Spam und das Gesetz: High Noon im Herbst

Im Kampf gegen Spam sollten gleichermaßen Anwenderschutz und Widerstand gegen kriminelle Strukturen, die sich hinter der Spamorganisation befinden, im Vordergrund stehen. Das Ende des Jahres 2010 hat gezeigt, wie wichtig das juristische Element in dieser Frage ist und wie überaus effektiv die Einmischung der Strafverfolgungsbehörden ins Spam-Business sein kann.

Der merkliche Spamverkehrsrückgang im Herbst 2010 ist nichts anderes als das erfolgreiche Ergebnis der Cyberpolizistenarbeit.

Verluste im Spamverkehr

Ende August 2010 wurde die Steuerungszentralenschließung des Botnetzes Pushdo/Cutwail angekündigt. Nachdem dieses Botnetz außer Betrieb war, verzeichneten die Kaspersky-Experten einen Spamrückgang im E-Mail-Verkehr um etwa zwei Prozentpunkte. In absoluten Zahlen ausgedrückt verringerte sich die Spammenge unseren Daten zufolge im Zeitraum zwischen dem 15. und 30. August um 15 Prozentpunkte.

Obwohl die Pushdo/Cutwail-Zerschlagung keine drastischen Auswirkungen auf die Spamwelt hatte, löste sie eine eigentümliche Kettenreaktion aus, die die Spammenge im Verlauf des gesamten Herbstes beeinflusste.

Im September sank der Spamanteil im E-Mail-Verkehr im Vergleich zum August um 1,5 Prozentpunkte und im Zeitraum vom 1. bis zum 25. Oktober um weitere 2,4 Prozentpunkte. In absoluten Zahlen bedeutet das, dass sich die Junk-Mailmenge bis zum 24. Oktober 2010 im Vergleich zu den Werten Mitte August um fast ein Viertel verringert hat. Bemerkenswert ist, dass in diesem Zeitraum nichts vorgefallen ist, das direkten Einfluss auf die Spammengen hätte haben können. Möglicherweise wurden einige Botnetze einfach vorübergehend auf Eis gelegt, als die Strafverfolgungsbehörden auf den Plan traten. Zur Erinnerung: Neben der Pushdo/Cutwail-Zerschlagung erregten auch die Verhaftungen von Mitgliedern einer Gruppe, die Gelder mit Hilfe des Botnetzes Zeus stahlen, großes öffentliches Interesse. Zudem richtete sich die Aufmerksamkeit der Strafverfolgungsbehörden in den ersten beiden Herbstmonaten auf pharmazeutischen Spam. Dies beeinflusste vor allem die thematische Zusammensetzung des Spams, wirkte sich aber möglicherweise auch auf seine Menge aus.

Am 25. Oktober erlebten die Spammer eine weitere böse Überraschung: Die holländischen Strafverfolgungsbehörden führten eine Reihe wirksamer Schläge gegen Bredolab-Botnetze aus. Insgesamt wurden Ende Oktober 143 Steuerungszentralen neutralisiert und eine Person verhaftet, die der Kontrolle dieser Botnetze verdächtigt wurde.


Veränderung des Spamanteils im E-Mail-Verkehr zum Zeitpunkt der
Bredolab-Botnetzschließung

Als Folge des Kampfes gegen Bredolab verringerte sich der Spamanteil im Zeitraum vom 25. Oktober bis zum 4. November im Vergleich zu Mitte Oktober um ein Drittel. In der letzten Oktoberwoche sank die Spammenge im Vergleich zu den Werten Mitte August 2010 um die Hälfte! Dieses Ergebnis ist, wie bereits erläutert, die Summe einer Reihe von Ereignissen und Faktoren, zu denen zum einen die Schließung der Steuerungszentralen von Pushdo und Bredolab zählen. Zum anderen gehören dazu die Vorsicht der Botnetzbetreiber, deren „Zombies“ unversehrt geblieben waren, sowie auch der Druck auf die Pharma-Spammer seitens der Strafverfolgungsbehörden. Zehn Tage später war der Spamverkehr wieder auf das Niveau von Mitte Oktober zurückgekehrt.

Geht man von einer Spammenge von 100 Prozent aus, die von Anfang August bis zum Beginn der „Krise“ versendet wurde und verfolgt die Schwankungen im Laufe der zweiten Jahreshälfte 2010 sowie Anfang 2011, so ergibt sich folgende Grafik:


Veränderungen der Spammenge von August 2010 bis Januar 2011

Diese Grafik illustriert den beispiellosen Erfolg im Kampf gegen Spam auf globaler Ebene.

Territorialkämpfe: Gewinn und Verlust

Die Zerschlagung der Steuerungszentralen verschiedener Spam-Botnetze wirkte sich nicht nur auf die Zahl der versendeten Mitteilungen aus. Ende 2010 veränderte sich auch die Spamgeografie. Damit sind nicht nur die Veränderungen bei den Spamherkunfts-, sondern auch bei den Spamzielländern gemeint.

Wie die Entwicklung Ende 2010 gezeigt hat, kommt es in einer bestimmten Region zuerst zu einem sprunghaften Anstieg der Spamaktivität und anschließend zu massenhaften Malwareversendungen.

Das lässt sich ganz einfach erklären: Beim Botnetzaufbau in einer bestimmten geografischen Zone infizieren Cyberkriminelle zunächst Computer mit Spam-Bots, woraufhin diese selbst beginnen, unerwünschte Nachrichten zu verschicken.

Spamgeografie (Herkunftsländer)

Die deutlichste Veränderung in der Spamgeografie war der beeindruckende Rückgang der Junk-Mails, die aus den USA verschickt wurden. Die Ursache dafür liegt in der Abschaltung der Pushdo/Cutwail-Kontrollserver Ende August. Zuvor war in den USA eine Unmenge von Rechnern mit Cutwail infiziert. Im September ging der aus den USA stammende Anteil unerwünschter Nachrichten etwa um den Faktor drei (!) zurück. Im Oktober fielen die USA in den Top 20 der Spamherkunftsländer mit einem Spamanteil von nur 1,6 Prozent von der ersten Position auf Platz achtzehn zurück. Im November waren sie überhaupt nicht mehr in diesem Ranking vertreten.

Ein Rückgang des Spamverkehrs wurde auch im asiatischen Raum beobachtet.

Die Spammer versuchten, die fehlenden Kapazitäten mit einer Ausweitung ihrer Tätigkeit in Lateinamerika und Europa wettzumachen.


Veränderungen in der Verteilung der Spamherkunftsregionen
zwischen August und Dezember 2010

Wie die Grafik zeigt, wurde der nicht vorhandene Spamverkehr aus den USA im September sowohl von Ost-Europa als auch in gewissem Maße von West-Europa kompensiert. Zum Herbstbeginn stieg die Spammenge aus allen europäischen Staaten mehr oder weniger stark an – Italien, Bulgarien und Litauen ausgenommen.

Was die lateinamerikanischen Länder betrifft, darf Brasilien nicht unerwähnt bleiben, denn der aus diesem Land stammende Spamstrom stieg im September an. Allein aufgrund des brasilianischen Beitrags stieg der aus Lateinamerika stammende Spamanteil um mehr als 3 Prozent.

Allerdings gelang es den Spammern nicht, die USA-Verluste vollständig auszugleichen.

Im Oktober nahm der aus den westeuropäischen Staaten stammende Spamanteil erneut ab. Allem Anschein nach hat der Kampf gegen westeuropäische Botnetze die Betreiber dazu gezwungen, vorsichtig zu sein und ihre Zombienetze in Deutschland, Österreich, Frankreich, Großbritannien und Holland nicht aufs Spiel zu setzen.

Gleichzeitig tauchten im E-Mail-Verkehr mehr unerwünschte Mitteilungen aus Asien und Osteuropa auf – hauptsächlich aus Indien und Russland. Höchstwahrscheinlich ist das Botnetz Bredolab, das auch noch im September und Oktober funktionsfähig war, dafür verantwortlich.

Ein großer Teil der zu Bredolab gehörenden Computer befand sich unseren Daten zufolge nämlich in Indien und Russland. Allerdings ging aufgrund der Zerschlagung jenes Botnetzes der aus Russland und folglich aus Gesamt-Osteuropa stammende Spamanteil im November drastisch zurück.

Auch diesmal kamen den Spammern wieder die Versendungen aus Westeuropa zu Hilfe. Sie haben die westeuropäischen Länder gewissermaßen in die Achterbahn gesetzt, denn sie verschickten von dort aus zuerst mehr Spam, froren die Zombienetze in dieser Region daraufhin aber praktisch wieder ein.

Die asiatischen Länder, insbesondere Vietnam und Indonesien, wurden von den Spammen ebenfalls zum Herbstverlustausgleich herangezogen.

Schadcodeversand per E-Mail

Die Spammer steckten viel Energie in die Botnetzwiederherstellung. Das Mittel der Wahl zum Botnetzauf- oder ausbau ist für Cyberkriminelle traditionell der Schadcodeversand via E-Mail. Im Herbst vergangenen Jahres verfolgten wir die Geografie solcher Versendungen besonders aufmerksam. Die Zielregionen dieser schädlichen Versendungen sind aller Wahrscheinlichkeit nach auch Orte, in denen neue Botnetze entstehen beziehungsweise alte Botnetze wiederhergestellt werden.

Sobald Strafverfolgungsbehörden in Ländern mit entsprechender Gesetzgebung gegen Spam-Botnetze aktiv wurden, schwand der Wunsch der Botnetzbetreiber, dort infizierte Rechner zu züchten. Der Anteil der Alarme von Kaspersky Anti-Virus in diesen Regionen, die früher das Ranking in Bezug auf diesen Wert anführten, begann stetig abzunehmen:


Alarme von Kaspersky Anti-Virus in Ländern mit fortgeschrittener
Anti-Spam-Gesetzgebung zwischen August 2010 und Januar 2011

Die Grafik zeigt, dass der Anteil der Entdeckungen durch Kaspersky Anti-Virus in Spanien, Italien, Großbritannien und den USA im Oktober und November 2010 abzunehmen begann. In Japan und Frankreich setzte der Rückgang bereits im September ein.

Nur in Deutschland sieht die Kurve anders aus. Im Oktober schlug Kaspersky Anti-Virus in Deutschland häufiger an als im September und November. Allerdings hat der Aufschwung in diesem Fall nichts mit der Spam-Bot-Versendung, sondern mit Schädlingen anderer Art zu tun.

Während der Anteil der Alarme von Kaspersky Anti-Virus in verschiedenen Industrienationen abnahm, begann der Anteil vieler asiatischer und osteuropäischer Länder stetig zuzunehmen. Bei der Spam-Bot-Versendung in westliche Länder setzten die Cyberkriminellen auf das hohe Niveau der IT-Infrastruktur dieser Regionen. Bei der Schadprogrammversendung in östliche Länder verließen sie sich hingegen auf das mangelhafte Computerwissen der Anwender vor dem Hintergrund unzureichender oder gar nicht vorhandener Gesetze gegen Spam und Schadcodeeinsatz.


Alarme von Kaspersky Anti-Virus in östlichen Ländern
im Zeitraum August 2010 bis Januar 2011

Spaminhalte

Die Spamabnahme ist nicht die einzige Veränderung im entsprechenden Business. Im Folgenden geht es um die thematische Ausrichtung des Spamversands und die Strukturveränderungen des Spammarkts.

Welches „Partnerprogramm“ soll es sein?

Auf die thematische Verteilung des Spams hatte die Schließung des Partnerprogramms Spamlt am 1. Oktober vergangenen Jahres großen Einfluss. Dieses zählte zu den führenden Partnerprogrammen und gab bereits im September bekannt, dass es seine Tätigkeit einstellen werde.

Ein Spam-Partnerprogramm oder auch Spam-Affiliate-Programm ist ein Marketingsystem, bei dem ein Distributor Spammern Geld für neugewonnene Kunden oder einen Anteil des Verkaufspreises zahlt – anstelle von Werbegeld. In einigen Fällen wird das Partnerprogramm direkt vom Warenanbieter organisiert. Häufiger wird ein solches System jedoch von Dritten geleitet. Diese stellen eine Plattform bereit, auf der Waren- und Dienstleistungsanbieter Spammern, die ihre Angebote bewerben wollen, begegnen können. In diesem Fall erhält nicht nur der werbende Partner, also der Spammer, einen finanziellen Anteil, sondern auch die Organisatoren des Partnerprogramms.

SpamIt war eines der führenden Partnerprogramme, das sich mit der Verbreitung pharmazeutischen Spams beschäftigte. Die Einstellung dieses Programms wirkte sich in erster Linie auf die Werbemenge für so genannte medizinische Präparate aus – beispielsweise unerwünschte Nachrichten, in denen (gefälschtes) Viagra beworben wird. Nach dem 20. September verringerte sich diese Spamart um ein Drittel. In weniger als sieben Tagen sank ihr Anteil von 31 auf 21 Prozent. Gleichzeitig stieg der Anteil an E-Mails, die schädlichen Code transportieren: Die Spammer wechselten von Pharmawerbung auf Schadprogrammversand. Bemerkenswert ist, dass wir noch Anfang September eine gegenteilige Entwicklung beobachten konnten, nämlich eine spürbare Zunahme des Anteils pharmazeutischen Spams. Möglicherweise versuchten die Spammer, nachdem sie von der baldigen Schließung des Programms erfahren hatten, für die übrige Zeit noch so viel Geld wie möglich aus dem Pharma-Spam herauszuschlagen.

Das Ende dieses Programms bedeutete nicht, dass die unerwünschte Viagra-Werbung nun vollständig aus den Posteingangsfächern verschwand. Denn in den Weiten des Internets entwickelte sich das Partnerprogramm Glavmed weiterhin prächtig. Doch am 26. Oktober 2010 gelang auch gegen dieses Partnerprogramm ein entscheidender Schlag. An diesem Tag wurde Klage gegen Igor Gusev, Generaldirektor der Despmedia GmbH, erhoben – vermutlich die Schlüsselfigur hinter Glavmed.

Nachdem sich die Spammer von der SpamIt-Schließung wieder ein wenig erholt hatten und die Aufregung um Glavmed aber noch nicht losgebrochen war, begann der Anteil pharmazeutischen Spams Mitte Oktober interessanterweise wieder zuzunehmen. Vermutlich wollten die Spammer dem Versand von Viagra-Werbung noch eine Chance geben. Doch der Fall Igor Gustev durchkreuzte ihre Pläne und die Zahl derartiger Versendungen begann erneut stetig zu sinken. Im Laufe des Novembers und Dezembers sank der Anteil an Viagra-Werbung auf den nie da gewesenen Tiefstwert von 8 bis 12 Prozent. Das zeugt davon, dass die gesteigerte Aktivität der Strafverfolgungsbehörden gegen pharmazeutischen Spam einen Großteil der Spammer verschreckt hat.

Nach dem Verlust der Einnahmen durch medizinischen Spam waren die Cyberkriminellen auf der Suche nach einer anderen Geldquelle. Offensichtlich war das keine leichte Aufgabe, denn bis Ende des Jahres und insbesondere im November versuchten sie es mal mit dem einen, mal mit dem anderen Partnerprogramm.


Veränderung der thematischen Kategorien von Partnerspam
zwischen September 2010 und Januar 2011

Die Kategorie Replikate hochwertiger Waren erlebte zwei große Aufschwünge. Der erste fiel zeitlich mit dem Rückgang pharmazeutischen Spams Ende September beziehungsweise Anfang Oktober zusammen. Zu dieser Zeit verdoppelte sich der Anteil an Werbespam für Replikate hochwertiger Waren. Allerdings brachte diese Versandart nicht die gewünschten Einnahmen, denn im Laufe des Oktobers sank der Anteil dieser Versendungen und betrug zum Monatsende nur noch etwas mehr als 5 Prozent. Vor den Festtagen im Dezember erhofften sich die Spammer erneut Einnahmen durch den Replikatverkauf, was zum zweiten anteilsmäßigen Aufschwung derartiger Versendungen führte.

Gegen Ende Oktober nahm die Menge unerwünschter Nachrichten zur Bewerbung von Online-Kasinos zu. Zu diesem Zeitpunkt hatte der Anteil pharmazeutischen Spams bereits merklich abgenommen und der Versuch, diese Versendungen durch Replikatwerbung zu ersetzen, war fehlgeschlagen. Anfang November betrug der Anteil solcher Versendungen bereits über 15 Prozent am gesamten Spamaufkommen. Allerdings war diese Spamart zum Monatsende fast vollständig aus den Posteingangsordnern verschwunden, was davon zeugt, dass diese Werbung nicht auf große Resonanz gestoßen ist und keine Kundschaft gewinnen konnte.

Spam mit Werbung für Porno- und Kontaktseiten nahm in der dritten Woche des letzten Herbstmonats zu, doch daraufhin begann der Anteil dieser Spamart im E-Mail-Verkehr zu sinken. Interessant ist, dass der Porno-Spamanteil bis Ende August 2010 äußerst gering war, mit Herbstbeginn aber zu wachsen begann und sich auf einem Wert von 4 bis 5 Prozent einpendelte.

Fazit

Das für die Spamwelt bewegte Jahresende 2010 hat der Internetgemeinschaft eines vor Augen geführt: Der Kampf gegen Spam ist nur dann effektiv, wenn sich die Strafverfolgungsbehörden daran beteiligen.

Die Anti-Spam-Industrie arbeitet daran, Anwender zu schützen, ist jedoch keineswegs in die Spammerverhaftung und Botnetzabschaltung involviert. Wir haben andere Aufgaben und Möglichkeiten.

Die effiziente Arbeit der Strafverfolgungsbehörden im Jahr 2010 hat zu einer Halbierung der Spammenge geführt, was zweifellos ein großer Erfolg ist. Allerdings lassen sich Spammer und Botnetzbetreiber nicht so einfach dazu bringen, ihre ertragreichen Geschäfte aufzugeben. Dezember 2010 und Januar 2011, zwei Monate des Stillstands, reichten den Cyberkriminellen aus, um große Schritte zur Wiederherstellung ihrer Kapazitäten zu unternehmen. Gegen Ende Januar hatte das Spamaufkommen bereits wieder das Niveau erreicht, das es noch September 2010 vor der Bredolab-Botnetzschließung hatte.

Lediglich der Jahresbeginn passt nicht ins Bild, denn zu diesem Zeitpunkt blieben viele infizierte Rechner aufgrund der zehntägigen Neujahrsferien in Russland abgeschaltet, was zu einem spürbaren Spamrückgang vom 1. bis 10. Januar führte. An einzelnen Tagen fiel der Spamanteil im E-Mail-Verkehr um das Fünffache.

Die Verteilung der Alarme von Kaspersky Anti-Virus weltweit nach Ländern pendelte sich zu Beginn des Jahres 2011 ebenfalls wieder auf ihren üblichen Werten ein. Die Anwender in den mit guter IT-Infrastruktur ausgestatteten Ländern erhielten häufiger Schadcode via E-Mail – die Anwender in osteuropäischen Ländern dagegen seltener.

Im Januar stabilisierten sich nicht nur die quantitativen Werte, sondern auch die thematische Zusammensetzung von Spam.

Im Januar nahm der prozentuale Anteil von Viagra-Werbespam erneut zu. Ein besonders steiler Anstieg war Anfang Januar zu beobachten, als die Werbung für medizinische Präparate ein Viertel des gesamten Spamverkehrs ausmachte. Allerdings muss dabei berücksichtigt werden, dass Anfang des Jahres die Spammeraktivität insgesamt äußerst gering war. Es ist durchaus wahrscheinlich, dass die Zunahme von Pharma-Werbung mit den Ferien der Botnetzbetreiber zusammenhängt. Möglich ist auch, dass viele Botnetzbesitzer kurz vor ihrem Urlaub ihren Bots den Befehl zum Versand des guten alten pharmazeutischen Spams gaben und sich nicht die Mühe machten, andere Lösungen und Kunden zu finden. Mit dem Ende der Neujahrsferien begann der Anteil an Spam mit Medikamentenwerbung stetig abzunehmen. Zum Monatsende betrug diese Spamart nur noch 13,5 Prozent aller unerwünschten Nachrichten. Allerdings ist selbst dieser Wert um vier Prozent höher als der Durchschnittswert im Dezember.

Der dritte ruhige Monat Februar war von einer weiteren Zunahme des Spamanteils im E-Mail-Verkehr (um 1,1 Prozentpunkte), des aus den USA stammenden Spams (bis 3,5 Prozentpunkte) sowie von einer verstärkten Versendung schädlichen Spams in dieses Land gekennzeichnet. Der Anteil der Alarme von Kaspersky Anti-Virus betrug in den USA 10,6 Prozent.

Aus den Ereignissen des Jahres 2010 lässt sich eine wichtige Lehre ziehen: Unausgegorene Gesetze im Kampf gegen Spam schaffen überaus günstige Arbeitsbedingungen für Cyberkriminelle. Sie können sich leicht der Verantwortung entziehen, indem sie ihre Tätigkeit von Land zu Land verlagern und ihre Botnetze umsiedeln, sollte Gefahr im Verzug sein. Um effektiver gegen die internationale Spambedrohung vorgehen zu können, ist eine starke gesetzgeberische Grundlage nicht nur in Industriestaaten, sondern allen Ländern der Welt unerlässlich. Denn das Internet kennt keine Ländergrenzen.

Bereits im April oder Mai 2011 erwarten wir eine vollständige Wiederherstellung des Spamverkehrs mit den Werten des Sommers 2010. Es sei denn, den Strafverfolgungsorganen gelingt ein weiterer spektakulärer Schlag gegen die Cybercrime-Industrie.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.