Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul    
     
Most Popular Analysis



Spam im Juni 2014



Betrüger in Sozialen Netzwerken



Spam im Mai 2014



Kinder im Netz: die Sicherheitsformel



Entwicklung der IT-Bedrohungen im 1. Quartal 2014
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Kaspersky Security Bulletin 2012: Spam im Jahr 2012

22.01.2013   |   Ihr Kommentar

Darja Gudkova

Inhalt

Die Zahlen des Jahres

  • Der Spam-Anteil im E-Mail-Traffic betrug durchschnittlich 72,1 Prozent.
  • Der Anteil von Phishing-Mails betrug 0,02 Prozent am gesamten E-Mail-Aufkommen.
  • Der Anteil von Mails mit schädlichen Anhängen betrug 3,4 Prozent des E-Mail-Traffics.

Trends 2012

Rückgang des Spam-Anteils

Die Spam-Menge nahm 2012 im Verlauf des gesamten Jahres kontinuierlich ab. Insgesamt betrug der Spam-Anteil durchschnittlich 72,1 Prozent, das sind 8,2 Prozentpunkte weniger als im Jahr 2011.


Spam-Anteil im E-Mail-Traffic im Jahr 2012

Ein derart kontinuierlicher und deutlicher Rückgang des Spam-Anteils ist bisher einmalig. Zudem war der durchschnittliche Spam-Anteil im Jahr 2012 deutlich geringer als in den Jahren 2010 (82,2 %) und 2011 (80,3 %), als verschiedene Steuerungszentralen und Partnerprogramme zur Verbreitung von Pharma-Spam geschlossen wurden. Im Jahr 2012 verzeichneten wir das geringste Spam-Aufkommen der letzten 5 Jahre.

Der Hauptgrund für die Abnahme der Spam-Menge im E-Mail-Traffic liegt in der Verbesserung des allgemeinen Spam-Schutzes.

Erstens verfügt heute jedes E-Mail-System – selbst die kostenlosen – über Spam-Filter, wobei das Spam-Erkennungsniveau in der Regel nicht unter 98 Prozent liegt.

Zweitens verlangen viele Mail-Provider eine DKIM-Signatur (eine digitale Signatur, die die Authentizität der Domain bestätigt, von der die Mail gesendet wurde).

Das DKIM-Protokoll gibt es schon seit dem Jahr 2006, es hat sich allerdings nur langsam durchgesetzt. Erst in den letzten Jahren wurde es für E-Mail-Provider zu einem wichtigen Hilfsmittel, um zu bestimmen, ob die Mail an den Empfänger weitergegeben wird oder nicht. Daher begannen Online-Ganoven DKIM-Signaturen zu fälschen. Möglich wurden die Signatur-Fälschungen dadurch, dass viele Unternehmen dafür einen Verschlüsselungsalgorithmus verwendeten, der im Jahr 2006 aktuell war, so dass die mit diesem Algorithmus chiffrierten DKIM-Signaturen problemlos geknackt werden konnten.

In diesem Jahr erschien allerdings in der Zeitschrift Wired ein Artikel der das Problem der schwachen Verschlüsselung von DKIM-Signaturen behandelt. Nach dieser Veröffentlichung stellten viele Großunternehmen wie Google, Yahoo und Microsoft die Chiffrierung der Signaturen um und verwendeten statt eines 512-Bit-Schlüssels eine aktuellere Chiffrierung mit Hilfe eines 1024- oder 2048-Bit-Schlüssels. Seither sind Fälschungen zumindest auf dem aktuellen Entwicklungsstand der Rechenleistung nicht mehr möglich.

Die zur Verbesserung des Antispam-Schutzes ergriffenen Maßnahmen haben bewirkt, dass die Spam-Menge, die in den elektronischen Postfächern der Nutzer landet, auf ein Minimum zurückgegangen ist. Dadurch wird Spam höchst ineffektiv und die Spam-Auftraggeber wandern zu anderen Plattformen ab, wodurch die Spam-Menge im E-Mail-Traffic zurückgeht.

