Spam im November 2009

Besonderheiten des Monats

  • Der Spam-Anteil im E-Mail-Traffic sank im Vergleich zum Oktober um 0,9 Prozent
    und lag bei durchschnittlich 84,8 Prozent.

  • Links auf Phishing-Seiten befanden sich in 0,97 Prozent aller E-Mails, das sind 0,06
    Prozent weniger als im Oktober

  • Schädliche Dateien waren in 0,83 Prozent aller E-Mails enthalten, das sind 1,12 Prozent weniger als im Vormonat
  • Das Thema Neujahr kommt im Spam immer häufiger vor
  • Zum Umgehen von Spamfiltern kommen HTML-Tricks zum Einsatz

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic lag im November 2009 bei durchschnittlich 84,9 Prozent. Der niedrigste Wert (78,3 Prozent) wurde am 18. November registriert. Mit einem Anteil von 89,6 Prozent war am 16. November die größte Spam-Menge in Umlauf.


Abb. 1: Spam-Anteil im November 2009

Schädliche Dateien befanden sich in 0,83 Prozent aller E-Mails. Das sind 1,12 Prozent weniger als noch im Oktober.


Abb. 2: November 2009: In Spam-Mails enthaltene Malware

Die Top 10 der Spam-Schädlinge führen diesen Monat die Schadprogramme der Familie Backdoor.Win32.Small an. Bereits im Oktober schaffte ein Schädling dieser Familie den Sprung in die Top 10, aber erst im November überstieg ihr Anteil 45 Prozent. Gleich drei Varianten dieses kleinen Backdoors sind in der Hitliste vertreten: Small.zs, Small.zo und Small.ioa. Jede davon trägt Informationen über den infizierten Rechner zusammen, schickt diese an einen Steuerungsserver und wartet dann auf dessen Befehl. Zudem können die Backdoors auch zusätzliche Komponenten herunterladen.

Beim Versand von Backdoor-Schädlingen dieser Familie griffen die Spammer auf eine Social-Engineering-Technik zurück, die alles andere als neu ist: Sie verschickten die E-Mails mit einem .zip-Anhang names „Photos“, der den Schädling enthielt. In der Nachricht wurden die User entsprechend mit „längst versprochenen Fotos“ geködert.

Den zweiten und sechsten Platz der Hitliste belegen Schädlinge der Familie Downloader.Win32.Agent, vertreten durch die Varianten Agent.cwlc und Agent.cwlb. Beide greifen auf Netzwerkressourcen infizierter PCs zu, um eine URL-Liste zum Download weiterer Schadprogramme zu empfangen.

Zur Verbreitung dieser Schädlinge verwendeten die Spammer gefälschte Meldungen des beliebten sozialen Netzwerks Facebook. Darin wurde dem User mitgeteilt, alle Facebook-Nutzer müssten unabhängig vom Datum ihrer Registrierung einen neuen Kontovertrag bestätigen. Anderenfalls, so behaupteten die Spammer weiter, würde das User-Konto entfernt. Um den Vertrag zu bestätigen, müsste der User lediglich das angehängte Archiv entpacken, das aber tatsächlich den Trojan-Downloader.Win32.Agent.cwlb enthielt.

Zwei Veränderungen im Vergleich zum Vormonat springen ins Auge: Einerseits kehrte der Daten stehlende und Spam versendende E-Mail-Wurm Iksmas in die Top 10 zurück. Zum anderen tauchten im November auf Platz 5 und 10 zwei Versionen von Zbot auf. Mit Trojan-Spy.Win32.Zbot.gen war bereits eine davon in den September-Top-10 vertreten. Trojan-Spy.Win32.Zbot ist ein Trojaner, der vertrauliche Daten des Nutzers ergaunert. Ausführlichere Informationen dazu gibt es hier: www.viruslist.com/de.

Phishing

Am häufigsten wurden auch in diesem Monat die traditionellen Zielscheiben PayPal und eBay angegriffen. Auf diese Organisationen entfielen 44,53 Prozent (+5,61 Prozent) respektive 19,42 Prozent (+12,29 Prozent) aller Phishing-Attacken. Auch Facebook geriet im November stark unter Beschuss und musste 9,03 Prozent aller registrierten Phishing-Attacken hinnehmen. Die Steuerbehörde IRS stand im November dagegen viel seltener im Visier der Phisher als im Vormonat. Der entsprechende Anteil sank um ganze 14 Prozent auf nunmehr 6,21 Prozent.


Abb. 3: Unternehmen, die im November Phishing-Angriffen ausgesetzt waren

Eine bei Phishern äußerst beliebte Organisation, die Bank of America (4,22 Prozent), stand im November im Zentrum eines sehr geschickt eingefädelten Angriffs. Die Empfänger erhielten E-Mails, die wie offizielle Benachrichtigungen der Bank aussahen:

In der oben stehenden E-Mail wird behauptet, Mitarbeiter der Bank of America hätten den Empfänger der Nachricht bereits kontaktiert, um sein Konto zu überprüfen, und jetzt müsse die Verifizierung fortgesetzt werden. Der in der E-Mail enthaltene Link hat mit der Bank natürlich nichts zu tun.

Erwähnenswert ist zudem, dass Spieler des bekannten Online-Games World of Warcraft nach wie vor unablässig Phishing-Attacken ausgesetzt waren, von denen viele durchaus gut gemacht waren. In unten stehendem Beispiel ähnelt die Adresse in der Absenderzeile der realen Adresse der Firma Blizzard Entertainment und man muss schon genauer hinsehen, um die Fälschung als solche zu erkennen. Wie auch im vorhergehenden Fall wird eine „Kontoüberprüfung“ gefordert, die auf einer Phishing-Seite stattfindet.

Spam-Herkunftsländer

Im November blieben die USA unangefochtener Tabellenführer der Spam-Herkunftsländer. Der Anteil am gesamten Spam-Aufkommen sank im Vergleich zum Oktober aber um fast 10 Prozent. Brasilien hingegen, das sich mehrere Monate lang auf Platz 2 halten konnte, wurde auf Position 4 verdrängt, obwohl sein Beitrag zum weltweiten Spam-Traffic im Vergleich zum Vormonat um 0,7 Prozent gestiegen ist. Russland rückte im November mit etwas über 8 Prozent am globalen Spam-Aufkommen (+2,8 Prozent) auf den 2. Platz vor. Den dritten Platz belegte Indien mit fast doppelt so viel Spam (7,2 Prozent) wie in den Vormonaten. Den fünften, sechsten und achten Platz belegten die schon traditionell in den Top 10 vertretenen Länder Vietnam, Korea und Polen, deren Werte fast unverändert blieben. Auf Platz 7 landete Italien mit 1,2 Prozent mehr Spam als im Oktober. Aus Deutschland wurden 1,4 Prozent des weltweiten Spam-Aufkommens versendet – damit viel das Land von Platz 14 auf Platz 19 zurück.

Die thematische Zusammensetzung von Spam

Im englischsprachigen Raum führt Spam, in dem Arzneimittel und Imitate verschiedener Luxusartikel angepriesen werden, die Tabelle an. Selbstverständlich wird in Spam-Nachrichten immer häufiger das Thema „Weihnachten“ aufgegriffen. Besonders aktiv verwenden es diejenigen Spammer, die Fälschungen von Markenwaren anbieten.

Im deutschsprachigen Raum bleibt Abnehmen das häufigste medizinische Thema. Um die Aufmerksamkeit der User auf ihre Werbung zu lenken, verwendeten die Spammer im November verschiedene aufs Fest der Liebe bezugnehmende Betreffzeilen, etwa „Santa Claus ist schlanker geworden!“ oder „Wissen Sie, wie der Weihnachtsmann abnimmt?“ – im unten stehenden Beispiel allerdings nach wie vor mit Michael Jackson im Betreff.

Zwei weitere Themen, die oft in englischsprachigen Spam-Mails vertreten waren, sind Werbung für billige Software – meist schon im Zusammenhang mit dem Thema Weihnachen –, sowie Nachrichten, die wir dem Thema „Computerbetrug“ zuordnen. In der Vorweihnachtszeit wird verstärkt an das Religionsgefühl der User appeliert. Wir haben zum Beispiel eine Mail von einer unglücklichen Witwe bekommen, die bereit wäre, einem gottgefälligen Christen ein wenig vom Millionenerbe ihres verstorbenen Mannes zu spenden.

Weihnachten hat jedoch nicht nur den Inhalt von Nigeria-Mails oder Nachrichten beeinflusst, die Imitate von Luxuswaren anpreisen. Jahr für Jahr versenden Spammer auch E-Mails, die Waren und Dienstleistungen mit Weihnachtsbezug bewerben. In diesem Jahr eröffnete eine Spam-Charge den Reigen, in der persönliche Briefe vom Weihnachtsmann für Kinder angeboten wurden.

Im deutschen Spam gab es nach wie vor relativ viele fragwürdige Gewinnangebote. Im November beobachteten wir eine Aussendung, die den Usern einen neuen Job zu Beginn des kommenden Jahres anbot.

Methoden und Tricks der Spammer

Im November wurden weiterhin E-Mails verbreitet, deren HTML-Code an verschiedenen Stellen zufällige Symbole und ganze Blöcke von Bindestrichen unterschiedlicher Anzahl enthielt. Dabei sahen die Nachrichten im E-Mail-Programm des Benutzers so aus wie immer.

Fazit

Im letzten Herbstmonat war ein anhaltender Zuwachs von Betrugs-Spam zu verzeichnen. Nach unseren Schätzungen wird sich die Situation im Dezember weiter verschlechtern, weil die Aufmerksamkeit der User um den Jahreswechsel immer etwas nachlässt, woraus Gauner zweifelsohne auch diesmal ihren Nutzen ziehen werden.

Eine geringere Anzahl von Schädlingen im November besagt nicht, dass sie auch im Dezember abnehmen werden, denn in der Zeit um Weihnachten und Neujahr werden elektronische Postkarten im großen Stil verschickt. Es ist daher sehr wahrscheinlich, dass Schadprogramme wieder in Gestalt von Weihnachtspostkarten verbreitet werden.

Im Dezember wird sich zweifellos eine Tendenz fortsetzen, die sich bereits im November abzeichnete – die Menge des Spams mit Weihnachtsbezug wird weiter zunehmen.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.