Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr    
     
     
Most Popular Analysis



Finanzielle Cyberbedrohungen im Jahr 2013. Teil 2: Malware



BitGuard: das aufgedrängte Suchsystem



Finanzielle Cyberbedrohungen im Jahr 2013, Teil 1: Phishing



Entwicklung der IT-Bedrohungen im 1. Quartal 2014



Malware im dritten Quartal 2011
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Geografie der Cyberverbrechen: Westeuropa und Nordamerika

12.09.2012   |   Ihr Kommentar

Yury Namestnikov

Einleitung

Das Internet kennt keine Grenzen. Wie unsere Daten zeigen, gibt es aber durchaus geografische Besonderheiten in Bezug auf Cyberverbrechen. In den verschiedenen Teilen der Welt unterscheiden sich die Schadprogramme, die bevorzugten Ausrichtungen von Computerattacken sowie auch die Art und Weise, auf die sich Cyberkriminelle bereichern. Das hängt nicht allein damit zusammen, wo sich die Online-Verbrecher physisch aufhalten, sondern auch mit den Eigenschaften der Länder, in denen ihre potenziellen Opfer leben. Die entscheidenden Faktoren sind in diesem Falle der wirtschaftliche Status, die Anzahl der Internet-User und die Internetdurchdringung.

Im vorliegenden Artikel geht es um die spezifische Vorgehensweise von Cyberkriminellen in den Ländern der westlichen Welt: in den USA, Kanada und in westeuropäischen Ländern (Deutschland, Österreich, Schweiz, England, Belgien, Dänemark, Frankreich, Niederlande, Luxemburg, Irland, Italien, Spanien und Portugal).

Statistik

  • BIP (Bruttoinlandsprodukt, nach Kaufkraftparität, Quelle: cia.gov):
    • USA – 14,66 Billionen Dollar (2010 geschätzt.), 2. Platz weltweit
    • Europäische Union – 14,82 Billionen Dollar (2010 geschätzt.), 1. Platz.
  • Zahl der Internet-Nutzer (Quelle: cia.gov):
    • USA – 245 Millionen, 2. Platz weltweit
    • Deutschland – 65,125 Millionen, 5. Platz
    • Großbritannien – 51,444 Millionen, 7. Platz
    • Frankreich – 45,262 Millionen, 8. Platz
    • Italien – 29,235 Millionen, 13. Platz
  • Internetdurchdringung (Quelle: http://www.internetworldstats.com/):):
    • Nordamerika – 78,3 Prozent, 1. Platz weltweit
    • Europa insgesamt – 58,3 Prozent, 3.Platz
  • Besonderheiten der Internet-Nutzung:
    • Das Internet ist allgegenwärtig: Bildungseinrichtungen, staatliche Institutionen, zu Hause, am Arbeitsplatz.
    • Der Anwender trägt das Internet immer mit sich: Mobiles Internet ist günstig, mobile, internetfähige Geräte wie Tablets und Smartphones sind äußerst populär.
    • Ein großer Teil der Bevölkerung nutzt das Internet zur Bezahlung von kommunalen Leistungen, für Einkäufe und zur Verwaltung des Bankkontos.
  • Prozentualer Anteil der Anwender, die Attacken über das Internet ausgesetzt waren (1. Halbjahr 2012):
    • USA – 38,8 Prozent, 31. Platz weltweit
    • Deutschland — 28,8 Prozent, 101. Platz
    • Großbritannien — 36,8 Prozent, 42. Platz
    • Frankreich – 36,3 Prozent, 44. Platz
    • Italien – 43,5 Prozent, 18. Platz
    • Europäische Union – 32,1 Prozent
  • Es gibt viele Anwender von Mac OS X. Die Zahl der Smartphones unter Android OS wächst beständig.
  • Die am häufigsten angegriffenen Betriebssysteme:
    • Windows
    • Android
    • Mac OS X

Fast die Hälfte der westlichen Länder ist in den Тop-20 der Staaten mit den meisten Internet-Usern vertreten, wobei die Nutzer hier zudem äußerst aktiv sind. Für die meisten ist das World Wide Web nicht nur eine Informationsquelle, sondern auch der beste Kommunikationsweg sowie der bequemste Ort, um Waren zu kaufen und Dienstleistungen zu bezahlen. Zudem haben die Bewohner dieser Länder meist einiges an Geld auf ihren Bankkonten, und viele erledigen ihre Transaktionen mittels Online-Banking oder nutzen mobiles Banking.

Gleichzeitig sind die Computer in den westlichen Ländern aber auch gut geschützt und für Cyberkriminelle dementsprechend schwer zugänglich. Die Nutzer verfügen hier über Fähigkeiten und Kenntnisse, die in vielen Fällen ausreichen, um eine Infektion des Computers zu verhindern. Insbesondere ist die Installation einer Antiviren-Software für Nutzer in den USA und Westeuropa mittlerweile zu einem elementaren Bestandteil der Computersicherheit geworden.

Der zügige Umstieg der westeuropäischen und nordamerikanischen Anwender auf neue Betriebssystem-Versionen erschwert es Cyberkriminellen, die Schutzmechanismen zu umgehen. So liefen im ersten Halbjahr 2012 mehr als die Hälfte aller Computer (62,4 %) in den untersuchten Ländern unter Windows 7. Nimmt man allerdings alle Länder der Welt als 100 Prozent, so ist dieser Wert um 6 Prozentpunkte geringer.

Von Version zu Version werden die in die Betriebssysteme integrierten Schutzlösungen weiter verbessert. Moderne Betriebssysteme verwenden eine Reihe von Mechanismen, die Schadprogramme abwehren: DEP, ASLR sowie die Möglichkeit, Treiber nur mit digitalem Zertifikat zu installieren und vieles mehr. Zudem sind die meisten auf den westlichen Computern installierten Betriebssysteme lizenziert, so dass automatisch Updates aufgespielt werden, was für die Sicherheit nicht selten von äußerster Wichtigkeit ist.

Besonderheiten der Schadprogramme

Das hohe Schutzniveau der Computer in westlichen Ländern zwingt die Cyberkriminellen dazu, neue und trickreiche Technologien zu entwickeln. Das wichtigste Merkmal der von Virenautoren in diesen Regionen verbreiteten Schädlinge ist deren technische Komplexität. Es sind gerade die europäischen und nordamerikanischen Anwender, auf die die Neuheiten der cyberkriminellen Welt losgelassen werden: Infektionstechnologien und Verbergen von Schadcode im System, sowie die Mechanismen der „Geldbeschaffung“.

Das Hauptziel der Cyberkriminellen in diesen Teilen der Welt ist das Geld der Anwender, und um daran zu kommen, setzen sie trojanische Programme ein.

Die in den westlichen Ländern verbreiteten Trojaner lassen sich in vier Gruppen einteilen.


Verteilung der trojanischen Programme nach Typen. Westeuropa und Nordamerika, 1. Halbjahr 2012

Die erste und zahlenmäßig stärkste Gruppe stellen Trojaner, die auf den Computern andere Schadprogramme installieren. Dass es so viele derartige Trojaner gibt, hängt damit zusammen, dass diese Programme von den Virenautoren häufig modifiziert werden, um so der Erkennung durch Antiviren-Lösungen zu entgehen. Um den gezielten „Transport“ von Schadprogrammen hat sich bereits eine Schattenwirtschaft gebildet.

Für Cyberkriminelle ist die zweite Gruppe von Programmen am interessantesten, denn sie verfolgen die Aktivität der Anwender und stehlen wichtige Informationen. Unter ihnen sind diejenigen Trojaner am gefährlichsten, die auf Zugriffsdaten von Online-Banking-Systemen spezialisiert sind, zum Beispiel Trojan-Banker, Trojan-Spy.Win32.Zbot, Trojan-Spy.Win32.Spyeyes und Backdoor.Win32.Sinowal. Im Fall einer erfolgreich durchgeführten Attacke mit Hilfe eines dieser Schadprogramme erhalten Online-Verbrecher Zugriff auf fremde Bankkonten und können nach eigenem Gutdünken über das Geld verfügen.

Eine weitere Gruppe bilden die Trojaner, die unter irgendeinem Vorwand vom Anwender Geld erpressen. Zu ihnen gehören gefälschte Antiviren-Programme und Programm-Blocker.

Multifunktionale Trojaner erfüllen zwei oder mehr Funktionen gleichzeitig. So stehlen sie beispielsweise Daten und laden andere Schädlinge auf das System.

Geld

Wichtigste Geldbeschaffungsmethoden Verwendete Schadprogramme (Klassifikation von Kaspersky Lab)
Diebstahl von Finanzinformationen (Zugriff auf mit Finanzen verbundene Accounts: Internet-Banking, PayPal, Ebay) Trojan-Banker, Trojan-Spy, Backdoor
Installation und Verkauf von gefälschten Antiviren-Programmen Trojan-FakeAV
Diebstahl von Accounts zu Bezahldiensten, Online-Games und Services (Steam, WoW, Facebook, Skype, u.Ä.) Trojan-PSW, Trojan-GameThief, Trojan-Spy
Diebstahl von persönlichen Daten Backdoor, Trojan-Spy
Austausch der Suchergebnisse, Werbung, Klickerhöhung Trojan-Clicker, Trojan.Win32.DnsChanger, Backdoor
Erpressung Trojan-Ransom

Sehen wir uns einmal genauer an, wie Cyberkriminelle sich auf Kosten der Anwender bereichern, und welche Computer oder mobile Geräte sich infizieren können.

Diebstahl von Finanzinformationen

Die aktive Nutzung von Online-Banking-Diensten macht die Nutzer in den USA, Kanada und Westeuropa zur idealen Zielscheibe von Cyberattacken. In dieser Region sind die bekanntesten Trojaner verbreitet, die Informationen finanzieller Art sammeln:

  • Sinowal (Mebroot) – ein Backdoor, der Finanzinformationen stiehlt. Um sich im System festzusetzen, infiziert er den ersten Bootsektor der Festplatte.
  • Zbot (ZeuS) – ein universeller Trojaner, der es auf die Konten vieler Banken abgesehen hat. Virenschreiber entwickeln ihn aktiv auf der Grundlage der Quellcodes der zweiten Version, die im Internet veröffentlicht wurden.
  • SpyEye – ein universeller Trojaner, der es auf die Konten vieler Banken abgesehen hat. Ein Konkurrent von Zbot (ZeuS), seine Quellcodes sind allerdings nicht frei zugänglich.

In der ersten Jahreshälfte 2012 entfielen in den USA, Kanada und den westeuropäischen Ländern insgesamt 70 Prozent aller Attacken auf Backdoor.Win32.Sinowal (Mebroot), 41 Prozent aller Attacken auf Trojan-Spy.Win32.SpyEye und fast ein Viertel aller abgewehrten Angriffe auf Trojan-Spy.Win32.Zbot.

Neben dem Zugriff auf Bankkonten interessieren sich Online-Verbrecher auch stark für die Accounts des Bezahlsystems PayPal und des Internetauktionshauses Ebay: Auf diese Systeme entfielen 34 Prozent respektive 9 Prozent aller Phishing-Attacken. In beiden Systemen sind die Accounts an Kreditkarten gebunden, was den Cyberkriminellen die Möglichkeit gibt, die Konten leer zu räumen. Neben den Accounts versuchen die Phisher gewöhnlich auch, weitere private Daten abzugreifen wie die Sozialversicherungsnummer, das Geburtsdatum und die Kreditkarten-Prüfnummer cvv2.

Europäische und amerikanische Banken und Bezahlsysteme widmen diesem Problem immer mehr Aufmerksamkeit und bieten verschiedene Methoden zur Erhöhung der Sicherheit an: Autorisierung durch Token, einmalige Passwörter, Transaktionsbestätigung mittels auf das Telefon gesendeter Codes und so weiter. Allerdings entwickeln Virenschreiber im Gegenzug Programme, die in der Lage sind, diese Sicherheitsmechanismen zu umgehen. Ein Beispiel dafür ist die Schädlingsfamilie Zitmo, deren Vertreter Mobiltelefone angreifen und das System der Zweifaktoren-Authentifizierung europäischer Banken umgehen können. Diese mobilen Schädlinge arbeiten mit dem Computer-Trojaner Zbot (ZeuS) zusammen: Zunächst stiehlt Zbot von dem infizierten Computer Login und Passwort des Anwenders, um ins Online-Banking-System zu gelangen. Anschließend kommt im Moment der Geldüberweisung sein mobiler Bruder Zitmo ins Spiel, der die Transaktionsnummern an die Cyberkriminellen schickt.

Die offiziellen Daten übermitteln eine Vorstellung davon, wie groß die Summen sind, die Cyberkriminelle mit Hilfe gestohlener Finanzinformationen verdienen. Im Jahr 2010 festgenommene Betrüger, die mit Trojan-Spy.Win32.Zbot arbeiteten, hoben innerhalb von nur drei Monaten 9 Millionen US-Dollar von mehr als 600 Konten ab. Doch das ist nur die nachgewiesene Schadenssumme. Hinzu kommen verschiedene Gruppierungen, das heißt also, dass die Gesamteinnahmen der Cyberkriminellen innerhalb eines entsprechenden Zeitraums um das Dutzendfache höher sind als die angegebene Summe.

Diebstahl von persönlichen Daten

Ein äußerst wichtiger „Geschäftszweig“ der Cyberkriminellen in Nordamerika und Westeuropa ist der Diebstahl von persönlichen Daten. In Hackerforen werden die Kundendatenbanken verschiedener Shops und Dienstleister zum Verkauf angeboten. Dabei gibt es derart viele Angebote, dass die Preise sehr niedrig sind – bei Großeinkauf insgesamt nur wenige Cents für die Daten einer Person. Wir weisen darauf hin, dass die häufigste Ursache dafür, dass die Daten tausender Anwender in die Hände von Cyberverbrecher fallen, Sicherheitslücken und Fehler in den Einstellungen von Servern und Datenbanken verschiedener Services sind.

Die am weitesten verbreiteten Sicherheitslücken, die zum Abfließen von Informationen führen, sind neben SQL-Injection und Fehlern in den Authentifizierungssystemen Fehler, die die Möglichkeit des direkten Zugriffs auf die Objekte auf einem Webserver eröffnen. Parallel zu den Sicherheitslücken nutzen Cyberkriminelle in vielen Fällen auch Fehler in der Konfiguration von Web-Anwendungen aus, wie etwa standardmäßig erstellte, aber nicht gelöschte Accounts, freier Zugriff auf Server-Verzeichnisse, Speicherung von Passwörtern und wertvollen Informationen in unverschlüsselter Form sowie inkorrekt ausgefüllte robots.txt-Dateien.

Die am nächsten liegende Verwendung dieser Daten liegt in personalisierten Angriffen auf die betroffenen Nutzer. Solche Attacken haben wesentlich größere Chancen auf Erfolg: Der Versand von schädlichen Mails oder Phishing-Mails an die Kunden einer bestimmten Bank ist nur dann effektiv, wenn die Mitteilung auch tatsächlich in deren Postfächern landet.

Weil die persönlichen Daten nötig sind, um Zugriff auf verschiedene Finanzdienste zu erhalten, erfreuen sie sich daher unter solchen Cyberkriminellen einer großen Nachfrage, die illegale Geschäfte mit Internet-Banking-Systemen und Kreditkartenbetrug betreiben.

Verbreitung von gefälschten Antiviren-Programmen

Praktisch alle gefälschten Antiviren-Programme haben eine englischsprachige Benutzeroberfläche, die Zielgruppe rekrutiert sich im Wesentlichen aus Anwendern der westlichen Welt. Das gesamte Geschäft mit den gefälschten AV-Programmen fußt auf dem Bedürfnis der Anwender nach Schutz und auf ihrer Bereitschaft, sich den Schutz ihrer Computer etwas kosten zu lassen.

Gefälschte Antiviren-Programme werden über cyberkriminelle Partnerprogramme verbreitet.


Detektionsdynamik von gefälschten Antiviren-Programmen in den USA, Kanada und den westeuropäischen Ländern, 2011-2012

In Europa und Amerika werden gefälschte Antiviren-Produkte seit Anfang 2011 aktiv verbreitet. Im März tauchten sogar Fake-AV für Mac OS X auf, die ebenfalls über Partnerprogramme verbreitet werden.

Im Juni 2011 erreichten die Angriffe von gefälschten Antiviren-Programmen mengenmäßig den Höhepunkt (Kaspersky Lab entdeckte über 900.000 Fälschungen), daraufhin folgte ein Abschwung und die Anzahl derartiger Programme stabilisierte sich auf dem Niveau des Jahresanfangs, etwa zeitgleich mit der Festnahme von Pavel Vrublevsky. Damals machten die Strafverfolgungsbehörden die Mitglieder zweier Verbrechergruppen dingfest, die gefälschte Antiviren-Programme verbreitet hatten. Die Suchmaschinenbetreiber begannen nun ihrerseits, schädliche Links sorgfältiger aus den Ergebnislisten zu löschen.

Obwohl im Dezember 2011 bis Januar 2012 ein erneuter Anstieg der Attacken mit gefälschten Antiviren-Programmen registriert wurde, pendelte sich ihre Anzahl im Folgenden wieder auf das bisherige Niveau ein.

Zum gegenwärtigen Zeitpunkt bringen die gefälschten Antiviren-Programme den Betrügern keinen Extra-Gewinn mehr ein, doch sie gewährleisten ein stabiles Einkommen, das vielen „Partnern“ durchaus gelegen kommt. Wie einträglich dieses Geschäft ist, lässt sich daran ablesen, dass die im Juni 2011 in Lettland verhafteten Cyberkriminellen, die mit diesen Fake-Produkten Geschäfte gemacht hatten, innerhalb von drei Jahren etwa 960.000 Anwender betrogen und Schäden in Höhe von 72 Millionen US-Dollar verursacht haben.

Austauschen von Suchergebnissen

Auch das Geldgewinnungsschema mit Hilfe des Austausches von Suchergebnissen oder mittels Werbung in Suchsystemen stützt sich in den meisten Fällen auf die Nutzer in westlichen Ländern. In populären Suchmaschinen erscheinen auf den vorderen Plätzen der Ergebnisliste häufig Links auf Werbenetze. Klicks auf diese Links werden von den Werbungsgebern bezahlt, und die Einnahmen für jeden Klick kommen den Cyberkriminellen zugute, die die tatsächlichen Suchergebnisse gegen die Werbelinks ausgetauscht haben.


Beispiel für eine Anzeige in einem Hackerforum über den Ergebnisaustausch für Anwender in den USA, Kanada, Großbritannien und Australien

Technisch wird dieses Schema mit Hilfe von trojanischen Programmen umgesetzt, die Einstellungen der DNS-Server und Host-Dateien dahingehend verändern, dass alle Suchanfragen über einen Server der Cyberkriminellen laufen. Auf dem Server wird die Antwort des Suchsystems ausgetauscht, so dass in der Ergebnisliste Links erscheinen, an denen die Cyberkriminellen interessiert sind.

Ende 2011 wurde beispielsweise der Schädling Trojan-Downloader.OSX.Flashfake entdeckt, der Computer unter Mac OS X infizierte und die Ergebnislisten von Suchsystemen austauschte. Es wurden mehr als 700.000 verseuchte Rechner identifiziert, die in einem Botnetz zusammengefasst waren. Das entspricht praktisch 1 Prozent aller Mac-User weltweit, wobei sich 84 Prozent aller infizierten Computer in Westeuropa und Nordamerika befanden.


Top 10 der Länder, von denen aus Trojan-Downloader.OSX.Flashfake nachweislich mit den Steuerungszentralen kommuniziert hat

Als weiteres Beispiel für einen Trojaner mit derartiger Funktionalität dient Backdoor.Win32.ZAccess (ZeroAccess), der vornehmlich Rechner in den USA (27,7 %) und Deutschland (11 %) infiziert.


Verbreitung des Trojaners Backdoor.Win32.ZAccess im Juli 2012

Das Justizministerium der USA beschuldigte eine Gruppierung von Cyberkriminellen der Entwicklung von Betrugsschemata zum Austausch von Suchergebnissen. Offiziellen Informationen der Strafverfolgungsbehörden zufolge haben die Online-Verbrecher innerhalb von fünf Jahren illegaler Geschäftstätigkeit unter Verwendung des Schadprogramms Trojan.Win32.DnsChanger um die 14 Millionen US-Dollar einnehmen können.

Erpressung

In letzter Zeit wurden in den westlichen Ländern häufig betrügerische Programme wie Erpresser-Trojaner eingesetzt, die noch bis vor kurzem außerhalb der Nachfolgestaaten der Sowjetunion (ehemalige GUS) kaum bekannt waren. Ihr Funktionsprinzip ist denkbar simpel: Nach der Infektion blockieren sie den Zugriff auf den Computer, indem sie die Systemeinstellungen verändern oder ein eigenes Fenster über allen anderen öffnen.

In den Nachfolgestaaten der Sowjetunion kommen zwei Arten von Blockern besonders häufig vor: Pornoblocker, die Geld dafür fordern, dass sich das Fenster mit nicht jugendfreien Bildern schließt, das den Computer blockiert, und Programme, die das Booten des Betriebssystems unter dem Vorwand blockieren, dass nicht lizenzierte Software auf dem Computer verwendet wird.

In Europa funktionieren diese Schemata kaum. Bei Erpressung wendet sich der gesetzestreue Bürger an die Polizei, und seine Software ist in den allermeisten Fällen lizenziert. Daher haben sich die Cyberkriminellen eine andere Methode ausgedacht: Sie blockieren den Computer und fordern angeblich im Namen der Polizei eine Strafzahlung für den Besuch von Webseiten mit Kinderpornografie oder Gewaltszenen mit Kindern.


Beispiel eines Erpresser-Trojaners, der britische Anwender angreift (geöffnetes Fenster

Derzeit sind mehrere Versionen von Trojanern bekannt, die den Namen und die Wappen der Polizeibehörden Deutschlands, Frankreichs, Englands, der Schweiz, der Niederlande, Finnlands und Spaniens verwenden. Leider ist es äußerst schwierig, den Empfänger des Geldes zu identifizieren, da für die Überweisungen die Bezahlsysteme Ukash, Epay und PayPoint verwendet werden und es nicht immer möglich ist, die Transaktionen zurückzuverfolgen. Bemerkenswert ist, dass Ukash zum ersten Mal bei der Geldüberweisung von Opfern des trojanischen Verschlüsselungstools GpCode zum Einsatz kam, der auf dem Gebiet der ehemaligen UdSSR entwickelt wurde.

Besonderheiten bei der Verbreitung von Schadprogrammen

Um ein Schadprogramm zu aktivieren, müssen Cyberkriminelle es zunächst einmal auf dem Computer platzieren. Die weltweiten Hauptverbreitungskanäle von Schadcode sind das Internet und mobile Datenträger. Wie unsere Ermittlungen ergeben haben, kommen über mobile Datenträger verbreitete Programme sowie klassische, Dateien infizierende Viren in den hier untersuchten Regionen praktisch gar nicht vor. Die hier auf den meisten Computern installierten Antiviren-Programme lassen es gar nicht zu, dass Würmer und Viren eine ausreichende Zahl von Rechnern infizieren, um einen sich selbst aufrechterhaltenden Infektionsprozess in Gang zu setzen, und früher oder später erledigen sich die Schädlinge von selbst.

Das folgende Diagramm zeigt die Eindringungswege von Schadprogrammen in die Computer in den westlichen Ländern:


Angriffsvektoren in Westeuropa und Nordamerika*, 1. Halbjahr 2012

* Prozentualer Anteil der Kaspersky Labs-Anwender, die über bestimmte Kanäle angegriffen werden, an allen angegriffenen Kaspersky Labs-Anwendern in der jeweiligen Region.

Bei den Attacken auf europäische und amerikanische Nutzer erweist sich das Internet als weitaus effektiver. Unseren Daten zufolge waren im ersten Halbjahr 2012 80 Prozent aller angegriffenen Computer dem Risiko einer Infektion beim Surfen im Web ausgesetzt.

Die ersten beiden Plätze des Ratings belegen Italien und Spanien. Beide sind in der Gruppe der Länder vertreten, bei denen für Computer ein erhöhtes Risiko besteht, beim Surfen infiziert zu werden (Länder, in denen über 40 Prozent aller Rechner angegriffen werden).


Risiko einer Infektion über das Internet*, 1. Halbjahr 2012 nach Ländern Nordamerikas und Westeuropas

* Prozentualer Anteil einzelner Anwender, die Web-Attacken ausgesetzt waren, an allen Anwendern von Kaspersky Labs-Produkten im jeweiligen Land.

Mit Ausnahme von Dänemark gehören alle übrigen Länder zu der Risikogruppe mit Werten zwischen 21 und 40 Prozent, wobei der Anteil der angegriffenen Anwender in der Schweiz, in Deutschland, Österreich und Luxemburg die 30-Prozent-Marke nicht übersteigt. Dänemark, das die Liste abschließt, gehört mit einem Wert von unter 20 Prozent zu den beim Web-Surfen sichersten Ländern.

Um die Computer zu infizieren, während die Anwender im Netz surfen, setzen die Cyberkriminellen auf eine Reihe effizienter Methoden:

  • Infektion legitimer Webressourcen
  • Manipulation von Suchsystemen
  • Schadspam in sozialen Netzwerken und bei Twitter

Infektion legitimer Webressourcen

Die Infektion legaler Webseiten ist ein für Anwender ebenso gefährlicher wie für Cyberkriminelle effektiver Ansatz. Online-Verbrecher erhalten auf die eine oder andere Art Zugriff auf den Quellcode einer populären Webseite und nehmen geringfügige Veränderungen daran vor. Wenn der Browser des Besuchers alle Links im Code der Seite ausliest und deren Inhalt lädt, leitet die Zeile mit dem eingeschleusten Schadcode den Browser auf eine speziell erstellte und mit einem Exploit verminte Webseite um – einem Schadprogramm, das eine Sicherheitslücke in einer legitimen Software zum Eindringen in den Computer ausnutzt. Dabei verläuft der Angriff für den Anwender unbemerkt – die legitime Webseite funktioniert und sieht aus wie immer.

