Spam im März 2010

Besonderheiten des Monats

  • Der Spam-Anteil im E-Mail-Traffic hat sich im Vergleich zum Februar um 3,2 Prozentpunkte verringert und lag bei durchschnittlich 82,9%.
  • Links auf Phishing-Seiten befanden sich in 0,03% aller E-Mails, das sind 0,84 Prozentpunkte weniger als im Februar.
  • Schädliche Dateien waren in 0,5% aller E-Mails enthalten, das sind 0,68 Prozentpunkte weniger als im Vormonat.
  • Der Anteil von Spam-Mails der Kategorie „Persönliche Finanzen“ hat sich bedeutend erhöht.
  • Um die Spam-Filter zu umgehen, verwendeten die Spammer sich ändernde Bilder und eingefärbte Zellen in HTML-Tabellen.

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic betrug im März 2010 durchschnittlich 82,9%. Der niedrigste Wert wurde mit 78% am 5. März registriert. Die größte Spam-Menge war mit 90,1% am 20. des Monats in Umlauf.


Spam-Anteil im März 2010

Spam-Herkunftsländer


Auch im März führen die USA wieder die Liste der Spam-Herkunftsländer mit 14,7% an, gefolgt von Indien mit einem Spam-Anteil von 7,3%. Russland verbreitete 6,9% (ein Plus von 2,3 Prozentpunkten) des weltweiten Spamaufkommens und landete damit auf dem 3. Platz. Den vierten und fünften Platz teilen sich Vietnam und Rumänien, von deren Territorien im März jeweils 4,8% des gesamten Spamaufkommens versendet wurden.

Südkorea landete im März mit einem Wert von 4,1% nur noch auf Position acht und verlor damit 3,4 Prozentpunkte.

Früher beständig unter den drei Ländern mit dem höchsten Spam-Versand, belegt Brasilien nun schon den zweiten Monat in Folge nur noch Platz neun der Hitliste. Aus Brasilien wurden im März 3,1% des weltweiten Spam-Aufkommens verbreitet.

Auch China, das traditionell in den Top 10 der Spam-Herkunftsländer vertreten war, findet sich zum zweiten Mal hintereinander – mit nur 1,6% im März – auf einem der letzten Plätze des Rankings.

Mit 4,2% des Spamaufkommens verbesserte die Ukraine sich um 1,2 Prozentpunkte und landete auf dem 6. Platz. Der aus diesem Land stammende Spam-Anteil wächst beständig, so dass zu erwarten ist, dass die Ukraine in den kommenden Monaten den traditionell von China besetzten Platz in einer Spitzenposition der Spam-Herkunftsländer einnehmen wird. Aus Deutschland stammten im März 0,1 Prozentpunkte mehr Spam als im Februar, trotzdem fiel das Land im März um zwei Positionen und landete damit auf Platz 12 des Rankings.

Phishing

Links auf Phishing-Seiten befanden sich in 0,03% aller E-Mails, das sind 0,84 Prozentpunkte weniger als im Februar.

Auch im März standen wieder PayPal (45,4%, -8,6 Prozentpunkte) und eBay (15,4%, +1,4 Prozentpunkte) an der Spitze der am häufigsten von Phishing-Attacken betroffenen Organisationen. Wie bereits im Vormonat belegten Facebook (7,7%, +1,6 Prozentpunkte) und HSBC (7,5%, -0,2 Prozentpunkte) die Plätze drei und vier der Hitliste, allerdings haben sie diesmal die Plätze getauscht.


Organisationen, die im März 2010 am häufigsten Phishing-Attacken ausgesetzt waren

Im März erhielten wir wieder eine Vielzahl von Phishing-Mails, die sich an Spieler des Online-Games „World of Warcraft“ richteten. Wie bisher handelt es sich allerdings um keine guten Fälschungen – zumeist bestehen sie aus Text, der die User über eine mögliche Blockierung des Spiel-Accounts informieren soll, sowie einem entsprechenden Link.


In dem oben dargestellten Beispiel sieht der Link wie die tatsächliche URL des Online-Games aus, allerdings wird der Anwender auf die Site http://*******.worldofwarcraft**.com/ umgeleitet,und aufgefordert seine Login-Daten einzugeben. Was ein umsichtiger Anwender natürlich nie tun würde.

Den fünften Platz der von Phishern am häufigsten angegriffenen Organisationen belegte im März Google. Auch der Konkurrent Yahoo befand sich im Visier der Cyberkriminellen: Die Anwender fanden in ihrem Eingangspostfach eine Mail mit dem folgenden Inhalt:


Bemerkenswert ist, dass die User nicht nur genötigt werden, das Standardformular auszufüllen, damit der Account innerhalb der nächsten 72 Stunden nicht ungültig wird, sondern obendrein aufgefordert werden, die Buchstaben aus dem darunter stehenden Bild in ein Eingabefeld zu übertragen. Dieses als CAPTCHA bekannte System wird dazu verwendet, automatisierte Registrierungen unter Verwendung von Bots zu verhindern.

Selbstverständlich standen im März auch wieder diverse Banken im Zentrum der Aufmerksamkeit. So richtete sich die folgende, von Kaspersky Lab registrierte Massenmail gegen die Anwender des Online-Bankings der Bank of America:


Auffällig ist, dass das englische Wort “member” (Mitglied, Teilnehmer) im Betreff der Mail falsch geschrieben wurde, und zwar “menber”.

Schädliche Dateien waren in 0,5% aller E-Mails enthalten, das sind 0,68 Prozentpunkte weniger als im Vormonat.


In E-Mails enthaltene Schadprogramm im März 2010

Unter den, am häufigsten in E-Mails vertretenen Schadprogrammen belegt erneut Trojan-Spy.HTML.Fraud.genden ersten Platz, dessen wichtigste Aufgabe das Sammeln vertraulicher Informationen und Login-Daten der Anwender ist.

Der im März via E-Mail am zweithäufigsten verbreitete Schädling ist der Trojan-Downloader.Win32.FraudLoad.gmx, der den Opfercomputer mit der Datei Trojan.Win32.Sasfis.ajil infiziert.

Gleich drei weitere, der in unserer Top 10 vertretenen Trojaner gehören zur Familie Trojan.Win32.Agent. Sie belegen die Plätze vier, sechs und neun. Insgesamt gehören etwa 7% aller im März per E-Mail verbreiteten Schädlinge zu dieser Familie.

Erwähnenswert sind auch die auf Rang 8 und 10 positionierten Trojaner Trojan.Win32.FraudPack.aolb und Trojan.Win32.FraudPack.apee, die in 2% und 1,84% aller E-Mails gefunden wurden. Bei diesen Schädlingen handelt es sich um gefälschte Antiviren-Programme, die unter dem Vorwand, Updates zu installieren, Schadprogramme auf den Rechner des Users laden.

Der E-Mail-Wurm NetSky, der im August, September und Dezember 2009 bereits in unserer Hitliste der im Mail-Traffic am weitesten verbreiteten Schadprogramme vertreten war, tauchte nun wieder in den Top 10 auf. Dieses Mal belegte er mit der Modifikation Email-Worm.Win32.NetSky.q den sechsten Platz des Rankings.

Es ist erstaunlich, dass die Phisher immer noch Versendungen im Namen von UPS machen. Die Schädlinge, die mit Hilfe dieses Köders verbreitet werden, wechseln beständig. So waren es im März die in unserer Hitliste vertretenen Trojaner der Familien Trojan.Win32.FraudPack und Trojan.Win32.Agent.


Immer noch hoch im Kurs steht bei den Spammern die Verbreitung von Schadprogrammen in einem passwortgeschützten Bereich. Das Passwort befindet sich in solchen Fällen im E-Mail-Text. Im Anhang befindet sich – glaubt man den Spammern – ein äußerst wichtiges vertrauliches Dokument, das angeblich auf keinem anderen Wege verschickt werden kann. Der Name des Dokuments in dem Archiv hat dabei immer die Erweiterung .txt oder .doc, wie auch im folgenden Beispiel:


Tatsächlich aber befand sich in dem Archiv der E-Mail-Wurm Email-Worm.Win32.Beloy.a, der schon seit einigen Jahren in den Kaspersky-Datenbanken registriert ist.

Thematische Zusammensetzung von Spam

In den westlichen Ländern ist Spam mit Werbung für medizinische Präparate am weitesten verbreitet. Auch der Monat März bildete hier keine Ausnahme: In der thematischen Verteilung von Spam entfielen durchschnittlich etwa 35% auf derartige Versendungen, in der dritten Märzwoche waren es sogar über 40% des gesamten Spam-Aufkommens.

In bereits traditioneller Manier statteten die Viagra-bewerbenden Spammer ihre Schablonen-Sites am Vorabend eines Feiertages wieder mal mit den entsprechenden Attributen aus – in diesem Fall mit Bezug auf Ostern mit lustigen Hasenohren:


Allem Anschein nach boten genau die Spammer, die bereits zu Weihnachten personalisierte Briefe vom Weihnachtsmann versprachen, im März personalisierte Briefe vom Osterhasen an:


Insgesamt hat sich der Anteil von E-Mails der Kategorie „Andere Waren und Dienstleistungen“, merklich verringert (-3,4 Prozentpunkte). Das hängt vor allem damit zusammen, dass die meisten derartigen Versendungen saisonalen Charakter tragen. Im Dezember sind das die Weihnachtsversendungen, und im Januar/Februar wird auf den Valentinstag Bezug genommen. Die Frühjahrsmonate sind dagegen nicht sehr reich an Anlässen, um saisonale Waren zu bewerben.

Spam für Erwachsene war im März ebenfalls nicht sehr stark vertreten. Allerdings organisierten auch die Spammer, die Porno-Sites bewerben, ihre ganz eigenen „Osteraktionen“:


E-Mails der Kategorie „Computerbetrug“ verringerten sich im März geringfügig (-1,4 Prozentpunkte), blieben aber mit etwa 18% nach wie vor auf hohem Niveau. Im deutschsprachigen Spam überwogen die Versendungen mit gefälschten Benachrichtigungen über angebliche Lotteriegewinne. Unter dem Versand dieser Art fand sich auch die folgende Mail, in der der User über einen hohen Gewinn in einer geheimen Lotterie der Firma Microsoft informiert wird:


Eine Besonderheit im März ist der gestiegene Anteil an Mails mit dem Thema „Persönliche Finanzen“. Insgesamt 7,5% (+5 Prozentpunkte) aller Spam-Mails boten Kredite, eine neue Kreditkarte oder die Verfolgung der eigenen Kredit-Historie an.

Diese Tendenz lässt sich mit der Stabilisierung der wirtschaftlichen Situation erklären.


Methoden und Tricks der Spammer

Im März setzten die Spammer wieder alte und bewährte Methoden in Form von sich verändernden Bildern und auf spezielle Weise eingefärbten Zellen in HTML-Tabellen ein.

Der Trick mit den sich verändernden, rauschenden Bildern wurde traditionell von den Viagra-Spammern eingesetzt:


Wie oben zu sehen, fügten die Spammer zudem über der Grafik ein Fragment eines Textes in die E-Mail ein. Das Textfragment wird natürlich ebenfalls immer wieder verändert.

Auf spezielle Weise eingefärbte Zellen innerhalb einer HTML-Tabelle waren in Mails zu finden, die eine Kontakt-Seite bewerben. Bisher wurde mit Hilfe dieses Tricks meist die Adresse der entsprechenden Website dargestellt, in diesem Fall wurde der Text der Mitteilung selbst mit Hilfe von eingefärbten Zellen konstruiert. Der Link auf die Website wurde hingegen ganz normal geschrieben.


Fazit

Der Anteil an Phishing-Mails im E-Mail-Traffic ist im März bedeutend zurückgegangen. Die Anzahl schädlicher Anhänge und Links im E-Mail-Traffic ist auf das Januar-Niveau zurückgefallen. Auch der Anteil von Spam der Kategorie „Computerbetrug“ ist geringfügig gesunken. Es lässt sich also eine gewisse Tendenz zur Verringerung krimineller Elemente im Spam beobachten.

Zur Umgehung der Spam-Filter haben sich die Spammer nichts Neues einfallen lassen, und dafür auf altbewährte Methoden und Tricks zurückgegriffen.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.