Spam und Phishing im zweiten Quartal 2014

Spam: Die wichtigsten Ereignisse des Quartals

Inhalt

    Spam und Gesetzgebung

    Am 1. Juli 2014 ist in Kanada ein neues Antispam-Gesetz in Kraft getreten – Canada’s Anti-Spam Legislation (CASL). Unter die Zuständigkeit des neuen Gesetzes fallen kommerzielle Mitteilungen – inklusive E-Mail-Versendungen, Mitteilungen in Sozialen Netzwerken und IM-Systemen sowie SMS. Bevor ein Unternehmen nun Mitteilungen versendet, muss es zunächst das Einverständnis des Empfängers einholen. Kanadische Unternehmen nahmen das künftige Gesetz durchaus ernst: Im ersten Quartal sahen die Kaspersky-Experten eine Menge von E-Mails von verschiedenen kanadischen Firmen, in denen die Empfänger gebeten wurden, ihre Zustimmung zum Erhalt von Versendungen zu geben. In diesen E-Mails fand sich in manchen Fällen neben der eben erwähnten Bitte auch die Aufforderung, mit einem Klick auf einen in der E-Mail enthaltenen Link an einem Preisausschreiben teilzunehmen.

    Einige Unternehmen nahmen das Gesetz auch zum Anlass, um Adressen von Abonnenten zu sammeln. Wir stießen sogar in Köder-Mailboxen auf E-Mails, in denen um das Einverständnis zum Erhalt von Newslettern gebeten wurde, obwohl die Empfänger niemals irgendwelche Versendungen abonniert hatten. Zudem markierten viele Anwender solche E-Mails als Spam.

    An der Fülle solcher Anfragen wird ersichtlich, dass sich viele kanadische Versender vorher keine Gedanken darüber gemacht haben, ob die Empfänger diese Art von Korrespondenz überhaupt wünschen, und verschickten die Mitteilungen einfach an umfangreiche gekaufte Adresslisten.

    Die Internet-Community hat zwiespältig auf das Gesetz reagiert. Einerseits ist die Einführung eines Antispam-Gesetzes in einem Land sehr hilfreich im Kampf gegen Spam. Andererseits befürchten legale kanadische Unternehmen, die auch Newsletter versenden, dass diese nun als ungesetzlich eingestuft werden. So hatte Microsoft zunächst beschlossen, seine Sicherheitsnewsletter komplett einzustellen, es sich aber bereits nach einigen Tagen anders überlegt, was letztlich nicht überrascht: Bei aller Strenge von CASL lässt das Gesetz doch viele Ausnahmen zu. Dazu gehören neben den Versendungen von Microsoft auch Versendungen mit verschiedenen Informationen zu Waren oder Dienstleistungen, die der Anwender bei der Firma erworben hat. Außerdem: Versendungen mit Spendenaufrufen, nicht kommerzielle Versendungen und vieles mehr.

    Schon wieder Aktien!

    Im zweiten Quartal 2014 hatte es das Kaspersky-Team häufig mit Spam zu tun, in dem Aktien von kleinen Unternehmen beworben wurde. Das ist eine wohlbekannte Art des Börsenbetrugs, die sich „Pump and dump“ nennt. Die Blütezeit dieser Spam-Art lag in den Jahren 2006 und 2007, doch die Cyberkriminellen kommen immer wieder gern darauf zurück.

    „Pump and dump“ ist eine Form des Betrugs auf dem Aktienmarkt: Spammer kaufen Aktien von kleinen Unternehmen, blasen deren Preise künstlich auf, indem sie in ihren Versendungen erfundene positive Informationen über den Zustand dieser Firmen verbreiten, und verkaufen die Aktien dann zu neuen, höheren Preisen.

    Interessant ist, dass neben den alten Betrugstricks auch alte Tricks zur Umgehung der Spam-Filter eingesetzt wurden:

    1. Eine willkürliche Auswahl an Sätzen, die ans Ende jeder E-Mail gesetzt wurde, mit einer Schriftfarbe, die kaum einen Kontrast zur Hintergrundfarbe darstellte (in diesen Versendungen wurden zufällige Sätze aus Wikipedia verwendet).
    2. Grafischer Spam: Die Hauptinformation befindet sich in einem Bild, wobei die Farbe und Größe des Textes willkürlich von E-Mail zu E-Mail variiert wird, ebenso wie die Schrift, die Hintergrundfarbe und die Ausrichtung des Bildes.

    Grafischer Spam war ebenfalls in den Jahren 2006 und 2007 populär, ging dann aber praktisch auf null zurück, da die Anbieter von Antispam-Lösungen grafische Analyser und Methoden entwickelten, um derartige E-Mails erfolgreich zu blockieren. Hinzu kommt, dass solcher Spam nur bei wenigen Nutzern auf Interesse stößt. Vermutlich aus genau diesem Grund kommen die „Aktien“-Versendungen stets in gigantischem Umfang daher: Die Spammer versenden hunderte Millionen von E-Mails und hoffen auf eine minimale Reaktion.

    Spam und die Fußballweltmeisterschaft

    Während die Spammer im ersten Quartal 2014 die olympischen Spiele für ihre Zwecke ausnutzten, so ließen sie sich im zweiten Quartal die Fußballweltmeisterschaft nicht entgehen, um damit das Interesse der User auf sich zu ziehen. Die Kaspersky-Experten registrierten verschiedene Versendungen, die dieses Thema ausnutzten. Genaueres über Phishing- und Schadattacken, die das Thema FIFA-WM verwenden, finden Sie in unserem Blog. Doch neben den gefährlichen E-Mails fanden sich auch einfache Werbemitteilungen mit Angeboten über Hotelzimmer und Eintrittskarten, Reklame unterschiedlichster Art rund um das WM-Thema und ebenso E-Mails mit der Aufforderung, auf die Spielergebnisse zu wetten.

    Wie in solchen Situationen üblich wurde die WM-Thematik auch im Spam eingebaut, dessen Thema nicht unbedingt in direktem Zusammenhang mit dem Sportereignis stand. So kamen deutsche Spammer auf die Idee, das Thema in ihrer Viagra-Werbung zu verarbeiten:

    Gesendet von meinem iPhone: Mobiler Mail-Traffic

    Zum Thema Integration von E-Mail-Spam und mobile Geräte ist anzumerken, dass sich im zweiten Quartal 2014 gefälschte Nachrichten großer Beliebtheit erfreuten, die angeblich von iPads und iPhones gesendet wurden. Die E-Mails waren ziemlich unterschiedlich und reichten von Werbung für Medikamente bis hin zu Mitteilungen mit schädlichen Anhängen. Sie alle enthielten im E-Mail-Körper ein und dieselbe Signatur „Sent from my iPhone/iPad“.

    Im ersten Beispiel öffnete sich nach einigen Redirects eine Webseite mit Werbung für potenzsteigernde Medikamente. Im zweiten befand sich ein Schadprogramm im Anhang, das die Produkte von Kaspersky Lab als Trojan-PSW.Win32.Tepfer.tmyd erkennen und abwehren.

    Höchstwahrscheinlich wurden die Versendungen von verschiedenen Spammer-Gruppen verbreitet, da die technischen Header der E-Mails (wie zum Beispiel Data, X-Mailer und Message-ID) stark voneinander abwichen. So waren die Header in einigen E-Mails völlig inkorrekt vermerkt, in anderen Feldern waren sie gar nicht eingetragen. Tatsächlich war das einzige, das die Spam-Mails mit echten Nachrichten von iOS-Geräten gemeinsam haben, die Phrase am Ende der Mitteilung. In anderen E-Mails waren die Header nicht nur korrekt, sondern imitierten zudem die Header, die ein echter E-Mail-Client von Apple einträgt:

    “X-Mailer: iPhone Mail (9B206)
    Message-Id: UNQC4G8K-NTOU-2PNZ-JUVC-WHRCD5GXS1QF@*****.**”

    Wenn man jedoch genau hinschaut, so sind die Header den echten lediglich ähnlich (nach Anzahl der Symbole und Anordnung der Trennstriche). In E-Mails, die tatsächlich von mobilen Geräten unter iOS versendet werden, wird für die Signatur der Message-ID ein Hexadezimalcode verwendet. Zum Hexadezimalsystem gehören die Ziffern von null bis neun und die Buchstaben ABCDEF. Das heißt, nichts außer diesen Ziffern und Buchstaben darf in einer Message-ID vorkommen. In den gefälschten E-Mails sehen wir aber zufällige Buchstaben- und Ziffernkombinationen.

    Redirects

    Um die Spam-Filter zu umgehen, versuchen Cyberkriminelle häufig, die Adresse der Webseite zu verbergen, auf der der Anwender landen soll. Es gibt viele Methoden, die Spam-Links zu verbergen, von denen eine stark verbreitet ist: Links in den E-Mails, die auf gehackte Webseiten führen, von denen der Anwender schließlich auf die Ziel-Webseite umgeleitet wird. Diese Seite kann Werbung und/oder Schadcode enthalten. Für gewöhnlich werden gehackte Webseiten, die Cyberkriminelle gerade in der Lage waren zu knacken, in das Redirect-System integriert. Doch manchmal werden Webseiten auch zielgerichtet gehackt. So stieß das Kaspersky-Team beispielsweise auf eine Versendung, in der die Anwender über eine gehackte Seite auf Werbung für Pharmaprodukte umgeleitet wurden. Dabei ging es auch auf der gehackten Seite um pharmazeutische Themen (rxpharmacy*****.com). Die Verbrecher hacken zielgerichtet Webseiten, damit der Link, auf den der Anwender klicken soll, kein Misstrauen erregt.

    Außerdem fanden wir in letzter Zeit unter den gehackten Seiten auch solche von Kirchengemeinden. Hier kann wohl kaum von zielgerichtetem Hacken die Rede sein. Vermutlich sind derartige Webseiten einfach nicht besonders gut geschützt.

    Schädliche Anhänge


    Тop 10 der via E-Mail verbreiteten Schadprogramme, zweites Quartal 2014

    An der Spitze im Rating der via E-Mail verbreiteten Schädlinge steht nach wie vor Trojan-Spy.HTML.Fraud.gen. Zur Erinnerung: Bei diesem Schädling handelt es sich um eine Phishing-HTML-Seite, auf der der Nutzer seine vertraulichen Daten eingeben soll. Danach werden alle eingegebenen Informationen an die Cyberkriminellen weitergegeben. Der Anteil dieses Schädlings hat gegenüber dem vorangegangenen Quartal allerdings leicht abgenommen (minus 1,67 Prozentpunkte).

    Den zweiten Platz belegt der Banker Trojan-Banker.Win32.ChePro.ilc. Dieser Trojaner hat es auf die persönlichen Daten der Kunden brasilianischer und portugiesischer Banken abgesehen.

    Auf Platz drei befindet sich erstmals seit langer Zeit ein Exploit (Exploit.JS.CVE-2010-0188.f). Exploits im E-Mail-Traffic sind überaus gefährlich, da sie nicht als ausführbare Dateien daherkommen, sondern in Form von harmlosen Office-Dokumenten. Bei diesem Exploit handelt es sich um eine PDF-Datei, die eine Sicherheitslücke im Acrobat Reader der Version 9.3 und niedriger ausnutzt. Dazu muss man sagen, dass diese Sicherheitslücke bereits recht lange bekannt ist, und dieses Exploit Anwendern, die die Software auf ihrem Computer regelmäßig aktualisieren, nichts anhaben kann. Wenn die Adobe-Version jedoch veraltet ist, so wird nach Ausnutzung der Sicherheitslücke eine ausführbare Datei auf dem Computer installiert und gestartet, die Kaspersky Lab unter der Bezeichnung Trojan-Dropper.Win32.Agent.lcqs führt. Der Dropper installiert und startet ein Javascript (Backdoor.JS.Agent.h), das Systeminformationen sammelt, diese an den Server der Cyberkriminellen sendet und vom Server verschiedene Befehle entgegennimmt. Die Befehle und die Ergebnisse ihrer Ausführung werden in verschlüsselter Form übermittelt.

    Die Positionen vier, sechs, sieben und acht werden von Trojanern der Familie Bublik belegt. Es handelt sich dabei um klassische trojanische Programme, deren Ziel es ist, vor dem Anwender verborgen andere Schadprogramme auf seinen Computer zu laden und zu installieren. Bei den Trojanern handelt es sich um EXE-Dateien, doch sie sind durch Icons als Adobe-Dokumente getarnt. Auf den Computer des Nutzers laden sie häufig das berühmt-berüchtigte Schadprogramm ZeuS/Zbot.

    Auf Platz fünf befindet sich der E-Mail-Wurm Email-Worm.Win32.Bagle.gt. Die Hauptfunktion aller E-Mail-Würmer liegt im Abgreifen der elektronischen Adressen von den infizierten Computern. Ein E-Mail-Wurm der Familie Bagle ist zudem in der Lage, entfernte Befehle zur Installation anderer Schadprogramme entgegen zu nehmen.

    Die neunte Position wird ebenfalls von einem Exploit belegt, und zwar von Exploit.Win32.CVE-2012-0158.j, das als Microsoft Word-Dokument umgesetzt ist und eine Sicherheitslücke im Code der Microsoft-Office-Datei mscomctl.ocx ausnutzt. Infolge seiner Arbeit wird auf dem Computer des Anwenders Malware installiert und gestartet.

    Auf Rang zehn positionierte sich Trojan-Spy.Win32.Zbot.sivm. Schadprogramme der Familie ZeuS/Zbot können verschiedene schädliche Aktionen ausführen (ihre Funktionalität erweitert sich mit der Zeit), doch meistens werden sie zum Diebstahl von Bankinformationen eingesetzt. Zbot ist zudem in der Lage, CryptoLocker zu installieren – ein Schadprogramm, das Daten verschlüsselt und anschließend vom Anwender Geld für die Dechiffrierung verlangt.

    Die Verteilung der populärsten Familien stellt sich für das vergangene Quartal ein wenig anders dar als die Verteilung der einzelnen Modifikationen:


    Тop 10 der via E-Mail verbreiteten Schadfamilien,
    zweites Quartal 2014

    Mit großem Abstand zu den übrigen Familien belegen Bublik (der häufig Zbot lädt) und Zbot die ersten Plätze im Rating. Insgesamt entfällt auf diese Schädlinge mehr als ein Drittel aller Alarme aufgrund von Schadprogrammen im E-Mail-Traffic. Das lässt sich leicht erklären, denn die meisten Schadprogramme werden zum Diebstahl von Geld eingesetzt, und Zeus/Zbot ist eines der bekanntesten Programme dieser Art, das verfügbar ist.

    Auf dem dritten Rang befindet sich die Backdoor-Familie Androm. Solche Programme werden von Cyberkriminellen benutzt, um infizierte Computer unbemerkt zu steuern, die dann meist an Botnetze angeschlossen werden.

    Zielländer der Schadversendungen


    Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern,
    zweites Quartal 2014

    In den Top 20 der Länder, in die der meiste schädliche Spam gesendet wird, gab es gegenüber dem ersten Quartal 2014 einige Veränderungen. Der Anteil des Schad-Spams, der sich gegen die Anwender in den USA richtet, ging etwas zurück (minus 3,5 Prozentpunkte), was zur Folge hatte, das die USA den ersten Platz gegen den dritten tauschten und nun hinter Großbritannien und Deutschland liegen. Weitere merkliche Veränderungen: Der Anteil des bösartigen Spams, der nach Brasilien fließt, ist um das 2,5-Fache gestiegen, wodurch dieses Land im Rating von Position 15 auf Platz fünf aufgestiegen ist. Der Grund hierfür liegt in einem Bank-Trojaner der Familie ChePro, der in vier von fünf Fällen an Anwender in Brasilien geschickt wurde.

    Besonderheiten im Schad-Spam

    Cyberkriminelle tarnen Spam mit schädlichen Anhängen häufig als E-Mails bekannter Organisationen – dazu gehören zum Beispiel Lieferservices, Shops oder Soziale Netzwerke. In der Regel ahmen alle Versendungen dieser Art E-Mails nach, die Anwender regelmäßig erhalten (etwa Rechnungen und Benachrichtigungen über den Lieferstatus). Im vergangenen Quartal stießen wir allerdings auf eine Versendung, die in Bezug auf das Social Engineering mehr Kreativität an den Tag legte. Angeblich stammte sie von der Kaffeehauskette Starbucks.

    In den Mitteilungen hieß es, dass ein Freund des Empfängers, der ungenannt bleiben möchte, eine Bestellung für den Empfänger zu einem besonderen Anlass aufgegeben habe. Um zu erfahren, was zu diesem Anlass auf der Speisekarte steht und um gleichzeitig Ort und Zeitpunkt des Treffens herauszubekommen, müsse er nur den Anhang öffnen – eine ausführbare Datei. Die Cyberkriminellen haben sich noch nicht einmal die Mühe gemacht, sie zu tarnen.

    Spam-Statistik

    Spam-Anteil


    Spam-Anteil im E-Mail-Traffic, Januar bis Juni 2014

    Der Spam-Anteil im E-Mail-Traffic betrug im zweiten Quartal durchschnittlich 68,6 Prozent, das sind 2,2 Prozentpunkte mehr als im vorangegangenen Quartal. Der meiste Spam innerhalb des Quartals wurde im April verschickt. Danach nahm der Anteil unerwünschter Nachrichten im Traffic allmählich ab.

    Spam-Herkunftsländer

    Bisher haben wir die Statistik der Spam-Herkunftsländer auf der Grundlage von Daten erstellt, die wir aus unseren Spam-Fallen in den verschiedenen Ländern erhielten. Der von uns abgefangene Spam unterscheidet sich aber trotz allem von den unerwünschten Mitteilungen, die bei den echten Empfängern ankommen. Beispielsweise landet dort kein zielgerichteter Spam, der an Fachunternehmen adressiert ist. Daher hat Kaspersky Lab seine Datenquelle geändert. Ab sofort erstellen wir nun mit Hilfe des KSN (Kaspersky Security Network) eine Spam-Statistik zu den E-Mails, die Anwender der Produkte von Kaspersky Lab auf der ganzen Welt erhalten. Da die Daten für die Statistik für dieses Quartal aus einer anderen Quelle stammen als bisher, wäre ein Vergleich mit der Statistik für das vorangegangene Quartal nicht korrekt.


    Verteilung der Spam-Quellen nach Ländern, zweites Quartal 2014

    Auf Platz eins im Rating der Spam-Herkunftsländer befinden sich die USA – 13,4 Prozent aller unerwünschten Nachrichten werden von dort aus in die ganze Welt geschickt. Das überrascht nicht, denn die USA sind das Land mit der größten Zahl an Internetnutzern. Obwohl die User recht gut über die Gefahren des Internets aufgeklärt sind, kann der ein oder andere Anwender eine Infektion des Computers nicht vermeiden, die zur Folge hat, dass der Rechner an ein Botnetz angegliedert wird und selbst beginnt, Spam zu versenden.

    Die übrige Verteilung der Spam-Quellen ist recht gleichmäßig, was auch durchaus logisch ist: Botnetze sind über den gesamten Globus verteilt, infizierte Computer gibt es in praktisch jedem Land.

    Den zweiten Platz belegt Russland. Von dort stammen sechs Prozent des weltweiten Spam-Traffics. Position drei belegt Vietnam (5 %).

    Unsere Statistik demonstriert anschaulich, dass in vielen Ländern ein recht großer Teil des an die Nutzer gesendeten Spams auf „internen Spam“ entfällt, also Spam, der innerhalb eines Landes verschickt wird. Im zweiten Quartal stammten beispielsweise 18 Prozent der unerwünschten Nachrichten, die nach Russland geschickt wurden, auch aus Russland selbst. In den USA betrug der Anteil des „internen Spams“ sogar 27,2 Prozent. Dieselbe Tendenz ist auch in einigen anderen großen Ländern zu beobachten, aus denen ein bedeutender Anteil des weltweiten Spams stammt. Die unerwünschten Nachrichten, die in kleine Ländern geschickt werden, stammen meist von außerhalb.

    Größe der Spam-Mails


    Größen der Spam-Mails, zweites Quartal 2014

    Die Verteilung der Spam-Mitteilungen nach Größen hat sich im Vergleich zum ersten Quartal praktisch nicht geändert. An erster Stelle stehen nach wie vor unangefochten die kurzen E-Mails mit einer Größe von bis zu 1 KB, was durchaus logisch ist, denn diese lassen sich am einfachsten und schnellsten verschicken.

    Erwähnenswert ist der geringfügige Rückgang des Anteils von E-Mails mit einer Größe von 2 KB bis 5 KB (minus 2,7 Prozentpunkte) und die Zunahme von unerwünschten Nachrichten mit einer Größe von 5 -10 KB (plus 4,2 Prozentpunkte). Diese Zunahme hängt üblicherweise mit einem erhöhten Anteil an grafischem Spam zusammen, den wir im zweiten Quartal registrierten. Zum einen gab es sehr große Versendungen mit Börsenbetrug, die Bilder enthielten (wie oben beschrieben). Zum anderen hatten es die Kaspersky-Experten häufig mit grafischem russischsprachigem Spam zu den Themen „Diäten“ und „gefälschte Markenwaren“ zu tun.

    Phishing

    Im zweiten Quartal 2014 wurden auf den Computern der Anwender von Kaspersky Lab-Produkten 60.090.173 Alarme der Komponente „Antiphishing“ registriert.

    Am häufigsten wurden Anwender in Brasilien von Phishern angegriffen. Mindestens einmal im Laufe des Quartals schlug das System „Antiphishing“ auf Computern von 23,2 Prozent der brasilianischen Anwender Alarm.


    Geografie der Phishing-Attacken*, zweites Quartal 2014

    * Prozentualer Anteil der Anwender, auf deren Computern das System „Antiphishing“ Alarm schlug, an allen Anwendern von Kaspersky Lab-Produkten in dem jeweiligen Land

    Top 10 der Länder nach Anteil der angegriffenen Anwender:

    Position Land Prozentualer Anteil der Nutzer
    1 Brasilien 23,2%
    2 Indien 19,2%
    3 Puerto Rico 18,6%
    4 Japan 17,1%
    5 Frankreich 17,0%
    6 Armenien 16,8%
    7 Dominikanische Republik 16,2%
    8 Russland 16,1%
    9 Australien 16,1%
    10 Großbritannien 15,8%

    Brasilien ist im Jahr 2014 erstmals in den Top 10 vertreten. Dass die Phisher es in erster Linie auf brasilianische Anwender abgesehen haben, lässt sich mit der Austragung der Fußball-Weltmeisterschaft in Brasilien erklären.

    Ziele der Phishing-Attacken

    Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Systems „Antiphishing“ schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

    In den vorangegangenen Berichten verwendeten wir als Grundlage für die Analyse der Phishing-Ziele die Top 100 der angegriffenen Organisationen. In diesem Quartal analysieren wir die Statistik aller angegriffenen Organisationen.

    Bei Attacken auf Organisationen der Kategorien „Banken“, „Bezahlsysteme“ und „Online-Shops, Auktionshäuser“ haben es die Cyberkriminellen auf persönliche Informationen abgesehen, die ihnen den Zugriff auf elektronische Konten ermöglichen. Davon ausgehend haben wir diese drei Kategorien in einem Block unter der Bezeichnung „Online-Finanzen“ zusammengefasst.


    Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, zweites Quartal 2014

    Zum Vergleich hier die entsprechenden Daten für das erste Quartal:


    Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, erstes Quartal 2014

    Wie auch schon im ersten Quartal 2014 belegt die Kategorie „Globale Internetportale“ den Spitzenplatz im Rating der von Phishern angegriffenen Organisationen, wobei der Wert insgesamt um 1,7 Prozentpunkte zurückgegangen ist. Zu dieser Kategorie zählen wir Portale, die eine Vielzahl von Services in sich vereinen, Such- und E-Mail-Dienste eingeschlossen. Gelingt es Betrügern, sich die Autorisierungsdaten zu solchen Portalen zu verschaffen, so erhalten sie Zugriff auf alle Dienste des jeweiligen Anbieters. Meist kopieren Phisher die Autorisierungsseiten der E-Mail-Services solcher Portale.


    Verteilung der Phishing-Attacken auf globale Internet-Portale*

    *Das Rating ist kein Gradmesser für die Sicherheit der angegriffenen Ziele, sondern spiegelt vielmehr die Popularität und Reputation der Services unter den Anwendern wider, was sich wiederum auf die Popularität dieser Dienste unter Phishern auswirkt.

    Auf das Finanz-Phishing entfielen insgesamt 24,84 Prozent der Attacken, das sind 1,8 Prozentpunkte mehr als im ersten Quartal. Zugenommen hat auch der Anteil der Alarme bei den Kategorien „Banken“ (plus 0,93 Prozentpunkte) und „Online-Shops“ (plus 0,85 Prozentpunkte).

    Die „Sozialen Netzwerke“ befinden sich wie gehabt auf Platz drei.


    Verteilung der Phishing-Attacken auf Soziale Netzwerke*

    * Das Rating ist kein Gradmesser für die Sicherheit der angegriffenen Ziele, sondern spiegelt vielmehr die Popularität und Reputation der Services unter den Anwendern wider, was sich wiederum auf die Popularität dieser Dienste unter Phishern auswirkt.

    Im ersten Quartal entfielen auf Facebook 79,5 Prozent aller Versuche der Anwender, über einen Link auf eine gefälschte Seite von Sozialen Netzwerken zu gelangen. Im zweiten Quartal ging die Zahl der Phishing-Attacken auf Facebook-Nutzer deutlich zurück (minus 23,54 Prozentpunkte). Gleichzeitig stieg bei dieser Verteilung der Anteil an Versuchen der Anwender stark an, auf gefälschte Seiten der russischen Sozialen Netzwerke „Odnoklassniki“ (plus 18,7 Prozentpunkte) und Vkontakte (plus 10,68 Prozentpunkte) zu gelangen.

    Top 3 der angegriffenen Organisationen

    Position Organisation Prozentualer Anteil der Phishing-Links
    1 Yahoo! 30,96%
    2 Google Inc 8,68%
    3 Facebook 8,1%

    Im zweiten Quartal stellten die Phishing-Links, die auf gefälschte Webseiten des Internetunternehmens Yahoo verwiesen, insgesamt 30,96 Prozent aller Attacken.

    Yahoo war im ersten Quartal mit einem Wert von 31,94 Prozent Spitzenreiter im Rating der Ziele von Phishing-Attacken, nachdem die Zahl derartiger betrügerischer Links Anfang Januar stark angestiegen war.


    Anzahl täglicher Alarme auf Phishing-Seiten, die Seiten von Yahoo kopieren, erstes Quartal 2014

    Im zweiten Quartal gab es keinen neuen Spitzenwert bei den Detektionen von Phishing-Links auf gefälschte Yahoo-Seiten.

    Bereits im Januar dieses Jahres kündigte Yahoo in seinem Blog an, HTTPS als Standardeinstellung für seinen E-Mail-Service einzuführen. Diese Sicherheitsmaßnahme dient nicht nur dem Schutz der übertragenen Daten, sondern kann auch im Kampf gegen Phisher hilfreich sein: Jetzt sollte in solchen Phishing-Fällen, in denen der Domain-Name in der Adresszeile unverändert bleibt (also beispielsweise von der Subdomain des DNS-Servers abstammt), das Fehlen des Zeichens für eine geschützte Verbindung den Anwender misstrauisch machen. Wir weisen allerdings darauf hin, dass das Fehlen einer geschützten Verbindung nur ein Hinweis auf eine Phishing-Seite ist und das Vorhandensein einer solchen Verbindung keine Garantie dafür ist, dass die Seite echt ist.


    Klassisches Beispiel für eine Phishing-Seite, die die Anmeldeseite des E-Mail-Dienstes von Yahoo kopiert

    Auf Platz zwei aller angegriffenen Organisationen befindet sich in diesem Quartal Google (8,68 %), das damit Facebook auf den dritten Platz verdrängte. Während Phisher früher im Wesentlichen die Login-Seite von Gmail imitierten, so trifft man jetzt immer häufiger auf Fälschungen der Seite, auf der man sich für alle Google-Services anmelden kann. Zweifellos ist das für Phisher äußerst attraktiv – „Ein Account. Die ganze Welt von Google!“.

    In diesem Quartal stießen die Kaspersky-Experten auf ein interessantes Beispiel für die Gier der Phisher, denen eine Google-Welt ganz klar zu wenig war:

    Auf dieser Phishing-Seite, die die Authentifizierungsseite aller Google-Accounts imitiert, haben die Phisher auch die Möglichkeit berücksichtigt, Passwörter von AOL-, Hotmail- und Yahoo-Accounts abzugreifen.

    Facebook, der Spitzenreiter des Vorjahres, sackte um eine weitere Position ab und belegte nun den dritten Platz nach Anzahl der Alarme der Komponente „Antiphishing” (8,02 %). Die Phishing-Attacken auf die Anwender von Sozialen Netzwerken liegen deutlich hinter den Angriffen auf die Besucher von globalen Internet-Portalen. Allerdings sind auch die Sozialen Netzwerke nach wie vor für Phisher attraktiv, die es auf Anwender-Accounts auf der ganzen Welt abgesehen haben.

    Aktuelle Themen im Phishing

    Das wichtigste „saisonale“ Phishing-Thema im zweiten Quartal war eindeutig die Fußballweltmeisterschaft in Brasilien.


    „Chance, ein Ticket für das nächste WM-Spiel zu gewinnen!“

    Das Thema Fußball nutzten die Betrüger bis hin zum Finale der WM umfassend aus. Versendungen mit Bezug auf die Weltmeisterschaft tauchten bereits zu Beginn des Jahres 2014 auf und erschienen im Laufe des ersten Halbjahres mit beneidenswerter Regelmäßigkeit. In der Regel fälschten die Phisher E-Mails mit Benachrichtigungen bekannter Organisationen (zumeist die der FIFA) und forderten den Empfänger auf, über einen Link eine Webseite zu besuchen, auf der sie einen wertvollen Preis gewinnen konnten. Bei diesem Preis handelte es sich wie in dem Beispiel oben meist um Eintrittskarten für WM-Spiele. Auf der Webseite wurde der Anwender aufgefordert, seine persönlichen Daten einzugeben, darunter auch die Kreditkartendaten, auf die es die Betrüger besonders abgesehen hatten.

    Außerdem hatten die Spammer im vergangenen Quartal ein Auge auf die Fastfood-Kette McDonald’s geworfen: Im April versuchten Cyberkriminelle, die Bankkarten-Daten von portugiesisch-sprachigen Internetbesuchern abzugreifen. In einem gefälschten Schreiben wurde mitgeteilt, dass der Adressat 150 Euro von McDonald’s erhalten könne. Zu diesem Zweck müsse er unbedingt dem Link folgen und an einer Umfrage teilnehmen. Auf der Phishing-Seite, die sich mit einem Klick auf den Link öffnete, wurde der Nutzer aufgefordert, einige Fragen zu beantworten und daraufhin seine Bankkartendaten einzugeben – angeblich für die Überweisung des Geldes. Genau hinter diesen Daten sind die Verbrecher her, und gutgläubige Anwender schöpfen keinen Verdacht, dass sie ihre persönlichen Daten an Dritte weitergeben.

    Die betrügerischen E-Mails waren in portugiesischer Sprache verfasst und richteten sich höchstwahrscheinlich an Einwohner Brasiliens und Portugals, allerdings war der Umfragetext auf Englisch. In der Regel führen Phisher derartige „Umfragen“ in englischer Sprache durch.

    Fazit

    Im zweiten Quartal trafen wir auf viele Versendungen von verschiedenen kanadischen Organisationen, die sich das Einverständnis der Anwender für den Empfang von Versendungen einholen wollten, bevor das neue Antispam-Gesetz in Kanada in Kraft tritt. Einige gewissenlose Unternehmen verschickten diese Anfragen – in dem Bestreben, neue Kunden zu gewinnen – dabei an Adresslisten, auf denen sich nicht ausschließlich die Empfänger ihrer Newsletter befanden. Trotzdem zeigte das Gesetz schon vor Inkrafttreten einen gewissen Effekt.

    Eines der populärsten Spam-Themen im zweiten Quartal war Börsen-Spam nach dem Muster „Pump and dump“. Interessant ist, dass die Spam-Verbreiter mit diesen altbekannten Thema versuchten, die Filter zu umgehen, indem sie ebenfalls alte Methoden anwandten: grafischen Spam und „weißen Text“.

    Als mobiles Thema standen auch in diesem Quartal gefälschte E-Mails von iOS-Geräten ganz oben auf der Liste. Die meisten Fälschungen wurden ohne Berücksichtigung von Details und Spezifika dieses Betriebssystems erstellt, wodurch diese Versendungen problemlos abgefangen werden konnten.

    Platz eins im Rating der via E-Mail versendeten Schadprogramme belegte auch im zweiten Quartal 2014 der Schädling Fraud.gen – ein Spion, der Bankdaten stiehlt. Auf Position zwei befindet sich der brasilianische Bank-Trojaner. Unter den Schadfamilien waren Bublik und Zeus/Zbot am populärsten. Interessant ist, dass in den Top 10 in diesem Quartal erstmals seit langer Zeit wieder zwei Exploits vertreten sind, von denen eines gleich den dritten Platz belegt.

    Das Thema Fußball-Weltmeisterschaft wurde aktiv sowohl in Werbung für gewöhnliche Waren als auch in schädlichem oder Phishing-Spam ausgenutzt. Der Anteil an Schad-Spam, der im zweiten Quartal nach Brasilien gesendet wurde, ist gegenüber dem ersten Quartal um das 2,5-Fache gestiegen (was im Wesentlichen auf das Konto des Bank-Trojaners der Familie ChePro geht). Zudem belegte Brasilien den ersten Platz im Rating der von Phishern angegriffenen Länder. Unter den bei Phishern populärsten Organisationen war die Kategorie „Internet-Portale“ Spitzenreiter.

    Unserer KSN-Statistik zufolge belegen die USA den ersten Platz in der Hitliste der Spam-Herkunftsländer, während Russland respektive Vietnam die Plätze zwei und drei besetzen. Interessant ist, dass in vielen großen Ländern ein entscheidender Teil des eingehenden Spams aus demselben Land verschickt wird.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.