Bei solchen Angriffen werden normalerweise Exploit-Packs benutzt, die zunächst automatisch nach auf dem System installierten verwundbaren Programmen suchen und daraufhin das entsprechende Exploit auf den Computer transportieren. Um erfolgreich zu sein, müssen die Cyberkriminellen also nur eine einzige populäre, nicht aktualisierte Anwendung finden.

Die Reihenfolge der für Exploits populärsten Anwendungen wechselt ständig: Ende 2011 löste Java die bisher beliebtesten Hintertüren der Hacker ab, Adobe Acrobat Reader und Adobe Flash Player. Im gleichen Jahr entfielen auf Java 4 von 5 der am häufigsten eingesetzten Exploits, und bereits in der ersten Jahreshälfte 2012 holten Exploits für Adobe-Produkte wieder auf.

Top 5 der Exploits, die sich gegen nordamerikanische und europäische Anwender richten:

H2 2011

  Name Prozentualer Anteil der angegriffenen Rechner Verwundbare Anwendung
1 Exploit.Java.CVE-2010-4452.a 20.6% Oracle Java (JRE)
2 Exploit.JS.CVE-2010-4452.l 3.4% Oracle Java (JRE)
3 Exploit.JS.Pdfka.exr 3.0% Adobe PDF Reader
4 Exploit.JS.CVE-2010-4452.t 2.9% Oracle Java (JRE)
5 Exploit.Java.CVE-2010-0840.d 2.6% Oracle Java (JRE)

H1 2012

  Name Prozentualer Anteil der angegriffenen Rechner Verwundbare Anwendung
1 Exploit.JS.Pdfka.fhh 20.1% Adobe PDF Reader
2 Exploit.SWF.CVE-2011-0611.bt 10.8% Adobe Flash Player
3 Exploit.Java.CVE-2011-3544.ct 6.9% Oracle Java (JRE)
4 Exploit.JS.Agent.blb 5.6% Oracle Java (JRE)
5 Exploit.JS.Pdfka.fhp 4.7% Adobe PDF Reader

Manipulation von Suchsystemen

Bei der zweiten Verbreitungsmethode, der so genannten Black Hat SEO, manipulieren die Cyberkriminellen Suchsysteme. Mit Hilfe dieser Technologie befördern sie speziell erstellte Webseiten, die den Schadcode enthalten, auf die ersten Plätze in der Ergebnisliste.

Die Entwickler von Suchmaschinen achten darauf, dass die Suchergebnisse relevant sind. Daher ist es zu aufwändig und vermutlich auch wenig einträglich, schädliche Seiten auf den obersten Plätzen von Ergebnislisten unterzubringen, die auf täglich eingegebene Suchanfragen erscheinen. Die Online-Verbrecher haben daher einen weitaus effektiveren Weg gefunden: Sie optimieren ihre Webseite für Schlagwörter zu aktuellen Themen, die also nur für einen kurzen Zeitraum häufig in Suchmaschinen eingegeben werden (beispielsweise zum Tod eines Prominenten oder den Namen eines aktuellen Blockbusters), so dass die Mitarbeiter der Suchsysteme es nicht rechtzeitig schaffen, die Häufigkeit der Ergebnisausgabe zu überprüfen.

Spam

Spam in Sozialen Netzwerken und Twitter setzen Cyberkriminelle bevorzugt zur Verbreitung schädlicher Links ein. Auch hier werden häufig aktuelle Themen ausgenutzt.

Vor kurzem haben Cyberkriminelle, die Computer in westlichen Ländern angreifen, Spam als Transportmittel für „gefährliche“ Ladungen neu für sich entdeckt. E-Mail wird in der westlichen Welt derzeit in erster Linie für Registrierungsbestätigungen von verschiedenen Services und der Kommunikation mit Banken, Pensionsfonds, Online-Shops, staatlichen Organisationen usw. genutzt. Daher tarnen Cyberkriminelle ihre schädlichen Mails oft als Benachrichtigungen von derartigen Organisationen. Im ersten Halbjahr 2012 schwankte der durchschnittliche Anteil von Mitteilungen mit schädlichen Anhängen an allen elektronischen Nachrichten im Monat zwischen 2,8 und 4,3 Prozent, was den Durchschnittswert der letzten drei Jahre deutlich übersteigt.

Laut unserer Statistik betrug der Anteil der elektronischen Post an allen Infektionsquellen in der ersten Jahreshälfte 2012 insgesamt 2,5 Prozent. Dabei werden nur Mails mit schädlichen Anhängen und Skripten berücksichtigt (E-Mails mit gefährlichen Links werden als Web-Attacken eingestuft), und auch Mails, die der Nutzer über Internet-Mailclients erhält, fließen nicht in die Statistik ein.

Cyberkriminelle Infrastruktur

Cyberkriminalität ist ohne eine moderne Infrastruktur nicht denkbar: Steuerungsserver, Plattformen zur Verbreitung von Schadprogrammen, Proxy-Server, Botnetze. Alle diese Elemente haben ebenfalls eine geografische Spezifik.

Schädliche Hostings

In den Ländern Westeuropas, den USA und Kanada steht der Kampf gegen schädliche Web-Inhalte auf einer stabilen gesetzgeberischen Basis. Doch obwohl das paradox erscheint, befanden sich im ersten Halbjahr 2012 69 Prozent aller schädlichen Hostings in diesen Ländern: Das bedeutet, dass weit mehr als die Hälfte aller Schadprogramme im Internet von Servern aus diesen Regionen verbreitet wird.


Verteilung schädlicher Hostings nach Ländern zwischen 2010 und dem 1. Halbjahr 2011

Dafür gibt es eine Erklärung. Erstens konzentriert sich in den westlichen Ländern die überwältigende Mehrheit der Datenzentren dieser Welt, die ein hochverfügbares Hosting bereitstellen. Bei vielen Projekten werden gerade solche Hosting-Plattformen gewählt. Cyberkriminelle hacken solche Server und erhalten ein qualitativ hochwertiges Hosting. Ein weiterer wichtiger Vorteil bei der Nutzung dieser Server besteht darin, dass die Infektion des Computers im Laufe einer Attacke von einer legalen Webseite aus erfolgt, was den Schutz eindeutig erschwert.

Zweitens ist es absolut schwierig, einen cyberkriminellen Server von einem gewöhnlichen Provider zu unterscheiden. Daher nutzen Hacker ganz problemlos die Dienste legaler Provider. Obwohl das Hosting in den westlichen Ländern nicht billig ist, erlauben die Einkünfte der Cyberkriminellen es ihnen, Hosting-Plattformen von hoher Qualität zu wählen.

Domainzonen

Zur Verbreitung von Schädlingen benötigen Online-Gangster nicht nur physische Server, sondern auch Domain-Namen der Webseiten. Am beliebtesten sind bei ihnen Webseiten-Namen in den Domain-Zonen net, com, info und org. Auf diese Zonen entfallen 44,5 Prozent der abgewehrten Attacken auf Rechner in Nordamerika und Westeuropa.

Allerdings gibt es auch eine Vielzahl von nationalen Domainzonen, die aktiv von Cyberkriminellen genutzt werden.


Top 15 der nationalen Domain-Zonen, in denen schädliche Webseiten untergebracht sind und von denen aus Attacken auf nordamerikanische und westeuropäische Anwender durchgeführt wurden

Die Browser von Computern in den USA, Kanada und Westeuropa werden zur Infektion aktiv auf Webseiten in den Zonen Indien (.in), Russland (.ru) und Kokosinseln (co.сс) umgeleitet. Dabei ist die Domain-Zone co.cc, wo die Registrierung einer Domain kostenlos ist, dermaßen verseucht, dass Google im Jahr 2011 beschloss, dort keine Webseiten zu indexieren. Allerdings sind kostenlose Domains für Cyberkriminelle so oder so attraktiv.

Die Plätze vier und fünf belegen Webseiten in den Domain-Zonen Spanien (.es) und Italien (.it). Die Domain-Zone Montenegro (.me) sieht aus wie das englische Wort für „ich“ beziehungsweise „mich“, daher gibt es hier viele englischsprachige Webseiten wie love.me. Ähnlich verhält es sich mit der Domain-Zone Italien (.it): Viele Unternehmen nutzen das englische „it“ als Teil des Namens ihrer Webseite (zum Beispiel do.it und get.it). Daher zielen von Cyberkriminellen gehackte oder erstellte Webseiten in diesen Domain-Zonen sowohl auf lokale als auch auf englischsprachige User ab.

Die Domain-Zonen Europäische Union (.eu), Deutschland (.de) und USA (.us) stehen am Ende der Top 10 der am häufigsten von Verbrechern für Attacken auf Bürger Westeuropas und Nordamerikas genutzten nationalen Domain-Zonen.

Botnetze

Ein anderer wichtiger Teil der cyberkriminellen Infrastruktur in dieser Region sind Botnetze, die in Verbindung mit Partnerprogrammen funktionieren.

Bei den von Cyberkriminellen genutzten Partnerprogrammen oder auch Affiliate-Programmen gibt es eine klare Arbeitsaufteilung: Zum einen sind da die Virenautoren und ihre Auftraggeber, die bereit sind, Geld für die Verbreitung der Schädlinge zu zahlen. Dann gibt es die ausführenden Partner, die den Schadcode gegen Geld in Umlauf bringen und schließlich sind da die Organisatoren der Partnerprogramme, die eine Plattform für das Zusammenspiel der aufgeführten Gruppen bereitstellen.

Viele Botnetze bieten eine enorme Installationsbasis für andere Schadprogramme. Die Bots werden auf Bestellung der „Kunden“ für den Download anderer Schädlinge auf die von ihnen infizierten Computer maßgeschneidert. Sie sind in der Lage, die Anwesenheit der geladenen Programme im System zu verbergen und verfügen über verschiedene zusätzliche „Features“. Als Beispiel für einen solchen Bot kann der wohlbekannte Schädling TDSS dienen, der auf die infizierten Computer die Schadprogramme Trojan-Banker, DNS-Changer und Fake-AV transportiert. Im Jahr 2011 befanden sich 41,5 Prozent der mit TDSS infizierten Computer auf nordamerikanischem und westeuropäischem Gebiet.

Der Auftraggeber kann konkrete Länder auswählen, in denen er sein Schadprogramm verbreiten möchte. Nach der Höhe des Preises (und offensichtlich auch nach dem Wert für die Cyberkriminellen) liegt die Installation in Europa und den USA auf Platz eins, wo die Infektion von 1000 Rechnern etwa zwischen 100 und 150 Dollar kostet. Zum Vergleich: Der Preis für die Infektion von Computern in Asien ist um das Zehnfache (!) geringer.

Fazit

Die meisten Länder Nordamerikas und Westeuropas belegen die ersten Plätze in den Ratings, bei denen es um die Durchdringung des Internets mit Schadprogrammen geht. In diesen Ländern verwahren praktisch alle Bürger ihr Geld auf Bankkonten, und für die Online-Bezahlung von Waren und Dienstleistungen werden häufig mit diesen Konten verbundene Karten verwendet.

Cyberkriminelle machen ihr Geld in den untersuchten Regionen in erster Linie durch den Diebstahl von Finanzinformationen sowie durch Betrug und Erpressung. In dieser Region sind eine Menge Computer mit Bots infiziert, die Finanzdaten sammeln, gefälschte Antiviren-Programme verbreiten und den Web-Traffic der Anwender manipulieren. Die Zahlen bestätigen das: Über 70 Prozent der Attacken des Bots Sinowal, über 40 Prozent der Attacken der SpyEyes-Bots, die Finanzinformationen sammeln, und 67 Prozent aller Detektionen von Fake-AV entfielen im ersten Halbjahr 2012 auf Anwender in eben dieser Region.

Schaut man sich die Infrastruktur der Cyberkriminellen an, so sieht man deutlich, dass es hier recht wenige Botnetze gibt, die grobe Arbeiten übernehmen wie etwa den Versand von Spam, Durchführung von DDoS-Attacken oder das Verbergen der Cyberkriminellen-Webseiten. Über die Standorte der Computer, die diese Arbeiten ausführen, berichten wir in unserem nächsten Artikel.

Die Einführung neuer Betriebssystem-Versionen geht in diesen Ländern schneller voran als in anderen Regionen der Welt. Dort sind auf vielen Computern AV-Programme installiert und die Strafverfolgungsbehörden bekämpfen die Cyberkriminalität aktiv. Doch die Online-Verbrecher lassen sich nicht davon aufhalten, dass es hier im Gegensatz zu anderen Ländern recht schwierig ist, Schadprogramme auf die Computer zu schmuggeln, und sie entwickeln und verwenden immer neue, immer raffiniertere Technologien. Die zum gegenwärtigen Zeitpunkt komplexesten Trojaner (die von Geheimdiensten entwickelten selbstverständlich ausgenommen) werden in der in diesem Artikel untersuchten Region eingesetzt. Nutzer von Mac OS X befinden sich nun leider ebenfalls unter Beschuss: Im Zuge der Epidemie des Mac-Trojaners FlashFake entfielen über 80 Prozent der Infektionen auf Rechner in den USA, Kanada und in den Ländern Westeuropas.

In diesen Regionen verwenden die Cyberkriminellen gehackte Webseiten und zuverlässige Hostings zur Organisation der Steuerungsserver und zur Verbreitung der Schadprogramme. Fast 70 Prozent der Versuche, Schädlinge herunterzuladen, erfolgt von Servern, die sich physisch in Ländern der westlichen Welt befinden.

Unsere Untersuchungen haben gezeigt, dass Cyberkriminelle das Internet in den westlichen Ländern als Hauptangriffsmethode nutzen. 80 Prozent aller in dieser Region registrierten Attacken werden über das Web durchgeführt. Das hat zur Folge, dass im ersten Halbjahr 2012 über 40 Prozent der Computer in Italien und Spanien dem Risiko einer Infektion während des Surfens ausgesetzt waren, in England waren es 37 Prozent, in Frankreich 36 Prozent und in Deutschland 29 Prozent. In Übersee sieht es ganz ähnlich aus: In den USA waren 39 Prozent aller KSN-Nutzer zumindest einmal von einer Attacke über das Internet betroffen, in Kanada waren es 37 Prozent.

Tritt die vorhergesagte Wirtschaftskrise ein, so wird sie auch Auswirkungen auf die Cybersicherheit in den untersuchten Ländern haben. Als Folge könnte die Zahl der attackierten Rechner steigen, und zwar bei möglicherweise geringerem Schutzniveau, da die Menschen sparsamer werden und auf die Aktualisierung ihrer Computer und den Kauf von neuen Programmversionen verzichten.

In nächster Zukunft wird sich das mobile Banking zu einem neuen Angriffsziel der Cyberkriminellen entwickeln, da es bei den Besitzern von Smartphones und Tablets immer populärer wird. Weil diese mobilen Geräte aber in den meisten Fällen über keinen Antiviren-Schutz verfügen, liegt es auf der Hand, dass die Geräte unter Android OS das aussichtsreichste Ziel für Angriffe abgeben werden.

Quelle:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen