Spam und Phishing im dritten Quartal 2014

Inhalt

    Spam: Die wichtigsten Ereignisse des Quartals

    Erscheinen des iPhone 6

    Im September 2014 fand ein für die IT-Industrie sehr wichtiges Ereignis statt: Das neue iPhone 6 wurde offiziell vorgestellt und ging danach in den freien Verkauf. Spammer und Cyberkriminelle konnten diesen Apple-Neuling natürlich nicht so einfach ignorieren. Als Folge davon beobachteten die Kaspersky-Experten im Verlauf des gesamten dritten Quartals eine starke Zunahme von Spam, der diese bekannte Marke ausnutzt. Die Zahl der Phishing-Mitteilungen, die sich auf populäre Apple-Dienste bezogen, nahm im Zusammenhang mit der Veröffentlichung des iPhone 6 ebenfalls deutlich zu.

    Spammer boten das neue Smartphone schon lange vor seinem offiziellen Erscheinen an, und zwar als Dankeschön für die Teilnahme an Umfragen und Aktionen, für den Kauf von beworbenen Waren und für die Nutzung von Dienstleistungen, die per Spam angeboten wurden. Das hippe Gerät wurde in verschiedenen Lotterien verlost und in gefälschten Gewinnbenachrichtigungen als Preis ausgeschrieben. Außerdem gab es auch Angebote, das iPhone 6 zu unglaublich niedrigen (im Vergleich zu den offiziellen) Preisen zu erwerben.

    Gegenüber den Vorgängermodellen gab es beim Design des iPhone 6 einige Veränderungen, insbesondere was die Größe des Displays betrifft. Das war wiederum der Grund für eine starke Zunahme der Spam-Mitteilungen von Herstellern aller nur erdenklichen Accessoires, die Schutzhüllen und Cases passend zu den neuen iPhone-Abmessungen anboten.

    So löste dieses einzelne Ereignis eine Zunahme von Spam absolut unterschiedlicher Ausrichtungen aus (sowohl betrügerischer Art als auch Werbemitteilungen). In vielen Fällen wurde das Erscheinen des neuen Apple-Produkts erfolgreich eingesetzt, um die Aufmerksamkeit der Empfänger auf den eigentlichen Inhalt der E-Mail zu lenken. Bereits die Erwähnung des neuen Smartphones im Betreff der E-Mails erhöhte die Chancen der Spammer deutlich, dass ihre Mitteilungen auch gelesen werden.

    Spam als Mittel zum Diebstahl von E-Mail-Adressen

    Im vergangenen Quartal kam es wiederholt zum Verlust von Anmeldedaten zu Accounts großer E-Mail-Systeme. Die sensiblen Daten landeten im Netz, die Nutzer waren beunruhigt, und es begann eine Diskussion über das Problem der Sicherheit im Internet. Dabei erklärten die Betreiber der E-Mail-Dienste, dass ein großer Teil der gehackten Accounts schon seit langem vernachlässigt sei und nicht mehr benutzt würde, und dass die wenigen, die noch immer aktiv sind, aller Wahrscheinlichkeit nach mittels Phishing abgegriffen wurden.

    Die Identifikationsdaten von E-Mail-Accounts ermöglichen es Betrügern, nicht nur auf die Privatkorrespondenz des Account-Inhabers und seine Kontakte zuzugreifen, sondern auch auf andere Dienste des E-Mail-Anbieters. So können Cyberkriminellen auch die Benutzernamen und Passwörter zu anderen populären Ressourcen in die Hände fallen, wie zum Beispiel für Soziale Netzwerke oder Internet-Shops, bei denen der Nutzer mit der gleichen E-Mail-Adresse registriert ist. Die Nachfrage nach Anmeldedaten für E-Mail-Accounts wird durch die Menge der von Kaspersky Lab registrierten Phishing-Mails bestätigt, die direkt auf den Diebstahl solcher Daten abzielen. Im Laufe des dritten Quartals stießen wir auf Phishing-Mitteilungen, in denen die unterschiedlichsten Methoden eingesetzt wurden, um an die gewünschten Daten zu kommen. Hier einige Beispiele:

      1. Mitteilungen, in denen eine Phishing-HTML-Seite direkt in den Körper der E-Mail integriert war.

      1. Mitteilungen mit Phishing-Links im Mailtext. Der gefälschte Link konnte unter einen Teil des Textes gelegt oder im Mailtext angezeigt sein. Wir weisen darauf hin, dass Betrüger häufig Phishing-Seiten auf speziell erstellten Dritt-Level-Domains platzieren.

      1. Mitteilungen, in denen die E-Mail-Adresse und das Passwort an eine konkrete Adresse geschickt werden sollen.

    Zu den populärsten Ködern, die für den Datendiebstahl eingesetzt werden, gehören E-Mails über die Erweiterung der verfügbaren Postfachgröße, über Systemupdates und über Account-Sperrungen. Obwohl solche Phishing-Mails nicht selten als Benachrichtigungen von konkreten E-Mail-Diensten daherkamen, handelte es sich bei der überwiegenden Mehrheit um allgemeine Anfragen zur Bestätigung des Benutzernamens und des Kennwortes für das elektronische Postfach. Das hängt höchstwahrscheinlich damit zusammen, dass sich die Betrüger beim Versand ihrer gefälschten Nachrichten gleich einer ganzen Adress-Datenbank bedienen und keine Auswahl nach bestimmten E-Mail-Diensten treffen. Das würde viel Zeit in Anspruch nehmen und wäre trotzdem keine Garantie dafür, dass sie die Anmeldedaten auch tatsächlich erhalten.

    Spam jenseits von E-Mail

    Eines der beliebtesten und am weitesten verbreiteten Themen im Spam sind Angebote zur Durchführung von Marketing-Kampagnen. In Form von Massenversendungen und Werbedienstleistungen sollen sie zur Geschäftsförderung und Gewinnung neuer Kunden beitragen. Als Plattform zur Durchführung solcher Marketing-Kampagnen dienen allerdings immer häufiger nicht mehr E-Mail-Dienste und die elektronischen Postfächer der Anwender, sondern Mobiltelefone und Smartphones.

    spam-report_q3-2014_6_sm

    Im dritten Quartal 2014 boten die Spammer vermehrt an, Werbetexte über SMS und populäre IM-Dienste an den User zu bringen, beispielsweise mittels WhatsApp oder Viber. Sollte das bedeuten, dass der klassische E-Mail-Spam mit der Zeit in den Hintergrund treten und seine Führungsrolle an SMS-Spam abgeben wird? Nach einer Analyse der Zusammenhänge zwischen SMS-Spam und E-Mail-Spam kamen die Kaspersky-Experten zu dem Schluss, dass eine solche Entwicklung eher unwahrscheinlich ist. Erstens richten immer mehr Länder ihre Aufmerksamkeit auf das Problem des SMS-Spams und treffen gesetzliche Maßnahmen, die diese Art der Massenwerbung verbieten. Zweitens gibt es eine offensichtliche Wechselbeziehung aller übrigen Medienplattformen für die Verbreitung unerwünschter Werbung mit dem klassischen E-Mail-Spam.

    Denn nach wie vor suchen die Spammer auf „althergebrachte“ Weise nach Auftraggebern für eine solche Art von Werbung, und zwar mit Hilfe von Spam-Versendungen. Dabei existiert noch eine separate Variante von Mail-Versendungen, in denen die Spammer fertige Datenbanken mit E-Mail-Adressen und Telefonnummern zum Verkauf anbieten, die für eine ganz bestimmte Zielgruppe nach besonderen Kriterien aufbereitet sind. Es gibt auch Phishing-Versendungen, die auf das Sammeln von persönlichen Daten und Informationen von Organisationen abzielen. Auf diese Weise werden Daten in Datenbanken gesammelt, die die Spammer daraufhin zum Verkauf anbieten oder für den Versand von neuem Spam verwenden. Der Verkauf von Telefonnummern zur Umsetzung von SMS-Versendungen und das Anwerben neuer Kunden für Spammer-Dienstleistungen erfolgt nach wie vor unter Einsatz von klassischem E-Mail-Spam.

    Eine andere Medienplattform, auf der die Verbreitung von Spam auf dem Vormarsch ist, sind die Sozialen Netzwerke, die Millionen von Mitgliedern zählen und stetig wachsen. Hunderttausende dieser Accounts sind jedoch „tote Seelen“ – also Bots, die speziell für den Spamversand oder für den Diebstahl persönlicher Daten entwickelt wurden. Im vergangenen Quartal beobachteten wir, dass die offiziellen Benachrichtigungen von Sozialen Netzwerken immer häufiger Spam enthalten. Es ist so, dass praktisch alle Accounts in Sozialen Netzwerken mit den E-Mail-Adressen ihrer Inhaber verbunden sind, und die innerhalb des Netzwerks erhaltenen Mitteilungen werden in Form von E-Mail-Benachrichtigungen dupliziert. Beim Inhalt solcher Mitteilungen handelt es sich um typischen Spam: Dazu gehören auch „nigerianische“ Geschichten über Millionenbeträge, die einen neuen Besitzer suchen, sowie Angebote über finanzielle Hilfen zur Promotion der eigenen Geschäfte sowie auch schlicht Werbung für verschiedene Waren.

    SMS-Versendungen und unerwünschte Mitteilungen in Sozialen Netzwerken sind also keine neue Spielarten von Spam, sondern vielmehr neue Methoden zur Zustellung von Werbemitteilungen, die auf die eine oder andere Weise mit dem E-Mail-Spam in Verbindung stehen. Zudem können Spammer ein und dieselben Mitteilungen über verschiedene Kanäle verschicken, wodurch der Eindruck entsteht, dass die Gesamtmenge der versendeten unerwünschten Werbung zunimmt.

    Ereignisse im „nigerianischen“ Spam

    Im dritten Quartal machten die Betrüger die politischen Ereignisse in der Ukraine zur Grundlage ihrer nigerianischen Geschichten, ebenso wie die Sorge um das Ebola-Virus. Politik gehört zu den Lieblingsthemen der „Nigerianer“, wovon auch der große prozentuale Anteil der E-Mails zeugt, die thematisch mit Politik oder bekannten Persönlichkeiten des politischen Lebens in Verbindung stehen. Es ist nicht erstaunlich, dass im Laufe des dritten Quartals gerade die Situation in der Ukraine immer wieder ausgenutzt wurde, um die Anwender in die Irre zu führen. Als Autoren solcher Spam-Nachrichten gaben die Betrüger nicht nur Ukrainer aus den unterschiedlichsten Berufen an, sondern auch Politiker und Unternehmer, die den Empfängern eine Vergütung für ihre Hilfe bei der Überweisung oder Investition großer Beträge anboten.

    E-Mails, die auf das Ebola-Virus Bezug nahmen, wurden zumeist im Namen von Bewohnern afrikanischer Länder verschickt, die sich mit der tödlichen Seuche infiziert hatten. Doch es gab auch andere Varianten, beispielsweise Einladungen zu einer Ebola-Konferenz. Unabhängig von den Autoren und dem Inhalt ihrer überzeugenden Geschichten bleibt das Ziel, das die Betrüger damit verfolgen, seit Jahren unverändert – sie wollen ihren Opfern das Geld aus der Tasche ziehen.

    Schädliche Anhänge

    Top 10 der via E-Mail verbreiteten Schadprogramme, drittes Quartal 2014

    Im dritten Quartal 2014 führte der Schädling Trojan.JS.Redirector.adf das Ranking der via E-Mail verbreiteten Schadprogramme an. Beim Spitzenreiter handelt es sich um eine HTML-Seite. Sobald sie aufgerufen wird, leitet sie den Browser auf eine infizierte Webseite um. Dort wird der Anwender normalerweise aufgefordert, Binbot zu laden – einen Dienst zum automatisierten Handel mit Binäroptionen, die aktuell im Netz sehr populär sind. Der Schädling wird via E-Mail in einem nicht passwortgeschützten ZIP-Archiv verbreitet.

    Auf Platz zwei folgt Trojan-Spy.HTML.Fraud.gen. Dieses Schadprogramm führte das Ranking im Laufe vieler Quartale an, wurde aber schließlich doch von Trojan.JS.Redirector.adf verdrängt. Zur Erinnerung: Trojan-Spy.HTML.Fraud.gen ist eine Phishing-HTML-Seite, auf der ein User vertrauliche Daten eintragen soll. Alle eingegebenen Informationen werden daraufhin an die Cyberkriminellen gesendet. Gegenüber dem vorangegangenen Quartal ging der Anteil dieses Schädlings um 0,62 Prozentpunkte zurück.

    Auf Platz drei landete Trojan.Win32.Yakes.fize, ein trojanischer Downloader des Typs Dofoil. Nebenbei bemerkt belegt Trojan-Downloader.Win32.Dofoil.dx den vierten Platz unserer Hitliste. Schädlinge dieses Typs laden andere Malware auf den Computer, starten diese und stehlen mit ihrer Hilfe verschiedene Informationen, in erster Linie Passwörter.

    Die fünfte und neunte Position belegen Vertreter der Familie universeller modularer Bots Andromeda/Gamarue – Backdoor.Win32.Androm.enji und Backdoor.Win32.Androm.euqt. Die Hauptfunktionen dieser Schädlinge sind das Laden, Speichern und Starten von ausführbaren Dateien, der Down- und Upload von DLL-Files (ohne Speicherung auf der Festplatte), der Download von Plug-ins sowie die Möglichkeit, sich selbst zu aktualisieren und zu löschen. Die Funktionalität des Bots wird mit Hilfe von System-Plug-ins erweitert, die die Cyberkriminellen jederzeit in beliebiger Menge laden können.

    Platz sechs und sieben besetzen Trojan.Win32.Bublik.clhs respektive Trojan.Win32.Bublik.bwbx. Das sind Modifikationen des uns wohl bekannten Schädlings Bublik – ein Trojan-Downloader, der eine Schaddatei auf den Computer lädt und sie ausführt.

    Auf dem achten Platz befindet sich der E-Mail-Wurm Email-Worm.Win32.Bagle.gt. Die Hauptfunktion aller E-Mail-Würmer besteht im Sammeln von E-Mail-Adressen auf den infizierten Computern. Ein E-Mail-Wurm aus der Familie Bagle kann zudem entfernte Befehle zur Installation anderer Schadprogramme entgegennehmen.

    Abgeschlossen wird das Ranking von Trojan-Banker.Win32.ChePro.ink. Dieser Downloader wurde in Form eines CPL-Applets (einer Komponente der Windows-Systemsteuerung) umgesetzt und hat die Aufgabe, Trojaner hochzuladen, die Finanzinformationen stehlen. Die Schädlinge dieses Typs richten sich im Wesentlichen gegen brasilianische und portugiesische Banken.

    Verteilung der Schadprogramme im E-Mail-Traffic nach Familien

    Die Verteilung der Anteile der populärsten Schadprogramm-Familien im E-Mail-Traffic sieht im dritten Quartal 2014 folgendermaßen aus:

    Top 10 der via E-Mail verbreiteten Schadfamilien, drittes Quartal 2014

    Spitzenreiter in diesem Ranking ist die Familie Andromeda, die 12,35 Prozent aller Schädlinge stellen. Auf dem zweiten Platz befindet sich ZeuS/Zbot. Vertreter dieser Familie sind für Angriffe auf Server und Anwender-Clients sowie für das Abfangen von Daten vorgesehen. Obwohl ZeuS/Zbot unterschiedliche schädliche Aktivitäten ausführen kann, wird er meist zum Diebstahl von Bankinformationen eingesetzt. Er ist auch in der Lage, CryptoLocker zu installieren – ein Schadprogramm, das Geld für die Dechiffrierung von Daten erpresst.

    Bublik, der häufig Zbot lädt, war ebenfalls in den Top 10 der am weitesten verbreiteten Schadprogramm-Familien vertreten.

    Zielländer der Schadversendungen

    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, drittes Quartal 2014

    In den Top 20 der Länder, in die der meiste schädliche Spam gesendet wird, gab es im dritten Quartal 2014 einige Veränderungen. So befindet sich Deutschland mit einem Wert von 10,11 Prozent nun auf Position eins. Großbritannien verlor im Vergleich zum zweiten Quartal 1,22 Prozentpunkte und belegt jetzt den zweiten Platz. Auf Rang drei positionierten sich die USA, mit einem Minus von 1,77 Prozentpunkten.

    Russland, das im zweiten Quartal mit einem Wert von 1,48 Prozent den 19. Platz belegte, besetzt nun Rang sechs (4,25 %). Der Anteil des in dieses Land gesendeten Schadspams hat fast um das Dreifache zugenommen.

    Besonderheiten im Schad-Spam

    Ice Bucket Challenge

    Auch im vergangenen Quartal machten sich Cyberkriminelle aufsehenerregende IT-Ereignisse zunutze, um die Aufmerksamkeit der Anwender auf Versendungen mit Schadsoftware zu lenken. Dieses Mal war es die „Ice Bucket Challenge“-Kampagne, die im vergangenen Sommer große Popularität erreichte. Ziel dieser Aktion war es, die Bevölkerung über die degenerative Nervenerkrankung ALS (Amyotrophe Lateralsklerose) aufzuklären und gleichzeitig Spendengelder für die Erforschung dieser Krankheit zu sammeln. An der Kampagne beteiligten sich sehr viele Personen, darunter auch viele Prominente: Bekannte Schauspieler, Politiker, Sportler, Geschäftsleute und Musiker überschütteten sich mit Eiswasser, stellten ein Video dieser Aktion ins Netz und gaben das Staffelholz weiter. Als die Kampagne ihren Höhepunkt erreichte, schlossen sich leider auch Betrüger dieser Aktion an, die darin eine Möglichkeit erkannten, die Aufmerksamkeit der Nutzer auf ihre schädlichen Mitteilungen zu lenken.

    Das hatte zur Folge, dass nichtsahnende Anwender E-Mails mit der Aufforderung erhielten, die ALS Association zu unterstützen, wie es bereits tausende andere Menschen getan hätten. Die Empfänger wurden aufgefordert, ein inspirierendes Video anzuschauen, das sich angeblich im angehängten Archiv befand. Doch anstelle des versprochenen Videos erwartete den User ein Schadprogramm, beispielsweise der Schädling Backdoor.Win32.Androm.euop. Solche Programme ermöglichen es Cyberkriminellen, infizierte Computer unbemerkt zu steuern, die dann auch häufig Teil eines Botnetzes werden.

    „Schädliche Benachrichtigungen“ vom Buchungssystem

    Im dritten Quartal 2014 verschickten Cyberkriminelle auch saisonalen Schad-Spam, dessen Menge traditionell mit der Urlaubszeit im Sommer zunimmt. Im Spam-Traffic traf das Kaspersky-Team auf gefälschte Benachrichtigungen von Hotels, Buchungsdiensten und Fluggesellschaften in englischer und deutscher Sprache. Der Tradition folgend versuchten die Betrüger den Empfänger davon zu überzeugen, dass sich im angehängten ZIP-Archiv Informationen zu einer Hotelreservierung oder über den Kauf eines Flugtickets befinden.

    Unter anderem entdeckten wir eine Versendung von falschen Benachrichtigungen im Namen von American Airlines. An die E-Mail angehängt waren ausführbare Dateien, bei denen es sich um Schädlinge aus der Familie Net-Worm.Win32.Aspxor handelte. Diese Netzwürmer können Spam versenden, beliebige Software laden und starten sowie wertvolle Daten auf dem infizierten Computer sammeln (gespeicherte Passwörter, E-Mail- und FTP-Accounts). Außerdem können sie automatisch nach verwundbaren Webseiten suchen und diese anschließend zum Zweck der weiteren Verbreitung des Bots infizieren.

    Die gefälschten Mitteilungen in deutscher Sprache waren im Namen des Internet-Portals hotel.de verfasst und enthielten den Schädling Trojan-Spy.Win32.Ursnif. Dieser Trojaner stiehlt vertrauliche Daten und ist in der Lage, den Netztraffic abzuhören, andere Schadprogramme hochzuladen und zu starten. Außerdem kann er einige Systemanwendungen deaktivieren.

    Schädlinge im ARJ-Archiv

    Im September entdeckte Kaspersky Lab eine groß angelegte Schadversendung mit einem für Spam eher untypischen Anhang, und zwar einem Archiv im Format ARJ. Wir meinen, dass dieser Archivtyp höchstwahrscheinlich gerade wegen seiner Ungewöhnlichkeit gewählt wurde. Das heißt, die Cyberkriminellen zählen darauf, dass eine Datei mit unbekannter Erweiterung bei einem Anwender, der um die potenzielle Gefahr weiß, die von angehängten ZIP- und RAR-Archiven ausgeht, kein Misstrauen erweckt. Zudem macht es ein ARJ-Archiv möglich, die Dateigröße maximal zu verringern, und sein Quellcode steht allen Interessierten zum Studium und zur Modifikation zur Verfügung.

    Im Rahmen einer Versendung verschickten die Cyberkriminellen mehrere Typen von schädlichen E-Mails. Darunter waren Benachrichtigungen über den Erhalt eines Faxes, über den Versand einer Rechnung von einem bestimmten Unternehmen und persönliche Mitteilungen samt einer Grußformel im Mailkörper. An alle E-Mails angehängt waren Schädlinge aus der Familie Trojan-Downloader.Win32.Cabby, die dem Empfänger nach dem Start ein RTF- oder DOC-Dokument anzeigten und unbemerkt einen Schädling aus der Familie ZeuS/Zbot luden. Alle Namen der angehängten Dateien wurden mit einer Schablone generiert. Um die E-Mails zu individualisieren, veränderten die Cyberkriminellen einige Textfragmente sowie die am Ende der E-Mail stehende Autosignatur des Antiviren-Programms.

    Statistik

    Spam-Anteil im E-Mail-Traffic

    Spam-Anteil im E-Mail-Traffic, April bis September 2014

    Der Spam-Anteil im E-Mail-Traffic betrug im dritten Quartal 2014 durchschnittlich 66,9 Prozent, das sind 1,7 Prozentpunkte weniger als im vorangegangenen Quartal. Der meiste Spam innerhalb des Quartals wurde im August verschickt, die geringste Menge im September.

    Spam-Herkunftsländer

    Spam-Herkunftsländer weltweit, drittes Quartal 2014

    Auch im dritten Quartal 2014 belegten die USA den ersten Platz unter den Ländern, die die meisten unerwünschten Nachrichten in die gesamte Welt versenden – auf sie entfallen fast 14 Prozent des globalen Spam-Aufkommens. Auf dem zweiten Platz befindet sich Russland, dessen Anteil am weltweiten Spam-Traffic 6,1 Prozent beträgt. Abgeschlossen wird das Führungstrio von Vietnam, dessen Wert sich praktisch nicht von dem Russlands unterscheidet – auch hier sind es rund sechs Prozent des gesamten Spams.

    Die übrige Verteilung des Spam-Aufkommens nach Ländern ist recht gleichmäßig. Zu den zehn größten Quellen von Junk-Traffic gehören auch China (5,1 %), Argentinien (4,1 %) und Deutschland (3,4 %). Das Schlusslicht bildet Brasilien mit einem Wert von 2,9 Prozent.

    Größe der Spam-Mails

    Größen der Spam-Mails, drittes Quartal 2014

    Die Verteilung der Spam-Mails nach Größen hat sich gegenüber dem zweiten Quartal praktisch nicht verändert. Am häufigsten sind wie gehabt die sehr kurzen E-Mails mit einer Größe von bis zu einem KB, die sich bei massenhafter Versendung schnell und einfach verschicken lassen. Der Anteil solcher E-Mails ist im Laufe des Quartals um 4,6 Prozentpunkte gewachsen.

    Erwähnenswert ist auch der Rückgang des Anteils von E-Mails mit einer Größe zwischen zwei und fünf KB um 4,8 Prozentpunkte. Beobachtet wurde auch ein geringer Rückgang des Spam-Anteils im Bereich zwischen fünf und zehn KB, und zwar um 2,5 Prozentpunkte. Der Anteil der E-Mails mit einer Größe zwischen zehn und 20 KB ist hingegen um 1,7 Prozentpunkte gestiegen.

    Phishing

    Im dritten Quartal 2014 wurden auf den Computern der Anwender von Kaspersky-Lab-Produkten 71.591.006 Alarme des Antiphishing-Systems registriert. Das sind 11,5 Millionen Alarme mehr als im vorangegangenen Quartal.

    Wie schon im zweiten Quartal wurden die meisten von Phishern angegriffenen Anwender in Brasilien registriert. In der Statistik stieg der Wert dieses Landes um 3,53 Prozentpunkte auf 26,73 Prozent.

    Geografie der Phishing-Attacken*, drittes Quartal 2014

    * Prozentualer Anteil der Anwender, auf deren Computern das Antiphishing-System Alarm schlug, an allen Anwendern von Kaspersky-Lab-Produkten in dem jeweiligen Land

    Top 10 der Länder nach Anteil der angegriffenen Anwender:

    Land Prozentualer Anteil der Nutzer
    1 Brasilien 26,73
    2 Indien 20,08
    3 Australien 19,37
    4 Frankreich 18,08
    5 Vereinigte Arabische Emirate 17,13
    6 Kanada 17,08
    7 Kasachstan 16,09
    8 China 16,05
    9 Großbritannien 15,58
    10 Portugal 15,34

    Eine deutliche Zunahme des Anteils angegriffener Anwender ist in China (plus 4,74 Prozentpunkte), Australien (plus 3,27 Prozentpunkte), den Vereinigten Arabischen Emiraten (plus 2,83 Prozentpunkte) und Kanada (plus 1,31 Prozentpunkte) zu verzeichnen.

    Ziele der Phishing-Attacken

    Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

    Den ersten Platz im Ranking der von Phishern angegriffenen Organisationen belegt nach wie vor die Kategorie „E-Mail- und Suchportale“ (vorher „Globale Internetportale“). Allerdings ging der Anteil dieser Kategorie deutlich zurück, und zwar um 22,15 Prozentpunkte, und ihr Wert betrug damit im dritten Quartal 2014 28,54 Prozent.

    Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, drittes Quartal 2014

    Im dritten Quartal stieg der Wert der zusammengefassten Kategorie „Online-Finanzen“ (bestehend aus „Banken“, „Online-Shops“ und „Bezahlsysteme“ um 13,39 Prozentpunkte auf 38,23 Prozent. Schon das zweite Quartal in Folge wächst der Anteil der Alarme in den Kategorien „Banken“ (plus 6,16 Prozentpunkte), „Bezahlsysteme“ (plus 5,85 Prozentpunkte) und „Online-Shops“ (plus 3,18 Prozentpunkte).

    Verteilung der Phishing-Attacken auf Bezahlsysteme, drittes Quartal 2014

    Bezahlsysteme sind deswegen für Phisher so attraktiv, weil sie durch erfolgreiche Angriffe auf diese Organisationen direkten Zugriff auf das Geld des Opfers erhalten. Spitzenreiter unter den angegriffenen Organisationen in der Kategorie „Bezahlsysteme“ ist PayPal (32,08 Prozent), dicht gefolgt von Visa (31,51 Prozent). Abgeschlossen wird das Führungstrio von American Express mit 24,83 Prozent.

    Phishing-Attacken auf Nutzer von Bezahlsystemen werden häufig mit Hilfe von Versendungen gefälschter Mitteilungen durchgeführt, die angeblich von einem Vertreter einer bestimmten Finanzorganisation verfasst wurden. Solche E-Mails enthalten die Drohung, den Account zu sperren oder das Konto einzufrieren, was den Nutzer zu einer emotionalen Reaktion provozieren und ihn zu einer unüberlegten Aktion verleiten soll, in diesem Fall zur Übermittlung vertraulicher Daten an Cyberkriminelle.

    Beispiel für eine Phishing-Mail mit der Drohung, das Konto des Empfängers zu sperren

    In diesem Beispiel stammt die Mitteilung von einer verdächtigen Adresse, die nicht mit den üblichen PayPal-Adressen übereinstimmt. Dem Anwender wird in der E-Mail gedroht („aktualisieren Sie Ihren Account oder er wird blockiert“), und er wird zudem aufgefordert, auf einen Link zu klicken und seine persönlichen Daten auf der sich daraufhin öffnenden Seite zu hinterlassen.

    Eine als PayPal-Webseite getarnte Phishing-Seite

    Nach dem Klick auf diesen Link wird dem User eine Webseite angezeigt, die die Aufmachung der offiziellen Webseite von PayPal nachahmt, inklusive Felder zum Eintragen der persönlichen Daten. Das Fehlen von „HTTPS“ in der Adresszeile zeigt, dass die Verbindung zu dieser Seite nicht geschützt ist. Die angegebene IP-Adresse gehört auch nicht zum Unternehmen PayPal.

    Top 3 der angegriffenen Organisationen

    Organisation Prozentualer Anteil der Phishing-Links
    1 Google 10,34%
    2 Facebook 10,21%
    3 Yahoo! 6,36%

    Die am häufigsten angegriffenen Organisationen sind nach wie vor Google, Facebook und Yahoo, allerdings gab es innerhalb der Top 3 große Veränderungen. Die Werte von Google (10,34 Prozent) und Facebook (10,21 Prozent) haben leicht zugenommen, und beide Organisationen sind um eine Position aufgestiegen. Yahoo, im ersten Halbjahr 2014 plötzlich unangefochtener Spitzenreiter, hat seine Position ebenso plötzlich wieder aufgegeben – der Wert dieser Organisation ging um 24,62 Prozentpunkte zurück und beträgt nun 6,36 Prozent.

    Aktuelle Themen im Phishing

    Apple befindet sich nicht unter den ersten Drei, ist mit einem Wert von 1,39 Prozent (plus 0,98 Prozentpunkte) im Rating der von Phishern angegriffenen Organisationen aber auf den vierten Platz aufgestiegen. Anfang September war das Unternehmen in einen Skandal verwickelt, bei dem es um die Veröffentlichung von Fotos bekannter Persönlichkeiten aus der iCloud ging. Apple dementierte Gerüchte über die Existenz von Sicherheitslücken in dem Service, die zu dem Datenleck geführt hätten; der Grund hierfür könnte vielmehr in einer Phishing-Attacke auf die Anwender von Apple-Produkten liegen (ob die Attacke zielgerichtet war oder einfach zufällig viele Stars und Sternchen unter den Opfern waren, ist nicht bekannt).

    Außerdem wurden am 9. September 2014 das neue iPhone 6 und das iPhone 6 Plus vorgestellt, und große Ereignisse in diesem Unternehmen ziehen für gewöhnlich die gesteigerte Aufmerksamkeit von Betrügern auf sich. Daher ist es wenig erstaunlich, dass wir eine Zunahme der gefälschten Benachrichtigungen registrierten, die im Namen von Apple verschickt wurden, wie zum Beispiel von iTunes und iCloud.

    Betrüger missbrauchten den Namen des Unternehmens, um die Anwender für ihre Versendungen zu interessieren. Dabei verwendeten sie nicht selten immer wieder dieselbe Mitteilungsschablone und änderten lediglich den Namen des jeweiligen Apple-Services.

    Zahl der täglich vom KSN gemeldeten Phishing-Alarme auf Webseiten, die Seiten von Apple imitieren, zweites und drittes Quartal 2014

    Für den Schutz der persönlichen Daten der Anwender gibt es bei Apple eine zweistufige Überprüfung der Apple ID, die Registrierung eines oder mehrerer vertrauenswürdiger Geräte eingeschlossen. Die zweistufige Überprüfung schließt die Möglichkeit eines nicht autorisierten Zugriffs oder Änderungen im Account des Anwenders aus und verhindert den Abschluss von Käufen Dritter mit Hilfe des Anwender-Accounts. Am 5. September 2014 kündigte Apple die baldige Einführung zusätzlicher Sicherheitsmaßnahmen an, die Nutzer über verdächtige Aktivitäten in ihren Accounts informieren soll.

    Beispiele für Phishing-Seiten, auf denen die Daten der Apple ID abgefragt werden

    Der Anwender hat zudem die Möglichkeit, die Webseiten aufmerksam zu studieren, auf denen er seine vertraulichen Daten eingeben soll. Insbesondere ist auf das Vorhandensein einer geschützten Verbindung zu achten und auf die Zugehörigkeit der Domain zu Apple. Es ist ebenfalls von Bedeutung, was genau die Cyberkriminellen abfragen – denn neben der Apple ID fragen Phisher häufig auch nach den Daten der mit dem Account verbundenen Kreditkarte. In einem solchen Fall – wenn der Anwender den Betrügern selbstständig seine Finanzinformationen zur Verfügung gestellt hat – kann der von Apple bereitgestellte Schutz ihn nicht vor möglichen Konsequenzen bewahren.

    Beispiel für eine Phishing-Seite, die die Aufforderung von Apple iTunes imitiert, die persönlichen Informationen zu bestätigen

    Fazit

    Der Spam-Anteil im E-Mail-Traffic betrug im dritten Quartal 2014 durchschnittlich 66,9 Prozent, das sind 1,7 Prozentpunkte weniger als im vorangegangenen Quartal.

    Großen Einfluss auf die Spam-Themen hatten im dritten Quartal Nachrichten wie der Verkaufsstart des Apple iPhone 6, die politischen Ereignisse in der Ukraine, das Durchsickern von Passwörtern großer E-Mail-Dienste, die Spendenkampagne Ice Bucket Challenge sowie die Urlaubssaison und die Sommerferien. Weltweites Aufsehen erregende Ereignisse wurden auch aktiv im „nigerianischen“ Spam ausgenutzt.

    Das Führungstrio im Rating der Länder, die Spam in die ganze Welt verschicken, sieht folgendermaßen aus: USA (14 Prozent), Russland (6,1 Prozent), Vietnam (6 Prozent).

    Die Hitliste der via E-Mail verbreiteten Schadprogramme für das dritte Quartal wird angeführt von Trojan.JS.Redirector.adf (2,8 Prozent), der den Browser des Anwenders auf eine infizierte Webseite umleitet. Bei den Schadprogramm-Familien steht Andromeda an erster Stelle, auf die 12,35 Prozent aller Schädlinge entfallen. Am häufigsten waren die Nutzer in Deutschland schädlichen Angriffen ausgesetzt.

    Im dritten Quartal wurden Phishing-Mails in Umlauf gebracht, die auf den Diebstahl von Login-Daten und Passwörtern zu E-Mail-Accounts abzielen. Der Verkaufsstart der neuen iPhone-Generation löste auch eine Welle von Phishing-Benachrichtigungen im Namen der großen Apple-Plattformen iTunes und iCloud aus.

    Für die Installation von Schadprogrammen auf den Computern verschickten die Cyberkriminellen im dritten Quartal nicht nur gefälschte Mitteilungen von Hotelbuchungsservices und Fluggesellschaften, sondern auch E-Mails mit einem seit langer Zeit nicht mehr verwendeten Archiv-Dateiformat.

    Der Anteil von Phishing-Attacken auf Organisationen, die sich mit Online-Finanztransaktionen beschäftigen (Banken, Bezahlsysteme, Online-Shops) nimmt weiterhin zu. Deutlich zurückgegangenen ist die Zahl der Angriffe auf Organisationen aus der Kategorie „E-Mail- und Suchportale“, und zwar bis auf 28,54 Prozent. Ebenfalls spürbar abgenommen hat der Anteil der Attacken auf Yahoo, ein Unternehmen, das ebenfalls zu dieser Kategorie gehört.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.