Spam und Phishing im ersten Quartal 2015

Inhalt

    Spam: die wichtigsten Ereignisse des Quartals

    Neue Domain-Zonen

    Im Januar 2014 startete das Programm New gTLD zur Registrierung neuer Top-Level-Domains (TLD), die für bestimmte Communitys und Organisationstypen vorgesehen sind. Für Organisationen besteht der wichtigste Vorteil dieses Programms darin, diejenigen Domain-Zonen auswählen zu können, die genau zu ihrer Tätigkeit und den Themen ihrer Webseiten passen. Die neuen Möglichkeiten für das Business, die das Programm New gTLD mit sich bringt, wurden von der Internet-Community mit Begeisterung aufgenommen, und die aktive Registrierung neuer Domainnamen hält bis heute an.

    Selbstverständlich wurde die Situation über kurz oder lang auch von Spammern und Cyberkriminellen ausgenutzt, für die die neuen Domains ein hervorragendes Werkzeug zur Durchführung gesetzwidriger Kampagnen darstellen. Das hatte zur Folge, dass in den neuen Domain-Zonen praktisch umgehend die Verbreitung von Werbe-Spam, Phishing-Mails und schädlichen E-Mails begann. Cyberkriminelle registrierten entweder eigens für die Durchführung von Spam-Versendungen Domains oder sie hackten bestehende Webseiten, um dort Spam-Seiten zu platzieren. Oder sie nutzten sowohl die einen als auch die anderen Webressourcen als Glieder in ihrer Redirect-Kette auf Spam-Webseiten.

    Spam und Phishing im ersten Quartal 2015

    Den Beobachtungen von Kaspersky Lab zufolge ist die Zahl neuer Domains, von denen Spam unterschiedlichster Inhalte verschickt wird, im vergangenen Quartal im E-Mail-Traffic stark gestiegen. Insgesamt war das Spam-Thema nicht unbedingt von den Domain-Namen abhängig, doch in einigen Fällen ließ sich zwischen ihnen eine gewisse logische Verbindung herstellen. So wurde beispielsweise in E-Mails von „.work“-Domains eine große Zahl von Angeboten zur Durchführung verschiedener Arbeiten verschickt, wie zum Beispiel Renovierungsarbeiten, Bau- oder Installationsarbeiten. Und ein nicht geringer Teil der Mitteilungen, die von „.science“-Domains stammten, war Werbung für Bildungseinrichtungen, die Fernstudiengänge und Ausbildungskurse für Krankenschwestern, Juristen und andere Berufszweige anbieten.

    Spam und Phishing im ersten Quartal 2015

    Im Spam-Traffic des ersten Quartals gab es zudem eine Vielzahl von E-Mails, die von Domains verschickt wurden, deren Namen Farben bezeichnen, wie zum Beispiel „.pink“, „.red“ oder „.black“. Diese Domains kamen in erster Linie in Werbung für asiatische Kontaktseiten zum Einsatz. Dabei waren die Top-Level-Domains, die in Massenversendungen zum Thema Bekanntschaften verwendet wurden, in der Regel leer und enthielten keinen logischen Content, der mit dieser Thematik in Zusammenhang steht. Sie wurden lediglich in der Umleitungskette benutzt, die auf die Haupt-Webseiten führt. Anzumerken ist zudem, dass auch die TLD der Haupt-Webseiten erst vor sehr kurzer Zeit erstellt wurden und sich ständig änderten, im Gegensatz zu ihrem Inhalt, der nach ein und demselben Muster erstellt wurde, was für Spam generell sehr typisch ist.

    Spam und Phishing im ersten Quartal 2015

    Die Domain-Namen der zweiten Ebene oder niedriger werden in solchen E-Mails in der Regel automatisch generiert und bestehen aus einer zusammenhangslosen Folge von Ziffern und Buchstaben. Als Domain-Zonen kommen nicht nur die im Rahmen des Programms New gTLD erst neu erstellten TDLs vor, sondern auch so bekannte Domains der obersten Ebene wie „.com“, „.org“, „.info“ und andere.

    Neue Domains, alte Themen

    Was die Spam-Themen auf den neuen Domains und die Spam-Themen im Laufe des Quartals insgesamt betrifft, so war das nach Anzahl der Mitteilungen umfangreichste und in Versendungen wechselnder Domains häufigste Thema wohl das Thema Versicherungen. Dazu gehören alle nur erdenklichen Arten von Versicherungen – Lebensversicherungen, Krankenversicherungen, Haftpflichtversicherungen, Kfz-Versicherungen, Tierversicherungen und so weiter und so fort. Der Spam mit Angeboten über Versicherungsleistungen sticht nicht nur durch die Verwendung erst kürzlich erstellter Top-Level-Domains hervor, sondern auch durch die Verwendung von gehackten oder abgelaufenen Domains. Auch wenn sie nun neue Domains verwenden, bleiben die Tricks der Spammer doch die alten, und nach wie vor setzen sie beispielsweise in das „Absender“-Feld ihrer E-Mails die Domains bekannter Organisationen ein, wie etwa „@amazon.com“ oder „@ebay.com“.

    Spam und Phishing im ersten Quartal 2015

    Die von uns entdeckten E-Mails waren in der Regel nach ein und demselben Muster umgesetzt und hatten die folgenden Merkmale gemein:

    • sehr wenig Text (im Wesentlichen ein charakteristischer Betreff, bestehend aus wenigen Worten, die exakt im Körper der Mitteilung wiederholt werden)
    • ein Link oder mehrere Links, die Teile eines grell aufgemachten Bildes oder ein gesamtes Bild mit den notwendigen Werbedaten laden (ausführlicherer Werbetext plus Kontaktdaten: Adresse der Webseite, Telefonnummer, Name des Unternehmens)
    • ein weiterer Link, der auf die dem Inhalt der E-Mail entsprechende Ressource führt
    • zusätzlicher Text zum Verrauschen der E-Mail

    Letztgenannter Text besteht aus unzusammenhängenden Phrasen oder einzelnen Wörtern in beliebigen Sprachen, die nicht unbedingt der Sprache, in der die E-Mails der Versendung abgefasst sind, entsprechen muss. In der Regel sind die Texte für den Leser der E-Mails nicht sichtbar, da sie in weißer oder blasser Schrift auf standardmäßig weißem Hintergrund geschrieben sind. Diesen Ansatz konnten wir nicht nur in Versendungen mit Versicherungsangeboten beobachten, sondern auch in vielen anderen Spam-Mails.

    spam-report_q1-2015_5

    Quellcode einer Webseite, die eine willkürliche Auswahl an Wörtern zur Verrauschung der E-Mail enthält

    Tricks der Spammer

    Das Verrauschen mit Hilfe großer Textfragmente, die mit weißer Schrift auf standardmäßig weißem Hintergrund geschrieben sind, wird eingesetzt, um die Anti-Spam-Filter auszutricksen. Dem Filter wird auf diese Weise vorgegaukelt, es handele sich um eine normale Textmitteilung und nicht um Spam.

    Spam und Phishing im ersten Quartal 2015

    Eine weitere Methode zum Verrauschen des E-Mail-Textes, die Spammer im vergangenen Quartal aktiv einsetzten, besteht im absichtlichen Entstellen der Adressen der Spammer-Seiten, in einer geteilten Schreibweise der Adressen oder dem Hinzufügen von sinnlosen Symbolen. Dabei befindet sich irgendwo im Text immer der Name der Domain der zweiten Ebene, auf der sich die Spammer-Seite befindet, sowie eine Anleitung zum „Gebrauch“ der Adresse zusammen mit der Domain-Zone, beispielsweise, „entfernen Sie alle überflüssigen Symbole und kopieren Sie in die Adresszeile“ oder „fügen Sie ein ohne Füllzeichen“. In Grunde genommen wird der Empfänger der E-Mail also aufgefordert, die Adresse der Spam-Webseite selbst in die Adresszeile einzugeben.

    Spam und Phishing im ersten Quartal 2015

    Makros im Schad-Spam

    Spam wird für Internet-Nutzer immer gefährlicher. Cyberkriminelle lassen sich nicht nur neue Tricks einfallen, sondern greifen auch immer häufiger auf längst bekannte, jedoch bei den Nutzern in Vergessenheit geratene Ansätze zurück. So verbreiteten Cyberkriminelle im ersten Quartal 2015 mit Hilfe von Spam-Versendungen beispielsweise Makroviren. Dabei handelt es sich um Programme, die in Makrosprachen geschrieben und in Datenverarbeitungssysteme integriert sind (in Text- oder Grafikeditoren, elektronischen Tabellen und anderen Programmen).

    Alle schädlichen E-Mails enthielten einen Anhang mit der Erweiterung „.doc“ oder „.xls“. Beim öffnen dieser Anhänge wurde ein VBA-Skript gestartet. Dieses Skript lud dann wiederum andere Schadprogramme und installierte sie im System, unter anderem auch den Banktrojaner Cridex. Die von Kaspersky Lab registrierten Makroviren gehören zu den Download-Trojanern: Trojan-Downloader.MSExcel.Agent, Trojan-Downloader.MSWord.Agent und Trojan-Downloader.VBS.Agent.

    Meistens wurden die schädlichen Anhänge als Dokumente unterschiedlicher Art getarnt: Benachrichtigungen über eine fällige Strafzahlung, über eine Überweisung, über eine nicht bezahlte Rechnung, über einen Bezahlvorgang oder eine Bestellung. Es gab allerdings auch gefälschte Beschwerdeschreiben, E-Tickets und anderes.

    Unter den gefälschten Benachrichtigungen waren häufig falsche Mitteilungen im Namen von staatlichen Stellen, Online-Shops, Buchungsdiensten, Fluggesellschaften und anderen bekannten Organisationen.

    Spam und Phishing im ersten Quartal 2015

    Ein interessantes Beispiel für eine gefälschte Mitteilung ist eine Zahlungsbestätigung im Namen eines Mitarbeiters des führenden Anbieters von Wasserkühlern in Großbritannien. Die Fälschung ist einer offiziellen E-Mail des Unternehmens zum Verwechseln ähnlich, inklusive aller Kontaktdaten, verschiedenen Logos und legitimen Links.

    Spam und Phishing im ersten Quartal 2015

    Zu Beginn des Jahres entdeckten wir eine Versendung, deren E-Mails einen schädlichen Anhang im Format Microsoft Word oder Excel enthielten. Anstelle der in der E-Mail angekündigten zusätzlichen Informationen enthielt der Anhang einen Download-Trojaner (Trojan-Downloader.MSExcel.Agent oder Trojan-Downloader.MSWord.Agent), der andere Schadsoftware auf den Rechner lud und startete. Die E-Mails der Versendung waren nach ein und derselben Schablone gestaltet, lediglich die Absenderadresse und die im Betreff und im Mail-Körper angegebene Geldsumme änderten sich.

    spam-report_q1-2015_10

    Der Inhalt eines Dokuments mit Makrovirus kann aussehen wie eine willkürliche Zeichenauswahl, die einer inkorrekten Kodierungsdarstellung ähnelt. Cyberkriminelle benutzen diese Methode, um das potenzielle Opfer – unter dem Vorwand, die Zeichenkodierung zu korrigieren – dazu zu bringen, Makros zu aktivieren, da Microsoft bereits im Jahr 2007 aus Sicherheitsgründen die automatische Aktivierung von Makros in Dateien abgeschafft hat.

    spam-report_q1-2015_11

    Neben den Versendungen, in denen das schädliche Skript als Makro integriert war, entdeckten wir auch E-Mails, in denen das Skript als Objekt bereitgestellt wurde. Die Autoren einer dieser E-Mails informierten den Empfänger, dass er innerhalb einer Woche eine Schuld zu tilgen habe, andernfalls würde eine Klage gegen ihn angestrengt, was weitere finanzielle Verluste für ihn zur Folge hätte.

    Spam und Phishing im ersten Quartal 2015

    Die angehängte Datei war ebenfalls eine Word-Datei, doch das schädliche VBS-Skript (Klassifizierung von Kaspersky Lab: Trojan-Downloader.VBS.Agent.all) war als Objekt in die Datei eingefügt. Um den Nutzer in die Irre zu führen, wurde das eingefügte Skript als Excel-Datei dargestellt – die Betrüger benutzten das Icon dieses Programms und fügten dem Dateinamen die Endung „.xls“ hinzu.

    Spam und Phishing im ersten Quartal 2015

    Der erste Makrovirus wurde bereits im August 1995 in Word-Dokumenten entdeckt und infizierte unter dem Namen „Concept“ schnell zehntausende Computer auf der ganzen Welt. Auch wenn sie schon auf eine mehr als zwanzigjährige Geschichte zurückblicken kann, erfreut sich diese Schädlingsart auch heute noch großer Beliebtheit. Der Grund hierfür liegt zum großen Teil darin, dass die Sprache VBA, die eigens für die Erstellung von Makros geschaffen wurde, eine der leichtesten und zugänglichsten, gleichzeitig aber auch eine der funktionalsten Programmiersprachen ist.

    Die meisten Makroviren sind nicht nur beim öffnen oder schließen einer infizierten Datei aktiv, sondern so lange, wie der Nutzer mit einem Editor arbeitet (Text- oder Tabelleneditor). Makroviren sind deshalb so gefährlich, weil sie nicht nur die ursprünglich geöffnete Datei infizieren, sondern auch andere Dateien, die direkt aufgerufen werden.

    Dass Makroviren aktiv im E-Mail-Traffic verbreitet werden, liegt nicht nur daran, dass sie einfach zu erstellen sind, sondern hängt auch damit zusammen, dass die Anwender ständig mit Text- oder Tabellenverarbeitungsprogrammen arbeiten und sich dabei der potenziellen Gefahr von Makroviren nicht bewusst sind.

    Schädliche Anhänge

    Spam und Phishing im ersten Quartal 2015

    Top 10 der via E-Mail verbreiteten Schadprogramme, erstes Quartal 2015

    Das am häufigsten unter den im E-Mail-Traffic verbreiteten Schadprogrammen war im ersten Quartal der Downloader Trojan-Banker.Win32.ChePro.ink, der nach den Ergebnissen des vergangenen Jahres lediglich den sechsten Platz belegte. Er ist in Form eines CPL-Applets umgesetzt (einer Komponente der Windows-Systemsteuerung) und für den Download von Trojanern auf den Computer vorgesehen, die wiederum auf den Diebstahl von vertraulichen Finanzinformationen spezialisiert sind. In erster Linie greifen Schädlinge dieses Typs brasilianische und portugiesische Banken an.

    Auf Position zwei befindet sich Trojan-Spy.HTML.Fraud.gen. Zur Erinnerung: Bei diesem Schädling handelt es sich um eine gefälschte HTML-Seite, die als wichtige Mitteilung von großen kommerziellen Banken, Internet-Shops, Softwareherstellern und anderen Organisationen getarnt wird.

    Den vierten und siebten Platz belegen die Schädlinge Trojan-Downloader.HTML.Agent.aax respektive Trojan.HTML.Redirector.ci. Wir haben es in diesen Fällen mit HTML-Seiten zu tun, die Code zur Umleitung des Browsers auf eine Webseite der Cyberkriminellen enthalten. Dort erwartet den Anwender üblicherweise eine Phishing-Seite oder die Aufforderung, den in letzter Zeit populären Binbot herunterzuladen – einen Service zum automatischen Handel mit Binäroptionen. Verbreitet werden die Schädlinge in Dateianhängen, und sie unterscheiden sich nur durch den Link, über den der Redirect erfolgt.

    Position sechs besetzt Trojan.Win32.VBKrypt.sbds. Er gehört zu den gewöhnlichsten Trojan-Downloadern, die eine Schaddatei auf den Computer des Anwenders laden und sie dort ausführen.

    Den achten und neunten Rang belegen Downloader der Familie Upatre-Trojan-Downloader.Win32.Upatre.fbq und Trojan-Downloader.Win32.Upatre.fca. Ihre Hauptaufgabe besteht darin, weitere Anwendungen zu laden, zu entpacken und zu starten. Der Schädling kommt normalerweise als PDF- oder RTF-Dokument daher.

    Wenn es übrigens nicht um konkrete Programme, sondern um populäre Schadprogramm-Familien geht, so führte eben diese Familie Upatre das entsprechende Rating im ersten Quartal 2015 an. In den meisten Fällen laden die Vertreter der Familie Upatre den Banker Dyre (alias Dyreza, alias Dyzap), wegen dem diese Familie auch den ersten Platz in unserem Rating der aktuellen Banken-Bedrohungen belegte.

    Die Familie Аndromeda, die nach den Ergebnissen des Jahres die Spitzenposition in diesem Rating belegte, rutschte auf den zweiten Platz. Zur Erinnerung: Schädlinge aus der Familie Аndromeda ermöglichen es Cyberkriminellen, infizierte Computer unbemerkt zu steuern, die dann meist auch an ein Botnet angegliedert werden.

    Den dritten Rang besetzt die Familie MSWord.Agent. Bei diesen Schädlingen handelt es sich um eine „.doc“-Datei mit integriertem Makro, programmiert in Visual Basic for Applications (VBA), das beim öffnen des Dokuments ausgeführt wird. Der Schädling lädt und startet andere Malware, beispielsweise einen Vertreter der Familie Andromeda.

    Trojaner der Familie ZeuS/Zbot, die zu den bekanntesten verfügbaren Programmen zum Diebstahl von Bankinformationen – und folglich auch vom Geld der Anwender – zählen, schafften es im ersten Quartal lediglich auf Position sieben.

    Zielländer der Schadversendungen

    Spam und Phishing im ersten Quartal 2015

    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, erstes Quartal 2015

    Im Führungstrio der Länder, in die der meiste Spam geschickt wird, gab es deutliche Veränderungen. Deutschland wurde vom zweiten Platz verdrängt und machte unerwartet Platz für Brasilien (7,44 % gegenüber 3,55 % nach den Ergebnissen des vergangenen Jahres). Position eins belegt Großbritannien (7,85 %), die USA besetzen Rang drei mit 7,18 Prozent. Und Deutschland, das so lange einen der Führungsplätze belegte, wurde nun auf die vierte Position zurückgedrängt (6,05 %).

    Erwähnenswert ist auch Australien, das mit 4,12 Prozent auf Platz sechs kletterte.

    Russland sackte im Rating einerseits um zwei Positionen ab (vom achten auf den zehnten Platz), andererseits ist der prozentuale Anteil der nach Russland gesendeten Schadprogramme im ersten Quartal gestiegen (von 3,24 % nach den Jahresergebnissen 2014 auf 3,36 % im ersten Quartal 2015).

    Statistik

    Spam-Anteil im E-Mail-Traffic

    Spam und Phishing im ersten Quartal 2015

    Spam-Anteil im E-Mail-Traffic, Oktober 2014 bis März 2015

    Im ersten Quartal 2015 betrug der Spam-Anteil im E-Mail-Traffic 59,2 Prozent, das sind rund sechs Prozentpunkte weniger als im vorangegangenen Quartal. Der Spam-Anteil ging im Laufe des Quartals schrittweise zurück: Der meiste Spam wurde im Januar (61,68 %) verschickt, der wenigste im März (56,17 %).

    Spam-Herkunftsländer

    Spam und Phishing im ersten Quartal 2015

    Spam-Herkunftsländer weltweit, erstes Quartal 2015

    Auf Position eins der Spam-Herkunftsländer befinden sich im ersten Quartal 2015 die USA, deren Anteil an allen unerwünschten Mitteilungen 14,5 Prozent beträgt. Den zweiten Platz hält Russland (7,27 %), Position drei besetzt die Ukraine (5,65 %).

    Auf das Führungstrio folgen unmittelbar Vietnam (4,82 %), China (4,51 %) und Deutschland (4,39 %). Abgeschlossen werden die Top 10 von Brasilien – von dort stammten im ersten Quartal 2,78 Prozent des weltweiten Spam-Aufkommens.

    Größen der Spam-Mails

    Spam und Phishing im ersten Quartal 2015

    Größen der Spam-Mails, viertes Quartal 2014 und erstes Quartal 2015

    Die Verteilung der Spam-Mails nach Größe bleibt stabil. Den ersten Platz belegen mit großem Abstand sehr kleine Mitteilungen mit einer Größe von bis zu 2 KB (73,99 %), die sich sehr gut für den Massenversand eignen. Im ersten Quartal ging der Anteil dieser Nachrichten um 3,28 Prozentpunkte zurück.

    Wesentlich zugenommen, und zwar um 5,4 Prozentpunkte, hat der Anteil der E-Mails mit einer Größe zwischen zwei und fünf KB (16,00 %). Der Anteil der E-Mails mit Größen zwischen fünf und zehn KB ging dagegen um 2,28 Prozentpunkte auf 2,20 Prozent zurück. Der Anteil der E-Mails mit großem Umfang (ab 10 KB) hat sich gegenüber dem vorangegangenen Quartal praktisch nicht verändert.

    Phishing

    Im ersten Quartal 2015 wurden auf den Computern der Anwender von Kaspersky-Lab-Produkten 50.077.057 Alarme des Anti-Phishing-Systems registriert. Das ist ein um eine Million höherer Wert als im vorangegangenen Quartal.

    Schon mehrere Quartale in Folge werden die meisten Anwender anteilsmäßig in Brasilien angegriffen. Im ersten Quartal 2015 ging der Wert des Landes um 2,74 Prozentpunkte zurück und betrug 18,28 Prozent.

    Spam und Phishing im ersten Quartal 2015

    Geografie der Phishing-Attacken*, erstes Quartal 2015

    * Anteil der Anwender, auf deren Computern das „Antiphishing“-System Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land

    Top 10 der Länder nach Anteil der angegriffenen Anwender:

      Land Prozentualer Anteil der Anwender
    1 Brasilien 18,28
    2 Indien 17,73
    3 China 14,92
    4 Kasachstan 11,68
    5 Russland 11,62
    6 Vereinigte Arabische Emirate 11,61
    7 Australien 11,18
    8 Frankreich 10,93
    9 Kanada 10,66
    10 Malaysia 10,40

    Eine Zunahme des Anteils der angegriffenen Anwender war in Indien (plus 1,8 Prozentpunkte) zu beobachten. In Russland (minus 0,57 Prozentpunkte), Australien (minus 2,22 Prozentpunkte) und Frankreich (minus 2,78 Prozentpunkte) registrierten wir einen leichten Rückgang.

    Ziele der Phishing-Attacken

    Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

    Die Kategorie „Globale Internetportale“ belegt – ungeachtet des deutlichen Rückgangs ihres Anteils im dritten Quartal des vergangenen Jahres – mit einem Wert von 25,66 Prozent nach wie vor den ersten Platz. Der Wert dieser Kategorie ist gegenüber dem vierten Quartal 2014 nur um 0,4 Prozentpunkte gestiegen.

    Spam und Phishing im ersten Quartal 2015

    Verteilung der von Phishern angegriffenen Organisationen* nach Kategorien, erstes Quartal 2015

    Im ersten Quartal 2015 stieg der Anteil der Kategorie „Online-Shops“ (9,68 %) um 2,78 Prozentpunkte. Der Anteil der Kategorie „Online-Games“ (3,40 %) nahm um 0,54 Prozentpunkte zu, allerdings überließ sie ihren Platz der Kategorie „Instant-Messaging-Systeme“ (3,92 %), deren Anteil um 1,69 Prozentpunkte zulegte.

    In diesem Quartal nahmen wir in unsere Hitliste die Kategorie „Logistikunternehmen“ auf. Obwohl der Anteil dieser Kategorie bisher nur 0,23 Prozent beträgt, legt sie in letzter Zeit zu (plus 0,04 Prozentpunkte), und das Unternehmen DHL, das zu dieser Kategorie gehört, befindet sich unter den Top 100 der von Phishern angegriffenen Organisationen.

    Spam und Phishing im ersten Quartal 2015

    Verteilung der Phishing-Attacken auf Logistikunternehmen, erstes Quartal 2015

    In einer der von Kaspersky Lab entdeckten E-Mails bieten die Betrüger den Kauf einer Ware mit Lieferung durch ein bekanntes Logistikunternehmen an. Erklärt sich der Empfänger einverstanden, verlangen sie eine Vorauszahlung und stellen einen gefälschten Lieferschein samt Logo zur Verfügung, das dem des Logistikunternehmens sehr ähnlich sieht. Nachdem sie das Gewünschte erhalten haben, sind die Betrüger verschwunden.

    Außerdem enthalten Phishing-Mails, die im Namen von Logistikunternehmen verschickt werden, oftmals schädliche Anhänge. Normalerweise informiert eine solche E-Mail über eine zugestellte Fracht. Um den Lieferprozess abzuschließen, wird der Empfänger gebeten, den Anhang zu öffnen, der sich dann als schädlich erweist, oder auf eine Webseite zu gehen, um dort seine persönlichen Daten einzugeben. Die letztgenannte Methode wird verwendet, um gültige E-Mail-Adressen zu sammeln sowie auch andere persönliche Informationen des Nutzers.

    Spam und Phishing im ersten Quartal 2015

    Beispiel einer Phishing-Mail im Namen der Firma FedEx

    Spam und Phishing im ersten Quartal 2015

    Beispiel einer Phishing-Seite, über die man angeblich auf den persönlichen DHL-Account gelangt

    Spam und Phishing im ersten Quartal 2015

    Beispiel einer Phishing-Seite, über die man angeblich auf seinen persönlichen UPS-Account gelangt

    Spam und Phishing im ersten Quartal 2015

    Beispiel einer Phishing-Seite, über die man angeblich auf den persönlichen FedEx-Account gelangt

    Top 3 der angegriffenen Organisationen

    Im Vergleich zum letzten Quartal 2014 blieben die Тop 3 der von Phishern angegriffenen Organisationen unverändert.

      Organisation Prozentualer Anteil der Phishing-Links
    1 Facebook 10,97
    2 Google 8,11
    3 Yahoo! 5,21

    Das Führungstrio wird nach wie vor von Facebook (plus 0,63 Prozentpunkte), Google (plus 1,51 Prozentpunkte) und Yahoo! (5,21 %) gebildet, wobei der Anteil der Angriffe auf das letztgenannte Unternehmen weiterhin leicht rückläufig ist (minus 1,37 Prozentpunkte).

    Fazit

    Der Spam-Anteil im E-Mail-Traffic betrug im ersten Quartal 2015 durchschnittlich 59,2 Prozent, etwa sechs Prozentpunkte weniger als im vorangegangenen Quartal. Der Spam-Anteil nahm dabei im Laufe des gesamten Quartals nach und nach ab.

    Im ersten Quartal 2015 entdeckte Kaspersky Lab im Spam-Traffic viele Versendungen mit Anhängen in den Formaten Word und Excel, die Makroviren enthalten. Cyberkriminelle versuchten den Empfänger dazu zu bringen, diese schädliche Datei zu öffnen, indem sie den Anhang als unterschiedliche Dokumente ausgaben, unter anderem auch als solche finanzieller Art. Die gefälschten E-Mails tarnten sich häufig als Benachrichtigungen von bekannten Organisationen oder Services.

    Besonders bemerkenswert waren im ersten Quartal die Ergebnisse des Programms New gTLD zur Registrierung neuer Domainnamen der höchsten Ebene, das bereits im Jahr 2014 anlief. Neue Domains werden tagtäglich registriert, jedoch werden sie nicht immer zu legitimen Zwecken verwendet. Wir gehen davon aus, dass die Zahl der neuen Top-Level-Domains, die in Spam-Versendungen benutzt werden, weiterhin steigen wird. Möglich ist auch eine Zunahme von Versendungen unter Zuhilfenahme neuer Domains, deren Namen logisch mit den Themen der zu bewerbenden Waren und Dienstleistungen in Verbindung stehen. Als Tendenz ist das allerdings nicht zu bewerten.

    Das Führungstrio der Spam-Herkunftsländer, die unerwünschte Nachrichten in die ganze Welt senden, setzt sich folgendermaßen zusammen: USA (14,5 %), Russland (7,27 %), Ukraine (5,65 %).

    Das Rating der via E-Mail verbreiteten Schadprogramme wird im ersten Quartal von Trojan-Banker.Win32.ChePro.ink angeführt. Unter den Schadprogramm-Familien ist die Downloader-Familie Upatre führend, die für den Download des Bank-Trojaners Dyre/Dyreza benutzt wird. Am häufigsten waren die Anwender in Großbritannien schädlichen Angriffen ausgesetzt – auf sie entfiel ein Anteil von 7,85 Prozent aller Alarme von Kaspersky Anti-Virus.

    Im ersten Quartal 2015 wurden auf den Computern der Anwender von Kaspersky-Lab-Produkten 50.077.057 Alarme des Systems „Antiphishing“ registriert. Dabei wurden anteilig die meisten Anwender in Brasilien von Phishern angegriffen.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.