail-Aufkommen geringfügig und betrug insgesamt 0,0024 Prozent.

     
    Top 100 der im Mai 2013 am hufigsten von Phishern angegriffenen Organisationen nach Kategorien*

    Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Auch im Mai behaupteten die Sozialen Netzwerke ihre Spitzenposition im Kategorien-Rating der am häufigsten von Phishern angegriffenen Organisationen. Ihr Wert stieg um 0,5 Prozentpunkte auf 35,93 Prozent.

    Die Kategorien Suchmaschinen (14,95 %) und Bezahlorganisationen (14,93 %) tauschten die Plätze und belegen nun die Positionen zwei respektive drei.

    Der vierte Platz wird weiter von der Kategorie IT-Anbieter (9,93 %) gehalten, auf Position fünf befinden sich nun die Online-Shops (8,68 %). Telefon- und Internetprovider (8,39 %) rutschten gegenüber dem Vormonat um einen Platz ab und belegen jetzt Rang sechs.

    Fazit

    Die Spammer setzten im Mai nach wie vor die Namen bekannter Personen und Unternehmen ein, um die Empfänger zu betrügen und um Waren und Dienstleistungen zu bewerben. Im Mai wurde insbesondere der Name des IT-Giganten Microsoft missbraucht, um die Anwender über den Tisch zu ziehen.

    Wie gehabt stammte auch im Mai ein großer Teil der weltweit verbreiteten Spam-Menge aus zwei Ländern – aus China und den USA. Allerdings steigt der Wert von Südkorea, das den dritten Platz in diesem Rating belegt, weiterhin an und nähert sich langsam der zweiten Position. Gleichzeitig kommt fast die Hälfte der nach Europa versendeten Spam-Menge aus Südkorea – die auf den Plätzen zwei und drei positionierten Länder USA und Vietnam folgen mit weitem Abstand.

    Wie vorhergesagt stehen die Sozialen Netzwerke nach Anzahl der Phishing-Attacken auch im Mai an der Spitze des Ratings. Ihr Anteil ist geringfügig gestiegen, ebenso wie der der Kategorie Online-Shops. Dagegen ist der Anteil der Kategorie Online-Games rückläufig. Allerdings erwarten wir im Juni – dem ersten Ferienmonat – eine Zunahme der Phishing-Attacken auf Webseiten dieser Kategorie.

    Während der Sommerferien werden Schüler und Studenten häufig zum Opfer von Betrügern. Derzeit sind unter Cyberkriminellen gefälschte Mitteilungen von verschiedenen Online-Services populär. Wer eine Benachrichtigung von einem solchen Dienstleister erhält, sollte also besonders auf der Hut sein. Denken Sie daran, dass seriöse Anbieter ihre Kunden niemals auffordern würden, ihre persönlichen Daten und Bankinformationen über einen in einer E-Mail enthaltenen Link einzugeben und ihren Kunden schon gar nicht mit der Sperrung ihres Kontos drohen würden. Folgen Sie niemals Links, die vom Antiviren-Programm oder Browser blockiert werden. Achten Sie auf die Links in einer Mitteilung. Enthält die E-Mail einen Link auf eine nicht offizielle Webseite oder verweist der Text der Mitteilung auf die Adresse einer offiziellen Seite, während der Link aber tatsächlich auf eine andere Seite führt, so sind das die ersten Hinweise darauf, dass es sich um eine Phishing-Mail handelt. Haben Sie Zweifel an der Echtheit der Mitteilung, setzen Sie sich mit dem jeweiligen Kundendienst in Verbindung, in deren Namen die E-Mail verfasst wurde. So können Sie feststellen, ob diese Versendung tatsächlich legitim ist.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.