Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Mobile Bedrohungen im Jahr 2013



Das nigerianische Erbe erwartet Sie
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Spam im September 2012

25.10.2012   |   Ihr Kommentar

Maria Namestnikova

Der September in Zahlen

  • Der Spam-Anteil im E-Mail-Traffic stieg im Vergleich zum August um 2,3 Prozentpunkte und betrug durchschnittlich 72,5 Prozent.
  • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen verdreifachte sich im Vergleich zum August und betrug damit 0,03 Prozent.
  • Im September enthielten 3,4 Prozent aller E-Mails schädliche Dateien, das sind 0,5 Prozentpunkte weniger als im Vormonat.

Die wichtigsten Ereignisse des Monats

Spam-Betrug

Im September waren weniger schädliche und betrügerische Versendungen im Umlauf als im Vormonat. Allerdings registrierten wir betrügerische Versendungen, in denen neue Social-Engineering-Tricks zum Einsatz kamen.

 

Erdöl- und Erdgas-Betrug

Unter den traditionellen betrügerischen Mails, die über einen angeblichen Lotteriegewinn informieren, fanden wir auch solche, die den Namen von Gazprom ausnutzten, dem größten russischen Erdgasförderunternehmen (Beispiel 1). Der stümperhafte Text behauptete, der Empfänger habe 920.000 US-Dollar gewonnen und müsse nur die angegebene Nummer anrufen, um den Gewinn zu erhalten. Üblicherweise fordern die Kriminellen beim Lotteriebetrug eine Provision für die Überweisung des Gewinns, den es selbstverständlich gar nicht gibt. Interessant ist zudem, dass die Mitteilung in englischer Sprache verfasst wurde.

Gazprom ist nicht das einzige russische Unternehmen, das im September im Betrugs-Spam auftauchte. Auch Lukoil erschien den Betrügern geeignet, um die Anwender zu ködern. In typischen Spam-Mails, die Arbeit von zu Hause bei angeblich vorzeigbaren Einnahmen bewarben, wurde versichert, dass man nicht nur für „irgendein großes Unternehmen“, sondern für „Lukoil“ arbeiten würde (Beispiel 2). Dieser Trick sollte die Versendung offensichtlich seriös erscheinen lassen. Der Hinweis auf das große russische Ölunternehmen ist selbstverständlich nichts weiter als eine Ablenkung. Solche Versendungen haben den Sinn, den Anwender an ein illegales Geldwäschesystem anzuschließen, häufig sogar ohne dessen Wissen. Die „Arbeit“ besteht darin, das Geld von den vom „Arbeitgeber“ angegebenen Konten auf das Konto des Anwenders und weiter auf Konten Dritter zu überweisen. Dem Nutzer wird diese Prozedur beispielsweise als Arbeit eines Online-Shops verkauft, in Wahrheit geht es hier aber um Geld, das mit Hilfe von gestohlenen oder kompromittierten Kreditkarten abgehoben wird.

Interessant ist, dass in beiden Beispielen mail.com im Absenderfeld steht, was Rückschlüsse darauf zulässt, dass beide Versendungen aus einer Quelle stammen. Zudem liegt die Vermutung nahe, dass die Spammer aus der ehemaligen UdSSR stammen, da in den englischsprachigen Mitteilungen die Namen russischer Unternehmen genannt werden.

Wir weisen darauf hin, dass Spammer in ihren Versendungen absolut jede bekannte Marke oder Firma ins Spiel bringen können, um eine größere Resonanz auf ihre Mitteilungen zu erzielen. Die Nennung eines großen Unternehmens in Spam-Mails macht diese keineswegs ungefährlich.

Michelle Obama vs. Asma al-Assad

Als Beweis dafür, dass absolut jede namhafte Persönlichkeit von Spammern in ihren betrügerischen Mitteilungen ausgenutzt werden kann, dient Beispiel 3. Diese Nachricht wurde angeblich von Michelle Obama verfasst, der Ehefrau des amtierenden US-amerikanischen Präsidenten, und teilt dem Empfänger mit, dass er eine Auszahlung aus einem Fond des Weißen Hauses erhält.

Auf diese typische Lotterie-Benachrichtigung sind wir nicht nur wegen ihrer „Autorin“ Michelle Obama aufmerksam geworden. Es ist insgesamt auch interessant zu beobachten, wie die Spammer die öffentliche Meinung über die eine oder andere bekannte Persönlichkeit berücksichtigen. So registrieren wir in den Spam-Strömen seit April Mitteilungen im Namen von Asma al-Assad, der Ehefrau des syrischen Machthabers Baschar al-Assad (Beispiel 4). Anders als „Michelle Obama“ informiert die „syrische First Lady“ in ihren Mails die Empfänger nicht über eine Auszahlung aus Fonds, sondern über sagenhafte Reichtümer, die dringend außer Landes gebracht werden müssen. Den Spammern ist schon klar, dass die Nutzer darüber stolpern würden, wenn ein Mitglied der amerikanischen Präsidentenfamilie versuchen sollte, irgendwelche zweifelhaften Gelder außer Landes zu verschieben, doch Auszahlungen aus einem Fonds unter der Schirmherrschaft der First Lady erscheinen nicht unbedingt abwegig. Bei der Ehefrau des syrischen Präsidenten verhält es sich genau umgekehrt – der Anwender wittert die Falle eher, wenn er eine Mail von einem Wohltätigkeitsfonds aus Syrien erhält, als wenn er von Frau al-Assad darum gebeten wird, gestohlenes Geld über die Grenze zu schaffen.

Die Mitteilung selbst erstaunt durch das Absenderfeld, denn darin steht kein geringerer als der "World Wide Web Owner". Das ist schon drollig, denn das würde bedeuten, dass der Anwender die Mail von dem Besitzer des Internets erhalten hat, da World Wide Web bekanntermaßen gleichbedeutend mit WWW ist. Sieht man sich den Header genauer an, erfährt man, dass der Internet-Herrscher sein elektronisches Postfach in der Domain-Zone .ru unterhält. Wie aus der Mitteilung selbst folgt, schreibt der geheimnisvolle Herrscher über das gesamte Internet im Namen von Michelle Obama. Die E-Mail-Adresse von „Michelle“ steht ebenfalls im Absenderfeld und ist sehr interessant: Sie beginnt mit der Buchstabenfolge “missnadia”, was sich als Miss Nadia lesen lässt. Schwer vorstellbar, dass sich Michelle Obama für ihren E-Mail-Account ein solch sonderbares Pseudonym zugelegt haben sollte. Warum das Mail-Konto beim chinesischen Portal von Yahoo registriert ist, bleibt ebenfalls unklar. Letztlich ist die Vorstellung völlig abwegig, dass die First Lady der USA von einem solchen E-Mail-Account eine offizielle Mail über die Auszahlung aus ihrem Fonds verschickt.

Coupons – Fortsetzung der Geschichte

Wie wir bereits vermuteten, wird das Thema Coupons unter Cyberkriminellen immer beliebter. Im September registrierten wir Versendungen, die Links auf infizierte Webseiten enthielten (Beispiel 5). Die Mitteilungen sehen fast genauso aus wie die echten Groupon-Mails, nur das Absenderfeld fiel aus dem Rahmen, da es absolut nichts mit dem Coupon-Service zu tun hat.

Steht Weihnachten vor der Tür?

Die ersten Spam-Versendungen rund um Weihnachten und Sylvester erscheinen traditionell ab Oktober im E-Mail-Traffic. Gewöhnlich registrieren wir zunächst Mitteilungen auf Englisch und Deutsch sowie in anderen europäischen Sprachen. Doch dieses Jahr bestätigt eine Ausnahme die Regel. Bereits im September erfassten wir die erste Versendung zum Thema Weihnachten, die in russischer Sprache verfasst war und von Kiew aus verschickt wurde. In der Mitteilung werden die Empfänger zu einer Weihnachtsvorstellung für Kinder in Moskau eingeladen.

Aktuelle Themen

Im September löste das über Youtube verbreitete Video „Die Unschuld der Muslime“ weltweit Aufregung und Diskussionen aus. In Russland wurde Youtube auf Grund dieses Videos sogar in einigen Bereichen gesperrt.

Die Befürworter dieses Videos verbreiteten es eifrig, unter anderem auch via Spam. Wir hatten erwartet, darin Links zu entdecken, die scheinbar auf dieses Video verweisen, tatsächlich aber auf infizierte Webseiten führen. Doch erstaunlicherweise haben sich unsere Erwartungen nicht bestätigt - in den von uns entdeckten Versendungen mit diesem Video haben wir weder Schadcode noch gefährliche Links gefunden. Alle von uns abgefangenen Versendungen waren in englischer Sprache verfasst.

 

Statistik

Spam-Herkunftsländer

Unten stehend ein grafischer Überblick über die Länder, aus denen Anwender in Europa unerwünschte Nachrichten erhielten.

 
Top 20 der Länder, aus denen am meisten Spam nach Europa versendet wurde, im September 2012

Im Rating der nach Europa fließenden Spam-Ströme haben im September zwei Länder die Plätze getauscht – die USA kletterte auf Position zwei (plus 1,8 Prozentpunkte) und Indien fiel auf den dritten Platz zurück (minus 1,1 Prozentpunkte). Deutlich abgerutscht im Rating sind Südkorea und Vietnam: Diese Länder gehörten noch im Vormonat zu den ersten sechs, belegten im September aber nur noch die Positionen 12 respektive 14. Den größten Zuwachs gibt es bei den Spam-Strömen aus Spanien (plus 2,9 Prozentpunkte) und Großbritannien (plus 1,8 Prozentpunkte).

Im globalen Maßstab besetzt unter den Spam versendenden Ländern nach wie vor China mit 26,4 Prozent die Spitzenposition. Rang zwei belegen die USA (12,5 % ), Indien liegt auf Platz drei (10,1 %).

 
Top 20 der Länder, aus denen am meisten Spam weltweit versendet wurde, im September 2012

Im Gegensatz zum europäischen Rating der Spam-Herkunftsländer sind Vietnam und Südkorea in der globalen Hitliste in den Top 10 vertreten. Insgesamt ist die anteilsmäßige Verteilung zwischen den Spam-Herkunftsländern im weltweiten Rating wesentlich gleichmäßiger, obwohl China, das sowohl in der europäischen als auch in der asiatischen Region Spitzenreiter ist, deutlich in Führung liegt.

Schädliche Anhänge und Links

Im September enthielten 3,4 Prozent aller elektronischen Mitteilungen schädliche Dateien, das sind 0,5 Prozentpunkte weniger als im Vormonat.

 
Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern im September 2012

Im Länderrating nach Alarmen des Mail-Antivirus gab es grundlegende Veränderungen. Die USA, die diese Hitliste acht Monate in Folge anführten, rutschten völlig unerwartet auf den achten Platz ab. Der Anteil der Alarme, die auf dieses Land entfallen, ging um 6,9 Prozentpunkte zurück. Gleichzeitig stieg der Anteil von Deutschland um 6 Prozentpunkte, so dass Deutschland mit deutlichem Abstand auf Platz eins des Ratings landete. Spanien liegt als der Zweitplatzierte rund 6,4 Prozentpunkte hinter dem Spitzenreiter zurück. Dabei hat auch der Anteil Spaniens im Rating um mehr als 4 Prozentpunkte zugenommen. Position drei belegte Russland, dessen Anteil an den Alarmen ebenfalls merklich gestiegen ist (plus 5,4 Prozentpunkte). Während der Anteil der Alarme von Kaspersky Mail-Antivirus auf dem Gebiet von Indien um fast 2 Prozentpunkte gestiegen ist, ging er in Großbritannien zurück.

Die Anteilsveränderungen in den übrigen Ländern des Ratings gehen nicht über 1,5 Prozentpunkte hinaus.

Die Anteilsveränderungen in den übrigen Ländern des Ratings gehen nicht über 1,5 Prozentpunkte hinaus.

 
Top 10 der Schadprogramme im E-Mail-Traffic im September 2012

Im September ging der Anteil derjenigen Detektionen unseres Mail-Antivirus deutlich zurück, die auf den traditionellen Spitzenreiter Trojan-Spy.HTML.Fraud.gen entfallen. Dieser Schädling schaffte es im vergangenen Monat nicht einmal mehr in die Top 10.

Auf Platz eins des Ratings positionierte sich das Schadprogramm Backdoor.Win32.Androm.kv, und auf Rang sechs ein anderer Schädling aus derselben Familie, die Modifikation Androm.ib. Zur Erinnerung: Die Schadprogramme dieser Familie erschienen erstmals im Juni in den Top 10 und hielten sich dort den ganzen Sommer. Sind diese Schadprogramme auf einem Rechner installiert, laden sie weitere Schädlinge aus dem Internet, darunter auch Spam-Bots.

Die E-Mail-Würmer Email-Worm.Win32.Bagle.gt, Email-Worm.Mydoom.m und Mydoom.l belegen die Plätze zwei, drei respektive vier. Wir erinnern daran, dass die Standardfunktionalität von E-Mail-Würmern auf einem infizierten Computer im Sammeln von E-Mail-Adressen und dem anschließenden Selbstversand dorthin besteht. Bagle.gt ist der einzige dieser drei Schädlinge, der mit einer Zusatzfunktionalität ausgestattet ist – der Möglichkeit, sich mit Internetressourcen zu verbinden und andere Schadprogramme auf den Computer zu laden.

Vier der zehn im E-Mail-Traffic am häufigsten vertretenen Schadprogramme gehören zu der Familie Trojan-Ransom.Win32.PornoAsset. Bei diesen Schädlingen handelt es sich um Erpresserprogramme, die das Betriebssystem blockieren und Lösegeld für die Wiederherstellung der Funktionsfähigkeit fordern. Wir weisen darauf hin, dass das System auch nach der „Lösegeldzahlung“ nicht entsperrt wird und man sich daher in keinem Fall von den Spammern gängeln lassen, sondern sich vielmehr an Spezialisten wenden sollte, die erklären können, wie man das System wieder in seinen ursprünglichen Zustand zurückversetzt.

Phishing

Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen hat sich im Vergleich zum August verdreifacht und betrug 0,03 Prozent.

 
Top 100 der im September 2012 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Entgegen unseren Erwartungen ging der Anteil der Angriffe auf soziale Netzwerke im September nicht zurück, denn sie sind nach wie vor das beliebteste Phishing-Angriffsziel. Dabei ist der Anteil dieser Kategorie nur unwesentlich gestiegen, und zwar um 0,1 Prozentpunkte. Der Anteil der Angriffe auf Finanzorganisationen ging um 3,6 Prozentpunkte zurück, was ebenfalls nicht mit unseren Prognosen übereinstimmt. Vermutlich ist der Rückgang der Attacken auf Banken und Finanzorganisationen auf das Bemühen derartiger Organisationen zurückzuführen, ihre Kunden zu schützen und zusätzliche Schutz- und Autorisierungstechnologien einzuführen.

Spam-Themen

 
Spam-Themen im September 2012

Im September ging der Anteil des Spam-Themas „Persönliche Finanzen“ weiter zurück (minus 20 Prozentpunkte), so dass diese Kategorie, die im Laufe des gesamten Sommers den ersten Platz belegte, im Ranking um eine Position abrutschte. Die meisten Mitteilungen aus dieser Kategorie enthalten zweifelhafte Verdienstangebote.

Auf Rang eins positionierten sich betrügerische Mitteilungen, deren Anteil um 36 Prozentpunkte zulegte. Gleichzeitig ging der Anteil von Pharma-Spam um 14 Prozentpunkte zurück.

Fazit

Wie von uns prognostiziert ging im September die Zahl der schädlichen und betrügerischen Versendungen im Spam-Traffic leicht zurück, da die Urlaubssaison endete und die Spammer wieder mehr Aufträge von kleinen und mittelständischen Unternehmen erhielten. 3,4 Prozent aller Mails enthielten schädliche Dateien, ein Rückgang von 0,5 Prozentpunkten gegenüber dem Vormonat. Nichtsdestoweniger haben wir im allgemeinen Spam-Aufkommen betrügerische Versendungen entdeckt, in denen neue Social-Engineering-Methoden zum Einsatz kamen.

Im September registrierten wir die erste Versendung, die sich auf die festliche Zeit zum Jahreswechsel bezieht. Normalerweise erscheinen solche Spam-Mails erst im Oktober, aber dieses Jahr bildet diesbezüglich eine Ausnahme. In den folgenden Monaten wird der Anteil solcher Versendungen zunehmen und die Weihnachts- und Sylvester-Mitteilungen werden vielfältiger.

Im Rating der Länder nach Alarmen des Mail-Antivirus ergaben sich im September grundlegende Veränderungen. Die USA, die acht Monate in Folge die Spitzenposition belegten, fielen überraschend im Rating zurück: Ihr Anteil verringert sich um 6,9 Prozentpunkte. Wesentliche Veränderungen gab es auch im Rating der von Kaspersky Mail-Antivirus am häufigsten detektierten Programme: Der traditionelle Spitzenreiter unseres Ratings, Trojan-Spy.HTML.Fraud.gen, fiel in der Hitliste zurück und war im September nicht einmal unter den ersten zehn Plätzen vertreten.

Die Verteilung der Phishing-Attacken nach Kategorien entspricht nicht unseren Vorhersagen für den September: Der Anteil der Attacken auf soziale Netzwerke ging nicht zurück und entgegen unseren Erwartungen nahmen die Angriffe auf Finanzorganisationen ab. Vermutlich hängt der Rückgang der Attacken auf Banken und Finanzinstitute unter anderem mit den Anstrengungen dieser Organisationen zusammen, ihre Kunden besser zu schützen sowie mit der Einführung zusätzlicher Schutz- und Autorisierungstechnologien. Trotzdem könnte das verminderte Interesse der Phisher am Bankensektor nur eine vorübergehende Erscheinung sein, da gerade diese Attacken im Erfolgsfall den Cyberkriminellen die größten Einnahmen bringen.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Spam im September 2014
Spam im Juli 2014
Gewinn garantiert oder das wahre Gesicht der falschen Fortuna
Spam im Januar 2014
Kaspersky Security Bulletin. Spam im Jahr 2013
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen