Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov Dez
Most Popular Analysis



Kaspersky Security Bulletin 2014/2015 – Statistik für das Jahr 2014



Kaspersky Security Bulletin 2014/2015. Ein Blick in die APT-Kristallkugel



Kaspersky Security Bulletin 2014. Entwicklung der IT-Bedrohungen



Kaspersky Security Bulletin 2014/2015. Vorschau auf 2015



Entwicklung der IT-Bedrohungen im 3. Quartal 2014
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Kaspersky Lab Security Bulletin 2011/2012. Spam im Jahr 2011

1.03.2012   |   Ihr Kommentar

Darja Gudkova
Maria Namestnikova
  1. Entwicklung der IT-Bedrohungen im Jahr 2011 und Ausblick auf das Jahr 2012
  2. Statistik für das Jahr 2011
  3. Spam im Jahr 2011

Die Zahlen des Jahres

  • Der Spam-Anteil im E-Mail-Traffic betrug durchschnittlich 80,26 Prozent.
  • Der Anteil von Phishing-Mails ging um das 15fache zurück und betrug durchschnittlich 0,02 Prozent am gesamten E-Mail-Traffic.
  • Der Anteil von Spam mit schädlichen Anhängen nahm um das 1,7fache zu und betrug 3,8 Prozent des E-Mail-Traffics.

Trends 2011

Spam-Menge nimmt ab

Nach dem aktiven Kampf gegen Botnetze im Jahr 2010 ging der Spam-Anteil am E-Mail-Aufkommen deutlich zurück. Im Jahr 2011 betrug der Spam-Anteil durchschnittlich 80,26 Prozent. Das ist ein geringerer Wert als der für das Jahr 2010 – von der "Spam-Hochsaison" im Jahr 2009 ganz zu schweigen.


Spam-Anteil im E-Mail-Traffic in den Jahren 2007-2011

Auf der Grafik ist gut zu erkennen, dass der Spam-Anteil im E-Mail-Traffic in den vergangenen zwei Jahren abgenommen hat. Dafür gibt es mehrere Erklärungen: Erstens werden weiterhin Steuerungszentralen von Botnetzen offline genommen – so wurden im Jahr 2011 Rustock und Hlux/Kelihos zerschlagen. Zweitens setzen die Spammer verstärkt auf zielgerichtete Versendungen. So verschicken die Teilnehmer von Partnerprogrammen Pharma-Spam beispielsweise anhand von Adressdatenbanken, die von Webressourcen gestohlen wurden, die auf traditionelle Männerthemen ausgerichtet sind. Dabei ist der Umfang der zielgerichteten Versendungen wesentlich geringer als der der üblichen Versendungen und die Resonanz darauf ist potenziell größer. Drittens berücksichtigen die Spammer seit einigen Jahren den Bedarf der von ihnen angebotenen Waren in den verschiedenen Ländern und Regionen. So gab es in den USA und den Ländern Westeuropas in den letzten Jahren wesentlich mehr Spam mit Werbung für "Medikamente" und "Imitate von Luxusartikeln" als in Russland und den GUS-Staaten, obwohl Spam dieser Kategorien auch im russischen Internetsegment reichlich vertreten war. In dieser Hinsicht war das Jahr 2011 ein Wendepunkt: Aufgrund der begrenzten Ressourcen waren die an pharmazeutischen Partnerprogrammen teilnehmenden Spammer gezwungen, russische Adressen aus ihren Datenbanken auszuschließen, so dass der Partner-Spam im russischen Internetsegment deutlich zurückging.

Zielgerichtete Phishing-Attacken

Ein deutlicher Trend des Jahres 2011 ist das "Spear Phishing" – also zielgerichtetes Phishing. Diese Art von Phishing-Attacken zeichnet sich dadurch aus, dass die Cyberkriminellen ihre Mitteilungen nicht an willkürlich ausgewählte Adressen versenden, sondern vorab eine Personen- oder Anwendergruppe auswählen, gegen die sich der Angriff richten wird.

Unter zielgerichtetem Phishing versteht man nicht einen bestimmten Ansatz, sondern verschiedene Methoden, die sich in ihren Zielen und durch die Schwierigkeit der Durchführung voneinander unterschieden.

Das zielgerichtete Phishing kann dasselbe Ziel verfolgen wie das traditionelle Phishing, das heißt: in den Besitz der Kontodaten der Anwender zu gelangen, um damit Zugriff auf deren Accounts zu bekommen. Eine der Spielarten des zielgerichteten Phishings ist zum Beispiel ein Angriff auf solche Anwender, die alle Kunden eines bestimmten Dienstleisters sind. Die Mail der Phisher gleicht bis ins kleinste Detail den offiziellen Benachrichtigungen des angegriffenen Dienstleisters und enthält im Mailkörper einen Link auf ein Registrierungsformular – eine exakte Kopie des echten Registrierungsformulars. Es sieht so aus, als hätten auch chinesische Verbrecher dieses ausgeklügelte Schema angewendet. Sie konnten sich infolge einer Attacke Zugriff auf Google-Accounts von hochgestellten Beamten in den USA verschaffen. Der wichtigste Unterschied dieses Schemas zum traditionellen Phishing liegt darin, dass weniger Personen betroffen sind, das Ziel aber wesentlich genauer umrissen ist.

In letzter Zeit wenden Phisher eine andere, noch weitaus raffiniertere Methode an: Versendungen mit personalisierten Mails. Wir sind daran gewöhnt, dass Phishing-Mails unpersönliche Anreden enthalten wie etwa "Lieber Nutzer unseres Netzwerks!" oder "Geehrter Kunde!". Ein komplexeres Schema des zielgerichteten Phishings setzt voraus, dass die Cyberkriminellen nicht nur wissen, bei welchem Unternehmen das potenzielle Opfer Kunde oder Mitarbeiter ist, sondern auch dessen vollen Namen kennen. Heutzutage ist es kein besonderes Problem für Phisher, an diese Informationen zu kommen: Die Nutzer von sozialen Netzwerken verbergen ihre Daten häufig nicht – ein Umstand, den sich Cyberkriminelle zu Nutze machen. Indem die Verbrecher Daten verwenden, die der Anwender selbst öffentlich zugänglich gemacht hat, erlangen sie mit großer Wahrscheinlichkeit das Vertrauen ihres Opfers.

Eine andere Spielart der zielgerichteten Attacken sind Angriffe, die den Zugriff auf Ressourcen eines Unternehmens zum Ziel haben. Genau dieses Ziel verfolgten die Cyberkriminellen, die im März 2011 eine Attacke auf die RSA durchführten, die Sicherheitsabteilung des großen IT-Unternehmens EMC. Nachdem sie einige Mitarbeitergruppen der Firma angegriffen hatten, war es ihnen gelungen, zumindest einen RSA-Mitarbeiter dazu zu bringen, die angehängte Datei "2011 Recruitment plan.xls" zu öffnen. In die Excel-Datei war ein Exploit integriert, der eine Zero-Day-Sicherheitslücke ausnutzt, mit Hilfe derer die Phisher Zugriff auf die Systeme des Unternehmens erhielten. In Folge der Attacken stahlen die Phisher Daten der Firma RSA.

Zielgerichtete Phishing-Attacken sind auch dadurch gefährlich, dass die bei solchen Angriffen verwendeten Mitteilungen vom Umfang her sehr gering sind und wirkliche Unikate sein können. Solche E-Mails werden häufig von der Schutz-Software nicht als Spam erkannt. Organisationen, die einer zielgerichteten Phishing-Attacke ausgesetzt sind, kann ein DLP-System (Data Leakage Prevention) schützen und somit Datenlecks verhindern.

Die letzte Hürde auf dem Weg der Phisher zu den finanziellen, persönlichen und sonstigen Daten der Heimanwender ist der menschliche Faktor, auf dem das gesamte Phishing-Schema basiert. Als aufmerksamer und kritischer Nutzer kann man jedoch solche Gefahren vermeiden und muss den Phishern nicht in die Falle tappen.

Der Anwender muss immer daran denken, dass die Phisher – so gut es ihnen auch gelingen mag, das Äußere einer offiziellen Mail oder eines Registrierungsformulars zu kopieren – in jedem Fall gezwungen sind, eine Domain zu benutzen, die rein gar nichts mit der Organisation zu tun hat, in deren Namen sie die Benachrichtigung versenden. Wird man aufgefordert, seine Registrierungsdaten auf der Webseite der Bank oder eines anderen Online-Services einzutragen, sollte man die entsprechende Webseite nicht über einen in der Mitteilung enthaltenen Link aufrufen, sondern die korrekte Adresse in der Adresszeile des Browsers eingeben. Und natürlich würde kein seriöser Online-Dienst jemals seine Nutzer auffordern, ihre Registrierungsdaten per E-Mail zu versenden.

Wir nehmen an, dass uns in nächster Zukunft ein weiterer Anstieg von zielgerichteten Phishing-Attacken erwartet und in diesem Zusammenhang rufen wir die Anwender erneut dazu auf, unbedingt vorsichtig zu sein.

Das Jahr des schädlichen Spams

Ungeachtet des allgemeinen Rückgangs der Spam-Menge kann man mit Sicherheit behaupten, dass Spam insgesamt gefährlicher geworden ist. Im Jahr 2011 stieg der Anteil von Mails mit schädlichen Anhängen im Vergleich zum Vorjahr um das 1,7fache und betrug 3,8 Prozent des gesamten E-Mail-Traffics. Neben Spam mit schädlichen Anhängen wurde auch Spam verschickt, der Links auf schädliche Ressourcen enthält.

Die Zahl der Mails mit schädlichen Anhängen hielt sich im Laufe des gesamten Jahres stabil auf hohem Niveau.


Anteil der Mails mit schädlichen Anhängen im E-Mail-Traffic im Jahr 2011

Auf der unten stehenden Grafik wird deutlich, dass sich in den letzten drei Jahren eine deutliche Tendenz abzeichnet: Mit dem Rückgang des Spam-Anteils steigt gleichzeitig der Anteil von Mails mit schädlichen Anhängen.


Anteil von Mails mit schädlichen Anhängen im E-Mail-Traffic in den Jahren 2009-2011

Schädlicher Spam und Social Engineering

Für schädlichen Spam ist der Einsatz von Social Engineering charakteristisch, denn die Cyberkriminellen müssen den Anwender davon überzeugen, den Anhang zu öffnen oder auf einen in der Mitteilung enthaltenen Link zu klicken. In diesem Jahr mangelte es den Cyberkriminellen nicht an Phantasie und um ihre Ziele zu erreichen, setzten sie eine Menge verschiedener Tricks ein.

  1. Tarnung als seriöse Quelle
    Schädliche Mails waren zum Beispiel als offizielle Benachrichtigungen von sozialen Netzwerken, internationalen Logistikunternehmen oder staatlichen Steuer- und Kreditorganisationen getarnt.

  2. Angst verbreiten
    Manche Spam-Mails informieren Anwender über gesperrte Accounts, infizierte Computer oder den Spam-Versand von ihrem Account. Um Unannehmlichkeiten zu vermeiden, ruft man die Anwender auf, eine der beiden folgenden Aktionen durchzuführen – einen Anhang zu öffnen oder auf einen Link zu klicken.

  3. Verlockende Angebote
    In den Mails werden dem Anwender Geschenke, kostenlose Coupons, Aktivierungsschlüssel für verschiedene Produkte und andere Vorteile versprochen. Um diese Vergünstigungen zu erhalten, muss man nur die angehängte Datei öffnen oder auf den in der Mitteilung enthaltenen Link klicken.

  4. 4. Andere Methoden
    Am häufigsten machten sich Cyberkriminelle die Neugier der Anwender zu Nutze oder verließen sich auf deren Sorglosigkeit. Die entsprechenden Anhänge waren getarnt als gescanntes Dokument, elektronische Tickets, als Anleitung zur Wiederherstellung des E-Mail-Passworts und vieles mehr. Manchmal wurde der Nutzer schlicht gebeten, den Anhang zu öffnen.

Die Geschichte einer Versendung: Wie funktioniert das?

Im vierten Quartal 2011 verschickten die Spammer zahlreiche Mails, die als Benachrichtigungen des amerikanischen Zahlungsdienstleisters NACHA (National Automated Clearing House Association) getarnt waren, einer großen, nicht kommerziellen Abrechnungsorganisation, die Regeln zur Durchführung von Transaktionen und praktische Fragen zur Geschäftsabwicklung für das Automated Clearing House (ACH) entwickelt. Dabei geht es auch um Fragen, die den elektronischen Zahlungsverkehr betreffen. ACH wiederum verwaltet das weltweit größte Netz für den elektronischen Zahlungsverkehr.

In den als Mitteilungen von NACHA getarnten Mails wurde der Anwender aufgefordert, einen Anhang zu öffnen beziehungsweise einem Link zu folgen, da angeblich eine seiner Transaktionen rückgängig gemacht wurde.

Die Wahl dieser Organisation ist nachvollziehbar – die Verbrecher versuchen, so viele Nutzer wie möglich zu erreichen, indem sie die Mails nicht im Namen einer konkreten Вank versenden, sondern im Namen einer Kontrollorganisation. Zudem wissen nur wenige Leute, dass die NACHA in Wahrheit gar nicht das Recht hat, die Transaktionen der ACH zu überprüfen, geschweige denn sie zu stornieren.

Klickt der Anwender auf einen Link in einer derartigen Mail, so landet er auf einer infizierten Webseite mit Javascript-Code, der den Browser auf eine schädliche Ressource mit Exploits umleitet. Interessanterweise haben die Cyberkriminellen versucht, sich abzusichern: Auf einer Webseite haben sie gleich vier Redirects auf ein und dieselbe schädliche Seite untergebracht. Diese Vorsorgemaßnahme war deshalb nötig, da sich diese Redirects auf gehackten legitimen Seiten befinden. Die Inhaber der Seiten könnten das Eindringen bemerken und das Skript entfernen. Zudem setzt der Sicherheitsdienst des Unternehmens solche URLs recht schnell auf die schwarze Liste.

Alle Redirects verwiesen auf ein und dieselbe schädliche Ressource, auf der Cyberkriminelle mit BlackHole eines der populärsten und effektivsten Exploit-Packs platziert hatten.

Methoden und Tricks der Spammer

Redirects und andere Weiterleitungen über Weblinks

In ihren Versendungen versuchen die Spammer immer, die Kontaktdaten des Auftraggebers zu verbergen, etwa die Telefonnummer oder den Namen der Webseite. Ansonsten könnte jeder Spam-Filter so einen Kontakt in eine schwarze Liste übernehmen und alle von ihm stammenden Versendungen blockieren. Methoden zum Verbergen von Kontakten gibt es in Hülle und Fülle: Zum Beispiel das Verrauschen (hinzufügen überflüssiger Symbole, Verzerrungen), schreiben von Ziffern in Worten, hinzufügen verschiedener, für den Anwender unsichtbarer HTML-Tags, platzieren von Kontaktdaten auf einem verrauschten Bild und vieles, vieles mehr.

In diesem Jahr wandten die Spammer hauptsächlich die Redirect-Methode an, um einen Link zu verbergen, der auf eine Seite mit Werbung oder Schadprogrammen führt: In den Mails verweisen Links auf unterschiedlichste Webseiten, von denen der Anwender auf die Hauptseite umgeleitet wird.

Linkverkürzungs-Dienste

Die einfachste Redirect-Methode ist für Spammer die Verwendung von Linkverkürzungs-Diensten wie tinyurl.com oder bit.ly. Ihre eigentliche Aufgabe besteht darin, lange und komplizierte Links zu verkürzen, doch Spammer nutzen solche Dienste, um jede Mail ihrer Versendung mit einem einzigartigen Link auszustatten. Dabei können hinter solchen kurzen Links sowohl Links auf Webseiten als auch auf herunterzuladende Bilder verborgen sein.

Hier eine Mail, wie sie dem Anwender erscheint:

Und hier der Quellcode des HTML-Teils der Mail:

So besteht eine Mail, die dem Nutzer als Bild mit Links auf eine Webseite erscheint, in Wahrheit aus sich nicht wiederholenden Links und willkürlichem Text.

Infizierte Webseiten

Eine andere Redirect-Methode ist die Verwendung von gehackten legalen Webseiten, auf denen Cyberkriminelle unter anderem iframes oder Javascript-Code platzieren, um den Anwender auf die gewünschte Webseite umzuleiten. Der Abschnitt "Geschichte einer Versendung" beschreibt ein Beispiel für einen solchen Redirect.

SQL-Injection

Hierbei handelt es sich um eine für Spam-Mails neue und bisher nicht sehr weit verbreitete Redirect-Methode. Eine Spam-Mail, in der diese Methode verwendet wurde, enthielt einen Link, über den der Anwender auf eine legitime Webseite gelangte, die anfällig für SQL-Injection ist.

Der Link enthielt eine SQL-Anfrage, auf die als Antwort Javascript-Code ausgegeben wurde:

<script> document.location='hxxp://drug*****.net'; </script>

Dieses Skript leitete den Anwender auf eine Spammer-Seite um.

Die Cloud

Die Verwendung von kostenlosen Ressourcen für die Platzierung von Links auf Spammer-Webseiten ist kein neuer Ansatz. In diesem Jahr wurden dafür allerdings erstmals die immer beliebter werdenden Cloud-Office-Anwendungen eingesetzt. Die Spammer verbreiteten in ihren Mails Links auf die Google-Dienste Google Docs und Google Spreadsheets, wo sie Links auf die entsprechenden Seiten platzierten.

Außerdem wurden auf Google Spreadsheets auch ganze Phishing-Seiten untergebracht, auf denen der Nutzer aufgefordert wurde, seine E-Mail-Kontodaten samt Passwort einzugeben.

So eine Gratis-Seite bietet den Phishern noch weitere Vorteile: Sie befindet sich auf einer bekannten Ressource und wird über eine verschlüsselte HTTPS-Verbindung aufgerunfen, wodurch selbst aufmerksame Anwender in die Irre geführt werden können.

Zum Ende des Jahres tauchten derartige Versendungen allerdings gar nicht mehr auf. Offensichtlich hat Google seine Sicherheitspolitik verschärft und verfolgt die Platzierung unerwünschter Seiten auf seinen Ressourcen nun genauer.

Wie man den Anwender dazu bringt, auf einen Link zu klicken oder einen Anhang zu öffnen

Alle Redirect-Methoden funktionieren nur dann, wenn der Anwender auf einen Link klickt. Um das zu erreichen, setzten die Spammer sowohl altbekannte als auch neue Methoden ein.

Erstens versuchten sie, ihre Mails wie offizielle Benachrichtigungen aussehen zu lassen, indem sie Mitteilungen von sozialen Netzwerken und populären Diensten kopierten. Die Web-2.0-Ressourcen sind so populär, dass die meisten Leute mittlerweile daran gewöhnt sind, derartige Benachrichtigungen in ihrem elektronischen Briefkasten vorzufinden. In der Regel kommen sie nicht auf den Gedanken, dass solche Mails gefälscht sein könnten.

Zweitens versuchten Cyberkriminelle auf alle möglichen Arten, die Aufmerksamkeit der Anwender auf die entsprechenden Links zu lenken. Dazu setzen die Spammer schon seit Jahren Themen ein, über die im Fernsehen und in der Presse berichtet wird, Ereignisse also, die die Leute interessieren.

Im März waren das beispielsweise gleich zwei Themen: das Erdbeben in Japan und der Krieg in Libyen. Die auffälligste Versendung nutzte beide Themen gleichzeitig aus.

Auch die Nachricht vom Tod einer bekannten Persönlichkeit wird traditionell von Spammern ausgenutzt. So wurde den Anwendern im Mai ein Video mit schockierenden Details zum Tod von Osama bin Laden angeboten. Im Juni tauchten im Zusammenhang mit dem ersten Todestag von Michael Jackson Versendungen mit "unumstößlichen Beweisen" dafür auf, dass der Musiker noch am Leben ist. Im Oktober, nach dem Tod von Steve Jobs, wurden schädliche Versendungen mit angeblichen Informationen darüber verbreitet, wie die Firma Apple das Ende seines Gründers verkraftet.

Neben der schon lange praktizierten Ausnutzung aktueller Themen in schädlichen Versendungen probierten die Cybergangster im Jahr 2011 auch andere Ansätze aus. Die Versendungen, die im Anhang angeblich erotische Fotos schöner Frauen enthielten, gerieten 2011 in den Hintergrund. Offensichtlich haben sich die Nutzer schon zu sehr an diese abgedroschene Methode gewöhnt und in den meisten Fällen erkennen die Empfänger derartige Nachrichten als schädlich. An deren Stelle tauchten im Spam-Strom Mails auf, die nach Inhalt und/oder Form offizieller interner Korrespondenz großer Organisationen sehr ähnlich sind. Normalerweise ist an solche Mails ein Archiv mit dem aussagekräftigen Namen "Interne Dokumente" angehängt.

Betrug mit Spam

Viele Aufsehen erregende Ereignisse dieses Jahres wurden nicht nur dafür ausgenutzt, um das Interesse der User zu wecken und sie dazu zu bringen, auf einen bestimmten Link zu klicken, sondern sie wurden auch zu Betrugszwecken eingesetzt.

Das Erdbeben in Japan nutzten Online-Betrüger, um den Anwendern Geld aus der Tasche zu ziehen, das angeblich den Opfern zugutekommen sollte.

Die Namen Muammar al Gaddafi und Kim Jong Il kamen im nigerianischen Spam zum Einsatz. Betrüger, die versuchten, den Nutzern das Geld aus der Tasche zu ziehen, gaben sich als Verwandte, Freunde oder Feinde der Verstorbenen aus.

Spam-Statistik

Spam-Anteil im E-Mail-Traffic

Wie bereits oben erwähnt ging die Spam-Menge im E-Mail-Traffic im Vergleich zum Jahr 2010 deutlich zurück: Während im Vorjahr noch 82,2 Prozent auf unerwünschte Nachrichten entfielen, so betrug der Spam-Anteil am gesamten E-Mail-Aufkommen im Jahr 2011 durchschnittlich nur noch 80,26 Prozent.

Im ersten Halbjahr stieg der Spam-Anteil stabil an. In der zweiten Jahreshälfte änderte sich die Situation jedoch. Infolgedessen erreichte der Wert im Jahr 2011 nicht einmal das Niveau von 2010, vom Rekordjahr 2009 ganz zu schweigen.

Spam-Herkunftsregionen

Im Jahr 2011 stieg die aus Asien und Lateinamerika stammende Spam-Menge merklich an. Auf diese zwei Regionen entfiel mit 59,02 Prozent mehr als die Hälfte aller ausgehenden Spam-Mails. Die Werte für Nordamerika blieben nach einem dramatischen Rückgang Ende des Jahres 2010 weiter auf niedrigem Niveau.


Verteilung der Spam-Quellen nach Regionen in den Jahren 2010 und 2011

Die Dynamik der Spam-Versendungen für die Regionen Asien und Lateinamerika verläuft auffällig ähnlich:


Dynamik des Spam-Versands aus den Regionen Asien und Lateinamerika im Jahr 2011

Diese Tatsache bestätigt indirekt, dass die infizierten Computer in Asien und Lateinamerika zu ein und demselben Botnetz gehören. Die Zunahme des Anteils dieser Regionen am weltweiten Spam-Traffic zeugt davon, dass die Botnetze in diesen Regionen im Laufe des Jahres größer geworden sind. Die Gründe für diese Entwicklung haben wir bereits beschrieben: Eine gute Internetverbindung, geringe Computerkenntnisse der Anwender und das Fehlen von Anti-Spam-Gesetzen in den meisten Ländern Asiens und Lateinamerikas machen diese Regionen für die Organisatoren von Botnetzen höchst attraktiv.

Auch der Anteil Afrikas hat ein wenig zugenommen: Diese Region, die bisher beim Spam-Versand noch keine tragende Rolle gespielt hat, nimmt langsam Fahrt auf – insgesamt aus denselben Gründen, die auch für Asien und Lateinamerika gelten.

Der Anteil von Westeuropa sank um 4 Prozentpunkte. Interessant ist, dass aus dieser großen und computermäßig hochentwickelten Region mit jedem Jahr weniger Spam verschickt wird. Dank der guten Computerkenntnisse der Anwender und des Kampfes gegen die Piraterie sind auf den Rechnern dieser Region größtenteils regelmäßig aktualisierte Software sowie lizenzierte Antiviren-Lösungen installiert. Für Cyberkriminelle ist es daher nicht einfach, solche Computer mit Schadprogrammen zu infizieren und sie an ein Spam-Botnetz anzuschließen.

Spam-Herkunftsländer

Die gestiegenen Anteile der beim Spam-Versand führenden Regionen haben selbstverständlich auch Auswirkungen auf die Zusammensetzung der Top 20 der Spam-Herkunftsländer.

Der Spitzenreiter des Vorjahres, die USA (minus 9,24 Prozentpunkte), war noch nicht einmal unter den ersten zehn des Ratings und belegte nur Platz 16. Auch Russland verlor 2,8 Prozentpunkte und ist damit in der Hitliste von Platz 3 auf Position 9 abgesackt. Zum Führungstrio gehört neben Indien (plus 4 Prozentpunkte) und Brasilien (plus 3,4 Prozentpunkte) auch Indonesien (plus 5,15 Prozentpunkte), ein Land, das vorher nur Platz 16 im Ranking der Spam-Herkunftsländer belegte.


Verteilung der Spam-Quellen nach Ländern im Jahr 2011

In den Top 10 sind nach wie vor zwei westeuropäische Länder vertreten, und zwar Italien und Großbritannien, die hier die Spitzenplätze belegen. Die Versendungsdynamik von Spam aus beiden Ländern ähnelt sich. Vermutlich gehören die Anwender-Computer dieser Länder zu denselben Botnetzen.


Versendungsdynamik von Spam aus Italien und Großbritannien im Jahr 2011

Größen der Spam-Mitteilungen

Im Laufe des Jahres zeichnete sich ein Trend zum Rückgang der Größen von Spam-Mails ab. Im ersten Quartal nahm die Zahl der Mails mit einer Größe von mehr als 100 KB zu, doch bereits im zweiten Quartal ging der Anteil dieser Mails stark zurück. Zum Ende des Jahres entfielen auf unerwünschte Nachrichten mit einer Größe von über 50 KB weniger als 3 Prozent, während Mitteilungen mit maximal 5 KB Größe 69,46 Prozent des gesamten Spam-Aufkommens ausmachten.


Verteilung der Größen von Spam-Mails im Jahr 2011

Spam-Themen

Im Jahr 2011 wurde das Rating der Spam-Themen im russischen Internetsegment mit großem Abstand von der Kategorie "Bildung" angeführt, das heißt Angebote für Seminare und Trainings. Im Laufe des Jahres schwankte der Anteil dieser Rubrik stark und lag in verschiedenen Monaten zwischen 13 Prozent und 60 Prozent des gesamten Spam-Aufkommens im Runet.

Die Top 5 sehen folgendermaßen aus:

  1. Bildung: 35,75 Prozent
  2. Andere Waren und Dienstleistungen: 15,53 Prozent
  3. Immobilien: 9,92 Prozent
  4. Medikamente, Waren/Dienstleistungen für die Gesundheit: 9,58 Prozent
  5. Werbung für Spammer-Dienstleistungen: 7,50 Prozent


Spam-Verteilung nach thematischen Kategorien im Jahr 2011

Alle thematischen Spam-Kategorien lassen sich mit Ausnahme der Spammer-Eigenwerbung in zwei große Gruppen unterteilen: "Auftrags-Spam" und "Partner-Spam". Zum Auftrags-Spam gehören hauptsächlich Werbebotschaften, für deren Verbreitung – also die Versendung der Spam-Mails – ein Auftraggeber zahlt. Die Verbreitung von "Partner-Spam" wird über Partnerprogramme in Auftrag gegeben. Bei derartigem Spam handelt es sich in erster Linie um Werbung für nicht-lizenzierte Waren. Zudem wird dieses Schema für die Verbreitung von schädlichem Spam eingesetzt. Der Spammer erhält Geld für die Menge der erworbenen Waren beziehungsweise für die Menge der infizierten Computer der Anwender.

Im Jahr 2011 stieg die Menge von "Bestell-Spam" im russischen Internetsegment stark an. Der Anteil dieser Spam-Art sank im Laufe des Jahres nicht unter 50 Prozent. Die niedrigsten Werte wurden im Januar und August registriert, denn in diesen Monaten herrscht traditionell Werbe-Flaute. Während so einer Flaute wächst nicht nur die Menge an "Partner-Spam", sondern auch der Anteil an Spammer-Eigenwerbung, da die Spammer versuchen, die Kunden zurückzugewinnen, die ihre Aufträge im Sommer eingestellt haben.


Anteil von Partner- und Bestell-Spam im Jahr 2011

Wir erinnern daran, dass die Situation im letzten Jahr eine andere war – der Anteil von Partner- und Bestell-Spam war ungefähr gleich (46,6 % respektive 47,7 %). Nach der Schließung vieler Botnetze Ende 2010 teilten die Betreiber von Zombie-Netzen ihre Ressourcen aber höchstwahrscheinlich sparsamer ein und versuchten zudem, keine Aufmerksamkeit auf sich zu lenken. Nun sind sie bestrebt, ihre Versendungen nicht auszubauen, sondern einzuschränken. Daher sind die Versendungen zielgerichteter und insbesondere der "Partner-Spam" wird nicht mehr in Regionen versendet, in denen kein Bedarf besteht. So waren Medikamente, die wichtigste "Partner-Thematik", in Russland nie populär, da im Gegensatz zu den USA in Russland die meisten Arzneien nicht rezeptpflichtig sind. Zudem bezahlen in Russland noch nicht so viele Leute ihre Online-Einkäufe mit Kreditkarte, und eben diese Bezahlart ist beim Partner-Spam vorgesehen. Auf der anderen Seite gibt es in Russland keine Anti-Spam-Gesetzgebung, einzig im Gesetz "Über die Werbung“ wird Spam in gewissem Maße gestreift. Daher setzt eine ausreichende Menge von Kleinunternehmen auf diese Art von Werbung, weswegen der der Anteil von Bestell-Spam in Russland größer ist als in den USA und in den europäischen Ländern.

Spam und Politik

Die Wahlen zur Staatsduma in Russland gingen auch an den Spammern nicht unbemerkt vorbei. Bei den letzten Wahlen vor 4 Jahren wurde ebenfalls politischer Spam versendet. Im Jahr 2011 hat sich der Inhalt von derartigem Spam allerdings deutlich geändert. Während die Auftraggeber der Versendungen die Anwender vier Jahre zuvor aufgerufen hatten, für diese oder jene Partei zu stimmen, so versuchte im Jahr 2011 keine einzige Partei, sich mit Hilfe von unerwünschten Mitteilungen selbst anzupreisen. Die Versendungen richteten sich vielmehr gegen die Regierungspartei, wobei der Inhalt vom Boykottaufruf der Wahlen bis zum Sturz der Regierungspartei variierte.

Politischer Spam wurde auch nach den Wahlen verbreitet. Auch die Kundgebung auf dem Bolotnaja-Platz ließen die Spammer nicht außer Acht. Allerdings wurde dieses Ereignis von deutlich berechnenderen Leuten ausgenutzt.

Phishing

Der durchschnittliche Anteil von Phishing-Mails verringerte sich im Jahr 2011 um das 15fache und betrug 0,02 Prozent des gesamten E-Mail-Traffics.


Prozentualer Anteil von Phishing-Mails im E-Mail-Traffic im Jahr 2011

Im Jahr 2011 entfielen etwas weniger als 10 Prozent aller Alarme der Kaspersky-Lösungen auf Programme, die bei Phishing-Attacken verwendet werden – auf Trojan-Spy.HTML.gen und Trojan.HTML.Fraud.fc. Diese beiden Programme kommen als HTML-Seiten daher, die Registrierungsformulare von Online-Diensten kopieren. Die in diese Formulare eingegebenen Daten werden an die Cyberkriminellen weitergeleitet. Der Anteil der Mitteilungen, deren Anhang solche Schadprogramme enthält, beträgt ungefähr 0,35 Prozent des gesamten elektronischen Postverkehrs.

Top 3 der von Phishern angegriffenen Organisationen im Jahr 2011

  1. PayPal 43,14 Prozent
  2. eBay 9,90 Prozent
  3. Facebook 7,04 Prozent

Im Vergleich zum Vorjahr hat sich das Spitzentrio der am häufigsten von Phishern angegriffenen Organisationen nicht geändert. Die Anteile des Internet-Auktionshauses eBay (9,9 %) und des sozialen Netzwerks Facebook (7 %), die Platz zwei respektive drei belegen, haben sich im Vergleich zum Jahr 2010 um nicht mehr als 0,1 Prozentpunkte geändert. Der Anteil des einsamen Spitzenreiters unseres Ratings, des Bezahlsystems PayPal (43,1 %), verringerte sich um 10,2 Prozentpunkte.

Neben Facebook zogen im Laufe des Jahres auch die sozialen Netzwerke Habbo und Orkut die Aufmerksamkeit der Phisher auf sich, wobei sich deren Anteil im Jahr 2011 6,9 Prozent beziehungsweise 2,6 Prozent belief.

Ein beliebtes Ziel von Phishing-Angriffen sind nach wie vor die Spieler von Online-Games. So stieg der Anteil der Angriffe auf World-of-Warcraft-Nutzer im Vergleich zum Vorjahr um etwa 0,5 Prozentpunkte und betrug damit insgesamt 2,2 Prozent. Fast ebenso viele Attacken wurden im Jahr 2011 auf das Online-Spiel RuneScape (2 %) durchgeführt.

Der Fokus der Phisher liegt also wie gehabt auf virtuellem Geld und virtuellem Eigentum – Accounts von sozialen Netzwerken sowie Spielcharaktere und Geld aus Online-Games.

Schädliche Anhänge und Links

Der Anteil von schädlichen Anhängen im E-Mail-Traffic betrug im Jahr 2011 durchschnittlich 3,8 Prozent. Das ist 1,7mal höher als der Vorjahreswert. Der relativ hohe Anteil von schädlichen Anhängen im Jahr 2010 lässt sich auf den sommerlichen Boom schädlicher Versendungen zurückführen. Im Jahr 2011 stellte sich die Situation anders dar – der Anteil der schädlichen Anhänge im E-Mail-Traffic sank im Laufe des gesamten Jahres nicht unter 2,5 Prozent.


Anteil von Mails mit schädlichen Anhängen im E-Mail-Traffic im Jahr 2011

Wir stellen zudem fest, dass die Spitzenmonate im zweiten Jahr in Folge auf den Juli, August und September entfallen. In diesen Monaten setzten die Spammer auch die unterschiedlichsten Methoden zur Verbreitung von Schadcode ein.

Verteilung der Viren-Alarme nach Ländern

Im Jahr 2011 stellte sich die Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern folgendermaßen dar:


Verteilung der Alarme von Kaspersky Mail-Anti-Virus nach Ländern

Die meisten Alarme unseres Mail-Anti-Virus entfielen auf Russland (12,3 %) – ein Land, das im letzten Jahr noch nicht einmal in den Top 10 vertreten war. Der Anteil der Alarme auf dem Gebiet der USA stieg im Vergleich zu 2010 um 1,5 Prozentpunkte und betrug 10,9 Prozent. Dieses Land belegt nun den zweiten Platz im Rating. Großbritannien belegt unverändert Rang drei, wobei sich der Anteil der Alarme nur um 0,9 Prozentpunkte verringerte.

Die deutlichsten Veränderungen im Rating wurden in Vietnam mit einem Zuwachs von 2,7 Prozentpunkten und in Deutschland mit einem Rückgang von 2,6 Prozentpunkten registriert.

Interessanterweise war die Versendungsdynamik von Schadcode im Laufe des gesamten Jahres auf den Territorien der USA und Indiens gegenläufig: War mehr schädlicher Spam in den USA in Umlauf, nahm der Anteil solcher Versendungen in Indien deutlich ab und umgekehrt.


Dynamik der Alarme von Kaspersky Mail-Anti-Virus in den USA und in Indien im Jahr 2011

Die wahrscheinlichste Erklärung für dieses Verhältnis liegt in den völlig unterschiedlichen Schadprogrammen, die in diese Länder verschickt werden. Nach Indien senden die Cyberkriminellen bevorzugt Programme zum Aufbau von Botnetzen, während in den USA der Diebstahl persönlicher und finanzieller Daten im Mittelpunkt steht. Wenn man bedenkt, dass die Ressourcen der Online-Verbrecher begrenzt sind, so ist die Lage klar: Ein und dieselben Botnetze sorgen einerseits für den Ausbau der Zombie-Netze in Indien und andererseits für Geldeinnahmen durch den Diebstahl von Daten amerikanischer Anwender.

Via E-Mail verbreitete Schadprogramme


Top 10 der Schadprogramme im E-Mail-Traffic 2011

Das zweite Jahr in Folge führt Trojan-Spy.HTML.Fraud.gen das Rating der im E-Mail-Traffic aufgespürten Schadprogramme an. Der Anteil dieses Schädlings ging im Vergleich zum Vorjahr um 3,5 Prozentpunkte zurück. Bei diesem Schadprogramm handelt es sich eigentlich um einen Phishing-Schädling, der als HTML-Seite umgesetzt ist, die ein Formular für das Online-Banking oder für andere Internet-Dienste kopiert. Die in ein solches Formular eingegebenen Registrierungsdaten werden an die Cyberkriminellen weitergeleitet.

Auf den Rängen zwei und vier positionierten sich Email-Worm.Win32.Mydoom.m und Email-Worm.Win32.NetSky.q – E-Mail-Würmer, die nur zwei Funktionen ausführen: Das Sammeln von E-Mail-Adressen auf den infizierten Rechnern und den Versand ihrer selbst an diese Adressen. Diese Schadprogramme waren bereits im Jahr 2010 im Rating vertreten. Dabei ist der Anteil der Mitteilungen mit Email-Worm.Win32.Mydoom.m im Vergleich zum Jahr 2010 um das Doppelte gestiegen. Der Anteil des Schadprogramms Email-Worm.Win32.NetSky.q nahm im Vergleich zum Vorjahr nur unbedeutend zu.

Position drei belegt der Wurm Worm.Win32.Mabezat.b, der sich ebenfalls selbst an die auf dem Computer gefundenen E-Mail-Adressen versendet. Zudem erstellt er eine Kopie von sich auf den lokalen Festplatten und den verfügbaren Ressourcen des infizierten Computers.

Ein weiterer E-Mail-Wurm, der schon zum Inventar unseres Ratings gehört – Email-Worm.Win32.Bagle.gt – belegt Position vier. Zusätzlich zu der üblichen Funktionalität von E-Mail-Würmern verbindet sich dieser Schädling mit Internet-Ressourcen, um von dort weitere Schadprogramme herunterzuladen.

Das Schadprogramm Trojan.HTML.Fraud.fc erschien erstmals im April 2011 in unserem Rating und belegte im zweiten Quartal die dritte Position. Im Jahresranking belegt dieser Trojaner, der als HTML-Seite umgesetzt ist und es auf Finanzdaten brasilianischer Bankkunden abgesehen hat, den sechsten Platz.

Zwei weitere Vertreter ein und derselben Familie – Email-Worm.Win32.Mydoom.l und Email-Worm.Win32.NetSky.ghc – positionierten sich auf den Plätzen sieben respektive neun. Ihre Funktionalität unterscheidet sich nicht von den oben beschriebenen Würmern.

Noch im zweiten Quartal 2011 auf Position vier des Ratings, belegt der Packer Packed.Win32.Katusha.n nach den Gesamtjahresergebnissen nur den achten Platz. Dieses Programm wird eingesetzt, um die Entdeckung von Schadprogrammen durch Antiviren-Software zu verhindern.

Sieben der zehn Schädlinge aus unserer Hitliste sind E-Mail-Würmer. Einige von ihnen waren praktisch das gesamte Jahr 2011 hindurch im Rating vertreten.

Fazit

Der Druck der internationalen IT-Gemeinschaft und der Strafverfolgungsbehörden verschiedener Länder auf das Spam-Business trägt Früchte. Die Spam-Menge in den E-Mail-Eingangsordnern der Anwender ist zurückgegangen. Allerdings ist die unerwünschte Korrespondenz insgesamt gefährlicher geworden – der Anteil an schädlichen Mitteilungen hat zugenommen. Gestiegen ist auch die Zahl der zielgerichteten Phishing-Versendungen.

Wir erwarten, dass Phisher insgesamt häufiger konkrete Anwendergruppen angreifen werden und es werden immer mehr Mails in Umlauf kommen, die als Benachrichtigungen populärer Ressourcen getarnt sind. In beiden Fällen, sowohl bei den personalisierten Phishing-Attacken als auch bei den "Benachrichtigungen" im Namen populärer Ressourcen, ist es schwer, die Fälschungen von den Originalen zu unterscheiden. Als Folge werden die Computer der Anwender einem hohen Infektionsrisiko und ihre vertraulichen Daten also einem höheren Diebstahlrisiko ausgesetzt sein.

Im Bestreben, Ressourcen zu sparen und die Anti-Spam-Filter zu umgehen, segmentieren die Botnetz-Betreiber ihre Zielgruppen, indem sie den Umfang der Versendungen reduzieren und sie effektiver gestalten. Dieser Trend wird sich fortsetzen.

In einigen Regionen, zum Beispiel in Westeuropa, hat der Kampf gegen Spam zu einem Rückgang der aus ihnen stammenden unerwünschten Versendungen geführt. Die Spitzenpositionen in punkto Spam-Versand halten jetzt Asien und Lateinamerika. Diese Situation wird sich so lange nicht ändern, bis in den Ländern dieser Regionen die nötige Anti-Spam-Gesetzgebung eingeführt wird. Möglicherweise wird der Anteil der afrikanischen Region am weltweiten Spam-Traffic zunehmen. Auf diesem Kontinent wächst die Zahl der Computer mit jedem Jahr und die Internetqualität verbessert sich, was man allerdings nicht über die Computerbildung der Anwender behaupten kann.

Der Kampf gegen Spam und Phishing sollte sich an diesen Trends und neuen Strategien der Phisher und Botnetz-Betreiber orientieren. Natürlich sollten auch die Anwender den veränderten Bedingungen Rechnung tragen und sich noch aufmerksamer und kritischer verhalten.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Entwicklung der IT-Bedrohungen im zweiten Quartal 2013
Kaspersky Security Bulletin 2012: Spam im Jahr 2012
Kaspersky Security Bulletin 2012. Cyberwaffen
Kaspersky Security Bulletin: Statistik für das Jahr 2012
Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen