Spam im März 2014

Inhalt

Die wichtigsten Ereignisse des Monats

Im März verschickten die Spammer nicht nur den traditionellen, mit Werbung garnierten Feiertagsspam, sondern sie versuchten mit Hilfe von festlich aufgemachten Mitteilungen auch, Mitgliedern von Sozialen Netzwerken persönliche Informationen zu entlocken.

Unter den am weitesten verbreiteten unerwünschten Werbe-Mails fanden sich im März Angebote unterschiedlicher Art für Autoliebhaber, für Immobilien auf der Krim, für linguistische Dienstleistungen sowie für Dienstleistungen zur Verbesserung der Telefonkommunikation im Büro. Viele dieser Versendungen kursierten nicht nur in Russland, sondern auch in anderssprachigen Segmenten des Internets.

Feiertage im Spam

Im Jahr 2014 fielen das orthodoxe sowie das katholische und evangelische Ostern zusammen – beide Festtage fanden am 20. April statt. Bereits vorher tauchte im englischsprachigen Spam-Traffic die traditionelle Werbung für Imitate von Luxusgütern und für Naschwerk auf, die in die Feiertagsthematik eingebettet war.

Im russischsprachigen Spam wurden ebenfalls Süßigkeiten und Geschenke in österlicher Aufmachung beworben.

Die Spam-Menge mit Bezug auf Ostern war im März nicht besonders groß. Allerdings erwartet das Kaspersky-Team für den April eine Zunahme von unerwünschten Nachrichten, die mit Ostersymbolik daherkommen.

Den St. Patrick’s Day am 17. März nutzten Cyberkriminelle dazu, Anmeldedaten für das Soziale Netzwerk LinkedIn zu stehlen. In einer Versendung, die Bezug auf diesen Festtag nahm, boten sie dem Anwender einen kostenlosen Premium-Account bei LinkedIn an. Um sich anzumelden, sollte der Nutzer auf einen Link am Ende der E-Mail klicken. Allerdings führte dieser nicht auf die offizielle Webseite von LinkedIn, sondern auf eine Phishing-Seite. Alle dort vom Nutzer eingegebenen Informationen landeten bei den Betrügern. Die Cyberkriminellen benutzten das Logo des Sozialen Netzwerks und dessen Signatur, um ihrer E-Mail einen legitimen Anstrich zu verpassen. Darüber hinaus sah die Absenderadresse vollkommen glaubwürdig aus – bis auf den verkürzten Domainnamen „linke.com“ anstelle der offiziellen Domain „linkedin.com“.

Linguistischer Spam

Im März wurden im Spam alle nur erdenklichen Methoden zum Erlernen einer Fremdsprache beworben. Den Empfängern der E-Mails wurde in Aussicht gestellt, innerhalb von nur zehn Tagen eine Fremdsprache zu erlernen. Im Absenderfeld solcher E-Mails stand statt eines Namens meist eine Phrase wie „Language Learning“. Die erst vor kurzem erstellten E-Mail-Domains in den Absenderadressen änderten sich dabei von Schreiben zu Schreiben. Die E-Mails enthielten lange Links, die nach einer Reihe von Redirects auf eine Werbeseite führten. Dort wurde eine Auswahl verführerisch günstiger CDs angeboten, mit denen man eine Fremdsprache nach einer speziellen Methode des Autors lernen kann. Bei Bestellung konnte man ein beliebiges Bezahlsystem verwenden.

Das Linguistik-Thema fand sich auch in einer anderen Art von Versendungen, und zwar in E-Mails von verschiedenen Übersetzungsbüros, die ihre Dienste anbieten. Derartige Mitteilungen registrierten die Kaspersky-Experten in verschiedenen Sprachen: auf Englisch, Deutsch, Französisch, Spanisch und auf Holländisch. Manchmal wurde der Text innerhalb einer E-Mail auch gleich in mehreren Sprachen präsentiert. Die Schreiben enthielten eine Liste der Arbeitssprachen der jeweiligen Agentur, die wichtigsten Sprachkombinationen sowie eine Auflistung der angebotenen Dienstleistungen (Dolmetschen, Übersetzen, Fachgebiet). Für die Kontaktaufnahme gab es entweder direkte Links auf die Webseite der jeweiligen Agentur, oder es wurde eine Telefonnummer beziehungsweise eine E-Mail-Adresse eines Ansprechpartners angegeben.

Telefonie

Im März bewarben die Spammer auch vermehrt verschiedene Methoden zur Verminderung der Ausgaben für die Unternehmenstelefonie. Ein großer Teil dieser Versendungen wandte sich an große Unternehmen. Den Empfängern wurde beispielsweise angeboten, die Qualität der Festnetzverbindung im Geschäft zu verbessern, die Festnetztelefone mit bestimmten Codes zu verbinden, und internationale Telefonate aus beliebigen Städten zeitlich unbegrenzt zu den allergünstigsten Tarifen zu führen.

Die Versendungen mit Werbung für solche Dienstleistungen kamen von Adressen, die auf speziellen, erst kürzlich erstellten Domains registriert waren, welche sich von E-Mail zu E-Mail änderten. Die Links in den Mitteilungen führten auf eine Webseite mit einer Mini-Umfrage, die dem User nach Auswahl einiger Kriterien die für das eigene Unternehmen optimale Lösung präsentierte. Letztlich lief das alles auf Werbung für bestimmte Dienstleister im Bereich Unternehmenstelefonie hinaus.

Statistik

Spam-Anteil im E-Mail-Traffic


Spam-Anteil im E-Mail-Traffic

Im März betrug der Spam-Anteil im E-Mail-Traffic 63,5 Prozent. Der höchste Wert trat in der ersten Märzwoche (67,3 %) auf. Danach ging der Spam-Anteil allmählich zurück.

Geografische Verteilung der Spam-Quellen

Im März sah die Liste der Länder, die Spam in die ganze Welt versenden, folgendermaßen aus:


Spam-Herkunftsländer weltweit

Den ersten Platz in diesem Rating belegt China, auf das 24,6 Prozent der versendeten Spam-Menge entfielen – ein um 1,7 Prozentpunkte höherer Wert als im vergangenen Monat. Darauf folgen die USA: Der aus diesem Land stammende Spam-Anteil betrug 17 Prozent (rund 2 Prozentpunkte weniger als im Februar). Abgeschlossen wird das Führungstrio von Südkorea, woher 13,6 Prozent der weltweiten Spam-Menge stammten – ein Zuwachs um 0,8 Prozentpunkte gegenüber dem Vormonat. Insgesamt entfällt auf die ersten drei Länder des Ratings noch immer über die Hälfte des weltweiten Spamaufkommens.

Auf Position vier liegt Russland (6,5 %), wobei die aus diesem Land versendete Spam-Menge geringfügig zurückging, und zwar um 0,5 Prozentpunkte.

Unverändert geblieben ist die Situation in den folgenden Ländern: Taiwan (6 %), Indien (3,7 %), Vietnam (3,5 %) und in der Ukraine (2 %). Ihre Werte waren ebenfalls nur unwesentlichen Veränderungen unterworfen.

Japan (1,9 %), dessen Wert innerhalb eines Monats um nur 0,15 Prozentpunkte zunahm, stieg von Platz zehn auf den neunten Platz auf. Das Schlusslicht der Top 10 bildete im März Rumänien (1,8 %).

Ebenfalls erwähnenswert ist der geringe Anstieg der Spammeraktivität auf dem Gebiet Großbritanniens (1 %). Dieses Land legte im Vergleich zum Vormonat um acht Positionen zu.


Spam-Herkunftsländer für Europa

Unter den Ländern, die den meisten Spam nach Europa versenden, belegte Südkorea (50,8 %) den ersten Platz, dessen Wert um 1,2 Prozentpunkte anstieg. Es folgen die USA (7,6 %), die von ihrem Anteil allerdings 1,4 Prozentpunkte einbüßten. Ebenfalls auf dem „Siegertreppchen“ befindet sich Taiwan mit sechs Prozent der nach Europa versendeten Spam-Menge – das sind 0,5 Prozentpunkte mehr als der Februarwert.

Auf Rang vier befindet sich nach wie vor Russland (4,2 %) mit einem gegenüber dem Februar um 0,8 Prozentpunkte geringeren Anteil.

Im Laufe des vergangenen Monats gingen die Spamversendungen aus folgenden Ländern zurück: China (von 3,9 % auf 2,9 %), Ukraine (von 2,3 % auf 1,8 %) und Deutschland (von 1,4 & auf 0,7 %). Gleichzeitig gewannen Vietnam (2,7 %), Indien (2,6 %) und Großbritannien (1,8 %) Anteile dazu. Großbritannien belegte damit Platz 10.

Erwähnenswert ist auch, dass die Spam-Ströme aus Frankreich und Thailand im März ein wenig zunahmen, so dass diese Länder mit einem Anteil von jeweils 0,5 Prozent Einzug in unsere Top 20 hielten.


Spam-Herkunftsregionen

Bei den Spam-Herkunftsregionen lag auch im März wieder Asien (58 %) auf Position eins – gegenüber dem Vormonat stieg der Anteil dieser Region um vier Prozentpunkte. Es folgen wie gehabt Nordamerika (17 %) und Osteuropa (15 %). Die Werte dieser Regionen gingen um 2,6 respektive 1,4 Prozentpunkte zurück. Der Spam-Anteil in den anderen Regionen blieb praktisch unverändert.

Schädliche Anhänge

Im März setzten sich die Top 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen zusammen:


Top 10 der via E-Mail verbreiteten Schadprogramme

Die Spitzenposition im Rating der via E-Mail verbreiteten Schadprogramme belegte erneut Trojan-Spy.HTML.Fraud.gen. Zur Erinnerung: Trojaner der Familie Fraud.gen kommen als gefälschte HTML-Seiten daher und werden als wichtige Mitteilung von großen Banken, Online-Shops, Software-Anbietern oder ähnlichen Organisationen getarnt.

Den zweiten und zehnten Platz besetzen Vertreter der ebenfalls wohlbekannten Netzwurm-Familie Aspxor. Dieser Netzwurm infiziert automatisch Webseiten, lädt und startet andere Software, und sammelt wertvolle Informationen auf dem Computer wie etwa gespeicherte Passwörter und Zugriffsdaten für E-Mail- und FTP-Accounts.

Es folgt Email-Worm.Win32.Bagle.gt. Dieser Netzwurm verschickt sich selbst an alle E-Mail-Adressen, die er auf dem infizierten Computer findet. Zudem kann der Wurm ohne Wissen des Anwenders Dateien aus dem Internet laden. Für den Versand der infizierten Mitteilungen benutzt Email-Worm.Win32.Bagle.gt eine eigene SMTP-Bibliothek.

Rang vier und neun belegen Trojan-Spy.Win32.Zbot.saps und Trojan-Spy.Win32.Zbot.sapp. Zbot ist ein Trojaner, der auf den Diebstahl von vertraulichen Daten spezialisiert ist. Der Schädling Zbot.saps ist – neben seiner Hauptfunktionalität – auch in der Lage, den Schädling Rootkit.Win32.Necurs (oder Rootkit.Win64.Necurs) auf einem infizierten Computer zu installieren, der daraufhin die Arbeit verschiedener Antiviren-Programme und anderer Schutzlösungen des Computers behindert.

Auf Platz fünf positionierte sich ein Vertreter der Familie Bublik. Das ist ein gewöhnlicher Trojan-Downloader, der Schaddateien auf den Computer lädt und sie daraufhin startet.

Den sechsten und siebten Platz belegen Backdoor.Win32.Androm.dpqs und Backdoor.Win32.Androm.dqpi. Die Schädlinge der Familie Andromeda sind Backdoors, die es Cyberkriminellen ermöglichen, einen infizierten Computer unbemerkt zu steuern. Häufig werden mit solchen Schadprogrammen infizierte Computer an ein Botnetz angeschlossen.


Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern

Im Rating der Länder, in denen Kaspersky Anti-Virus am häufigsten Alarm schlug, nehmen nach wie vor die USA (minus 1,02 Prozentpunkte) die Führungsposition ein, Großbritannien und Deutschland folgen auf Platz zwei respektive drei.

Russland rutschte von dem zwölften auf den 16. Platz ab, wobei der Anteil der Alarme von Kaspersky Anti-Virus in diesem Land um 0,82 Prozentpunkte zurückging. Ebenfalls deutlich abgenommen hat der Anteil der Alarme in Australien (minus 0,75 Prozentpunkte), das im März Platz sieben gegen Platz zehn eintauschte. In den übrigen Ländern gab es im März keine bedeutenden Veränderungen gegenüber dem Vormonat.

Besonderheiten im Schadspam

Im März wurden nicht wenige schädliche Anhänge im Namen verschiedener bekannter Finanzorganisationen versendet, deren Tätigkeit auf irgendeine Weise mit Steuerzahlungen in Verbindung steht. Solche Mitteilungen waren getarnt als Zahlungsbenachrichtigungen von Steuerbehörden, Aufforderungen zur Steuerzahlung oder als Informationen über nicht gemeldete Einnahmen des Steuerzahlers.

Häufig flossen in die Schreiben auch spezielle Daten ein, wie etwa die Steuernummer des Empfängers, die Steuerart (in unten stehendem Beispiel ist es die Ertragssteuer) oder die Nummer des Referenzdokuments. In manchen Fällen wurde der Empfänger darüber informiert, dass die von ihm bereits eingereichte Steuererklärung falsch ist.

Um genauere Informationen zu erhalten, wurde der Empfänger aufgefordert, den angehängten Bericht zu öffnen und – nicht selten – das angehängte Formular auszufüllen. Doch stets befanden sich alle benötigten Dokumente angeblich in dem angehängten Archiv, das tatsächlich eine schädliche ausführbare Datei enthielt.

So entdeckte das Kaspersky-Team in derartigen Mitteilungen zum Beispiel Trojaner, die unsere Schutzlösungen als Trojan-PSW.Win32.Fareit.aoee und Trojan.Win32.Bublik.buya erkennen. Die Schädlinge der ersten Familie stehlen Browser-Cookies, Passwörter von FTP-Clients und E-Mail-Programmen und senden diese Daten dann an einen entfernten Server der Cyberkriminellen. Die Schädlinge der zweitgenannten Familie laden Schaddateien auf den Computer und starten sie anschließend.

Phishing

Das Rating der von Phishern angegriffenen Organisationen nach Kategorien führen nach wie vor die Sozialen Netzwerke (23,5 %) an, deren Wert im März um 3,8 Prozentpunkte zurückging. Den zweiten Platz belegen die E-Mail-Dienste (16,6 %). Der entsprechende Wert für die Suchmaschinen (14,4 %) ging um zwei Prozentpunkte zurück, der der Finanz- und Bezahlorganisationen um 3,5 Prozent. Dabei kehrten die Suchmaschinen auf den dritten Platz im Rating zurück und verwiesen die Finanz- und Bezahlorganisationen auf Rang vier. Der Anteil der Phishing-Attacken auf Online-Shops stieg um 8,9 Prozentpunkte, was zur Folge hatte, dass diese Kategorie zwei Positionen nach oben kletterte und im März den fünften Platz im Rating belegte. Der Wert der Telefon- und Internet-Provider stieg geringfügig, trotzdem rutschte diese Kategorie auf Platz sechs ab.


Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Deutsche Banken geraten sehr häufig ins Visier der Phisher. Im März fing das Kaspersky-Team eine weitere betrügerische Versendung ab, die auf den Diebstahl von persönlichen Daten der Nutzer von Online-Banking-Systemen abzielte. In den Schreiben, die angeblich von einem Bankmitarbeiter stammten, wurde dem Empfänger mitgeteilt, dass der Online-Zugriff auf sein Bankkonto demnächst abläuft. Um den Service weiter nutzen zu können, sollte der Nutzer auf einen Link klicken, der aber tatsächlich auf eine Phishing-Seite führte. Dort sollte der Anwender nicht nur Daten eingeben, die für die Anmeldung im Online-Banking-System unerlässlich sind, sondern auch persönliche Informationen.

Die gefälschte Seite war der offiziellen Webseite der Sparkasse nachempfunden. Die E-Mail enthielt keine Sparkassen-Elemente (wie ein Logo oder eine Signatur), die normalerweise von Betrügern eingesetzt werden, um das Schreiben legitim erscheinen zu lassen. Der Domainname des Servers, der im Absenderfeld nach dem „@“ angegeben wurde, gehört übrigens zum wissenschaftlichen Forschungsrat Kanadas, der nicht das Geringste mit der deutschen Sparkasse zu tun hat.

Fazit

Der Spamanteil im weltweiten E-Mail-Traffic ging im März um 6,4 Prozentpunkte auf 63,5 Prozent zurück. Die Gesamtmenge des Feiertagsspams nahm gegenüber dem Vormonat ebenfalls ab. Während Spammer die Osterfeiertage traditionell dazu nutzen, um verschiedene Waren und Ostergeschenke zu bewerben, versuchten Betrüger, sich unter Bezugnahme auf den St. Patrick‘s Day Zugriff auf die Accounts von Nutzern bekannter Sozialer Netzwerke zu verschaffen.

Zudem kursierten im Netz Unmengen von Werbeangeboten, die den Nutzer überreden sollen, eine Fremdsprache unter Einsatz der unterschiedlichsten Lehrmethoden zu erlernen. Nicht wenige Versendungen enthielten Informationen über Methoden zur Optimierung der Telefonverbindung in großen und mittelständischen Unternehmen.

Das Führungstrio im Rating der Länder, die weltweit Spam versenden, setzte sich im März folgendermaßen zusammen: China (24,6 %), USA (17 %) und Südkorea (13,6 %). Bei den Spam-Herkunftsregionen bleibt Asien (58 %) Spitzenreiter.

Für den Versand von Mitteilungen mit schädlichen Anhängen griffen die Cyberkriminellen auf gefälschte Benachrichtigungen nicht nur von bekannten Banken zurück, sondern auch von anderen Finanzorganisationen, deren Tätigkeit beispielsweise mit Steuerzahlungen in Verbindung steht.

Im März wurde das Rating der von Phishern angegriffenen Organisationen nach Kategorien erneut von den Sozialen Netzwerken angeführt. Den zweiten Platz behaupteten die E-Mail-Dienste, und die Suchmaschinen stiegen auf Position drei auf. Deutlich gestiegen ist der Wert der Online-Shops, die den siebten gegen den fünften Rang eintauschten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.