Spam im Mai 2014

Inhalt

    Die wichtigsten Ereignisse des Monats

    Kurz vor Beginn der Sommersaison boten die Spammer ihren potenziellen Kunden Setzlinge und Saatgut für den Garten an. Anlässlich des Muttertages verschickten sie außerdem unerwünschte Werbung für Blumen und Pralinen.

    Feiertags-Spam für Mutti

    Erwartungsgemäß nutzten die Spammer den am zweiten Sonntag im Mai stattfindenden Muttertag auch in diesem Jahr aus, um rechtzeitig zu diesem Ereignis Angebote über Blumen und Süßigkeiten zu versenden. Um das Interesse der Empfänger für die E-Mails zu wecken, wurde der Muttertag im Betreff erwähnt, und die E-Mail selbst enthielt die hübsch aufgemachte Ankündigung von Rabatten sowie das Versprechen, die Waren rechtzeitig zum Festtag zu liefern.



    Allerdings führten die meisten in solchen E-Mails enthaltenen Links auf Redirects, die den Browser keineswegs auf Webseiten mit den angepriesenen Waren führten, sondern auf völlig andere Seiten umleiteten. Die Redirects waren auf erst kürzlich eingerichteten Domains platziert, die nicht nur in den Links im Mailkörper verwendet wurden, sondern auch als Domainname des Servers in der Absenderadresse zum Einsatz kamen. Einige E-Mails enthielten zudem einen Link, unter dem sich der Empfänger angeblich von der unerwünschten Versendung abmelden konnte. Tatsächlich wurde dieser Link aber zum Sammeln von E-Mail-Adressen der Anwender und für den neuerlichen Versand von Spam-Mails an diese Adressen verwendet.

    Spam für Gärtner

    Es ist kein Geheimnis, dass die Amerikaner großen Wert auf die Pflege ihres Vorgartens legen – das Gärtnern gehört in den USA zu den beliebtesten Hobbys. Es ist daher nicht erstaunlich, dass die Spammer im Mai englischsprachige Angebote für Rasen- und Blumensamen sowie für Beerensetzlinge und Setzlinge exotischer Früchte verschickten. Die potenziellen Käufer wurden mit Phrasen wie „Sonderangebot“ und „nur heute im Angebot“ gelockt. Außerdem wurde den Hobbygärtnern beim Kauf von zwei Pflanzen eine weitere Pflanze als Geschenk versprochen. Die E-Mails enthielten farbenprächtig gestaltete grafische Darstellungen, die jeweils mit einem Link unterlegt waren. Die meisten Domains, auf die diese Links führten, waren interessanterweise weniger als eine Woche vor Versand der E-Mails eingerichtet worden.



    Diplome und akademische Grade

    Im Mai stieß das Kaspersky-Team auf zahlreiche Versendungen mit Werbung für Schulen und Universitäten, die Fernstudiengänge anbieten. Allerdings hatten wir es auch mit Versendungen zu tun, in denen die Spammer den Empfängern frank und frei anboten, einen akademischen Grad zu kaufen. Zu diesem Zweck musste man lediglich einer Kirche spenden, die dem Wohltäter dann ganz offiziell einen Ehrendoktor verleiht.



    In Deutschland dürfen nur Universitäten und andere Hochschulen einen Doktortitel verleihen. Allerdings sieht es bei einem so genannten Ehrendoktor, der im Namen einer Kirche zugesprochen wird, ganz anders aus. Obwohl dieser Grad kein Studium oder ähnliches voraussetzt, sind die Spam-Versendungen, die derlei Dienstleistungen bewerben, mit Bildern aus dem Universitätsbetrieb geschmückt.

    Zudem registrierten die Kaspersky-Experten nicht wenige Angebote über die Tilgung eines Studienkredits – für diejenigen, die schon vor längerer Zeit das Studium abgeschlossen haben, das Ausbildungsdarlehen bisher aber nicht zurückzahlen können. In solchen E-Mails wurde der Empfänger aufgefordert, eine Webseite aufzurufen und dort einen Link anzuklicken, wo ihn in der Regel Werbung von Organisationen erwartete, die ehrenamtliche Mitarbeiter für verschiedene gemeinnützige Einrichtungen suchen. Nach dem Ausfüllen eines speziellen Formulars auf der Webseite konnte der Anwender überprüfen, welche Arten der Kreditzahlung für ihn in Frage kommen. Die unerwünschten Mitteilungen richteten sich an US-Bürger, denn in diesem Land gibt es staatliche Programme, die bei der Schuldentilgung helfen können, wenn man einer für das Land nützlichen Tätigkeit nachgeht. Allerdings stammten diese Mitteilungen nicht von staatlichen Organisationen, sondern von Dritten, die ständig ihre E-Mail-Adressen änderten. Zudem führten die in diesen E-Mails enthaltenen Links auf erst kürzlich erstellte Webseiten, auf denen der Empfänger seine persönlichen Daten eingeben sollte.



    Um das Interesse des Empfängers zu wecken, waren die E-Mails häufig in der ersten Person abgefasst: „Sie haben Ihren Studentenkredit noch immer nicht abbezahlt? Ich habe für Sie ein grandioses Programm gefunden, das Sie sich unbedingt einmal anschauen sollten. Damit können Sie Ihre monatlichen Zahlungen deutlich senken.“

    Versicherungen für und gegen alles

    Ein weiteres Thema, das im letzten Monat recht aktuell war, ist die Versicherung gegen alle möglichen Risiken, darunter eine Lebensversicherung. Allerdings hatte es das Kaspersky-Team auch mit Angeboten für Autoversicherungen zu tun.



    Der Sinn solcher Versendungen besteht in erster Linie in der Umleitung des Browsers auf ein Vergleichsportal für bestimmte Versicherungen, auf dem sich der Anwender die niedrigsten Preise und die besten Bedingungen heraussuchen kann. In anderen Fällen führten die Links in den E-Mails auf eine Spammer-Webseite von nur einer Seite Umfang, auf der dem Besucher eine größere Auswahl an Versicherungsarten, -programmen und -gesellschaften angeboten wurde. Hatte der Nutzer seine Wahl getroffen und auf einen der angebotenen Punkte geklickt, so landete er im Handumdrehen auf einer anderen Ressource. Zudem konnten die Links aus den E-Mails auf Webseiten mit Werbung eines bestimmten Versicherungsunternehmens führen, das in der Regel weder besonders groß noch besonders lange im Geschäft oder gar etabliert ist.



    Ein ungewöhnlicher, lediglich für das englischsprachige Internetsegment charakteristischer Typ von Versicherung ist die Beerdigungsversicherung. Dabei handelt es sich eigentlich um eine erweiterte Version der Lebensversicherung: Durch die Zahlung einer höheren Versicherungssumme werden Aufwendungen für Beerdigungskosten im Falle des plötzlichen Ablebens des Versicherten garantiert. Im Mai wurden derartige Spam-Mails in Form von Bildern mit darunterliegendem Hyperlink versendet, der auf dieselben Versicherungswebseiten von einer Seite Umfang führte. Die Links änderten sich von E-Mail zu E-Mail, doch immer lagen ihnen verschiedene Domains zugrunde, die von den Spammern erst kurz vor Beginn der Versendung registriert worden waren.



    Spam-Anteil im E-Mail-Traffic




    Spam-Anteil im E-Mail-Traffic

    Im Mai betrug der Spam-Anteil im E-Mail-Traffic durchschnittlich 69,8 Prozent, das sind 1,3 Prozentpunkte weniger als im Vormonat. Das höchste Spam-Niveau wurde mit 72,1 Prozent in der dritten Woche des Monats beobachtet, das niedrigste Mitte des Monats mit 69 Prozent.

    Schädliche Anhänge

    Im Mai setzte sich die Top 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen zusammen.




    Top 10 der via E-Mail verbreiteten Schadprogramme

    Im Mai kam es zu Veränderungen in der Spitze unseres Ratings, und die Führungsposition wird nun von dem Schädling Exploit.JS.CVE-2010-0188.f besetzt, der den uns schon wohl bekannten Trojan-Spy.HTML.Fraud.gen auf den zweiten Platz verdrängte. Exploit.JS.CVE-2010-0188.f ist ein Schädling, der eine Sicherheitslücke im Acrobat Reader der Version 9.3 und niedriger ausnutzt und sich in Form von PDF-Dateien verbreitet. Die Sicherheitslücke wird beim Aufruf eines Feldes offenbar, das eine auf eine bestimmte Art und Weise gestaltete TIFF-Abbildung enthält.

    Auf den Plätzen 3, 4, 6 und 10 befinden sich Schädlinge der Familie Bublik, die im vergangenen Monat acht der ersten zehn Positionen besetzten. Die Hauptfunktion von Programmen dieses Typs ist der vom Anwender nicht genehmigte Download sowie die anschließende Installation von anderen Schädlingen auf dem infizierten Rechner. Nachdem das Schadprogramm seine Aufgaben erledigt hat, kopiert es sich in den Ordner %temp%. Der Schädling tarnt sich als Anwendung oder als Dokument der Firma Adobe. Die Programme Trojan.Win32.Bublik.cpik und Trojan.Win32.Bublik.cpil laden außerdem den uns bestens bekannten Trojaner ZeuS/Zbot herunter. Dieser Schädling ist in der Lage, verschiedene schädliche Aktivitäten auszuführen, doch in den meisten Fällen wird er zum Diebstahl von Bankinformationen eingesetzt. Zudem kann ZeuS/Zbot CryptoLocker installieren – ein Schadprogramm, das Geld für die Entschlüsselung von Daten erpresst.

    Den fünften Rang im Rating belegt Trojan-Banker.Win32.ChePro.ilc, ein Bank-Trojaner, der Kunden brasilianischer Banken angreift. Wie es sich für einen Schädling dieses Typs gehört, stiehlt er Bankinformationen und Passwörter.

    Auf der siebten Position befindet sich der bemerkenswerte Schädling Trojan-Downloader.Win32.Agent.heek. Seine Aufgabe besteht im Download von Spionage-Trojanern, die für den Diebstahl von vertraulichen Finanzdaten entwickelt wurden. Diese Programme richten sich hauptsächlich gegen brasilianische und portugiesische Banken.




    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern

    Im Rating der Länder nach Zahl der Alarme von Kaspersky Anti-Virus belegte Großbritannien im Mai mit einem Zuwachs von 3,5 Prozentpunkten den ersten Platz (13,5 %). Die USA (9,9 %) büßten 1,8 Prozentpunkte ein und rutschten damit auf den zweiten Platz ab, Deutschland (8,2 %) bleibt auf Position drei.

    Unter den Neulingen unseres Ratings ist insbesondere Kolumbien (1,83 %) zu erwähnen, das im Mai auch unter den 20 Ländern mit den meisten Alarmen von Kaspersky Anti-Virus vertreten war. Dagegen fiel Russland im vergangenen Monat aus den Top 20.

    Die Werte der anderen Länder unterlagen im Mai keinen größeren Veränderungen.

    Besonderheiten im Schad-Spam

    Das Thema Versicherungen spielte im Mai auch in solchen Versendungen eine Rolle, die schädliche Anhänge enthielten. So trafen die Kaspersky-Experten beispielsweise auf Mitteilungen in deutscher Sprache, bei denen im Betreff auf ausstehende Versicherungsbeiträge hingewiesen und im Mailkörper ein geänderter Beitrag für den nächsten Monat angekündigt wurde. Diese E-Mails enthielten einen Link, der angeblich zu ausführlicheren Informationen führen sollte. Klickte der Empfänger darauf, wurde ein ZIP-Archiv namens „Dokumentation“ oder „Rechnung“ auf seinen Computer geladen. In beiden Fällen befand sich im Archiv allerdings der Schädling Backdoor.Win32.Androm.dsqy. Die Vertreter der Familie Andromeda sind Backdoors, die es Verbrechern ermöglichen, einen infizierten Computer unbemerkt zu steuern. Häufig werden von solchen Programmen befallene Computer an ein Botnetz angegliedert.



    Im Mai versendeten Online-Kriminelle zudem gefälschte Mitteilungen im Namen des populären Online-Shops iTunes Store. Der Empfänger wurde über den angeblichen Kauf einer App informiert, wobei in der E-Mail auch der Name der vom Anwender erworbenen Software sowie der Preis erwähnt wurden. Im angehängten Archiv, in dem sich die Rechnung befinden sollte, verbarg sich in Wahrheit der Schädling Trojan-Banker.Win32.Shiotob.f. Die Trojaner dieser Familie stehlen in FTP-Clients gespeicherte Passwörter und hören zudem den Internet-Traffic des Browsers ab, um für verschiedene Webseiten verwendete Anmeldedaten zu stehlen.



    Auch die Kunden des Energieriesen E.ON hätten einer Attacke zum Opfer fallen können. Das Unternehmen produziert und liefert Strom in vielen Ländern, darunter auch Russland. Im Namen des Konzerns wurde eine E-Mail mit dem entsprechenden Logo und einem Text folgenden Inhalts verschickt: „Mit diesem Schreiben möchten wir Sie darüber in Kenntnis setzen, dass wir Ihre letzte Zahlung nicht bearbeiten konnten. Weitere Einzelheiten finden Sie im Anhang.“ Im angehängten Archiv befand sich Trojan-Spy.Win32.Zbot.svvs – ein weiterer Vertreter der populären Familie Zbot, die auf den Diebstahl von persönlichen Daten abzielt, in erster Linie Bankinformationen.



    Phishing

    Auch im Mai wurde das Rating der von Phishern angegriffenen Organisationen wieder von den E-Mail- und Suchportalen (32,3 %) angeführt, deren Wert im Laufe des Monats insgesamt um 0,5 Prozentpunkte angestiegen ist. Den zweiten Platz belegen die Sozialen Netzwerke (23,9 %) mit Facebook an der Spitze. Der Wert der Finanz- und Bezahlorganisationen (12,8 %) stieg ebenso um 0,2 Prozentpunkte wie der Wert der Online-Shops (12,1 %), die weiterhin den vierten Platz belegen. Der Anteil der Phishing-Attacken auf Organisationen der Kategorie „Telefon- und Internetprovider“ ging dagegen im Vergleich zum April um 0,4 Prozentpunkte zurück.




    Top 100 der von Phishern am häufigsten angegriffenen Organisationen nach Kategorien

    Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Häufig werden von Betrügern gefälschte Steuermitteilungen verschickt, die nur dazu dienen, verschiedene Schadprogramme auf den Computern von Internetnutzern zu installieren. Im Mai blieb in unseren Spam-Fallen eine gefälschte Benachrichtigung im Namen einer staatlichen Steuerbehörde Südafrikas hängen, die im Anhang keine schädliche Datei, sondern eine Phishing-HTML-Seite enthielt. Die Cyberkriminellen versuchten den Empfänger dazu zu bringen, seine Bankdaten in die entsprechenden Felder einzutragen, damit eine Steuervorauszahlung angeblich zurücküberwiesen werden könnte. Um der Seite einen legitimen Anstrich zu geben, verwendeten die Betrüger das Logo der Behörde, und im Absenderfeld wurde nicht nur der Name des staatlichen Unternehmens eingesetzt, sondern auch die offizielle Adresse sars.gov.za als Domainname des Servers.



    Fazit

    Der Spam-Anteil im weltweiten E-Mail-Traffic ging im Mai um 1,3 Prozentpunkte zurück und betrug 69,8 Prozent.

    Die nahende Sommersaison und das Ende des akademischen Jahres nutzten die Spammer zum Versand von touristischem Spam aus. Dieser enthielt Werbung zu Angeboten für Kinder, für verschiedene Arten des Sommerurlaubs, für Dienstleistungen zum Verfassen verschiedenster Studien- und Schularbeiten sowie für Angebote zum Kauf von fertigen Diplomen jeder beliebigen Hochschule. Den jährlichen wiederkehrenden Anstieg des Touristen-Spams mit Beginn der Sommersaison erwartet das Kaspersky-Team auch in diesem Jahr.

    Im englischsprachigen Feiertags-Spam nutzten Spammer den Muttertag für Werbung für verschiedene Geschenke aus. Ein weiteres Thema, das sich die Spammer im Mai zu Eigen machten, war die Versicherung gegen alle nur erdenklichen Risiken. Im Runet ging es dabei in erster Linie um Kfz-Versicherungen, im englischsprachigen Internetsegment um Lebensversicherungen.

    Spitzenreiter unter den via E-Mail verbreiteten Schadprogrammen war auch im Mai wieder Trojan-Spy.HTML.Fraud.gen. Die Zahl der Vertreter von Schädlingen der Familie Bublik ging in unserem Rating deutlich zurück – im Mai belegten sie „nur noch“ fünf Positionen.

    Im Wonnemonat gab es in der Liste der von Phishern am häufigsten angegriffenen Organisationen keine wesentlichen Veränderungen. Angeführt wird das Rating von den E-Mail- und Suchportalen (32,3 %). Die zweite Position behaupten die Sozialen Netzwerke (23,9 %). Abgeschlossen wird das Führungstrio von den Finanz- und Bezahlorganisationen (12,8 %).

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.