Spam im März 2011

  • Der Spamanteil im E-Mail-Verkehr stieg im Vergleich zum Februar um 0,9 Prozentpunkte und betrug damit durchschnittlich 79,6 Prozent.
  • Der Anteil an Phishing-Mails am gesamten E-Mail-Aufkommen sank im Vergleich zum Februar um 0,01 Prozentpunkte und betrug 0,02 Prozent.
  • Im März enthielten 3,23 Prozent aller elektronischen Mitteilungen schädliche Dateien – 0,05 Prozentpunkte mehr als im Vormonat.

Die wichtigsten Ereignisse des Monats

Viel Lärm um Rustock

Mitte März wurde bekannt, dass es dank gemeinsamer Anstrengungen von Microsoft-Mitarbeitern und den Strafverfolgungsbehörden der USA gelungen ist, mit Rustock eines der größten Spam-Botnetze abzuschalten.

Rustock hatte sich seit etwa fünf Jahren in den Weiten des Internets ausgebreitet und war schätzungsweise für 30 bis 40 Prozent des weltweiten Spamaufkommens verantwortlich. Über die Schließung des Botnetzes wurde erstmals am 17. März berichtet. Die Operation selbst wurde einen Tag früher durchgeführt.

Die Experten von Kaspersky Lab beobachteten einen gewissen Rückgang des Spamvolumens zwischen dem 17. und 21. März. In dieser Zeit sank der Spamanteil im E-Mail-Verkehr im Vergleich zum Durchschnittswert der ersten Märzhälfte um drei Prozent. Die Menge der Spam-E-Mails ging in dieser Zeit um etwa 15 Prozentpunkte zurück.

Bereits am 22. März begann das Spamvolumen wieder zuzunehmen. Trotz der beeindruckenden Größe des geschlossenen Botnetzes konnten die Spammer ihre gegen Ende 2010 gemachten Erfahrungen dazu nutzen, die Kapazitäten ihrer Zombienetze schnell wiederherzustellen. Trotzdem trägt die Arbeit der Strafverfolgungsbehörden im Kampf gegen Botnetze nach wie vor Früchte und erfreut die Anti-Spam-Mitstreiter.

Weltbewegende Ereignisse in Spamversendungen

Tragödie in Japan ließ auch Spammer nicht unberührt

Das zerstörerische Erdbeben, der Tsunami und die darauf folgende Katastrophe im Atomkraftwerk Fukushima hielten die ganze Welt in Atem. Zahlreiche Menschen in vielen Ländern versuchten, den Opfern in Japan auf jede nur erdenkliche Weise zu helfen – sei es mit Lebensmitteln, Medikamenten, Bedarfsartikeln oder Spenden für verschiedene humanitäre Hilfsorganisationen. Im Internet erschien eine Vielzahl von Webseiten mit Informationen über Spendenüberweisungsmöglichkeiten.

Die Spammer versuchten selbstverständlich sofort, sich ins Thema der wohltätigen Initiativen „einzuarbeiten“. Im Spamverkehr tauchten umgehend gefälschte Mitteilungen mit der Aufforderung auf, Geld auf das angebliche Konto des Roten Kreuzes und an andere humanitäre Organisationen zu überweisen.


Es versteht sich von selbst, dass die Anwender, die dieser Aufforderung nachkamen, niemandem damit geholfen haben – außer den Spammern.

Die Ereignisse in Japan wurden auch in Spamversendungen, die der Schadcodeverbreitung dienten, aktiv ausgeschlachtet. Die menschliche Neugier arbeitete wie immer für die Cyberkriminellen: Den Anwendern wurden verschiedene schockierende Details in Aussicht gestellt oder Videos vom Ort des Geschehens angeboten.


Brennpunkt Libyen

Die Situation in Libyen wird von Menschen auf der ganzen Welt heiß diskutiert. Und auch die Spammer haben sich diesen bewaffneten Konflikt in ihren Betrugsmails zunutze gemacht. Unter den Spamversendungen finden sich immer häufiger „nigerianische“ E-Mails – angeblich von Mitgliedern der libyschen Regierung, die versuchen, ihre Millionen aus den Banken des Landes im Ausnahmezustand abzuziehen. Ebenso wie die Japan-Katastrophe wird das Thema Libyen auch für gefälschte Spendenaufrufe für die notleidende Bevölkerung eingesetzt.

Auch die Schadcode verbreitenden Spammer ließen sich den Aufstand in Libyen als Thema nicht entgehen. Unter Einsatz bereits bewährter Schemata verschickten sie E-Mails mit schädlichen Links auf angebliche brandaktuelle Nachrichten aus Libyen.

Am interessantesten war unserer Meinung nach eine im März in Umlauf gebrachte, politisch motivierte Spamversendung zum Thema Libyen.

In diesen Mitteilungen werden üblicherweise Beiträge aus verschiedenen Blogs oder Presseartikel zitiert. Die Zitate sind auf Englisch verfasst, so dass sie nicht an Libyer gerichtet sein können. Mit derartigem Spam wird versucht, die Aufmerksamkeit der Nutzer außerhalb Libyens auf den Konflikt zu lenken – insbesondere in den USA und Europa. Solche Nachrichten werden sowohl von den Regime-Befürwortern als auch -Gegnern verschickt.


Statistik

Spamanteil im E-Mail-Verkehr

Der Spamanteil im E-Mail-Verkehr ist im Vergleich zu Februar um 0,9 Prozentpunkte gestiegen und betrug durchschnittlich 79,6 Prozent.


Spamanteil im E-Mail-Verkehr im März 2011

Der niedrigste Wert des Monats wurde am 25. März mit 74,5 Prozent registriert. Die meisten unerwünschten Nachrichten erhielten Anwender mit 86,9 Prozent am 13. des Monats.

Spam-Herkunftsländer

Im März wurden die Top 20 der Spamherkunftsländer erneut von Indien angeführt. Aus diesem Land wurden 11,42 Prozent des gesamten Junk-Mail-Aufkommens versendet – ein Plus von 2,59 Prozentpunkten.


Spam-Herkunftsländer im März 2011

Platz zwei des Ratings belegte Brasilien mit einem Wert von 6,6 Prozent (plus 2 Prozentpunkte gegenüber dem Vormonat), das damit Russland auf Rang drei verdrängte. Der aus Russland stammende Spamanteil betrug wie auch schon im Februar 4,8 Prozent. Ebenso nahezu unverändert blieben die Spammengen, die aus Indonesien (4,3 Prozent) und Italien (4 Prozent) versendet wurden – diese Länder belegten Platz vier respektive fünf.

Die aus Südkorea stammende Spammenge hat sich um 0,8 Prozentpunkte verringert und betrug im März 3,3 Prozent. Damit ist Südkorea im März von Position fünf auf den achten Platz abgestiegen. Als Folge konnten Großbritannien (3,9 Prozent) und die USA ihre Position um eine erhöhen und belegten damit im März den sechsten beziehungsweise siebten Platz. Dabei hat sich der aus diesen Ländern stammende Spamanteil im Vergleich zum Februar nur unwesentlich verändert.

Im März enthielten 3,23 Prozent aller elektronischen Nachrichten schädliche Dateien – 0,05 Prozentpunkte mehr als im Vormonat.

Im Vergleich zu Februar gab es entscheidende Veränderungen in der Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern.


Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern im März 2011

Den ersten Platz belegte nach wie vor Russland mit 12,7 Prozent aller schädlichen Anhänge, doch auf Platz zwei lagen die USA mit 12,5 Prozent. Der Anteil der Alarme von Kaspersky Mail-Anti-Virus in den USA ist mit rund 1,9 Prozentpunkten mehr als im Vormonat fast ebenso hoch wie der russische Anteil.

Auf Großbritannien, das Position drei belegte, entfielen 6,2 Prozent aller blockierten E-Mails mit Schadanhängen und damit etwa 1,1 Prozentpunkte mehr als im Februar. Indien (4,35 Prozent) und Vietnam (5,61 Prozent) waren beide in den letzten Monaten in den Top 5, haben im März aber ein wenig an Boden verloren. Indien rutschte vom vierten auf den neunten Platz. Vietnam tauschte Rang drei gegen den vierten Platz.

Deutschland hingegen ist mit 5,4 Prozent einen Platz vorgerückt. Die Position von Australien blieb mit 4,21 Prozent in unserem Rating unverändert. Italien (4,05 Prozent), das im Februar nicht in den Top 10 vertreten war, positionierte sich im März auf dem achten Platz. Spanien kletterte von Rang elf auf den neunten Platz.

Die Top 10 der im E-Mail-Verkehr am häufigsten entdeckten Schadprogramme setzt sich im März folgendermaßen zusammen:



Тop 10 der im März 2011 über E-Mail verbreiteten Schadprogramme

Über die Hälfte der in den Тop 10 vertretenen Schädlinge wird von der Familie Trojan-Downloader.Win32.Deliver gestellt. Bei diesen Programmen handelt es sich um klassische Trojaner – Downloader, die auf einem infizierten Computer ohne Wissen des Anwenders weitere Schadprogramme installieren.

Zwei andere Programme aus den Top 10 gehören zu der Familie Trojan-Spy.Win32.SpyEyes. Die Schadprogramme dieser Familie sind auf den Diebstahl vertraulicher Anwenderdaten spezialisiert. Eine der Modifikationen von Trojan-Spy.Win32.SpyEyes war bereits im Februar dieses Jahres in unserem Rating vertreten.

Platz eins belegt traditionell Trojan-Spy.HTML.Fraud.gen.

Wir erwähnten bereits, dass Spammer die Japan-Katastrophe und den Libyen-Krieg in Mitteilungen ausnutzten, um schädliche Links oder Anhänge zu verbreiten. Einige Spammer bedienten sich gleich beider Themen innerhalb einer Versendung: Mails mit „brandaktuellen Nachrichten“ über das Erdbeben in Japan und die Libyen-Krise enthielten identische Links und wurden zur selben Zeit verschickt.


Es ist kaum zu übersehen, dass die Mails nach derselben Schablone erstellt wurden. Auffällig ist auch, dass nach dem schädlichen Link im Text ein „Copyright“ folgt, das sich von Mail zu Mail ändert. Als „Copyright“-Inhaber werden verschiedene große IT-Unternehmen und Internet-Ressourcen genannt. Möglicherweise hofften die Cyberkriminellen mit diesem plumpen Trick, simple Spamfilter umgehen zu können.

Auf dem Rechner des Anwenders, der auf einen solchen Link geklickt hatte, wurde mit Hilfe von Java-Exploits Malware installiert. In unserem Blog hat der Kaspersky-Experte Nicolas Brulez diesen Vorgang genau beschrieben.

Phishing

Der Anteil von Phishing-Mails im E-Mail-Verkehr ist im Vergleich zu Februar um 0,01 Prozentpunkte gesunken und betrug 0,02 Prozent.


Тop 10 der von Phishern angegriffenen Organisationen

Die Тop 10 der am häufigsten von Phishern attackierten Organisationen wird im März mit großem Abstand von PayPal angeführt. Auf Platz zwei folgt das Internet-Auktionshaus eBay.

Das Soziale Netzwerk Facebook, Habbo und das populäre Online-Spiel World of Warcraft gehören ebenfalls zu den beliebtesten Zielen der Phisher.

Die Hälfte der am häufigsten von Phishing-Attacken betroffenen Organisationen sind wieder einmal Online-Dienste. Dabei haben sich die Angriffe auf Banken verringert – Online-Banking-Systeme liegen im Wesentlichen auf den hinteren Plätzen des Ratings.

Fazit

Im März haben die amerikanischen Strafverfolgungsbehörden erneut einen erfolgreichen Schlag gegen Botnetze gelandet, was zu einer kurzfristigen Verringerung des Spamvolumens führte. Trotzdem war der Spamanteil im E-Mail-Verkehr im März höher als der Februar-Wert. Wie wir bereits in unserem Januar-Bericht prophezeiten, wird die durchschnittliche Spammenge weiter ansteigen und so möglicherweise wieder das Niveau vom Sommer 2010 erreichen.

Entgegen unserer Erwartungen waren die USA nicht in den Top 5 der Spam-Herkunftsländer vertreten. Der aus den Vereinigten Staaten stammende Spamanteil hat sich gegenüber dem Vormonat praktisch nicht geändert. Interessant ist allerdings das gestiegene Interesse an den USA als Zielscheibe für schädliche Versendungen. Das könnte darauf hinweisen, dass die Cyberkriminellen ihre Bemühungen nach wie vor darauf konzentrieren, die Botnetze in diesem Land wiederherzustellen.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.