Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
     
Most Popular Analysis



IoT: Wie ich einmal mein Zuhause hackte



Die Epic Turla Operation: Aufklärung einiger Mysterien rund um Snake/Uroburos



Spam im Juli 2014



Spam und Phishing im zweiten Quartal 2014



Kaspersky Security Bulletin 2013/2014 – Statistik für das Jahr 2013
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Spam im September 2011

25.10.2011   |   Ihr Kommentar

Maria Namestnikova

Der September in Zahlen

  • Der Spam-Anteil im E-Mail-Verkehr sank im Vergleich zum August um 1,5 Prozentpunkte und betrug durchschnittlich 78,5 Prozent.
  • Der Anteil an Phishing-Mails am gesamten E-Mail-Aufkommen blieb im Vergleich zum August unverändert und betrug 0,03 Prozent.
  • Im September enthielten 4,5 Prozent aller E-Mails schädliche Dateien, das sind 1,4 Prozentpunkte weniger als im Vormonat.

Die wichtigsten Ereignisse des Monats

Auswirkung der neuen Finanzkrise auf Spam

Im September war unter Experten die Rede vom Aufkommen einer neuen Finanzkrise. Bereits Anfang 2010, als die letzte Finanzkrise langsam überwunden war, schrieben wir darüber, dass sich wichtige wirtschaftliche Prozesse auch auf Spam auswirken. Das betrifft sowohl den Inhalt von Spam-Nachrichten als auch das Spam-Business insgesamt. Die Rezession dieses Jahres zeigte recht schnell, welche Auswirkungen die instabile wirtschaftliche Situation auch auf das Geschäft mit den unerwünschten Nachrichten hat.

Spam-Mails über die Krise

Im September fanden sich in den Strömen von Junkmails die unterschiedlichsten Nachrichten, die die kritische wirtschaftliche Situation thematisierten. Ebenso wie in ähnlichen, immer wieder beobachteten Fällen stand auch hier das Schlagwort „Rezession“ im Betreff der Nachricht. Das sollte die Aufmerksamkeit der Anwender auf die E-Mail lenken, obwohl deren Inhalt rein gar nichts mit Finanzen zu tun hatte.

Unter den Mitteilungen, die sich nicht nur im Betreff auf die neue Finanzkrise beziehen, sondern auch im Mailtext dieses Thema behandeln, fanden sich Angebote über zweifelhafte Verdienstmöglichkeiten, Werbung für juristische Beratungen sowie „nigerianische“ Mails.

 

Diese inhaltlichen Veränderungen der Spam-Inhalte überraschten uns keineswegs: Mit einer ähnlichen Taktik der Spammer hatten wir es bereits während der Finanzkrise in den Jahren 2008 bis 2009 zu tun: Damals war die finanzielle Instabilität regelmäßig ein Thema in den Spam-Kategorien „Finanzen“ und „Betrug“.

Beim „juristischen“ und beim Finanz-Spam liegt die Ausnutzung des Krisenthemas auf der Hand: Das schnelle Geld sowie juristische Dienstleistungen sind in Zeiten der finanziellen Not überaus aktuell. Unter den Betrugsmails mit der Rezession als Thema registrierten wir im September in erster Linie „nigerianische“ Mails, die Nutzer mit „Antikrisen-Krediten“ locken.

Betrugsspam: ungebremster Einfallsreichtum

In unserem Spambericht für den Monat August berichteten wir darüber, welche neuen Tricks die Spammer einsetzen, um die Anwender in die Irre zu führen. Im September kamen weitere interessante Social-Engineering-Methoden dazu, die bisher nur selten oder noch nie beobachtet wurden. Anfang September haben wir in unserem Blog zwei Beiträge über derartige Tricks veröffentlicht.

Der erste handelt von einer ausgeklügelten Phishing-Attacke unter Verwendung von Mitteilungen, die im Namen von McDonalds verschickt wurden. Dem Anwender wurden für die Teilnahme an einer Umfrage 80 US-Dollar in Aussicht gestellt. Folgte der Anwender dem in der Mail enthaltenen Link und beantwortete die Fragen, wurde ihm daraufhin eine Formularseite angezeigt, auf der er seine Kreditkartendaten eingeben musste. Die Daten landeten direkt in den Händen der Cyberkriminellen.

Im zweiten Posting geht es um eine Betrugsmethode, die die Neugier des Anwenders wecken und ihn dazu bringen soll, das an die Mail angehängte Archiv zu öffnen: Der Text der Mail mit dem schädlichen Attachment erinnerte mit seiner Form an eine kurze offizielle Mitteilung, allerdings mit inkorrekter Kodierung.

Angesichts der Tricks, über die wir im August-Report sowie in den oben erwähnten Blogeinträgen berichteten, könnte man meinen, dass die Betrüger nicht mehr so sehr auf das Erschrecken der Anwender, sondern eher auf deren Neugier setzen.

Allerdings zeigen die im Folgenden beschriebenen Social-Engineering-Methoden, dass es doch nicht so ist und die Betrüger nach wie vor mit der Angst der Nutzer spielen und sie bisweilen sogar bedrohen.

In der unten abgebildeten „nigerianischen“ E-Mail geht es darum, dass das Leben des Empfängers in Gefahr ist:

 

Der Absender der E-Mail teilt mit, dass er mit der Ermordung des Empfängers beauftragt wurde. Gegen eine Zahlung von 8.000 US-Dollar verspricht er allerdings, sein Opfer nicht nur zu verschonen, sondern auch den Auftraggeber preiszugeben.

Es ist anzunehmen, dass diese Räuberpistole nur die wenigsten Empfänger tatsächlich beeindruckt — die Geschichte des mitfühlenden Auftragskillers ist doch allzu offensichtlich frei erfunden (meine Lieblingsstelle ist die Empfehlung an den Empfänger, das Haus nach 20 Uhr nicht mehr zu verlassen). Zudem findet der „Killer“, der angeblich über so umfassende Informationen über den Anwender verfügt, keine Zeit für eine persönliche Anrede, was einmal mehr den betrügerischen Charakter dieser Mail belegt.

Besonders großes Potential hinsichtlich der Effektivität solcher Social-Engineering-Methoden liegt in der unten stehenden Mail mit der Drohung, den Empfänger wegen des Versands von Spam-Mails zu verklagen, die für die Verbreitung von schädlichem Code genutzt werden.

 

Der Empfänger wird in der Mitteilung aufgefordert, das angehängte Archiv mit den angeblichen Beweisen dafür zu öffnen, dass von seiner Adresse aus Spam verschickt wird. Die ausführbare Datei im Archiv war bei unserem Sample allerdings beschädigt, so dass wir nicht sagen können, welcher Schadcode genau auf diese Weise verbreitet wird.

Wir weisen nochmals darauf hin, dass diese Methode immer noch recht effektiv ist. Wer eine derartige E-Mail erhält, sollte nicht in Panik verfallen. In der Regel sind in solchen Mitteilungen keine persönlichen Daten enthalten, ebenso wenig wie konkrete Angaben zu dem entsprechenden Unternehmen, das angeblich Klage erheben will. Das sind zweifellos Merkmale eines betrügerischen Briefs, dessen Hauptziel darin besteht, den Anwender dazu zu bringen, eine ausführbare schädliche Datei auf seinem Computer zu installieren.

Microsoft setzt Kampf gegen Botnetze fort

Ende September berichtete Microsoft erneut über die erfolgreiche Stilllegung eines Botnetzes. Die technische Unterstützung bei der Schließung des Zombienetzes Hlux/Kelihos leisteten die Experten von Kaspersky Lab. Auch wenn die Kooperation dieses Mal nicht die Zerschlagung eines der größten Botnetze der Welt zur Folge hatte (das Zombienetz umfasste 40.000 Rechner), so ist die Stilllegung doch auf eine andere Art einmalig: Erstmals kann Microsoft mit Sicherheit sagen, wer hinter diesem Botnetz steckte. Einzelheiten erfahren Sie im offiziellen Blog von Microsoft.

Da das Botnetz nicht besonders groß war, hatte seine Stilllegung keine wesentlichen Auswirkungen auf die versendete Spam-Menge.

Statistik

Spam-Herkunftsländer

 
Spam-Herkunftsländer im September 2011

Im September hat sich die Zusammensetzung der Тop 5 der Spam-Herkunftsländer nicht geändert, allerdings haben einige Länder die Plätze getauscht. Platz eins bis fünf belegen Indien (14,1 %), Brasilien (10,1 %), Indonesien (9 %), Südkorea (7,3 %) und Peru (4,9 %).

Insgesamt stammen aus diesen fünf asiatischen und lateinamerikanischen Ländern etwas über 45 Prozent des weltweiten Spam-Aufkommens. Mehr als 60 Prozent der gesamten Spam-Menge werden nach wie vor aus den ersten 10 Ländern des Ratings versendet, die sich in den asiatischen, osteuropäischen und lateinamerikanischen Regionen befinden. Italien ist im September das einzige westeuropäische Land in den Top 10, von dessen Territorium 2,7 Prozent des weltweiten Spam-Aufkommens verbreitet wurden.

Die bedeutendste Veränderung des Monats war der Rückgang des aus Indonesien stammenden Spam-Anteils, und zwar um fast 3 Prozentpunkte. Die Veränderungen in den Werten anderer Länder liegen nicht über 1,5 Prozentpunkten.

In den Ländern, die wir in den vergangenen Monaten in verschiedenen Gruppen zusammengefasst haben, waren folgende Entwicklungen zu beobachten:

  1. Aus den Ländern Indonesien, Ukraine, Thailand und Peru wird nach wie vor recht synchron Spam versendet. Nur Thailand fiel aus dem allgemeinen Schema: Die aus diesem Land verschickte Spam-Menge war im August und September so gering, dass die lokalen Höchst- und Tiefstwerte kaum darstellbar sind.

     
    Veränderungen der aus Indonesien, Peru, der Ukraine und Thailand stammenden Spam-Anteile vom 22. August bis zum 2. Oktober

  2. Auch aus Indien und Brasilien fließen die Spam-Ströme weiterhin recht synchron, auch wenn nach wie vor lokale Faktoren deutliche Auswirkungen auf die Werte dieser beiden Länder haben.

     
    Veränderung der aus Indien und Brasilien stammenden Spam-Anteile vom 22. August bis zum 2. Oktober

  3. Unsere Beobachtung des Paares Vietnam und Russland hat eine interessante Abhängigkeit zutage gefördert: Die Spam-Ströme aus diesen Ländern verlaufen spiegelverkehrt. Die Ursache hierfür ist bisher noch unklar.

 
Veränderungen der aus Russland und Vietnam stammenden Spam-Anteile vom 1. August bis zum 2. Oktober

Schädliche Anhänge und Links

Im September enthielten 4,5 Prozent aller elektronischen Nachrichten schädliche Dateien, 1,4 Prozentpunkte weniger als im Vormonat.

Im Rating der Länder, in denen die Kaspersky-Software am häufigsten Alarm schlug, gab es keine bedeutenden Veränderungen. Die ersten drei Positionen blieben gleich, die Veränderungen der Werte dieser Länder waren nicht größer als ein Prozentpunkt.

Mehr Alarme gab es in Indien (plus 1,5 Prozentpunkte), wodurch das Land im Ranking vom sechsten auf den vierten Platz kletterte.

 
Verteilung der Alarme nach Ländern im September 2011

Zum ersten Mal seit Langem belegt Trojan-Spy.HTML.Fraud.gen im Rating der am entdeckten Schadprogramme nicht den ersten Platz:

 
Top 10 der im E-Mail-Traffic verbreiteten Schadprogramme im September 2011

Die Spitzenposition belegt Trojan.Win32.FraudST.at. Bei diesem Schädling handelt es sich um einen Spam-Bot, der auf die Versendung von pharmazeutischem Spam spezialisiert ist.

Drei der zehn Schadprogramme aus der Hitliste sind Modifikationen von Trojan.Win32.Yakes, den wir ausführlich in unserem Augustbericht beschrieben haben. Sie belegen die Plätze zwei, sechs und acht des Ratings. Wie auch bei dem Schädling auf Platz vier, Trojan-Downloader.Win32.Agent.gxtn, handelt es sich bei Yakes um einen klassischen Trojan-Downloader. Diese Schädlinge verbinden sich nach ihrer Installation auf dem Rechner des Anwenders mit einer bestimmten Netzressource und erhalten dort Links zum Download anderer Schadprogramme.

Wie auch im Vormonat ist Email-Worm.Win32.Mydoom.m der einzige Vertreter der E-Mail-Würmer im Rating. Zur Erinnerung: Dieser Schädling erfüllt nur zwei Funktionen: Er sammelt E-Mail-Adressen auf den infizierten Rechnern und verschickt sich selbst an diese.

Phishing

Der Anteil an Phishing-Mails im E-Mail-Verkehr blieb im Vergleich zum August unverändert und betrug 0,03 Prozent.

 
Тop 10 der von Phishern angegriffenen Organisationen*

* Das Rating wird auf Grundlage des Anteils von im Netz verbreiteten Phishing-URLs erstellt. Es ist kein Indikator für den Sicherheitsgrad der angegebenen Organisationen, sondern spiegelt vielmehr die Popularität der verschiedenen Dienste unter Phishern wider. Wir weisen darauf hin, dass Phisher bevorzugt Dienste angreifen, die unter Anwendern beliebt sind.

Die wichtigste Veränderung im Rating der von Phishern angegriffenen Organisationen ist der Aufstieg des sozialen Netzwerks Facebook vom vierten auf den zweiten Platz. Der Anteil der Attacken auf diesen Service nahm um 5,4 Prozentpunkte zu und betrug 14,1 Prozent.

Der Anteil des Zweitplatzierten aus dem August – des Internet-Auktionshauses eBay – ging leicht zurück (minus 0,9 Prozentpunkte), so dass dieser Stammgast unseres Ratings im September auf Position drei landete.

Bemerkenswert ist auch das zunehmende Interesse der Phisher am kostenlosen Online-Spiel RuneScape – der Anteil der Attacken auf dieses Spiel hat sich im Vergleich zum August fast verdoppelt. Möglicherweise hängt das damit zusammen, dass die wichtigste Klientel dieses Spiels, nämlich Schüler und Studenten, im September aus den Sommerferien zurückgekehrt sind.

Spam-Themen

 
Thematische Spam-Kategorien im September 2011

Der englischsprachige Spam setzte sich im September erneut fast zur Hälfte aus Betrugsmails zusammen. Eine Zunahme von Mails der Kategorie Betrugsspam war bereits während der Krise im Jahr 2008 zu beobachten. Das ist leicht zu erklären: In Krisenzeiten sinken die Einnahmen der Spammer, da ihre Kundschaft nicht mehr im früheren Maße zahlungsfähig ist. Daher versuchen sie, die User um ihr Geld zu betrügen.

Den zweiten Platz nach Popularität unter Spammern belegt Spam mit finanziellen Themen, was wie bereits oben erwähnt ebenfalls in Zeiten einer drohenden Rezession völlig nachvollziehbar ist.

Fazit

In Zeiten der wirtschaftlichen Rezession ist die Wahrscheinlichkeit hoch, dass der Anteil von Betrugsspam zunimmt. Das gilt ebenso für den Anteil von Spam, der auf die Erpressung und den Diebstahl vom Geld des Anwenders abzielt – sowohl ohne Verwendung von Schadprogrammen als auch mit Hilfe von schädlichen Links, die in die Mails eingefügt sind. Im englischsprachigen Spam steigt bereits seit dem Sommer der Anteil von unerwünschten Nachrichten, die keine Werbung für beliebige Waren enthalten, sondern auf die Installation von Malware auf den Rechnern der Nutzer, den Diebstahl ihrer persönlichen Daten oder die Einbeziehung in betrügerische Aktionen ausgerichtet sind.

Die Anwender sollten jeglichen Mails gegenüber äußerst vorsichtig sein, in denen sie aufgefordert werden, einen Anhang zu öffnen, einem Link zu folgen oder ihr Passwort anzugeben. Die Cyberkriminellen erweitern derzeit aktiv ihr Arsenal an Social-Engineering-Methoden, und ersinnen Ansätze, die selbst erfahrene Anwender in die Irre führen können. Seien Sie also auf der Hut!

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Spam im Juli 2014
Gewinn garantiert oder das wahre Gesicht der falschen Fortuna
Spam im Januar 2014
Kaspersky Security Bulletin. Spam im Jahr 2013
Spam im November 2013
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen