Spam im Oktober 2013

Inhalt

    Die wichtigsten Ereignisse des Monats

    Auch im Oktober nutzten die Spammer die Namen verschiedener bekannter Unternehmen aktiv aus, um schädliche ZIP-Dateien zu verbreiten. Die Kaspersky-Experten registrierten, dass die Spammer bei einigen Versendungen nicht unbedingt übliche und sogar sehr exotische Dienstleistungen bewarben – Liebeszauber, Beschwörungsformeln für den Karrieresprung sowie schwarze und weiße Magie. Auch die Zahl der Angebote für Werbegeschenke mit aufgedrucktem Firmenlogo ist beträchtlich gestiegen. Derartige Versendungen gibt es mittlerweile in allen von Kaspersky Lab zur Spam-Analyse beobachteten Sprachen. Der Feiertags-Spam war folgerichtig Allerheiligen beziehungsweise Halloween und den bevorstehenden, lang erwarteten Feiertagen gewidmet: Weihnachten und Silvester. Darüber hinaus bezogen sich die Spammer auch auf die schwierige politische Lage in Syrien, um Anwender zu betrügen.

    Spam aus dem Jenseits

    Entsprechend der Vorhersage des Kaspersky-Teams stieg im Oktober die Zahl der Versendungen mit Halloween als Thema, da dieses Gruselfest alljährlich am Ende des Monats begangen wird.

    Im englischsprachigen Spam wurde traditionell Werbung für Kostüme und verschiedene personalisierte Artikel verschickt, die im Dunkeln leuchten. Die Aufmachung solcher Mitteilungen wurde in diesem Jahr nicht einmal geändert, sondern es kamen Schablonen zum Einsatz, die den Kaspersky-Experten bereits aus dem letzten Jahr bekannt sind. Lediglich die Adresse im Absenderfeld wurde geändert und ein Link auf eine erst kürzlich erstellte Redirect-Webseite hinzugefügt. In den E-Mails boten kleine und mittelständische Unternehmen potenziellen Kunden Waren an, die im Stil des bevorstehenden Festes aufgemacht waren, und luden sie am Vorabend von Allerheiligen zu Halloween-Partys ein.

     

    Im Oktober verschickten auch die Organisatoren von Webinaren Einladungen, die ebenfalls im Halloween-Stil aufgemacht waren – mit farblich hervorgehobenem Text, Abbildungen von Grabsteinen und Skeletthänden, die auf einen Link mit näheren Informationen zu der Veranstaltung zeigten. Das Thema des Webinars hatte dabei gar nichts mit dem Anlass zu tun. Die Halloween-Aufmachung diente lediglich dazu, die Aufmerksamkeit der Empfänger zu erregen.

     

    Kurz vor Halloween fing Kaspersky Lab mehrere Versendungen von chinesischen Fabriken und Betrieben ab, die für Kostüme, Masken und Dekorations-Artikel warben. Um den Empfänger dafür zu interessieren, kamen einige der E-Mails in Grusel-Aufmachung daher, mit Bildern der Accessoires und der dazugehörigen Preise. In anderen Mitteilungen wurde nur auf die Adresse der Webseite verwiesen, auf der man sich mit dem Warenangebot vertraut machen kann.

     

    Im Oktober kursierte zudem Halloween-Spam in deutscher Sprache, darunter E-Mails mit Kasino-Werbung, die die Empfänger mit einem Halloween-Bonus lockten. Verschiedene Unternehmen boten zudem Festtagsrаbatte an. Die E-Mails waren im Stil des Festes aufgemacht, und im Betreff wurde traditionell auf Halloween hingewiesen.

     

    Weihnachts- und Neujahrs-Spam

    Im Oktober stieg die Menge des Weihnachts- und Neujahrs-Spams merklich an, da bereits zu dieser Zeit die Vorbereitungen auf die bevorstehenden Feiertage beginnen.

    In den englischsprachigen Versendungen war die Werbung für nachgemachte Markenuhren und günstige Kredite zeitlich auf die Vorweihnachtszeit abgestimmt. Unternehmen bekamen USB-Sticks in Form des Weihnachtsmanns sowie Süßigkeiten mit dem Firmenlogo oder Weihnachtswünschen als Werbegeschenke für Kunden angeboten.

     

    Auch chinesische Hersteller nutzten die nahende Weihnachtszeit, um ihre Produkte zu bewerben. Im Oktober boten sie Leuchtmittel zur Ausrichtung von Weihnachtsfeiern sowie andere Waren in weihnachtlicher Aufmachung feil. Den Kaspersky-Experten sind derartige chinesische E-Mails in diesem Jahr zum ersten Mal untergekommen.

    Im vergangenen Monat versuchten auch Firmen, deren Waren und Dienstleistungen in keiner Weise mit den winterlichen Festen in Zusammenhang stehen, Kunden mit Rabatten zu locken, die der Weihnachtszeit und dem Jahreswechsel zu Ehren gegeben werden.

     

    Syrische Begierden

    Die schwierige politische Lage in Syrien wird aktiv in „nigerianischen E-Mails“ ausgenutzt, wie wir bereits in unserem Blog berichteten. Im Oktober hatte es das Kaspersky-Team immer wieder mit neuen Beispielen für derartige betrügerische Schreiben zu tun.

    So trafen wir beispielsweise auf nigerianische E-Mails mit Bezug auf Syrien, deren Absender als Soldat der syrischen Streitkräfte auftrat. In einer anderen Versendung stellten sich die Betrüger als Mitglieder der Friedensmission der Vereinten Nationen in Syrien vor und schrieben – um das Interesse des Opfers zu wecken – dass sie ihm etwas Wichtiges mitzuteilen hätten. Sie setzten darauf, dass der nun neugierige Anwender in Hoffnung auf mehr Informationen auf das Schreiben antwortet. In einer anderen, weitaus interessanteren Versendung stellten sich die Betrüger als Soldatin und Teilnehmerin der „friedensstiftenden Mission“ in Syrien vor, die sehr gern mit dem Empfänger zwecks Aufbau einer ernsthaften Beziehung Bekanntschaft schließen möchte. Das Opfer erwartet kaum, dass eine einfache Bekanntschaft etwas mit Betrug zu tun haben könnte. Doch in der Praxis passiert genau das: Sobald sich die Betrüger das Vertrauen des Opfers erschlichen haben, geschieht der Brieffreundin irgendein Unglück und nur die Überweisung einer bestimmten Geldsumme durch den fernen Bekannten kann sie retten. Oder im Laufe der Korrespondenz wird die klassische Geschichte über irgendwelche Millionen erzählt, gefolgt von dem Versprechen einer Belohnung für die Hilfe beim Aufbewahren oder Anlegen des Geldes. Das Ergebnis ist allerdings immer gleich: Das Opfer wird um eine gewisse Geldsumme gebracht, und die Betrüger antworten nicht länger auf die Schreiben und verschwinden auf Nimmerwiedersehen.

     

    Im Oktober waren zudem viele betrügerische E-Mails in Umlauf, in denen angebliche syrische Bürger um Hilfe bei der gewinnbringenden Investition ihrer Ersparnisse baten. Als Absender wurden nicht nur Bürger vorgeschoben, die aufgrund der politischen Unruhen aus dem Land fliehen mussten, sondern auch Rentner, die angeblich ein riesiges Vermögen angehäuft haben. Die Betrüger spielen dabei nicht nur mit der menschlichen Gier, sondern sie versuchen auch, Mitleid bei den Empfängern ihrer E-Mails zu wecken, indem sie davon berichten, dass der Absender und seine Kinder verfolgt werden. Um zusätzliche Informationen zu erhalten, bitten die Betrüger den Empfänger, über die in der E-Mail angegebene Adresse Kontakt aufzunehmen.

     

    Magie, Magie en asuntos de magia

    Das bemerkenswerteste Thema der Spam-Versendungen im Oktober war die Magie in ihren unterschiedlichsten Ausformungen. „Experten“ auf den Gebieten der weißen und schwarzen Magie boten ihre Dienste an, und zwar sowohl im Runet als auch im englischsprachigen Internet.

    Der am weitesten verbreitete Service der Magiedienstleister bestand in der Lösung von amourösen Problemen mit Hilfe eines Liebeszaubers: Die Hexenmeister garantierten die Rückkehr des Geliebten und das Knüpfen unlösbarer Bande mit ihm (oder mit ihr). Die Autoren der Versendungen boten zudem Zaubersprüche zur Festigung wie auch zur Zerstörung von Ehen an sowie Beschwörungsformeln gegen Unfruchtbarkeit, für das berufliche Vorankommen sowie zur Lösung allerlei anderer wichtiger Probleme. In der Regel waren solche E-Mails nicht personalisiert und stammten von Adressen, die bei kostenlosen E-Mail-Diensten registriert sind. Neben der Aufzählung der Dienstleistungen enthielten sie die E-Mail-Adresse des jeweiligen Magiers, die sich von der Absenderadresse unterschied, sowie eine Kontakt-Telefonnummer.

     

    Wie die Kaspersky-Experten schon mehrfach nachgewiesen haben, ist Spam eine der beliebtesten Methoden, um Werbegeschenke mit Firmenlogo anzubieten, wie beispielsweise Kalender, Stifte, Kaffeebecher und anderes in dieser Art.

     

    Besonderer Beliebtheit erfreuten sich bei den Spammern in letzter Zeit USB-Sticks und Speicherkarten mit dem Logo der Auftraggeber-Firma. Die Autoren solcher Versendungen versprechen, auf Wunsch des Kunden jedes Logo auf ihre Produkte zu prägen.

     

    Solche Versendungen treffen ständig und in verschiedenen Sprachen (auf Russisch, Englisch, Deutsch, Spanisch, Schwedisch und anderen) bei Kaspersky Lab ein.

    Statistik

    Spam-Herkunftsländer

    Der Spam-Anteil im weltweiten E-Mail-Traffic stieg im Oktober 2013 um 6,6 Prozentpunkte und betrug damit 72,5 Prozent. Dabei hat sich die Situation bei den Spam-Ursprungsländern, die unerwünschte Nachrichten in die ganze Welt versenden, praktisch nicht geändert. An der Spitze stehen nach wie vor China (21,3 %), die USA (17,2 %) und Südkorea (13,3 %). Zwar ging der Spam-Anteil aus diesen Ländern geringfügig zurück, aber um nicht mehr als einen Prozentpunkt je Land. Insgesamt wurde im Oktober aus diesen drei Ländern mehr als die Hälfte des weltweiten Spamaufkommens versendet.

    Spam-Herkunftsländer weltweit

    Auf der vierten Position befindet sich Taiwan (7,1 %), dessen Anteil an der versendeten Spam-Menge um 1,1 Prozentpunkte zugenommen hat.

    Den fünften Platz im Rating belegt Russland (6,8 %), wobei der Wert dieses Landes im Vergleich zum Vormonat um fast zwei Prozentpunkte zugenommen hat.

    Um 1,5 Prozentpunkte zurückgegangen ist der aus Indien stammende Spam-Anteil – mit 3,5 Prozent sackte das Land im Oktober von der fünften auf die achte Position ab.

    Abgeschlossen werden die Top 10 von Japan (1,9 %), das eine Position eingebüßt hat.

    Spam-Herkunftsländer für Europa

    Angeführt wurde das Rating der Spam-Herkunftsländer für Europa im Oktober von Südkorea, obwohl dessen Anteil abgenommen hat (minus 3,7 Prozentpunkte) und insgesamt 51,3 Prozent betrug. Den zweiten Platz belegt nach wie vor Taiwan – dieses Land kommt auf einen Wert von 7,4 Prozent. Abgeschlossen wird das Führungstrio in diesem Monat von Russland (plus 0,9 Prozentpunkte) mit einem Wert von 5,2 Prozent.

    Um 1,5 Prozentpunkte zurückgegangen ist der aus Vietnam (2,6 %) versendete Spam-Anteil, und der aus Indien (2,1 %) um 2,7 Prozentpunkte. Das hatte zur Folge, dass diese Länder einige Positionen einbüßten und auf den Plätzen sieben respektive acht landeten.

    Die aus Italien stammende Spam-Menge ist um 1,2 Prozentpunkte gestiegen. Im Oktober belegte dieses Land mit einem Wert von zwei Prozent die neunte Position. Unter den ersten Zehn befindet sich zudem Hongkong (plus 2 Prozentpunkte), das die sechste Position belegt.

    Auf der letzten Position der Top 10 steht Kasachstan (1,7 %). Die Werte der übrigen Länder haben sich nicht wesentlich verändert.

    Spam-Quellen nach Regionen

    Bei den Spam versendenden Regionen bleibt Asien im Oktober mit einem Anteil von 56,4 Prozent Spitzenreiter, trotz eines leichten Rückgangs (minus 2,4 Prozentpunkte) der Spammer-Aktivität auf diesem Gebiet. Auf dem zweiten Platz positionierte sich die Region Nordamerika (19,1 %), deren Wert um einen Prozentpunkt zurückging. Abgeschlossen wird das Trio von Osteuropa (16,1 %), wo ein Zuwachs des Spam-Anteils um 3,8 Prozentpunkte im Vergleich zum Vormonat zu beobachten war. Darauf folgen Westeuropa (4,2 %) und Lateinamerika (2,1 %).

    Schädliche Anhänge und Links

    Im Oktober sah die Top 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen aus:

    Top 10 der via E-Mail verbreiteten Schadprogramme

    Den ersten Platz unter den via E-Mail verbreiteten Schadprogrammen belegt nach wie vor der wohlbekannte Trojan-Spy.HTML.Fraud.gen. Bei diesem Schädling handelt es sich um eine Phishing-HTML-Seite, die sich als wichtige Mitteilung von Banken, Online-Shops sowie verschiedenen Dienstleistern tarnt und via E-Mail verbreitet wird.

    Auf Position zwei befindet sich Trojan-PSW.Win32.Fareit.amdp. Dieses Schadprogramm stiehlt Passwörter, Anmeldedaten und andere vertrauliche Informationen von infizierten Computern. Trojan-PSW.Win32.Fareit.amdp zeichnet nicht nur Tastatureingaben auf, sondern durchsucht nach dem Start auch die Windows-Registry und Systemdateien, in denen vertrauliche Daten gespeichert werden.

    Wieder zurückgekehrt auf Platz drei ist Email-Worm.Win32.Bagle.gt. Dieser E-Mail-Wurm versendet sich selbst an alle E-Mail-Adressen, die er auf dem infizierten Computer gefunden hat. Zudem ist der Wurm in der Lage, ohne Wissen des Anwenders Dateien aus dem Internet zu laden. Für den Versand der infizierten Mitteilungen nutzt Email-Worm.Win32.Bagle.gt eine eigene SMTP-Bibliothek.

    Am aktivsten sind die Schadprogramme der Familie Bublik: Besetzten die Schädlinge dieser Familie im September noch vier Positionen in den Top 10, so waren es im Oktober schon fünf Plätze, und zwar der vierte, sechste, siebte, achte und neunte Platz. Die Hauptfunktion der Programme dieses Typs liegt im vom Anwender unbemerkten Download und Start neuer Schadprogrammversionen auf seinem Rechner. Hat das Programm diese Aufgabe erfüllt, so kopiert es sich zudem in das temporäre Verzeichnis. Es tarnt sich als Anwendung oder Dokument von Adobe.

    Die fünfte Position belegte im Oktober die Malware Trojan-Ransom.Win32.Blocker.cmmb. Trojaner dieser Familie sind ein klassisches Beispiel für Erpresser-Schadprogramme. Bei der Installation auf dem Computer schreiben sich diese Schädlinge in die Liste der Autostart-Programme und blockieren den Start des Betriebssystems. Gelingt das, zeigen sie auf dem Bildschirm ein Fenster mit der Forderung an, eine SMS mit einem bestimmten Text an die angegebene Kurznummer zu senden. Im Gegenzug wird dem Nutzer die Zusendung des Entsperrungscodes versprochen, der das Schadprogramm deaktiviert und das Booten wieder erlaubt.

    Die Top 10 der via E-Mail verbreiteten Schadprogramme werden vom wohlbekannten Email-Worm.Win32.Mydoom.l abgeschlossen, bei dem es sich um einen Netzwurm mit der Funktionalität einer Backdoor handelt. Der Schädling wird in Form von E-Mail-Anhängen, über Filesharing-Netzwerke und quelloffene Netzressourcen verbreitet. Die Empfängeradressen für diese E-Mails sammelt der Wurm auf den infizierten Computern. Um die E-Mails zu verschicken, baut der Wurm eine direkte Verbindung zum SMTP-Server des Empfängers auf.

    Besonderheiten im Schad-Spam

    Im vergangenen Monat stieß Kaspersky Lab auf eine umfassende Schadversendung im Namen von Telus Mobility, dem größten Telekommunikationsunternehmen in Kanada. Der Text in den E-Mails dieser Versendung war zweisprachig – auf Englisch und auf Französisch, den Amtssprachen Kanadas – und lautete „Sie haben eine Nachricht von einem TELUS-Telefon erhalten. Zusätzliche Informationen über die Dienstleistungen des Unternehmens erhalten Sie auf dessen Webseite. Können Sie die Datei nicht aufrufen, so installieren Sie den Quick Time Player“. Die Links aus der E-Mail führten tatsächlich auf die offizielle Webseite des Unternehmens, und der Link zum Download des Players verwies – wie es sich gehört – auf eine Webseite von Apple.

     

    An die E-Mail war ein ZIP-Archiv gehängt, in dem sich die empfangene Mitteilung befinden sollte. Tatsächlich enthielt das Archiv aber eine ausführbare Datei mit doppelter Erweiterung, von denen die erste ein Grafikformat war, um  den Anhang als Bild auszugeben. Bei der ausführbaren Datei handelte es sich um ein Schadprogramm, das zu einer der am weitesten verbreiteten Familien gehört, die Cyberkriminelle mittels E-Mail in Umlauf bringen, und zwar Zeus/Zbot. Die Lösungen von Kaspersky Lab erkennen den Schädling als Trojan-Spy.Win32.Zbot.qmeb. Verbrecher setzen Schadprogramme dieser Familie zum Diebstahl von verschiedenen Bankinformationen ein. Zu allem Überfluss verwenden sie auch Rootkit-Technologien, was es ihnen ermöglicht, ihre ausführbaren Dateien und Prozesse erfolgreich vor dem System (aber nicht vor einem Antivirus-Programm) zu verbergen.

    Phishing

    Im Oktober betrug der Anteil an Phishing-Mails am globalen E-Mail-Aufkommen 0,027 Prozent.

    Top 100 der im Oktober 2013 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

    Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

    Das Rating der von Phishern angegriffenen Organisationen unterlag im Oktober keinen wesentlichen Veränderungen. Den ersten Platz belegen wie auch schon in den Vormonaten die Sozialen Netzwerke mit 28,2 Prozent. Unter den ersten drei Plätzen befinden sich auch die E-Mail-Dienste (18,9 %), deren Wert um 0,8 Prozentpunkte gestiegen ist. Auf dem dritten Rang landen die Suchsysteme (16,1 %), wobei der Anteil der Phisher-Angriffe auf diese Kategorie um 0,9 Prozentpunkte angestiegen ist.

    Der Anteil der Finanz- und Bezahlorganisationen (15,4 %) hat um 0,5 Prozentpunkte zugenommen, und nach den Oktober-Ergebnissen hält diese Kategorie den vierten Platz. Der Wert der Telefon- und Internetprovider (8,4 %) blieb unverändert, sie belegen nach wie vor die fünfte Position. Der Wert der IT-Anbieter (7,0 %) ging um 0,9 Prozentpunkte zurück, trotzdem hielten sie den sechsten Platz im Rating.

    Fazit

    Der Spam-Anteil im globalen E-Mail-Traffic stieg im Oktober um 6,6 Prozentpunkte und betrug 72,5 Prozent. Das hängt mit der zunehmenden Zahl von Auftrags-Spam zusammen. Der Spam-Anteil ist im Oktober wieder auf dem Niveau der Frühjahrswerte angekommen, was in der Regel immer im Herbst eintrifft, wenn die Geschäftstätigkeit nach der Sommerflaute wieder ihr normales Niveau erreicht hat.

    Der Feiertags-Spam mit Bezug auf Halloween aber auch auf Weihnachten und Neujahr wurde im Oktober von den Spammern aktiv genutzt, um verschiedene Waren und Dienstleistungen zu bewerben, darunter auch solche, die nichts mit den erwähnten Feiertagen zu tun haben. Traditionell versenden die Spammer Weihnachts- und Neujahrs-Spam von Oktober bis Dezember. Folglich wird das Kaspersky-Team auch im November Versendungen abfangen, die die winterlichen Festtage zum Thema haben.

    Im Oktober nutzten die Spammer auch politische Ereignisse auf der ganzen Welt aus. So wurde beispielsweise in „nigerianischen“ E-Mails auf die komplizierte Situation in Syrien Bezug genommen, um die Empfänger zu betrügen und ihnen Geld aus der Tasche zu ziehen.

    Das Rating der von Phishern angegriffenen Organisationen unterlag im Oktober keinen großen Veränderungen. Die Werte der vier Spitzenreiter nahmen geringfügig zu. Die Sozialen Netzwerke belegen nach wie vor die Spitzenposition, ihr Wert nahm allerdings nur um 0,04 Prozentpunkte zu. Darauf folgen E-Mail-Dienste und Suchmaschinen. Die steigende Tendenz der Attacken auf Finanzorganisationen wird sich auch im nächsten Monat fortsetzen.

    Die Cyberkriminellen missbrauchen immer häufiger die Namen bekannter Telekommunikationsanbieter, um Schadprogramme zu verbreiten. Im September nutzten sie den Namen der britischen BT Group zur Verbreitung des trojanischen Downloaders Trojan-Downloader.Win32.Dofoil aus, und im Oktober befand sich Telus Mobility, der größte Telekommunikationsdienstleister Kanadas, im Visier der Cyberkriminellen. Immer größere Verbreitung finden die Schadprogramme der Familie Bublik, die im Oktober fünf Positionen in den Top 10 der via E-Mail verbreiteten Schadprogramme belegen.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.