Spam im März 2012


Der März in Zahlen

  • Der Spam-Anteil im E-Mail-Traffic sank im Vergleich zum Februar um 20 Prozent und betrug durchschnittlich 75 Prozent.
  • Der Anteil an Phishing-Mails am gesamten E-Mail-Aufkommen hat sich im Vergleich zum Februar halbiert und betrug 0,01 Prozent.
  • Im März enthielten 2,8 Prozent aller E-Mails schädliche Dateien, was exakt dem Vormonatswert entspricht.

Die wichtigsten Ereignisse des Monats

Hlux/Kelihos – Rückgang des Spam-Traffics ließ nicht auf sich warten

Im März ging der Spam-Anteil verglichen mit Februar um 20 Prozent zurück. Das ist eine recht beeindruckende Zahl. Wir führen diesen Rückgang auf die Zerschlagung der neusten Version des Botnetzes Hlux/Kelihos zurück. In der Woche vom 19. bis zum 25. März, als die Operation zur Zerschlagung des Botnetzes begann, war der Spam-Anteil mit 73,4 Prozent auf dem absoluten Tiefstand. In der letzten Märzwoche, als vom Erfolg der Aktion öffentlich berichtet wurde, stieg der Spam-Anteil leicht auf 74,1 Prozent, was sicherlich mit der beginnenden Neuverteilung der Spammer-Kapazitäten zusammenhängt.

Neue Fallstricke im Schadspam

In den letzten Jahren mussten die Spammer, die schädliche Anhänge oder Links auf Schadcode versenden, immer wieder ihre Taktik ändern. Der Grund dafür liegt darin, dass sie die Anwender irgendwie dazu bringen müssen, den entsprechenden Anhang zu öffnen oder auf den schädlichen Link zu klicken. Tut der Anwender dies nicht, so haben die Versender keinen Nutzen davon. Dementsprechend sind schädliche Spam-Mails immer als harmlose Mitteilungen getarnt. Je häufiger die Cyberkriminellen dabei eine bestimmte Art der Tarnung einsetzen, desto mehr Anwender erkennen die dahinter verborgene Gefahr, so dass die Verbrecher wiederum einen geringeren Nutzen aus ihren Versendungen ziehen.

Häufig schicken Spammer, die gerade eine neue Taktik ersonnen haben, innerhalb von drei bis vier Tagen mengenmäßig umfangreiche Spams schnell heraus, um auf diese Weise so viele Anwender wie möglich in die Falle zu locken, bevor der neue Trick auffliegt. In der Regel setzen die Spammer auf die Neugier der Empfänger und/oder versenden Mitteilungen, die als Benachrichtigungen von legitimen Webseiten getarnt sind.

Ein anschauliches Beispiel für einen dieser Tricks ist eine Mail, die vom 20. bis 23. März in Umlauf war. Die von den Spammern verschickten Mitteilungen waren als Bestätigung für den Online-Kauf von Flugtickets getarnt.

Die Ausnutzung des Themas Flugtickets in schädlichen E-Mails ist nicht neu, allerdings wurde der in einem Archiv verpackte Schädling bereits früher schon einmal an eine Mitteilung über die erfolgreiche Bezahlung des Tickets angehängt. Diese Spam-Mails enthielten keine Anhänge – stattdessen wurde der Anwender aufgefordert, auf einen Link zu klicken und sich online einzuchecken.


Nach Aufruf dieses Links wurde auf dem Computer des Anwenders ein Trojaner installiert, der einen alten Bekannten auf den Rechner lud, das Schadprogramm ZeuS/Zbot. Technische Details der Attacke finden Sie hier.

Die Attacke war am 23. März gegen 21 Uhr Moskauer Zeit beendet. In allen Mitteilungen, die vom 20. bis zum 23. März eingingen, wurde der Nutzer aufgefordert, für einen Flug am den 20. März einzuchecken. Diese Tatsache zeigt einmal mehr, dass die Aufmerksamkeit des Nutzers am wichtigsten für die Sicherheit seines PCs ist.

Aktuelle Spam-Themen

Zu den Spam-Themen des März zählen der St. Patricks Day, Ostern und die Markteinführung des Apple iPad 3.

In unserem Blogeintrag über den St. Patricks Day haben wir bereits darauf hingewiesen, dass Partnerprogramme alle nur erdenklichen Feste und andere bedeutende Ereignisse ausnutzen, um die Aufmerksamkeit der Nutzer auf die Spam-Mail zu lenken. Insbesondere wurde auf das Beispiel der Schablonen-Spammer-Webseite hingewiesen, auf der mit gefälschten Uhren gehandelt wird und die im Stil des St. Patricks Days aufgemacht war.

Ostern wird, wie nicht anders zu erwarten, von den Spammern äußerst aktiv ausgenutzt. Dieselbe Werbung für Luxuswaren wurde Ende März in österlichem Design verschickt:


Im Unterschied zu den Versendungen, die den St. Patricks Day zum Inhalt hatten, leiteten die Oster-Mitteilungen den Anwender nicht nur auf eine dem Fest entsprechend aufgemachte Webseite, sondern erschienen selbst im Osterfest-Design.

Im englischsprachigen Spam hatten wir es neben der Werbung für imitierte Luxuswaren, die als bestmögliches Ostergeschenk angepriesen wurden, auch mit „nigerianischen“ Glückwünschen zu Gewinnen in einer Osterlotterie oder mit Angeboten für verschiedene Geschenke zum Osterfest zu tun.

Der russischsprachige Oster-Spam enthält ebenfalls viel Werbung für Geschenke sowie Angebote für Osterausflüge und Kurzreisen. Im Gegensatz zu den englischsprachigen Spam-Mails handelt es sich bei den Versendungen in russischer Sprache nicht um Partner-, sondern um Bestellspam von kleinen und mittleren Betrieben, die Spam als Werbemittel einsetzen.

Die Veröffentlichung des neuen Apple iPads blieb auch den Spammern nicht verborgen. Wie bei den österlichen Spams gab es auch in diesem Fall offensichtliche Unterschiede zwischen den Spam-Mitteilungen in englischer und denen in russischer Sprache.

So dient der Apple-Neuling im englischsprachigen Spam, der sich direkt an US-Bürger richtet, als Käse in der Mausefalle. Dem Anwender ein kostenloses iPad oder iPhone zu versprechen, ist ein weithin bekanntes, doch offensichtlich immer noch effektives Mittel, das Online-Gangster einsetzen, um den Nutzer dazu zu bringen, sich an einem Schneeballsystem zu beteiligen, auf einen schädlichen oder einen Phishing-Link zu klicken oder ein Werbe-Programm auf dem Computer zu installieren. Während noch einen Monat früher in derartigen Versendungen häufig ein iPad 2 oder iPhone 4S versprochen wurde, so ist es nun zumeist das iPad 3.

Statistik

Spam-Herkunftsländer


Spam-Herkunftsländer im März 2012 (Top 20)

Verglichen mit dem Vormonat hat sich die Top-20-Zusammensetzung der Spam-Herkunftsländer im März erneut kaum geändert. In den Тop 6 waren dieselben Länder vertreten wie auch im Februar, allein Vietnam und Korea haben die Plätze getauscht und belegen nun die Positionen vier respektive fünf. Der im März von Korea aus verbreitete Spam verringerte sich anteilsmäßig um 2,3 Prozentpunkte. Der Anteil der übrigen im Rating vertretenen Länder schwankte um bis zu 1,5 Prozentpunkte.

Spitzenreiter des Ratings ist mit 12,3 Prozent nach wie vor Indien.

Im März enthielten 2,8 Prozent aller E-Mails schädliche Dateien, was exakt dem Vormonatswert entspricht.


Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern im März 2012

Bereits den dritten Monat in Folge belegen die USA den ersten Platz im Rating der Länder, in denen das Mail-Antivirus-Modul der Kaspersky-Lösungen am häufigsten Alarm geschlagen hat. Der Anteil der Alarme stieg dort im Vergleich zum Februar um 1,7 Prozentpunkte und betrug 14,7 Prozent.

Einen unerwarteten zweiten Platz belegte Australien in diesem Rating, dessen Anteil an den Alarmen sich mehr als verdoppelte (plus 6,9 Prozentpunkte) und 12,4 Prozent betrug. Wie auch schon im Februar belegt Hongkong Platz drei.

Im Vergleich zum Februar ist der Anteil der Alarme in Deutschland deutlich zurückgegangen, und zwar um 2,5 Prozentpunkte.

Der Anteil der übrigen Länder aus dem Rating schwankte um die 2 Prozentpunkte.