Legale Internet-Werbung als Alternative zu Spam

Wenn Antispam-Experten auf die Frage antworten, was für einen Rückgang der Spam-Menge getan werden kann, so erwähnen sie neben einer Antispam-Gesetzgebung, qualitativ hochwertigen Filtern und der notwendigen Aufklärung der Anwender auch immer die Möglichkeit von kostengünstiger Werbung auf legalen Plattformen. Mit dem Aufkommen des Web 2.0 sind die Möglichkeiten der Werbung im Internet wesentlich größer geworden: Erstmals gab es kontextuelle Bannerwerbung sowie Werbung in sozialen Netzwerken und Blogs.

Werbung auf legalen Plattformen ruft bei denjenigen Anwendern keine Verärgerung hervor, die Werbeangebote erhalten, welche nicht von Spam-Filtern blockiert werden. Zudem werden die Versendungen zielgerichtet an ein Publikum verschickt, bei dem offenkundig ein Kaufinteresse besteht. Hinzu kommt, dass legale Werbung das Interesse des Anwenders weckt und damit wesentlich billiger sein kann als die Werbung im Spam!

Basierend auf den Analyseergebnissen verschiedener Experten haben wir berechnet, dass bei einem durchschnittlichen Preis von 150 US-Dollar für 1 Million verschickte Spam-Mitteilungen die Kosten per Klick (CPC, cost per click; Kosten pro Anwender, der auf den Werbelink in einer Mitteilung klickt) mindestens 4,45 US-Dollar betragen. Im sozialen Netzwerk Facebook liegen die Kosten per Klick bei nur 0,1 US-Dollar.

Daher ist legale Werbung nach unseren Einschätzungen effektiver als Spam. Unsere Schlussfolgerung wird indirekt dadurch bestätigt, dass die für Spam klassischen Werbekategorien, zum Beispiel Werbung für Imitate von Luxuswaren, nun zu den sozialen Netzwerken abwandern. Wir haben sogar einige Übereinstimmungen gefunden: Die IP-Adresse des Shops, der jetzt über Facebook wirbt, wurde früher in Spam-Mitteilungen gefunden.

Die Werber wurden noch von einer anderen Art der legalen Werbung im Internet angezogen: Coupon-Services – Webseiten mit Gruppenrabatten, auf denen Anwendern so genannte Coupons angeboten werden – tauchten vor ein paar Jahren in der Internetlandschaft auf. Hat der User einen Coupon erworben, so zeigt er diesen beim Kauf der Ware oder Dienstleistung vor und erhält einen Rabatt. In diesem Jahr waren Coupon-Services besonders populär: In verschiedenen Ländern der Welt versuchen viele Unternehmen mit ihrer Hilfe ihren Kundenstamm zu erweitern, während die Kunden ihrerseits vorteilhafte Angebote erhalten.

So fiel das Augenmerk der Werbenden, die vorher die Dienste von Spammern in Anspruch genommen hatten, nun auch auf die Coupon-Dienste. Beispielsweise entfallen mehr als 10 Prozent der Angebote bei den Coupon-Services auf die Kategorie „Erholung und Tourismus“, während diese Rubrik aus dem Spam-Traffic beinahe ganz verschwunden ist. Ganz offensichtlich ist es in erster Linie der Popularität der Coupon-Dienste geschuldet, dass die Abwanderung der Werbung vom Spam zu anderen Plattformen nun deutlich spürbarer ist.

Die Beliebtheit der Coupon-Dienste spiegelt sich interessanterweise auch im Spam selbst wider: Cyberkriminelle haben begonnen, Mails von großen Coupon-Services zu fälschen und mit den Fälschungen die eigenen Waren und Dienstleistungen zu bewerben oder um Anwender auf eine schädliche Webseite zu locken.

 

Wir weisen allerdings darauf hin, dass die Migration zu legalen Plattformen meist nur dann funktioniert, wenn es um Werbung für legale Waren und Dienstleistungen geht. Diese Möglichkeit ergibt sich vor allem in Russland und anderen osteuropäischen Ländern, in denen viele kleine und mittelständische Unternehmen Spam noch zu Werbezwecken nutzen. Berücksichtigt man allerdings, dass selbst in diesen Ländern der größte Teil des Spam-Aufkommens auf Werbung für Piratenprodukte, betrügerische E-Mails und schädliche Mitteilungen entfällt, so kann man davon ausgehen, dass die Spam-Menge im E-Mail-Traffic nach wie vor auf hohem Niveau bleiben wird.

Schadprogramme und Betrug im Spam

Das Jahr 2012 beeindruckt durch die Menge an Themen, die in schädlichen Versendungen ausgenutzt wurden. Früher fälschten Cyberkriminelle bereits Benachrichtigungen von Hosting-Anbietern, sozialen Netzwerken, Logistikunternehmen sowie Mitteilungen von Finanz- und Staatsorganisationen. In diesem Jahr haben sie ihr Spektrum erweitert. Es tauchten gefälschte Benachrichtigungen verschiedener Luftfahrtunternehmen, Hotelbuchungsservices und der bereits erwähnten Coupon-Dienste auf.

Derartige gefälschte Mails können sowohl schädliche Anhänge als auch schädliche Links enthalten.

 

 

Das Angriffsschema, bei dem bösartige Links verwendet werden, ist immer dasselbe. Der nichts Böses ahnende Anwender klickt auf den Link in der E-Mail. Über den Link wird sein Browser auf eine gehackte Webseite geleitet, die ein eingeschleustes Skript enthält, welches den Browser schließlich auf eine schädliche Webseite mit Exploits umleitet. In den meisten Fällen handelte es sich dabei um das Exploit Pack Blackhole, doch auch andere Exploit-Sammlungen kamen zum Einsatz.

Neben dem oben beschriebenen Schema nutzen Cyberkriminelle auch hin und wieder die offizielle Möglichkeit, Inhalte auf verschiedenen legalen Webseiten zu platzieren. In den gefälschten Benachrichtigungen fanden wir auch Links auf die Webseiten von Wikipedia und Amazon. Die Online-Betrüger nutzten die Möglichkeit, auf den genannten Ressourcen Seiten zu erstellen, um dort ihre schädlichen Inhalte unterzubringen. Allerdings werden die bösartigen Seiten sehr schnell von diesen Anbietern entfernt, noch bevor sich die Spam-Versendungen mit den entsprechenden Links ausbreiten können. Vermutlich aus diesem Grund ist diese Angriffsart unter Cyberkriminellen auch nicht sonderlich populär.

Im Spam-Strom registrierten wir ebenfalls Links auf andere legale Ressourcen. So nutzen Online-Verbrecher nach wie vor Formulare von Google Docs, um vertrauliche Anwenderdaten zu stehlen. Hauptsächlich handelt es sich dabei um Benutzername und Passwort des E-Mail-Accounts.

 

Was die Social-Engineering-Tricks betrifft, so hat man es wie gehabt immer wieder mit gefälschter Privatkorrespondenz zu tun. Dabei gingen die Betrüger bisweilen so geschickt vor, dass es allein vom Inhalt her schwer zu erkennen war, dass es sich um Spam handelt. Bei der Überprüfung der Dateien in den angehängten Archiven durch Kaspersky Antivirus werden diese als verschiedene Schadprogramme erkannt.

 

Die Cyberkriminellen versuchen für gewöhnlich zu verbergen, dass die in den Archiven enthaltenen Dateien (.exe) ausführbar sind, indem sie sie als Office-Anwendungen tarnen.

 

Wir fanden auch Fälschungen von privatem Schriftwechsel, die darauf bauten, dass die Gier den Empfänger dazu bringt, die im Archiv enthaltene Datei zu öffnen: Dem Anwender fielen offenbar zufällig Daten von Western Union in die Hände, mit denen er angeblich eine gewisse Geldsumme erhalten kann.

 

Allerdings befand sich in dem angehängten Archiv anstelle der Western Union-Daten ein Trojaner der Familie Zbot.

Große Veränderungen bei den Spam-Quellen

Bei der Verteilung der Spam-Quellen hat es im Jahr 2012 einschneidende Veränderungen gegeben.

China, das im vorangegangenen Jahr gar nicht in den Top 20 der Spam-Quellen vertreten war, schoss im Jahr 2012 mit einem Wert von 19,5 Prozent direkt auf die Spitzenposition. Der Anteil der aus den USA verbreiteten Spam-Menge stieg um 13,5 Prozentpunkte, wodurch dieses Land mit 15,6 Prozent den zweiten Platz im Rating belegt.

China und die USA waren in punkto Spam-Versand früher schon einmal weltweit führend. Die aus China stammende Spam-Menge ging im Jahr 2007 zurück, nachdem dort ein Antispam-Gesetz verabschiedet worden war. Der aus den USA kommende Spam-Anteil tendierte nach der Schließung von Steuerungszentralen verschiedener Botnetze im Jahr 2010 gegen Null. Allerdings stehen diese Länder auch im weltweiten Vergleich bezüglich der Zahl der Internetnutzer an erster Stelle, und zwar mit deutlichem Abstand zu allen anderen Ländern der Welt. Insgesamt leben über 30 Prozent aller Internetnutzer in den USA und in China. Daher ist es nicht überraschend, dass auch die Organisatoren von Botnetzen dieses gewaltige Potenzial zu nutzen versuchen, da sie bestrebt sind, ihre Netze aus infizierten Rechnern auszuweiten.

 
Verteilung der Spamquellen nach Ländern

Die Veränderungen bei den Spam-Quellen nach Ländern zog sich über das gesamte Jahr hin. Am deutlichsten zeigten sich diese Veränderungen in der Zusammensetzung der vorderen Plätze in der asiatischen Region: Auf Position eins landete China, während frühere Spitzenreiter wie Indien, Indonesien und Südkorea ihre Positionen nicht behaupten konnten.

 
Verteilungsdynamik der Spamquellen nach Ländern (Top 10)

Im Rating der Spamquellen nach Region belegt nach wie vor Asien den ersten Platz. Innerhalb eines Jahres stieg der Wert dieser Region um 11,2 Prozentpunkte und überstieg für das Jahr 2012 die 50-Prozent-Marke – das bedeutet, dass die Hälfte des gesamten weltweiten Junk-Traffics aus Asien stammt.

 
Verteilung der Spamquellen nach Regionen im Jahr 2012

 
Verteilung der Spamquellen nach Regionen im Jahr 2011

Aufgrund des gestiegenen Anteils der USA am Spam-Versand kletterte Nordamerika im Rating der Regionen mit einem Wert von 15,8 Prozent auf den zweiten Platz, wobei der Anteil dieser Region im vorangegangenen Jahr nur insgesamt 2 Prozent betrug. Gleichzeitig ging die aus Lateinamerika (11,8 %) versendete Spam-Menge um 8 Prozentpunkte zurück.

 
Aus Nord- und Lateinamerika versendete Spamanteile (Januar bis Dezember 2012)

Auch Europa konnte seine Position nicht behaupten. Im Jahr 2012 wurden aus West- und Osteuropa insgesamt 15,1 Prozent des gesamten Spam-Aufkommens versendet, das ist nur etwa halb so viel wie im Jahr 2011 (30 %).

Schädliche Anhänge

Trotz des Rückgangs des Spam-Anteils im E-Mail-Traffic verringerte sich der Anteil an Mails mit schädlichen Anhängen nur unwesentlich und betrug 3,4 Prozent. Das ist ein sehr hoher Wert, wenn man bedenkt, dass hier nur die Nachrichten mit schädlichen Anhängen einfließen, im E-Mail-Traffic aber zusätzlich Spam mit Links auf schädliche Webseiten verbreitet wird.

Der im Jahr 2012 am häufigsten in E-Mail-Anhängen vertretene Schädling ist Trojan-Spy.HTML.Fraud.gen – er führte das entsprechende Rating die ersten drei Quartale mit großem Abstand an. Im vierten Quartal belegten die Schadprogramme Trojan-Spy.Win32.Zbot.fsfe und Trojan-PSW.Win32.Tepfer.cfwf die Spitzenpositionen. Die drei genannten Schädlinge stehlen Anwender-Accounts, also Benutzername und Passwort. Dabei haben es Fraud.gen und Zbot (ZeuS) ausschließlich auf Passwörter von Bank- und Bezahlsystemen abgesehen, Tepfer stiehlt dagegen auch andere Zugangsdaten.

 
Top 10 der Schadprogramme im E-Mail-Traffic

Die Positionen zwei und drei des Ratings belegen E-Mail-Würmer. Die große Anzahl von Würmern lässt sich damit erklären, dass diese Schädlinge sich selbst aktiv über die Adressbücher der Anwender verbreiten, sind sie erst einmal in das System eingedrungen. Diese Art von Würmern verbreitet sich in erster Linie in asiatischen Ländern, wo die Nutzer häufig Piratensoftware verwenden und ihre Antiviren-Datenbanken nicht aktualisieren. Der Wurm Bagle verfügt neben der Grundfunktionalität zudem über die Möglichkeit, verschiedene Programme auf einem infizierten Rechner zu installieren.

 
Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern

Im Jahr 2012 schlug unser Mail-Antivirus in den USA am häufigsten Alarm. Im Laufe des Jahres stand Deutschland einige Monate an der Spitze dieses Ratings und belegte im Jahresergebnis den zweiten Platz. Auf Position drei liegt England. Russland, im Jahr 2011 noch auf dem Spitzenplatz, landete 2012 auf Position neun.

Interessant ist, dass die Zunahme des Mail-Anteils mit schädlichen Anhängen, die sich gegen Nutzer in den USA richten, mit einer Zunahme der aus den USA stammenden Spam-Menge einherging. Die Zahl der schädlichen E-Mails, die sich gegen chinesische Anwender richten, stieg ebenfalls. Höchstwahrscheinlich luden die auf diese Weise verbreiteten Schädlinge unter anderem auch Spam-Bots auf die Rechner der Anwender. Das hatte zur Folge, dass die infizierten Computer an das Botnetz angeschlossen wurden und ebenfalls begannen, Spam zu versenden.

Phishing

 
Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Am häufigsten von Phishing-Attacken betroffen waren im Jahr 2012 verschiedene soziale Netzwerke (24,5 %). Die meisten Angriffe entfielen dabei auf Facebook. Die gestohlenen Accounts verwenden Cyberkriminelle im Wesentlichen zum Versand von Spam und Schadprogrammen über die Kontaktliste der Anwender des sozialen Netzwerks.

Die Zahl der Phishing-Attacken auf Finanzorganisationen ging gegenüber dem Vorjahr zurück, ist mit 22,9 Prozent aber nach wie vor hoch. Den dritten Platz belegen Online-Shops und Internet-Auktionshäuser (18,4 %). Haben sich die Phisher Zugriff auf die Accounts dieser Organisationen verschafft, so kommen sie auch an die Kreditkartendaten der Anwender.

Mit einem recht hohen Wert von 14,1 Prozent landeten die Suchmaschinen auf Position vier. Viele der großen Suchsysteme wie Google oder Mail.ru bieten Anwendern viele verschiedene Zusatzdienste an, und auch diese Accounts locken die Betrüger an.

 
Verteilung der Hostings von Phishing-Webseiten nach Ländern

Außer Russland und Indien, die die Plätze vier respektive sechs belegen, sind in den Top 10 ausschließlich Industrienationen vertreten.

Fast in allen Ländern aus der Hitliste gibt es gut entwickelte Online-Banking-Systeme sowie viele Nutzer von sozialen Netzwerken. Gerade soziale Netzwerke sowie Finanz- und Bezahlsysteme sind die beliebtesten Zielscheiben der Phisher. Dabei müssen die Phishing-Webseiten nicht zwangsläufig in demselben Land gehostet werden, in dem auch die Nutzer angegriffen werden. Doch es gibt hier eine Besonderheit: Phisher versuchen in der Regel, den Namen der gefälschten Webseiten so gut es geht an den Namen der echten Ressource anzulehnen (beispielsweise ändern sie einen Buchstaben des Namens der echten Seite), damit der Anwender möglichst nicht bemerkt, dass er auf einer betrügerischen Seite gelandet ist. Damit die Webseite tatsächlich ähnlich aussieht, sollte die Domainzone der Fälschung nicht von der der echten Seite abweichen. Vermutlich lässt sich so die Verteilung der Domainzonen erklären.

Die drei Länder, in denen die meisten Phishing-Websites untergebracht sind – die USA, Deutschland und England – sind interessanterweise auch die Länder, in denen User die meisten Mails mit schädlichen Anhängen erhalten.

Fazit

Im Verlauf des gesamten Jahres 2012 ging der Spam-Anteil kontinuierlich zurück und im letzten Quartal kam das Spam-Aufkommen im E-Mail-Traffic nicht über 70 Prozent hinaus. Dieser Umstand ist mit der schrittweisen Abwanderung der Werbung für legale Waren und Dienstleistungen vom Spam hin zu komfortableren und legalen Plattformen zu erklären. Leider bedeutet das aber nicht, dass es bald schon gar kein Spam mehr geben wird: Schädlicher und betrügerischer Spam sowie Werbung für nicht legale Waren können aufgrund ihres kriminellen Charakters schlechterdings zu legalen Plattformen migrieren. Wir erwarten, dass der Rückgang des Spamanteils im laufenden Jahr nur geringfügig sein wird.

Im Jahr 2012 stieg der aus den USA und aus China stammende Spam-Anteil deutlich an. Früher waren diese beiden Länder schon einmal in der Rangliste der Spam-Herkunftsländer führend, doch nach der Annahme von Antispam-Gesetzen und der Schließung von Botnetzen ging die aus diesen Ländern stammende Spammenge deutlich zurück. Offensichtlich wollen die Spammer aber nicht auf die leistungsstarken Rechenressourcen der USA und Chinas verzichten und bauen in diesen Ländern nun neue Botnetze auf.

Die im Jahr 2012 am weitesten verbreiteten Schadprogramme sind auf den Diebstahl von Anmeldedaten spezialisiert. Dabei lag der Schwerpunkt auf Logins und Passwörter für Konten bei Banken und Bezahlsystemen, doch die Cyberkriminellen zeigten auch ein Interesse an anderen Arten von Accounts, zum Beispiel bei sozialen Netzwerken und anderen Diensten.

Die Zahl der schädlichen E-Mails blieb im Laufe des gesamten Jahres auf hohem Niveau. Online-Betrüger fälschen legitime Benachrichtigungen in immer größerem Maßstab. Wegen dieser Situation möchten wir die Nutzer einmal mehr auf Folgendes hinweisen: Wenn Sie eine E-Mail erhalten, sollten Sie sich umgehend davon überzeugen, dass diese tatsächlich vom angegebenen Absender stammt. Klicken Sie des Weiteren niemals auf Links in verdächtigen Mitteilungen und aktualisieren Sie Ihre Software, sobald ein Update zur Verfügung steht.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Entwicklung der IT-Bedrohungen im zweiten Quartal 2013
Kaspersky Security Bulletin 2012. Cyberwaffen
Kaspersky Security Bulletin: Statistik für das Jahr 2012
Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
Spam im dritten Quartal 2012
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen