Spam im September 2009

Besonderheiten des Monats

  • Der Spam-Anteil im E-Mail-Traffic erhöhte sich im Vergleich zum August um 1,2 Prozent und erreicht durchschnittlich 86,3 Prozent.
  • Links auf Phishing-Seiten befanden sich in 0,84 Prozent aller E-Mails, das sind 0,25 Prozent weniger als im August.
  • Schädliche Dateien waren in 1,22 Prozent aller E-Mails enthalten, 1,17 Prozent mehr als im Vormonat.
  • Um die Spamfilter zu umgehen, tarnten Cyberkriminelle ihre Mails als Benachrichtigungen von Blogs und Foren.

Der Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic betrug im September 2009 durchschnittlich 86,3 Prozent. Der niedrigste Wert (83,3 Prozent) wurde am 18. September gemessen, der höchste Wert (91,3% Prozent) am 27. September.


Abb. 1: Spam-Anteil im Runet* im September 2009

* Mit Runet ist das russische Internet gemeint.

Schädliche Dateien befanden sich in 1,22 Prozent aller E-Mails. Dieser Wert ist deutlich größer als in den vergangenen Monaten (+1,17 Prozent im Vergleich zu August).


Abb. 2: Schädliche Software, die im September in Spam-Mails enthalten war

Die Top 10 der Spam-Schädlinge hat sich gegenüber dem Vormonat im September stark verändert. So fielen die Würmer der Familie NetSky – im August noch Spitzenreiter – weit zurück, lediglich Email-Worm.Win32.NetSky.q kam noch in die Top 10.

Im September standen die Trojaner der Familie FraudLoad ganz vorne. Fast die Hälfte aller infizierten E-Mails enthielt Trojaner dieser Gattung. Der Trojaner installiert auf dem Rechner des Opfers ein gefälschtes Antiviren-Programm.

Völlig unerwartet kam Trojan-Downloader.Win32.Murlo.cba in die Top 10 – ein „alter Bekannter“, der sich in 28,5 Prozent aller Junk-Mails mit schädlichen Anhängen befand.

Dagegen sind Trojaner der Gattung Zbot in diesem Monat in den Top 10 recht spärlich vertreten. Auf Platz acht befindet sich die Modifikation Trojan-Spy.Win32.Zbot.gen, verbreitet in 0,81 Prozent aller infizierten Mails. Trojan-Spy.Win32.Zbot.gen ist eine trojanische Spyware, die für das Ausspionieren vertraulicher Anwenderdaten eingesetzt wird.

Auffällig ist auch, dass Bredolab im September im Gegensatz zu den Top 10 im Vormonat keine Rolle mehr spielt.

Um schädliche Anhänge zu verbreiten, nutzten Spammer zwar keinen neuen, allerdings einen effektiven Trick. So fanden sich in zahlreichen Spam-Mails schädliche Anhänge als ZIP-Archive, die wie offizielle Benachrichtigungen von DHL und UPS aussahen. Ähnliche Spam-Mails waren bereits zwischen Mai und August im Umlauf, im September stellte Kaspersky Lab allerdings einen starken Anstieg solcher Mails fest. Interessant ist auch, dass sich aktuelle Spam-Mails, die den Namen DHL missbrauchen, deutlich von denen im Juni unterscheiden. Erstens war der Spam im Juni ausschließlich an deutsche Anwender gerichtet, zweitens wurde der Schädling nicht als ZIP-Archiv an die Mails angehängt, sondern befand sich auf der Webseite, auf die in den Spam-Mails verlinkt wurde. Da der UPS-Spam ähnlich aufgebaut war (Schädlinge in ZIP-Dateien getarnt), kann man davon ausgehen, dass die Spammer Methoden und Technologien voneinander übernehmen.



Abb. 3: UPS- und DHL-Spam-Mails im August

Die über UPS- und DHL-Spam-Mails verbreiteten Schädlinge waren sehr unterschiedlich. Unter anderem wurde hier auch Bredolab gesichtet. Dieses Backdoor wurde auch in Spam-Mails verbreitet, die angeblich von Western Union stammten. Ein schönes Beispiel für die Social-Engineering-Tricks der Cyberkriminellen. Dem Anwender wurde mitgeteilt, dass er der Empfänger eines relativ großen Geldbetrags sei, im Anhang würde er die Kontrollnummer der Geldüberweisung (MTCN=Money Transfer Control Number) finden, die für den Empfang des Geldbetrages notwendig sei.


Abb. 4: Beispiel einer Spam-Mail, die im September angeblich von
Western Union verschickt wurde

Auch im folgenden Beispiel wurde ein Schädlilng als ZIP-Archiv mitgeschickt, die Spam-Mails kamen im Namen eines Internetshops. Dabei waren die Mails relativ unprofessionell gemacht: keine Bezeichnung des Shops, keine persönliche Anrede und keine Angaben dazu, wie man auf die Mail antworten kann.


Abb. 5: Spam-Mail mit schädlichem Schadcode im ZIP-Anhang

Phishing

Links zu Phishing-Seiten waren in 0,84 Prozent aller E-Mails enthalten, ein Rückgang um 0,25 Prozent im Vergleich zum August. Im September wurde der Online-Bezahldienst PayPal am häufigsten für Phishing-Angriffe missbraucht – mit doppelt so vielen Angriffen wie im August (+18,68 Prozent). Insgesamt wurden 37,33 Prozent aller Phishing-Angriffe im September auf Kosten von PayPal durchgeführt.

Auf dem zweiten Platz liegt die US-amerikanische Steuerbehörde IRS. Insgesamt wurden im September 11,08 Prozent aller Phishing-Angriffe unter dem Namen der IRS getarnt. Allerdings handelte es sich nicht um klassische Phishing-Angriffe, denn mit den gefälschten E-Mails wurde Zbot (Trojan-Spy.Win32.Zbot) verbreitet.


Abb. 6: Unternehmen, die Phishing-Angriffen ausgesetzt waren

Ende September tauchten Phishing-Mails auf, die sehr professionell als Mailing von PayPal getarnt waren:


Das verwendete Logo, das Layout sowie der Absender sahen exakt aus wie die offiziellen E-Mails von PayPal. Dennoch konnten aufmerksamer Anwender Unstimmigkeiten feststellen. In erster Linie über Links, die in offiziellen PayPal-Mails auf die Homepage des Online-Bezahlsystems führen. Die Spam-Mails hingegen enthielten einen einzigen Link, den man zur Verifizierung der eigenen persönlichen Daten anklicken konnte. Zudem war der angebliche „November-Newsletter“ mit Dezember 2009 datiert und bezog sich inhaltlich auf den „kommenden Oktober“. Und die Spam-Mails enthielten den Satz «According the new changes in Service Agreement any unverified account will be deleted from the system in 72 hours after receiving this letter» (Gemäß neuer Servicevereinbarung werden alle nicht verifizierten Accounts binnen 72 Stunden im System gelöscht), ein starkes Indiz für eine Phishing-Mail. Auch übersahen die Cyberkriminellen den Buchstaben „h“ am Anfang der Adresse („ttp“ statt „http“), infolge dessen der Browser den Nutzer nicht auf die Seite der Phisher weiterleitet. So waren selbst unachtsame Anwender glücklicherweise vor dem Phishing ihrer Daten sicher.

Der Phishing-Newsletter, der an deutschsprachige Nutzer verschickt wurde, war dem Original weniger ähnlich und sehr kurz:


Der Link leitete die Opfer zu einer Seite, die nur sehr kurz existierte und auf der man seine Login-Daten und das Passwort für den „Zugang zum System“ eingeben musste.

Ein weiterer interessanter Phishing-Versuch wurde als Newsletter der Bank Alliance & Leicester verschickt:


Natürlich verbirgt sich hinter dem in der Spam-Mail enthaltenen Link („Click here to read“) eine Phishing-Seite, die den Anwender nach seinen Login-Daten und seinem Passwort fragt, damit dieser die empfangene Nachricht lesen kann. Bemerkenswert ist diese Mail deshalb, weil die Phisher sich nicht die Mühe gemacht haben, den Massencharakter dieser Nachricht zu verbergen. Betrachtet man das Empfängerfeld der Mail genauer, stellt man fest, dass alle Adressen, an die diese Nachricht gerichtet war, mit dem Namen „Alexander“ beginnen.

Spam-Herkunftsländer


Abb. 7: Spam-Herkunftsländer

Im September waren die USA wieder auf der Spitzenposition aller Länder, von denen aus Spam gesendet wurde. Fast ein Drittel des gesamten Spam-Aufkommens kam aus den Vereinigten Staaten, insgesamt 32,47 Prozent – das ist ein Zuwachs von 28,67 Prozent im Vergleich zum Vormonat. Brasilien hingegen rutschte auf Platz zwei ab, mit 5,97 Prozent aller Spam-Mails weltweit (im August waren es noch 11,8 Prozent). Ansonsten ist der asiatische Raum unter den Spam-Herkunftsländern stark vertreten: Vietnam und Korea mit jeweils 4,22 Prozent, China mit 3,90 Prozent und Indien mit 3,50 Prozent. Deutschland belegt hier den vierzehnten Platz mit einem Anteil von 1,58 Prozent am gesamten Spam-Aufkommen.

Die thematische Zusammensetzung von Spam

Über die Hälfte aller deutschsprachigen Spam-Mails im September können den Themen „Medizin“, „medizinische Waren“ und „Dienstleistungen“ zugeordnet werden.

Die Verkäufer von Viagra versuchten im September einen neuen Weg einzuschlagen, indem sie ihre Spam-Mails als „Gesundheits-Newsletter“ tarnten:


Beim Klicken auf die in diesem „Newsletter“ enthaltenen Links, kamen Internetanwender auf Webseiten von Viagra-Anbietern.

In deutschsprachigen Spam-Mails mit sehr persönlichem Inhalt wurden spezielle Pillen gegen Männerkrankheiten beworben:


Das Thema „EDV-Betrug“ war im September im deutschen Spamverkehr bei Cyberkriminellen sehr beliebt, wie die folgende Mail beweist:


In deutschsprachigen Spam-Mails werden laufend Angebote für zweifelhafte Verdienstmöglichkeiten angepriesen. So etwa das folgende Angebot:


Der Bereich „Andere Waren und Dienstleistungen“ war im September ebenfalls sehr präsent im deutschsprachigen Spam. So nutzten die Spammer einen interessanten Social-Engineering-Trick, um Stühle zu verkaufen. Anwender, die diese Mails öffneten, sahen zuerst ein erotisches Bild und erst anschließend unter dem Bild einen Text, in dem sinngemäß stand, dass das „heiße“ Bild die „schmelzenden Preise“ für Stühle symbolisiere:


Außergewöhnlicher Spam

Die Spammer betätigten sich im September wieder einmal als Krisenhelfer, indem sie Anwendern in Zeiten der Wirtschaftskrise Hilfe über Online-Leihhäuser anboten. Die Spam-Mails sahen wie folgt aus:


Die Mails enthielten ein Ankaufsgesuch nach Gold im Stil einer tatsächlich existierenden Webseite. Wenn man jedoch den in der Mail enthaltenen Links folgt, öffnet sich etwas völlig Unerwartetes:


Hierbei handelt es sich wieder einmal um ein gefälschtes Antiviren-Programm – ein in jüngster Zeit sehr beliebter Trick, um Anwender in die Falle zu locken. Dem User wird angeboten, seinen PC für 40 US-Dollar zu überprüfen und zu reparieren.

Dabei tut die auf hohe Aktivität deutende „Antiviren-Software“ in Wirklichkeit überhaupt nichts: weder etwas Gutes, noch etwas Böses (abgesehen davon, dass der User für diesen Betrug 40 Dollar zahlt).


Methoden und Tricks der Spammer

Unter dem englischensprachigen Spam fanden sich wieder Mailings mit speziell gefärbten HTML-Tabellen, jedoch im September weniger raffiniert wie im Vormonat:


Die deutschen Spammer hingegen haben beschlossen, ihre Mails universeller und nebenbei auch besser vor Spamfiltern geschützt zu machen. So tarnten sie ihre Mails als Benachrichtigungen über eingegangene Antworten in Foren und Blogs. In den falschen Antworten waren Links auf Webseiten enthalten, die Kredite oder Versicherungen anboten, Viagra, Schlankheitsmittel oder gefälschte Waren verkauften, sowie Verweise auf Casinos enthielten:


Fazit

Im September tauchten wieder deutlich mehr E-Mails mit schädlichen Anhängen auf. Eine effiziente Methode für Cyberkriminelle, um Schadprogramme zu verbreiten. Vor allem wenn es sich um täuschend echt gestaltete Spam-Mails handelt, die angeblich von großen Organisationen und Unternehmen kommen. Beispiel waren die UPS- und DHL-Spams in diesem September.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie der Autoren frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.