Top 10 der Schadprogramme im E-Mail-Traffic


Top 10 der Schadprogramme im E-Mail-Traffic im März 2012

12 Prozent aller Entdeckungen von Kaspersky Mail-Anti-Virus gehen auf das Konto von Trojan-Spy.HTML.Fraud.gen, dem traditionellen Spitzenreiter unseres Ratings. Im Vergleich zum Vormonat ging der Anteil dieses Schädlings um 2 Prozentpunkte zurück. Zur Erinnerung: Trojan-Spy.HTML.Fraud.gen ist ein Schadprogramm, das sich als HTML-Seite in Form eines Registrierungsformulars einer Finanzorganisation oder eines beliebigen Online-Dienstes tarnt. Dieses Programm gibt die auf dieser Seite eingegebenen Daten an die Cyberkriminellen weiter, was im Grunde einer Phishing-Methode gleichkommt.

Die E-Mail-Würmer Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.NetSky.q und Email-Worm.Win32.NetSky.c verbleiben im Rating und belegen die Positionen drei, vier, sechs und sieben. E-Mail-Würmer verfügen üblicherweise über eine simple Funktionalität: Sie sammeln E-Mail-Adressen von den infizierten Rechnern und versenden sich selbst dorthin. Bagle.gt ist der einzige Wurm aus den Top 10, der darüber hinaus mit Internet-Ressourcen kommunizieren kann, um von dort Schadprogramme herunterzuladen. Da die Selbstverbreitungsfunktion von Würmern nicht kontrollierbar ist, werden diese Schädlinge nicht bei zielgerichteten Attacken eingesetzt.

Zwei Schadprogramme in unserem März-Rating sind gefälschte Antiviren-Programme. Schädlinge dieses Typs waren für lange Zeit nicht in unseren Top 10 vertreten. Zur Erinnerung: Die Hauptfunktionalität dieser Schädlinge ist die Erpressung der Nutzer infizierter Rechner.

Phishing

Der Anteil von Phishing-Mails im E-Mail-Traffic hat sich im Vergleich zum Februar halbiert und betrug 0,01 Prozent.


Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien im
März 2012 (Alarme des Anti-Phishing-Moduls)

Das Kategorien-Rating der von Phishern angegriffenen Organisationen wird auf der Grundlage der Alarme unserer Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Die Kategorie Finanzorganisationen führt nach wie vor das Rating der für Phisher interessanten Organisationen an. Auf sie entfällt fast ein Viertel aller Alarme des Anti-Phishing-Moduls. Die Stabilität dieser Kategorie ist bemerkenswert, denn ihr Anteil hat sich seit Januar praktisch nicht verändert. Insgesamt sind die Interessen der Phisher ebenfalls keinen großen Veränderungen unterworfen. Im Vergleich zum Februar lag die stärkste Zunahme mit einem Prozentpunkt bei Phishing-Attacken auf Webshops.

Der Anteil der übrigen Kategorien im Rating schwankte im Vergleich zum Vormonat nur leicht, und zwar um etwa einen Prozentpunkt.

Spam-Themen


Spam-Themen im März 2012

Der Anteil der Themen „Computerbetrug“ und „Persönliche Finanzen“, die bereits seit vier Monaten auf den führenden Positionen liegen, verringerte sich um 9,5 respektive 4,4 Prozentpunkte. Interessanterweise ist der Anteil von Spam mit Werbung für Casinos in der selben Zeit um 4 Prozentpunkte gestiegen. Diese Art von Spam ist wie die Spam-Kategorie „Persönliche Finanzen“ darauf ausgelegt, dass der Anwender, verlockt durch den versprochenen Vorteil, sein Geld freiwillig herausrückt.

Um 3 Prozentpunkte gestiegen ist auch der Anteil von Spam-Versendungen, die Reisen bewerben, was offensichtlich mit der nahenden sommerlichen Urlaubssaison zusammenhängt.

Der Anteil der übrigen Themen änderte sich im Vergleich zum Vormonat nur unwesentlich und lag in den Grenzen von 1,5 Prozentpunkten.

Fazit

Nach den Ergebnissen des Monats März ging der Spam-Anteil im E-Mail-Traffic um 3,5 Prozentpunkte zurück. Wir führen diese Abnahme auf die erfolgreiche Aktion zur Zerschlagung des Botnetzes Hlux/Kelihos zurück, an der Experten von Kaspersky Lab beteiligt waren.

Im März setzten die Spammer, die Schadcode verbreiten, einige neue Tricks ein. Spam ist nach wie vor gefährlich, auch wenn der Anteil an schädlichen E-Mail-Anhängen etwas zurückging.

Die häufigsten in Spam-Versendungen verwendeten Themen waren der St. Patricks Day, Ostern und die Markteinführung des iPad 3. Dabei wurden die Festtage im Wesentlichen für Werbung für verschiedene Waren ausgenutzt, während das neue Apple-Produkt als Köder in verschiedenen betrügerischen Versendungen diente.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.