Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul    
     
Most Popular Analysis



Spam im Juni 2014



Betrüger in Sozialen Netzwerken



Spam im Mai 2014



Entwicklung der IT-Bedrohungen im 1. Quartal 2014



Kinder im Netz: die Sicherheitsformel
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Spam im zweiten Quartal 2010

12.08.2010   |   Ihr Kommentar

Darja Gudkova

Zahlen und Fakten im zweiten Quartal

  • Der Spam-Anteil im E-Mail-Traffic lag im zweiten Quartal bei durchschnittlich 84,4 Prozent und ist damit leicht zurückgegangen.
  • Links auf Phishing-Seiten waren in 0,02 Prozent aller E-Mails enthalten – ein Rückgang um 96 Prozent!
  • PayPal führt mit großem Abstand die Liste der Organisationen an, die am häufigsten Opfer von Phishing-Attacken waren. Unter den Top 5 befindet sich wie gehabt auch das soziale Netzwerk Facebook.
  • In 10,3 Prozent aller Spam-Mails fanden sich grafische Anhänge – etwa 12 Prozent weniger als im ersten Quartal 2010.
  • Die Spammer verschickten verstärkt Werbung für Viagra sowie verschiedene Schadprogramme, die sie gefälschten Benachrichtigungen von sozialen Netzwerken und E-Mail-Services anhängten.
  • Die größten Spam-Mengen stammten aus den USA, aus Indien und Vietnam. Insgesamt nahm der Spam-Anteil aus Lateinamerika erheblich zu.

Prozentuale Verteilung von Spam


Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic ist im Vergleich zum vorausgegangenen Quartal um 0,94 Prozent gesunken und betrug im zweiten Quartal 2010 insgesamt 84,4 Prozent. Die größte Spam-Menge wurde mit 89,8 Prozent jeweils am 18. April und 9. Mai registriert. Am 20. April waren mit 79,2 Prozent am wenigsten Spam-Mails in Umlauf.

Der höchste Spam-Anteil im E-Mail-Traffic wurde in der ersten Maihälfte registriert. Der Hauptgrund hierfür ist der Rückgang an normalen E-Mails auf Grund der vielen Feiertage und der beginnenden Ferienzeit.

Spam-Quellen

Verteilung der Spam-Quellen nach Regionen

 
Verteilung der Spam-Quellen nach Regionen

Die beim Spam-Versand führende Region ist nach wie vor Asien. Im April stammten 40,5 Prozent des gesamten Spam-Aufkommens aus asiatischen Ländern. Danach ging der Anteil des asiatischen Spams allerdings zurück und insgesamt wurden von April bis Juni 2010 32,76 Prozent der gesamten Spam-Menge aus Asien versendet. Damit wurde der Wert aus dem vorigen Quartal (31,7%) leicht überboten. Gleichzeitig verringerte sich die Menge des asiatischen Spams von Monat zu Monat, während die aus Lateinamerika stammenden unerwünschten Nachrichten stetig zunahmen. Es sei daran erinnert, dass der aus dieser Region versendete Spam-Anteil im Jahr 2009 bei 15 Prozent lag und im ersten Quartal 2010 auf 10,5 Prozent gesunken war. Die Ergebnisse des zweiten Quartals überstiegen nicht nur die Werte der ersten drei Monate des laufenden Jahres, sondern auch die des gesamten Jahres 2009: Aus Lateinamerika wurden 16,3 Prozent aller Spam-Mails in Umlauf gebracht.


Entwicklung des Spam-Versands aus den Regionen Asien und Lateinamerika

Im vergangenen Quartal haben wir festgestellt, dass bei einem Vergleich der Regionen Asien und Europa (Ost- und Westeuropa sowie Russland) die europäische Region im Rating an erster Stelle liegt. In diesem Quartal ist der aus Osteuropa stammende Spam-Anteil allerdings um 5,5 Prozent zurückgegangen. Daher bleibt Asien im zweiten Quartal 2010 auch bei einem Vergleich mit Gesamt-Europa auf Position eins der Hitliste (32,8 % gegenüber 31,5 %).

Verteilung der Spam-Quellen nach Ländern

 
Spam-Herkunftsländer

Auf Platz 1 der Spam-Herkunftsländer stehen traditionell mit großem Abstand die USA (15%) und Platz zwei belegt wie gehabt Indien (8,5%). Vietnam hat sich um zwei Positionen verbessert und landete damit auf dem dritten Platz. Allerdings war die Situation im Laufe des Quartals recht instabil. Im April lagen die USA, Indien und Vietnam bezüglich der versendeten Spam-Menge nahezu gleichauf (12,3%, 11,7% respektive 11,6%), doch schon im Mai bauten die USA ihren Vorsprung mit 20,8 Prozent des gesamten Spam-Aufkommens wieder aus.

Völlig unerwartet schafften auch Italien (3,3%) und Spanien (2,8%) den Sprung in die Top 10 – beides Länder, die im vorhergehenden Quartal nur die Plätze 14 und 15 im Ranking der Spam-Herkunftsländer belegten. China kehrte mit 2,3 Prozent am gesamten Spam-Aufkommen nicht mehr in die Top 10 zurück, so dass man behaupten kann, dass die strengen chinesischen Internet-Gesetze durchaus einen positiven Effekt haben.

Spam-Größen


Größenverteilung bei Spam-Mails

Nach wie vor überwiegen beim Spam unerwünschte Nachrichten, deren Größe 5 KB nicht übersteigt. Obwohl der Anteil an kurzen Mitteilungen im Vergleich zum ersten Quartal ein wenig zurückgegangen ist, machen diese noch immer über die Hälfte aller Spam-Mails aus. Dabei nahm der Anteil der Mails ein wenig zu, deren Umfang zwischen 5 KB und 10 KB liegt. Diese Entwicklung hängt am ehesten mit der massiven Versendung von Werbung für Viagra und für Imitate von Luxusgütern zusammen, die entweder eine kleine Grafik oder ein langes Fragment willkürlichen Textes enthält.

Attachment-Typen in Spam

 
Verteilung der Attachment-Typen in Spam-Mails

Im zweiten Quartal 2010 enthielten 75,7 Prozent aller Mails einfachen, nicht formatierten Text. Mehr als die Hälfte aller Mails enthielt einen HTML-Teil. Erstmals überstieg der Anteil an Anhängen im GIF-Format mit 10,1 Prozent diejenigen im Format JPEG. Wie gehabt fanden sich aber auch unerwünschte Nachrichten, die sowohl GIF- als auch JPEG-Anhänge enthielten.

Insgesamt betrug der Anteil von Spam mit grafischen Anhängen 10,3 Prozent, das sind etwa 12 Prozent weniger als im vorhergehenden Quartal. Die größte Menge an grafischem Spam wurde mit 12,53 Prozent im April registriert.


Anteil der Spam-Mails mit grafischen Anhängen

Phishing

Der Anteil von Phishing-Mails im E-Mail-Traffic war im zweiten Quartal 2010 unbedeutend. Nachdem er im März bereits stark zurückgegangen war, sank der Anteil von Phishing-Mitteilungen im zweiten Quartal weiter und lag insgesamt bei 0,02 Prozent des gesamten elektronischen Postverkehrs – ein Rückgang um 96 Prozent.

Die Top 10 der am häufigsten angegriffenen Organisationen wird nach wie vor mit großem Abstand von PayPal angeführt: 60,4 Prozent aller Phishing-Angriffe richteten sich gegen dieses Unternehmen. Im Juni näherte sich dieser Wert sogar der 70-Prozent-Marke.

 
Top 10 der von Phishern angegriffenen Organisationen

Auf den anderen Spitzenpositionen fanden sich neben dem Internet-Auktionshaus eBay (9,36%) und der Bank HSBC (6,51%) erneut das soziale Netzwerk Facebook (6,03%) und das E-Mail-System von Google (2,84%). Auffällig ist, dass sich die Bereiche Kommunikation und Unterhaltung bei den Phishern immer größerer Beliebtheit erfreuen: Neben Facebook waren auch die sozialen Netzwerke MySpace, Orkut und Habbo, das Online-Spiele World of Warcraft, die Spiele von Zynga sowie der Game-Service Steam Phishing-Attacken ausgesetzt.

Die Schwachstelle von Phishing-Attacken ist seit jeher der Link in den entsprechenden Mails: Unter Umständen lässt sich der Anwender davon überzeugen, dass die Mail zum Beispiel von seiner Bank stammt. Doch sobald er bemerkt, dass der Link auf eine völlig andere Website führt, wird er höchstwahrscheinlich Vorsicht walten lassen. Daher sind die Phisher bemüht, die Links besser zu tarnen und sie dem Link auf die Original-Website weitestgehend anzugleichen:

 
Beispiel einer Mail mit Phishing-Link, ähnlich dem der legitimen Site

Um die Anwender zu betrügen, nutzten die Phisher im vergangenen Quartal auch Domains, deren Namen selbst schon den Eindruck von Sicherheit vermitteln:

 
Phishing-Link, der auf die Website guardianangels.co.za führt

Schädliche Anhänge und Links

Im zweiten Quartal 2010 enthielten 1,87 Prozent aller E-Mails schädliche Anhänge, das sind 175 Prozent mehr als im ersten Quartal, als nur 0,68 Prozent alle Mails Schädlinge transportierten.

Die Top 10 der im E-Mail-Traffic am weitesten verbreiteten Schadprogramme sieht im zweiten Quartal folgendermaßen aus:

 
Top 10 der im E-Mail-Traffic am weitesten verbreiteten Schadprogramme

Auf der Spitzenposition des Ratings befindet sich der Trojaner Trojan-Downloader.JS.Pegel.g. Eine andere Variante dieses Schädlings, Trojan-Downloader.JS.Pegel.bc, belegt Platz sieben der Hitliste. Dabei handelt es sich um HTML-Seiten, die Javascript-Szenarien enthalten. Die Aufgabe des Trojaners besteht darin, den Anwender auf eine Seite der Cyberkriminellen umzuleiten, die Werbung oder auch schädlichen Code enthalten kann, der dann auf den Computer des Anwenders geladen wird. Ähnlich verhalten sich auch Trojaner der Familie Redirector, deren Vertreter Trojan.JS.Redirector.dz den sechsten Platz im Ranking der E-Mail-Schädlinge belegt. Genauso geht auch der Schädling Trojan.Script.Iframer vor, der auf Platz neun der Top 10 liegt.

Bemerkenswert ist, dass alle oben aufgeführten Schädlinge ihre hohen Positionen nur auf Grund einer massiven Spam-Attacke im Juni 2010 einnehmen konnten, von der später noch die Rede sein wird. Bis dahin war nicht ein einziges dieser Schadprogramme in den Top 10 der E-Mail-Schädlinge vertreten.

Auf Rang zwei des Ratings befindet sich der Packer Trojan.Win32.Pakes.Krap.an. Ein ähnlicher Trojaner, Packed.Win32.Krap.x, war der Spitzenreiter des ersten Quartals 2010. Neben Krap.an ist noch ein anderer Packer in den Top 10 der E-Mail-Schadprogramme vertreten, und zwar Trojan.Win32.Pakes.Katusha.l auf Platz 5. Derartige Programme werden häufig zum Packen von gefälschten Antiviren-Programmen eingesetzt.

Auf Platz 3 im Rating der E-Mail-Schädlinge liegt Trojan-Spy.HTML.Fraud.gen, der eine Schwachstelle in den Versionen 5.x und 6.x des Microsoft Internet Explorer ausnutzt. Im vergangenen Quartal belegte dieser Trojaner noch den zweiten Platz. Seine wichtigste Aufgabe besteht im Sammeln von vertraulichen Daten, die der Anwender auf verschiedenen Websites eingibt.

Schädliche Dateien wurden unter den unterschiedlichsten Vorwänden via E-Mail verbreitet. Beispielsweise wurde der Anwender in gefälschten Benachrichtigungen von E-Mail-Systemen oder sozialen Netzwerken aufgefordert, ein Update zu installieren oder sein Passwort zu ändern. Zum Einsatz kamen aber auch gefälschte E-Cards, falsche Rechnungen von Post-Unternehmen, Versendungen mit ausgedachten Skandal-Nachrichten, das Versprechen von Nacktfotos exotischer Schönheiten im Anhang und vieles mehr. Hin und wieder ging den Virenschreibern die Phantasie jedoch komplett ab und es kamen völlig einfallslose Schreiben wie das unten stehende dabei heraus:


Der banalste Spam-Text mit angehängtem Schadprogramm

Juni: Massiver Angriff

Wie bereits oben erwähnt, belegte Trojan-Downloader.JS.Pegel.g als aktivstes Schadprogramm im Juni Platz eins unserer Top 10 der E-Mail-Schädlinge: Auf ihn entfielen in diesem Monat 23,3 Prozent aller Schaddateien im E-Mail-Traffic. Die Schuld daran trägt eine kontinuierlich modifizierte Versendung.

Die von den Spammern verschickten E-Mails waren zum größten Teil gefälschte Benachrichtigungen von sozialen Netzwerken, E-Mail-Netzen und anderen populären Websites (wie Facebook, Twitter, Digg, Amazon, Windows Live, Youtube, Skype und Wikipedia). Die E-Mails haben stark an Phishing-Mails erinnert, doch mit einem Klick auf den eingefügten Link landete der Anwender auf einer gehackten Website, von der ein schädliches Skript auf seinen Rechner geladen wurde. Dieses Skript leitete den Anwender auf eine Seite mit Werbung für Medikamente oder Imitate von Luxusgütern um. Im Gegensatz zu Phishing-Mails, bei denen in der Regel nur ein einziger Link auf die Website der Cyberkriminellen führt, verwiesen in diesem Fall alle Links in der Mail auf ein und dieselbe Seite.

 

 
Beispiele für Mails des Schadprogramms Pegel, die auf eine Site mit Viagra-Werbung führen

Ein charakteristisches Merkmal dieser Versendung war das Vorhandensein entweder eines HTML-Anhangs oder eines Links, der den Anwender auf eine Website führte, die mit Pegel, Iframe oder Redirector infiziert war. Ein verstecktes JavaScript leitete den Anwender auf eine Website der Cyberkriminellen um. Dieses komplizierte Schema wurde in den meisten Fällen dazu genutzt, den User auf eine Seite zu führen, auf der Viagra oder Imitate von Luxusgütern angepriesen werden. In einigen Fällen enthielten die Sites allerdings verschiedene Schädlinge, unter anderem Backdoor.Win32.Bredolab. Ein solches Schema wurde bereits im letzten Jahr von Cyberkriminellen eingesetzt. Näheres dazu finden Sie unter: www.viruslist.com/de.

Methoden und Tricks der Spammer

Die Werbung für Medikamente zeichnete sich in diesem Quartal durch besonderen Abwechslungsreichtum aus. Neben der oben beschriebenen Umleitungsmethode wurde in einigen Fällen eine Spam-Grafik direkt in den Mail-Body geladen, der dem Layout irgendeiner bekannten Marke nachempfunden war:

 
Spam-Werbung innerhalb einer Mail, die als Benachrichtigung von Twitter getarnt war

Interessant an dem oben dargestellten Beispiel ist, dass nicht nur der Hauptlink auf dem Bild, sondern auch alle anderen Links („not my account” und “Twitter support”) auf die Werbe-Site eines Pharma-Discounters führen.

Um die Spam-Filter zu umgehen, haben die Spammer in einer anderen „pharmazeutischen“ Versendung die E-Mail mit großen Text-Fragmenten aus verschiedenen literarischen Werken oder Artikeln versetzt. Die Werbung selbst war eine Grafik, die von einer kostenlosen Hosting-Plattform geladen wurde. Wir freuen uns berichten zu können, dass der Hosting-Provider einen Teil derartiger Bilder blockiert hat und der Anwender statt der Werbung nun eine Warnung vor den Gefahren von Spam zu sehen bekommt:

 
Beispiel einer E-Mail mit Viagra-Werbung und einer Mail mit
vom Hosting-Provider blockierter Grafik

Darüber hinaus versuchten die Spammer in einigen Fällen die URL zu verschleiern, die der Anwender aufrufen sollte. In diesem Quartal verwendeten sie zu diesem Zweck den Übersetzungsdienst von Google. Der Link in der E-Mail sah folgendermaßen aus:

http://www.google.com.et/translate?js=y&prev=_t&u=http %3A%2F%2F*****.info&sl=auto&tl=en

Wie man sieht, ist ein Teil des Spammer-Links im ASCII-Code (rot hervorgehoben) dargestellt, um so die Chancen auf Umgehung der Filter zu steigern. Mit einem Klick auf den Link landete der User zunächst auf einer Seite mit der Übersetzungsmaske, und von dort aus wurde er auf die Spammer-Site weitergeleitet.

Thematische Besonderheiten

 
Thematische Verteilung von Spam

Den ersten Platz unter den häufigsten Spam-Themen belegt die Rubrik „Bildung“. Zu dieser Rubrik gehören vor allem Einladungen zu verschiedenen Seminaren und Trainings. Die Rubrik „Erholung und Reisen“ rückte auf die zweite Position vor und verdrängte damit die Kategorie „Gesundheit und Medikamente“. Im April erreichte der Anteil dieser Rubrik 21,1 Prozent, allerdings ging die Menge an Mails dieser Art daraufhin zurück.


Anteil von Spam-Mails der Rubrik „Erholung und Reisen“

Im Laufe des Quartals stieg die Menge von betrügerischen E-Mails im allgemeinen Spam-Aufkommen und im Juni erreichte der prozentuale Anteil der Rubrik „Computerbetrug“ 14,5 Prozent. Einen Großteil der Mails dieser Kategorie stellten gefälschte Mitteilungen von sozialen Netzwerken, die Anwender auf Websites mit Viagra-Werbung umleiten.


Anteil von Spam der Rubrik „Computerbetrug“

Die Kategorie „Gesundheit und Medikamente“ belegte nur den dritten Platz. Zum einen liegt das daran, dass ein Teil der Mails mit Werbung für Viagra in die Rubrik „Computerbetrug“ gerutscht ist. Zum anderen ist der Anteil der Kategorien „Bildung“, „Erholung und Reisen“ sowie „Andere Waren und Dienstleistungen“ im letzten Quartal angestiegen. Insgesamt zeigt die Veränderung in der prozentualen Verteilung der verschiedenen Spam-Themen, dass die Menge an traditionellem Auftrags-Spam nach Ende der Wirtschaftskrise wieder zunimmt, während der Anteil an Eigenwerbung der Spammer zurückgeht.

Fußball-Weltmeisterschaft

Die Fußball-Weltmeisterschaft 2010 ließ natürlich auch die Spammer nicht kalt. Allerdings konnte man feststellen, dass das Thema WM viel weniger im Spam ausgenutzt wurde als es normalerweise bei Großereignissen dieser Art der Fall ist. Wie immer kam auch dieses aktuelle Thema in betrügerischen Spam-Mails zum Einsatz, über die Malware verbreitet wurde. Bei den meisten Mitteilungen, in denen sich die Spammer das allgemein große Interesse an der WM zunutze machten, handelte es sich um „nigerianische“ Mails oder gefälschte Benachrichtigungen über einen Lotteriegewinn, von denen einige schädlichen Code enthielten.

 

 
Beispiele von Spam-Mails, die das enorme Interesse an der Fußball-WM ausnutzten

Im ersten Beispiel enthält der Anhang lediglich einen umfassenden Spam-Text, und zwar die falsche Benachrichtigung über einen Lotteriegewinn. Wer den Anhang aus dem zweiten Beispiel öffnet, hat mehr Pech: Das HTML-Attachment enthält das Skript Trojan.JS.Redirector.dw, das den Anwender auf die Website der Cyberkriminellen umleitet.

Fazit

Im zweiten Quartal 2010 stellten die aus Asien und Lateinamerika stammenden Versendungen nahezu die Hälfte des weltweiten Spam-Aufkommens. Wir hatten bereits früher über die Verschiebung der Spam-Quellen in diese Regionen berichtet und können nun feststellen, dass dieser Trend anhält. Das hängt sowohl mit dem fehlenden juristischen Fundament in den asiatischen und lateinamerikanischen Ländern als auch mit der mangelhaften Aufklärung der Internet-User in diesen Regionen über die bestehenden Gefahren und möglichen Schutzmaßnahmen zusammen. Denn ungeschützte Computer sind die leichteste Beute für Schadprogramme und werden schnell in Zombie-Netzwerke integriert.

Die Liste der am häufigsten Phishing-Angriffen ausgesetzten Organisationen führt mit beachtlichem Abstand das Bezahlsystem PayPal an. Doch auch die verschiedenen sozialen Netzwerke erfreuen sich unter Phishern immer größerer Beliebtheit, allen voran Facebook.

Schon mehrfach haben wir über die Kriminalisierung von Spam und die Zusammenarbeit von Spammern, Betrügern und Virenautoren geschrieben. Im zweiten Quartal 2010 ließ sich diese Tendenz sehr schön an einer im Juni durchgeführten Spam-Versendung beobachten. In den Spam-Mails kamen klassische Phisher-Methoden zum Einsatz: exakte Kopien von Benachrichtigungen von E-Mail-Systemen und sozialen Netzwerken. Mit einem Klick auf den entsprechenden Link konnte der Anwender auf einer Website mit Viagra-Werbung, mit Werbung für Imitate von Luxusgütern oder auf einer Seite mit schädlichem Code landen. Solche Schemata sind mittlerweile keine Seltenheit mehr und in Zukunft werden sie wahrscheinlich noch häufiger zum Einsatz kommen.

Kaspersky Lab rät daher allen Internet-Usern, niemals auf Links in Spam-Mails zu klicken, rechtzeitig Software-Updates auf den Rechner zu spielen und die Antiviren-Lösungen regelmäßig zu aktualisieren!

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Gewinn garantiert oder das wahre Gesicht der falschen Fortuna
Spam im Januar 2014
Kaspersky Security Bulletin. Spam im Jahr 2013
Spam im November 2013
Spam im Oktober 2013
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen