Spam im zweiten Quartal 2011

Wichtige Zahlen und Fakten im zweiten Quartal 2011

  1. Der Spam-Anteil im weltweiten E-Mail-Verkehr nimmt weiter zu und betrug im Quartalsdurchschnitt 82,5 Prozent.
  2. Der allein aus Asien und Lateinamerika stammende Anteil an Spam-Nachrichten überstieg 60 Prozent des weltweiten Spamaufkommens.
  3. Der Anteil an schädlichen E-Mail-Anhängen wächst weiter und erreichte 3,86 Prozent, wobei Kaspersky Mail-Anti-Virus in Russland, den USA und Vietnam am häufigsten Alarm schlug.
  4. Mit 0,02 Prozent ist der Anteil an Phishing-Mails im elektronischen Postverkehr nach wie vor gering. Phishing wird dabei allerdings immer zielgerichteter.
  5. „Bestell-Spam“ (Spam als Werbemittel) kleiner und mittlerer Unternehmen erlebte in Russland eine Renaissance.
  6. Spam enthält wie gehabt viele gefälschte Benachrichtigungen populärer Quellen, darunter Cloud-Dienste wie YouTube und Google Docs.
  7. Immer mehr Länder passen ihre Gesetzgebung für den Kampf gegen Spam an: Russland arbeitet derzeit eine Anti-Spam-Gesetzgebung aus. In Japan wird der Versand pornografischen Spams bereits strafrechtlich verfolgt.

Spam-Evolution

Von persönlicher Korrespondenz zu offiziellen Benachrichtigungen

Die E-Mail-Nutzung hat sich verändert. Der Grund: Die Kommunikation im Netz hat sich auf Soziale Netzwerke, Web 2.0, Instant-Messaging-Dienste und aktuell Cloud-Dienste verlagert. Wir unterhalten uns via Messenger, teilen Neuigkeiten in Blogs, sammeln Freunde in Sozialen Netzwerken und diskutieren auf Plattformen von Cloud-Anbietern. Was bleibt da noch an E-Mails? Vor allem jede Menge Benachrichtigungen, beispielsweise Links zu Datei-Hostings, Fotoalben im Netz und Hinweise von Sozialen Netzwerken (zum Beispiel auf Freundschaftsanfragen, neue Kommentare, veröffentlichte Fotos und so weiter). Auch Informationsschreiben von Banken, Online-Shops, Liefer-Services und Einladungen, ein Dokument in der Cloud zu lesen, lösen persönliche Korrespondenz per E-Mail ab. Es lässt sich also feststellen, dass E-Mails heute weniger zur direkten Kommunikation als vielmehr zu Benachrichtigungszwecken genutzt werden.

Auf diese Entwicklung haben sich auch die Spammer eingestellt. Deshalb werden in modernen Spam-Nachrichten immer häufiger die oben genannten Benachrichtigungen imitiert. Und während Fälschungen offizieller Mitteilungen früher hauptsächlich für Phishing und schädliche E-Mails charakteristisch waren, so hat sich diese Tendenz mittlerweile auch auf andere Spam-Arten ausgeweitet.

Fälschung einer Facebook-Benachrichtigung mit Link zu einer Malware-Webseite:


Fälschung einer Benachrichtigung von Twitter mit Link zu Pharma-Angeboten:


Fälschung einer YouTube-Benachrichtigung mit Umleitung auf eine Pharma-Webseite:


Über die Popularität großer Dienste versuchen Spammer, gleichzeitig Anwender und Spam-Filter zu täuschen. Und je neuer und interessanter das jeweilige Portal ist, desto eifriger fälschen die Spammer die Benachrichtigungen. Jüngstes Beispiel: Gefälschte Benachrichtigungen des erst kürzlich gestarteten Sozialen Netzwerks Google+.


Spammer nutzen die Cloud

Die Entwicklung von Cloud-Technologien bringt auch viele neue kostenlose Dienste. In diesem Quartal beobachteten wir einen neuen Entwicklungsschritt, denn die Spammer begannen diese kostenlosen Cloud-Services für ihre Zwecke auszunutzen.
Einige Spam-Mails enthielten beispielsweise Links zu Seiten von Google Docs. In den verlinkten Dokumenten wiederum fanden sich weitere Links – diesmal auf Pharma-Webseiten beziehungsweise auf Seiten auf denen Imitate von Markenuhren zum Kauf angeboten werden (eine zweistufige Redirect-Methode).

Spam-Mail mit Link zu Google Docs:


Darüber hinaus nutzten die Cyberkriminellen den Cloud-Dienst Google Spreadsheets für Phishing-Angriffe.

E-Mail mit Link zu Google Spreadsheets:


Mit einem Klick auf den Link landete der Anwender auf einem Formular von Google Spreadsheets, in das persönliche Daten eingetragen werden sollten.


Das Formular war so aufgebaut, dass die Anwender-Daten mit einem Klick auf den Button „Submit“ direkt in die Hände der Phisher gesendet wurden.

Fazit: Die Nutzung solcher Cloud-Dienste eröffnet den Online-Betrügern kostenlosen Raum für die Platzierung ihrer gefälschten Webseiten. Noch schlimmer ist, dass eine solche Seite dem Nutzer aller Wahrscheinlichkeit nach sogar Vertrauen einflößt: Zum einen befindet sie sich auf einer bekannten Webseite, zum anderen läuft die Verbindung über das verschlüsselte Protokoll HTTPS.

Spam und Social Engineering

Neben allem Wandel, dem die Technik unterliegt, gibt es doch eine Konstante: den Menschen. Und damit bleibt uns auch das Social Engineering erhalten.

Im zweiten Quartal versuchten die Spammer, traditionell Anwender mithilfe aktueller Nachrichten auf ihre Seiten zu locken und nutzten etwa die königliche Hochzeit in Großbritannien (http://www.securelist.com/ru/blog/44185/Korolevskiy_spam) oder den Tod Osama bin Ladens zu ihren Zwecken aus (http://www.securelist.com/ru/blog/43182/Smert_Usamy_bin_Ladena_i_spam ). Dabei wurden die Spammer auch selbst kreativ, denn die von ihnen verwendeten News waren zum Teil frei erfunden.

Zudem nutzen die Spammer auch schon fast vergessene Methoden, wie zum Beispiel die Fälschung persönlicher Korrespondenz:


Spam und das Gesetz

Im zweiten Quartal tat sich einiges in Bezug auf die Anti-Spam-Gesetzgebung.

Am 13. Mai wurde der Arbeitsgruppe der Staatsduma der Russischen Föderation ein Gesetzentwurf über die Abwehr, Erstellung und Verbreitung von Spam zur Durchsicht vorgelegt. Im Gesetzestext wird der Begriff „Spam“ definiert und es werden wichtige Aspekte zum Thema behandelt: Unter anderem die vorausgehende Einverständniserklärung des Anwenders zum Empfang von Versendungen (Opt-in), die Möglichkeit, Newsletter abzubestellen, den offenen Hinweis auf die Organisation, von der die Versendung stammt oder das Verbot von Mitteln zur automatischen Sammlung von E-Mail-Adressen. Das geplante Gesetz sieht außerdem die strafrechtliche Verfolgung des Spam-Versands vor. Allerdings bemängeln einige Juristen bereits, dass es in der Gesetzesvorlage an einer eindeutigen Vorgabe mangelt, wer die Ermittlungen leiten und die Spammer zur Verantwortung ziehen soll.

Am 24. Juni hat das Lefortovsky-Gericht in Moskau die Verhaftung von Pavel Vrublevsky verfügt, Generaldirektor des Unternehmens Chronopay, und – nach Ansicht einiger Experten – Inhaber des Partnernetzwerkes Rx-promotions, das sich auf den Versand von Pharma-Spam spezialisiert hat. Vrublevsky wird die Organisation von DDoS-Attacken auf das Unternehmen „Assist“ vorgeworfen, infolge derer das Ticketverkauf-System auf der Webseite von Aeroflot zusammenbrach. Vrublevsky hat anscheinend die Seiten gewechselt, denn er leitete früher die Kommission zum Kampf gegen Spam der Arbeitsgruppe zur Entwicklung des Internets, die dem Ministerium für Telekommunikation der Russischen Föderation untersteht.

In unserem Juni-Spamreport berichteten wir darüber, dass Microsoft sich nach der Abschaltung der Steuerungszentralen von Rustock nicht auf dem Erreichten ausruhte. Das Unternehmen geht noch einen Schritt weiter und hat gerichtliche Schritte gegen die Organisatoren des Riesen-Botnetzes eingeleitet. Unserer Meinung nach ist diese Initiative von Microsoft mehr als gerechtfertigt: Unsere Statistik zeigt, dass die Cyberkriminellen sofort neue Botnetze aufbauen, wenn die alten zerschlagen wurden.

Konkreter ist man schon in Japan geworden: Im Juni hat das japanische Parlament ein wichtiges Anti-Spam-Gesetz verabschiedet. Nicht nur Entwicklung, Verbreitung, Kauf und Speicherung von Schadprogrammen, sondern auch die Verbreitung von pornografischem Spam zählen nun zu den Straftaten.

Spam-Statistik

Spam-Anteil im E-Mail-Verkehr

Der Spam-Anteil im E-Mail-Verkehr nimmt weiter zu. Im zweiten Quartal 2011 erreichte er 82,5 Prozent des gesamten E-Mail-Aufkommens. Am 29. Mai erhielten die Anwender mit 91,4 Prozent am meisten Spam; am 1. April wurde mit 72,2 Prozent der niedrigste Wert registriert.


Spam-Anteil im E-Mail-Verkehr im zweiten Quartal 2011

Die Botnetze, die im letzten Jahr oder zu Beginn dieses Jahres geschlossen wurden, kehren langsam wieder zu ihrer vorherigen Leistungsstärke zurück. Allerdings ändert sich dabei die geografische Verteilung nach Ländern, aus denen Spam versendet wird.

Verteilung der Spam-Quellen nach Ländern

Die Schwellenländer legten im zweiten Quartal beim Spamversand am meisten zu: Indien (+4,26 Prozentpunkte), Brasilien (+3,14 Prozentpunkte), Indonesien (+1,66 Prozentpunkte) und Südkorea (+1,02 Prozentpunkte).


Spam-Herkunftsländer im zweiten Quartal 2011

Spitzenreiter beim Spam-Versand war erneut Indien mit 14,06 Prozent und über vier Prozentpunkten Zugewinn. Die Erklärung dafür: Im vergangenen Quartal entfielen auf dieses Land satte 5,99 Prozent der Alarme von Kaspersky Mail-Anti-Virus, es gab also sehr viele Mails mit Malware als Dateianhang. Es ist den Botnetz-Organisatoren also im ersten Quartal gelungen, noch mehr Computer indischer Anwender zu infizieren. Diese Infektionen kann man jetzt am gesteigerten Spam-Aufkommen im zweiten Quartal sehen.

Brasiliens Anteil am weltweiten Spam-Versand nahm im Lauf der gesamten ersten Jahreshälfte 2011 weiter zu und erreichte im Juni 9,56 Prozent, womit das Land nach den Ergebnissen des zweiten Quartals mit einem durchschnittlichen Wert von 8,94 Prozent auf dem zweiten Platz der Spam-Herkunftsländer landet.

Ebenfalls erwähnenswert ist der bedeutende Anteilszuwachs von Peru (+2,4 Prozentpunkte), das mit einem Wert von 3,13 Prozentpunkten auf Position sechs kletterte. Im vorhergehenden Quartal war dieses Land noch nicht einmal unter den Top 20 vertreten.

Gleichzeitig verringerte sich der Anteil Russlands (3,05 Prozent) um 2,75 Prozentpunkte. Das Land, das im ersten Quartal noch Platz zwei in der Statistik belegte, landete im zweiten Quartal auf Position sieben. Das ist eine recht unerwartete Entwicklung: Russland war und ist Spitzenreiter bezüglich der Alarme von Kaspersky Mail-Anti-Virus, also bei Spam mit Malware im Anhang. Für das Absacken im Ranking der Spam-Herkunftsländer um fünf Positionen gibt es zwei Erklärungen: Entweder haben die russischen Anwender gelernt, ihre Computer besser zu schützen, und verhindern so, dass Cyberkriminelle die Rechner an ein Botnetz anschließen. Oder die im Aufbau befindlichen Botnetze werden zu anderen Zwecken eingesetzt, etwa DDoS-Attacken. Zudem wurde in Russland, wie bereits erwähnt, eine Vielzahl von Würmern via E-Mail verschickt. In den meisten Fällen werden solche Programme zur Sammlung von E-Mail-Adressen verwendet (zum Beispiel die Familie Email-Worm.Win32.Netsky). Das könnte bedeuten, dass die Cyberkriminellen beim Aufbau des Botnetzes noch ganz am Anfang stehen und Russland demnächst wieder einen Platz auf dem Treppchen im Ranking der Spam-Herkunftsländer einnehmen wird.

Aus den USA, dem Spitzenreiter des Vorjahres, wird immer weniger Spam versendet: Im zweiten Quartal belegten die Vereinigten Staaten nur die 16. Position (1,99 Prozent; -1,01 Prozentpunkte).

Doch trotz aller Veränderungen, die es im zweiten Quartal gegeben hat, ist die Verteilung der Spam-Quellen nach Ländern im Jahr 2011 insgesamt sehr viel gleichmäßiger als in den vorherigen Jahren. Im Ranking der Spam-Herkunftsländer gibt es keine absoluten Spitzenreiter. Die Zombie-Rechner, von denen aus die Spam-Mails verschickt werden, sind gleichmäßig über praktisch alle Länder verteilt. Sie stehen in Südafrika sowie auf einzelnen Inseln im Stillen Ozean ebenso wie in den Industriestaaten. Diese Verteilung lässt darauf schließen, dass die Spammer die geografische Expansion abgeschlossen haben. Es gibt einfach keine Gebiete mehr, die von den Botnetzen nicht erfasst wurden. Die Schwellenländer locken mit mangelnder Anti-Spam-Gesetzgebung und niedrigem Sicherheitsniveau der Computer; die Industrienationen mit einer stets verfügbaren, schnellen Internetverbindung.

Nach dem erfolgreichen Kampf gegen große Botnetze im Jahr 2010 beobachten wir eine mengenmäßige Zunahme von Botnetzen, allerdings ist die Größe dieser neuen Zombie-Netze relativ gering. Unter den wiederaufgebauten Botnetzen gibt es noch keine Giganten, die für einen großen Teil des gesamten Spam-Aufkommens verantwortlich wären (wie es etwa bei Cutwail und Rustock der Fall war). Entweder haben es die Spammer bisher noch nicht geschafft, solche Kapazitäten zu organisieren, oder sie halten sich bei der Größe der Netze bewusst zurück, damit sie im Falle der Schließung eines Botnetzes problemlos auf ein anderes umsteigen können. Auch das trägt zu einer gleichmäßigeren Verteilung der infizierten Computer nach Ländern bei.

Verteilung der Spam-Quellen nach Regionen



Spam-Herkunftsregionen Q1 2011 und Q2 2011


Populäre Spam-Themen

Es ist klar erkennbar, dass sich der Spam nach der Schließung gigantischer Botnetze in einigen Teilen der Welt grundlegend gewandelt hat. In Russland etwa verschwand Partner-Spam fast vollständig. Daher belegt der frühere Spitzenreiter im Ranking der Spam-Themen – die Partner-Spam-Kategorie „Gesundheit und Medikamente“ – nach den Ergebnissen des Quartals auch nur den achten Platz im Ranking (1,8 Prozent am gesamten Spam-Aufkommen). Die absolute Mehrheit des Spams in Russland stellt zum gegenwärtigen Zeitpunkt Bestell-Spam dar, der von kleinen und mittleren Unternehmen in Auftrag gegeben wird. Das gängigste Thema ist dabei nach wie vor „Bildung“, also Spam, mit dem verschiedene Seminare und Trainings angepriesen werden.


Verteilung der Spam-Themen im russischen Internetsegment im zweiten Quartal 2011

Anzumerken ist auch, dass praktisch der gesamte Partner-Spam im russischen Internet englischsprachig war.

Gleichzeitig erhalten die Anwender in Westeuropa und Amerika nach wie vor viel Partner-Spam, allerdings hat die Kategorie „Replikationen hochwertiger Waren“ dort die Kategorie „Gesundheit und Medikamente“ in puncto Häufigkeit überholt. Der französischsprachige Spam ist zudem stark von „nigerianischen“ Betrugsmails geprägt.

Größe der Spam-Mails

Im Gegensatz zum vorherigen Quartal, als die Spam-Mails häufig sehr umfangreich waren, folgt die Größenverteilung der Spam-Mitteilungen in diesem Quartal ganz der Tradition: Kurze und sehr kurze (weniger als ein Kilobyte) Nachrichten herrschen vor, während auf Nachrichten mit einer Größe von mehr als 50 KB nur 2,63 Prozent des gesamten Spam-Aufkommens entfallen.


Spam emails by size in Q2 2011

Schädliche Mail-Anhänge

Im zweiten Quartal 2011 stieg der Anteil von Spam-Mails mit schädlichen Anhängen um 0,81 Prozentpunkte und betrug durchschnittlich 3,86 Prozent.


Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern

Die drei Spitzenreiter des Rankings blieben gegenüber dem ersten Quartal 2011 unverändert. Die meisten Alarme des Mail-Anti-Virus entfielen auf Russland (12,5 Prozent). Auf Position zwei befinden sich mit 12,21 Prozent die USA, wobei der Anteil der Alarme in diesem Land um 1,8 Prozentpunkte gestiegen ist. Platz drei belegt Vietnam mit 7,43 Prozent aller Alarme von Kaspersky Mail-Anti-Virus (+0,46 Prozentpunkte).

Indien, das im ersten Quartal noch die vierte Position belegte, rutschte in der Jahresmitte auf den achten Platz ab. Hier wurden 4,66 Prozent der Alarme von Kaspersky Mail-Anti-Virus registriert – 1,33 Prozentpunkte weniger als im vorherigen Quartal.

Interessant ist, dass die Spam-Menge mit schädlichem Code, die in den Posteingängen indischer Anwender landete, in der zweiten Jahreshälfte 2010 nach der Schließung einiger großer Botnetze deutlich zunahm. Das hängt damit zusammen, dass die Cyberkriminellen, die einen empfindlichen Schlag seitens der Strafverfolgungsbehörden einiger Industriestaaten zu überwinden hatten, nun begannen, ihre Botnetze in Staaten wiederaufzubauen, die über eine weniger ausgereifte Gesetzgebung in Bezug auf Cyberkriminalität verfügen.

Der Rückgang der Alarme von Kaspersky Mail-Anti-Virus in Indien im ersten Halbjahr 2011 hängt aller Wahrscheinlichkeit nach damit zusammen, dass die Online-Kriminellen die Leistungsfähigkeit ihrer Botnetze wiederhergestellt oder den Ausbau der Zombienetze in Indien zumindest deutlich verlangsamt haben.

Gleichzeitig stieg nach der Zerschlagung des Rustock-Botnetzes im März 2011 die in die USA verschickte Menge an schädlichem Spam weiter an. Diese Entwicklung erreichte im April ihren Höhepunkt, wie die unten stehende Grafik zeigt.


Dynamik der Alarme von Kaspersky Mail-Anti-Virus nach Ländern Q1 – Q2 2011

Die USA sind und bleiben für Cyberkriminelle ein äußerst attraktives Land zum Aufbau von Botnetzen: Die Computerdichte ist hier sehr hoch bei gleichzeitigem Hochgeschwindigkeitszugriff auf das Internet – Faktoren, die in den Schwellenländern nicht gegeben sind. Dementsprechend versuchten die Web-Gangster nach der Abschaltung der Steuerungszentralen eines großen Botnetzes, an gleicher Stelle ein neues aufzubauen.

Unsere Vermutungen werden auch durch die Veränderungen in der Zusammensetzung der Top 10 der Schadprogramme bestätigt, die unser Mail-Anti-Virus in den USA entdeckte. Im Februar handelte es sich bei einem Großteil der in die USA versendeten Schädlinge um Programme, die Finanzdaten der Anwender stehlen (Trojan-Banker) und um Erpresser-Software (Pornoblocker und gefälschte Antiviren-Produkte). Im März und April bestand jedoch über die Hälfte der Top 10 aus Trojan-Downloadern, die auf dem Rechner der Nutzer Malware installieren und diesen an ein Botnetz anschließen.

Doch bereits im Mai nahm die Menge der in die USA verschickten Spam-Versendungen mit schädlichen Anhängen ab. Und damit auch die Zahl der Downloader, die Bots auf den Anwender-Computern installieren.

Top 10 der Schadprogramme im E-Mail-Verkehr

Vier der zehn von Kaspersky Mail-Anti-Virus am häufigsten erkannten Schadprogramme sind E-Mail-Würmer. Das ist auch durchaus nachvollziehbar, denn ist ein E-Mail-Wurm einmal losgelassen, so breitet er sich selbst immer weiter aus, selbst wenn sein Schöpfer bereits das Interesse an ihm verloren hat. Zur Erinnerung: Die Funktionalität der Würmer Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.Mydoom.l und Email-Worm.Win32.Netsky.q ist auf das Sammeln von E-Mail-Adressen auf den befallenen Computern, deren Übermittlung an die Cyberkriminellen und das Verschicken ihrer selbst an diese Adressen beschränkt. Der vierte E-Mail-Wurm aus unseren Тop 10 – Email-Worm.Win32.Bagle.gt – verfügt über eine komplexere Funktionalität als seine Brüder. Dieser Schädling ist neben dem Sammeln von E-Mail-Adressen und dem Versand seiner selbst außerdem in der Lage, andere Schadprogramme auf die Computer der Anwender zu laden.


Top 10 der Schadprogramme im E-Mail-Verkehr im zweiten Quartal 2011

Platz eins der Hitliste belegt Trojan-Spy.HTML.Fraud.gen. Dieser Schädling wurde als HTML-Seite umgesetzt, die das Registrierungsformular für Online-Banking-Systeme und andere Internetdienste imitiert. Die in ein solches Formular eingetragenen Registrierungsdaten werden direkt an Webbetrüger weitergeleitet.

Ein weiterer Schädling aus den Тop 10, der es auf die Finanzdaten der Anwender abgesehen hat, ist Trojan.HTML.Fraud.fc. Dieses Schadprogramm verfügt über die gleiche Funktionalität wie Trojan-Spy.HTML.Fraud.gen und ist ebenfalls als HTML-Seite konzipiert. Das Ziel von Trojan.HTML.Fraud.fc sind brasilianische Anwender, da dieser Schädling ein Registrierungsformular einer großen brasilianischen Bank fälscht.

Entgegen unserer Erwartung gab es zu Beginn des Quartals keine dramatische Zunahme von Versendungen mit gefälschten Antiviren-Programmen. Der einzige Schädling, der mit Programmen dieser Art in Verbindung steht, ist Packed.Win32.Katusha.n – ein Schadprogramm, das zum Packen anderer Malware verwendet wird, insbesondere zum Packen gefälschter Antiviren-Programme.

Phishing

Der Phishing-Anteil blieb im zweiten Quartal auf niedrigstem Niveau und betrug durchschnittlich nur 0,023 Prozent am gesamten E-Mail-Verkehr. Im Mai und Juni hielt sich der Anteil von Phishing-Mails sogar unter diesem Niveau, nur im April war er mit 0,03 Prozent ein wenig höher.


Prozentualer Anteil von Phishing-Mails im E-Mail-Verkehr im zweiten Quartal 2011

Die Belegung der zwei Spitzenpositionen der am häufigsten von Phishern angegriffenen Organisationen blieb im zweiten Quartal 2011 unverändert: Auf Platz eins steht das Zahlungssystem PayPal (+11,21 Prozentpunkte) und auf Platz zwei das Internet-Auktionshaus eBay (-2,89 Prozentpunkte).


Top 10 der am häufigsten von Phishern angegriffenen Organisationen im zweiten Quartal 2011*

* Das Ranking basiert auf dem Anteil von Phishing-URLs, die im Netz verbreitet sind, um auf diese Weise die Registrierungsdaten der Anwender für bestimmte Dienste zu stehlen. Das Ranking ist kein Maßstab für die Sicherheit des jeweiligen Unternehmens – es spiegelt vielmehr die Popularität der Services unter den Anwendern wider, was sich wiederum direkt auf die Popularität unter den Phishern auswirkt.

Position drei im Ranking belegt die Bank Santander, auf die 5,31 Prozent aller Phishing-Attacken entfielen – 1,9 Prozentpunkte mehr als im ersten Quartal. Insgesamt ist das Interesse der Phisher an Online-Banking-Systemen eher gering: Von den vier Banken in unseren Тop 10 befindet sich nur eine in der oberen Hälfte der Hitliste. Großbanken wie HSBC und CHASE waren wesentlich seltener Angriffen ausgesetzt als noch im ersten Quartal. HSBC, in den ersten drei Monaten des Jahres auf Platz fünf des Rankings, belegt im zweiten Quartal nur noch Rang acht (-2,7 Prozentpunkte). СHASE fiel gleich ganz aus den Тop 10 und landete auf Platz 19.

Die Sozialen Netzwerke Habbo (-0,53 Prozentpunkte) und Facebook (-0,3 Prozentpunkte) sind für Phisher nach wie vor sehr attraktiv. Sie belegen die Positionen vier und fünf.

Im zweiten Quartal 2011 war das Online-Spiel World of Warcraft (1,96 Prozent) seltener von Phishing-Attacken betroffen als noch im ersten Quartal (-0,94 Prozentpunkte). Allerdings tauchte ein anderes Online-Rollenspiel in den Top 10 der am häufigsten von Phishern angegriffenen Organisationen auf: RuneScape. Dieses kostenlose Game überholte WoW nach Anzahl der Attacken und belegt mit 2,62 Prozent den sechsten Platz in unserer Hitliste.

Google ist wie auch im vorangegangenen Quartal nicht in unseren Top 10 vertreten. Dabei muss allerdings berücksichtigt werden, dass das Soziale Netzwerk Orkut, das zu Google gehört, den elften Platz belegt, und die anderen Google-Services sich auf Platz dreizehn positionierten. Insgesamt übersteigt also der Anteil der gegen Orkut und andere Google-Services (3,04 Prozent) gerichteten Attacken den Anteil der Angriffe auf RuneScape, das den sechsten Platz im Ranking belegt.

Wir erwarten eine Zunahme der Angriffe auf Google-Services, insbesondere im Zusammenhang mit dem Erscheinen des neuen Sozialen Netzwerks Google+. Derzeit ist die Registrierung bei dem Google-Neuling nur auf Einladung möglich, was im Umfeld des Sozialen Netzwerks eine gewisse Unruhe hervorruft. Cyberkriminelle können sich diese Aufregung zunutze machen und versuchen, die Anwender aufs Glatteis zu führen, indem sie ihnen gefälschte Einladungen schicken.

Google muss auch im Zusammenhang mit einem anderen Phishing-Fall erwähnt werden. Anfang Juni dieses Jahres wurde bekannt, dass sich Cyberkriminelle aus China Zugriff auf Google-Accounts von hochrangigen Beamten der USA verschafft hatten. Den Zugang erhielten sie mithilfe von “spear phishing” oder “gezieltes Phishing”. Diese Phishing-Art unterscheidet sich dadurch von gewöhnlichen Phishing-Attacken, dass diese – wie der Name schon sagt – zielgerichtet sind. Im Normalfall richten sich die Angriffe gegen eine Gruppe, etwa die Nutzer eines bestimmten Dienstes. Die E-Mail kopiert bis ins kleinste Detail die offiziellen Benachrichtigungen dieses Dienstes und enthält einen Link zu einem Formular, das dem Registrierungsformular des angegriffenen Service bis aufs i-Tüpfelchen gleicht. Es wird bestätigt, dass für den Zugriff auf die Accounts der hochgestellten amerikanischen Persönlichkeiten ebenfalls dieses simple Schema zum Einsatz kam.

Bemerkenswert ist in diesem Zusammenhang, dass offizielle Stellen aus China die gegen die Bürger ihres Landes vorgebrachten Beschuldigungen zurückweisen und Google als „politisches Instrument“ bezeichnen, mit dessen Hilfe die USA den Ruf des asiatischen Staats schädigen.

Kehren wir noch einmal zu den zielgerichteten Phishing-Attacken zurück, denn diese können durchaus wesentlich komplexer sein. Üblicherweise enthalten Phishing-Mails unpersönliche Anreden wie „Lieber Nutzer unseres Netzwerks“ oder „Sehr geehrter Kunde“. Das komplexere Schema zielgerichteter Phishing-Attacken setzt jedoch voraus, dass die Web-Gangster nicht nur wissen, von welchem Unternehmen das potentielle Opfer Kunde oder Mitarbeiter ist, sondern auch dessen Vor- und Nachnamen kennen. Mithilfe dieser Daten erschleichen sich die Verbrecher mit großer Wahrscheinlichkeit das Vertrauen des Anwenders. Die Phishing-Mail sieht in diesem Fall nicht nur aus wie eine Benachrichtigung von einem Service, dessen Dienstleistungen der Empfänger in Anspruch nimmt, sondern sie ist zudem auch personalisiert – der Anwender wird mit vollem Namen angesprochen.

Das zielgerichtete Phishing entwickelt sich in letzter Zeit zu einem Trend – Online-Verbrecher nutzen es nicht nur, um Einzelpersonen, sondern auch Großunternehmen anzugreifen – wie im Fall von RSA. Cyberkriminelle wissen seit langem, dass die größte Sicherheitslücke im Schutzsystem der Mensch ist.

Wir vermuten, dass die Zahl der zielgerichteten Phishing-Attacken in nächster Zeit zunimmt. Möglicherweise werden auch mittelständische Unternehmen solchen Angriffen ausgesetzt sein: Zum einen sind sie für die Phisher vom finanziellen Standpunkt aus interessanter als einzelne Anwender. Zum anderen mangelt es in kleineren Firmen, im Gegensatz zu Großkonzernen, oft an einem zuverlässigen IT-Schutz.

Fazit

Mit den Jahren wandelt sich auch der Inhalt unserer Posteingangsfächer. Insbesondere die persönliche und weniger die geschäftliche Korrespondenz ist davon betroffen. Die traditionellen persönlichen E-Mails werden immer seltener, denn an ihre Stelle treten bequemere Methoden zur Informationsübermittlung. Stattdessen erhalten wir per E-Mail immer häufiger Benachrichtigungen von Sozialen Netzwerken, Links zu Foto- und Video-Portalen sowie Filesharing-Systemen. In letzter Zeit enthalten die E-Mails auch Links zu Dokumenten in der Cloud.

Spam ist dabei ein Spiegelbild des üblichen E-Mail-Verkehrs. Schon seit langem überwiegen im Spam-Verkehr kurze Nachrichten mit Links zu Dritt-Webseiten. Immer häufiger kopieren die Spam-Mails auch offizielle Benachrichtigungen von verschiedenen populären Webdiensten. Mit dem Aufkommen der Cloud-Angebote fälschen Spammer zunehmend Benachrichtigungen dieser Dienste und nutzen sie zu ihren Zwecken aus. Unverändert bleibt nur der menschliche Faktor und dementsprechend auch das Social Engineering: Angreifer setzen dabei unter anderem auf Top-News (sowohl reale als auch frei erfundene) und gefälschte persönliche Korrespondenz.

In letzter Zeit beobachten wir eine Tendenz zu zielgerichtetem Spam. Das betrifft sowohl die Sprache in Spam-Mails, die dem jeweiligen Empfängerland nahezu perfekt angepasst wird, als auch die zielgerichteten Attacken (zum Beispiel Betrug), die sich eindeutig gegen einige wenige Anwender richten. Die geografische Ausrichtung der Spam-Sender kann mit einer Umverteilung der Botnetze zusammenhängen: Die Spammer setzen die Kapazitäten der Botnetze nun sehr viel genauer ein.

Nach wie vor sind Asien und Lateinamerika beim Spam-Versand die führenden Regionen. Das war vorhersehbar, da diese Regionen aufgrund der mangelnden Anti-Spam-Gesetzgebung und einer Vielzahl von schlecht geschützten Internetnutzern für Spammer gut geeignet sind. Wir erwarten allerdings eine Rückkehr der USA in die Riege der Länder, aus denen der meiste Spam versendet wird: Ein solch riesiges Gebiet mit Breitbandinternet können die Spammer nicht brach liegen lassen – ungeachtet der Anti-Spam-Gesetze und des hohen Schutzniveaus der Anwender in diesem Land. Insgesamt gibt es eine Tendenz zur gleichmäßigen Verteilung der Spam-Quellen, denn durch die allgemeine Computerisierung gibt es keine Regionen mehr auf der Welt, die für die Organisatoren von Botnetzen nicht von Interesse wären. Bleibt zu hoffen, dass die Zahl der Spam versendenden Regionen künftig dank einer effektiven Anti-Spam-Gesetzgebung verringert wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.