Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Mobile Bedrohungen im Jahr 2013



Das nigerianische Erbe erwartet Sie
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Spam im zweiten Quartal 2013

19.08.2013   |   Ihr Kommentar

Darja Gudkova

Das Quartal in Zahlen

  • Im Vergleich zum ersten Quartal stieg der Spam-Anteil im E-Mail-Traffic um 4,2 Prozentpunkte und betrug damit 70,7 Prozent.
  • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen ging um 0,0016 Prozentpunkte zurück und betrug 0,0024 Prozent.
  • 2,3 Prozent aller elektronischen Mitteilungen enthielten schädliche Anhänge, das ist um einen Prozentpunkt weniger als im vorangegangenen Quartal.

Methoden und Tricks

Verschiedene Arten von Spam bescheren Spammern auch unterschiedlich hohe Einkünfte. Eine gewöhnliche Versendung mit Werbung für mittelständische Unternehmen bringt dem Spammer Geld. Werbung für Viagra, bei der der Spammer für jeden Kunden bezahlt wird, der auf einen in der E-Mail enthaltenen Link klickt und die Tabletten kauft, bringt ihm mehr Geld. Doch am einträglichsten ist immer noch schädlicher Spam: Für jeden infizierten Computer erhält der Spammer wesentlich mehr als für eine verkaufte Pille. Spammer haben also ein höchsteigenes Interesse daran, dass das Schadprogramm auch tatsächlich auf dem Computer des Adressaten landet, und daher setzen die Cyberkriminellen gerade bei dieser Art von Spam verschiedene Tricks sowie Social Engineering ein.

Schädliche E-Mails für Unternehmensanwender

Viele E-Mails mit schädlichen Anhängen waren im vergangenen Quartal an Mitarbeiter von Unternehmen adressiert.
 

Ausnahmslos alle derartigen Schreiben waren als automatisch gesendete E-Mails getarnt: Mitteilungen über die Nichtzustellbarkeit einer E-Mail oder über den Erhalt eines Faxes beziehungsweise Scans.
 

Diese E-Mails enthalten keine typischen Merkmale des Social Engineering, wie etwa Drohungen oder Versprechen großer Geldsummen, die der Anwender angeblich erhält, wenn er den E-Mail-Anhang öffnet. Aber gerade aus diesem Grund erregen solche E-Mails weniger Misstrauen. Die Cyberkriminellen zählen darauf, dass der Mitarbeiter den Details in der E-Mail keine Beachtung schenkt, eine solche E-Mail als echt ansieht und die angehängte Datei öffnet, die ein Schadprogramm enthält.
 

Das folgende Schreiben stammt angeblich von einem Mailserver und kommt als Mitteilung über die Nichtzustellbarkeit einer E-Mail daher (No Delivery Report).

 

Die E-Mail stammt angeblich vom Mailer-Daemon der Domain, in der sich die E-Mail-Adresse des Adressaten befindet, und sie sieht aus wie eine Standard-Benachrichtigung über die Nichtzustellbarkeit einer Mitteilung. Bei möglichen Fragen solle sich der Empfänger per E-Mail an die Adresse „postmaster@<userdomain>“ wenden. Im Anhang der E-Mail befand sich eine ausführbare Datei (die unter verschiedenen Bezeichnungen wie „instruction.exe“ oder „mail.scr“ läuft), die Kaspersky Lab als Email-Worm.Win32.Mydoom.m in seine Datenbanken aufgenommen hat.


Darüber hinaus waren viele schädliche E-Mails als automatische Benachrichtigungen des Scanners oder Faxgerätes über den Erhalt eines neuen Dokuments getarnt.

 

 

Selbstverständlich enthielten die Anhänge auch in diesen Fällen verschiedene Schadprogramme. Viele Fälschungen waren interessanterweise als Benachrichtigungen von HP-Geräten oder des Dienstes JConnect getarnt, die in der Geschäftswelt überaus populär sind. Außerdem wurden die E-Mails an Unternehmensadressen und nicht an kostenlose E-Mail-Accounts geschickt. Tatsächlich erweckt eine Mitteilung beim Anwender mit hoher Wahrscheinlichkeit Vertrauen, wenn das Unternehmen, in dem er arbeitet, die Technik oder Dienstleistung dieser Firma verwendet.

Schließlich noch ein unter Spammern äußerst beliebtes Thema – die Informationssicherheit. Eine der Versendungen war als Mitteilung von Citigroup über den Erhalt einer verschlüsselten Nachricht getarnt.

 

Im Anhang befand sich statt der vermeintlichen Nachricht ein Trojaner, den die Produkte von Kaspersky Lab als Trojan-PSW.Win23.Tepfer.nblo erkennen.
 

Solche Mitteilungen sehen völlig gewöhnlich aus und erwecken keinerlei Misstrauen, schon gar nicht bei einem in seine Arbeit vertieften Angestellten. Lediglich beim Anblick der ausführbaren Datei könnten viele Anwender Verdacht schöpfen.


Die Schadprogramme, die sich gegen Anwender in Unternehmen richten, werden auf unterschiedliche Arten verbreitet. Mitarbeiter sollten daran denken, dass Schadcode auch in offiziellen Dokumenten enthalten sein kann, und daher bei jeglicher Art von E-Mail-Anhang auf der Hut sein.

E-Mails von „bekannten Ressourcen“

Die Kaspersky-Experten haben schon häufig über E-Mails berichtet, die etwa als Benachrichtigungen von Sozialen Netzwerken, Online-Shops oder Fluggesellschaften getarnt sind. Solche E-Mails werden nach wie vor in großer Zahl versendet. Neu ist, dass nun auch Walmart zu den Einzelhändlern gehört, in deren Namen Spammer gefälschte Mitteilungen verschicken.

 

In diesen E-Mails wurde der Empfänger über einen Einkauf informiert, den er angeblich bei Walmart getätigt hat. Alle Links in der E-Mail führten auf gehackte Webseiten, die den Anwender auf eine schädliche, mit Exploits verminte Webseite umleiteten.

Schädliche E-Cards

Früher wurden E-Cards mit schädlichen Anhängen von Cyberkriminellen zu jedem Fest verschickt, doch in letzter Zeit sind sie fast komplett verschwunden. Im zweiten Quartal hatten es die Kaspersky-Experten allerdings mit schädlichen Versendungen dieser Art zu tun, die die Popularität von Hallmark ausnutzen, des größten US-amerikanischen Grußkartenanbieters:

 

Der Anhang der E-Mail führt Kaspersky Lab unter der Bezeichnung Trojan.Win32.Buzus.liez.

Junk-Text

Neben schädlichen E-Cards befassten sich die Kaspersky-Analysten im vergangenen Quartal mit einer anderen, schon fast vergessenen Methode. Im ersten Quartal 2013 haben die Spammer den „weißen Text“ in ihrer Trickkiste wiedergefunden – zufälliger Text, der am Ende der E-Mail hinzugefügt wird, wobei Schrift- und Hintergrundfarbe identisch sind. In diesem Quartal setzten die Spammer einen beinahe gleichen Trick ein: Sie ergänzten zufälligen Text, doch dieses Mal machten sie ihn nicht unsichtbar, sondern sonderten ihn von dem Haupttext durch mehrere Leerzeilen ab. Alle Texte waren verschiedenen Nachrichtentickern entnommen. Während der Anwender also zu Beginn des Schreibens ein grelles Bild mit Angeboten für irgendwelche Waren oder Dienstleistungen erblickte, so entdeckte er beim Scrollen ans Ende der Mitteilung in kleiner Schrift einen Text zum Beispiel über Hugo Chavez, den Boston-Marathon oder den Krieg in Korea.

 

 

Statistik

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic betrug im zweiten Quartal 70,7 Prozent. Das sind 4,2 Prozentpunkte mehr als im vorangegangenen Quartal. Diese Zunahme ist allerdings nicht als allgemeiner Trend zu werten: Der Wert des ersten Quartals war ausschließlich dem geringen Spam-Anteil im Januar (58,3 %) geschuldet. In allen anderen Monaten des Jahres lag der Wert bei 70 Prozent.

 
Spam-Anteil im E-Mail-Traffic, erstes Halbjahr 2013

Solche geringen Schwankungen beim Spam-Anteil im E-Mail-Traffic könnten von einer gewissen Stabilisierung nach den starken Zu- und Abnahmen der vergangenen Jahre zeugen.

Spam-Herkunftsländer

 
Spam-Herkunftsländer weltweit, zweites Quartal 2013

Die Spitzenplätze im Rating der Spam versendenden Länder sind nach wie vor gleich verteilt, obwohl die Anteile der von dort aus verschickten unerwünschten Mitteilungen ein wenig abgenommen haben. Die Rede ist von China (minus 1,2 %), den USA (minus 0,9 %) und Südkorea (minus 3 %).


Die aus Taiwan (plus 1,6 %) und Vietnam (plus 1,1 %) stammende Spam-Menge hat im zweiten Quartal dagegen etwas zugenommen, so dass diese Länder auf den Positionen vier respektive fünf landeten.


Interessanter sieht es diesbezüglich in einigen ehemaligen Sowjetrepubliken aus. In drei von ihnen – in der Ukraine, in Kasachstan und Weißrussland – nahm der Anteil der ausgehenden Spam-Menge drastisch zu, wodurch diese Länder sich im zweiten Quartal auf dem sechsten, siebten und achten Platz der Top 20 positionierten und dabei Russland hinter sich ließen. Außerdem nahmen nicht nur die Anteile dieser Länder gleichzeitig zu, sondern die Zuwachsdynamik war auch äußerst ähnlich, und zwar mit Spitzenwerten im Mai.

 
Veränderungen der Spam-Anteile aus Weißrussland, der Ukraine und Kasachstan, erstes Halbjahr 2013

Diese Entwicklung könnte auf die Organisation neuer Botnetze in diesen Ländern hinweisen oder auf infizierte Web-Hostings, von denen Spam versendet wird.
 

Interessant ist, dass in verschiedenen Regionen Spam aus absolut unterschiedlichen Ländern ankommt. So stammt sehr viel Spam, der an europäische Nutzer geschickt wird, aus Südkorea (47,9 %), wobei der aus Korea stammende Spam-Anteil, der in andere Regionen der Welt versendet wird, äußerst gering ist. Der Spam aus China geht in erster Linie in die Region EMEA (64 % des regionalen Spams) sowie in die USA (21,2 %), wobei in Europa und Russland praktisch keine unerwünschten Nachrichten aus China ankommen. Der aus den USA stammende Spam bleibt in der Mehrheit innerhalb der Region (51,6 % der regionalen Spam-Menge). Russische Nutzer erhalten Junk-E-Mails aus Taiwan (12,2 %), Vietnam (9,4 %) und der Ukraine (9 %).

Spam-Herkunftsregionen

 
Spam-Herkunftsregionen weltweit, zweites Quartal 2013

Die Positionen im Rating der Spam-Herkunftsregionen haben sich gegenüber dem vorangegangenen Quartal nicht geändert, allerdings gab es bei den Anteilen der einzelnen Regionen Veränderungen. Um 4,5 Prozentpunkte zugenommen hat der Anteil Asiens – des Spitzenreiters in puncto Spam-Versand. Die aus Osteuropa stammende Spam-Menge hat um 2,6 Prozentpunkte zugenommen – in erster Linie aufgrund der drastischen Zunahmen des Spam-Anteils aus der Ukraine und aus Weißrussland.


Fast um die Hälfte abgenommen haben dagegen die Werte Westeuropas (minus 3,7 Prozentpunkte) und Lateinamerikas (minus 2,4 Prozentpunkte). Der Anteil der letztgenannten Region erreichte das absolute Minimum. Noch vor zwei Jahren hat die Region Lateinamerika den zweiten Platz nach Menge des versendeten Spams belegt. Geringfügig abgenommen haben auch die Anteile der übrigen Regionen: Naher Osten (minus 0,2 Prozentpunkte), Afrika (minus 0,6 Prozentpunkte) und Australien und Ozeanien (minus 0,04 Prozentpunkte).

Größe der Spam-Mails

 
Größe der Spam-Mails, zweites Quartal 2013

Nach wie vor überwiegen im Spam sehr kurze E-Mails, die eine Größe von 1 KB nicht überschreiten. Die Anzahl solcher Nachrichten ist gegenüber dem ersten Quartal 2013 um 4,8 Prozentpunkte gestiegen und betrug 73,8 Prozent aller unerwünschten Nachrichten. Interessant ist der geringe Anstieg (plus 0,94 %) des Spam-Anteils mit einer Größe von 50 KB bis 100 KB. Diese Größe haben in erster Linie E-Mails mit Anhängen, darunter auch schädliche.

Schädliche Anhänge und Links

Die Zahl der E-Mails mit schädlichen Anhängen ging im Vergleich zum vorangegangenen Quartal um 1 Prozentpunkt zurück und betrug 2,3 Prozent des gesamten E-Mail-Aufkommens.

 
Top 10 der via E-Mail verbreiteten Schadprogramme, zweites Quartal 2013

Das im E-Mail-Traffic am häufigsten vertretene Schadprogramm ist – wie bereits im ersten Quartal – Trojan-Spy.HTML.Fraud.gen. Zur Erinnerung: Dieses Programm, das als HTML-Seite daherkommt, tarnt sich als Registrierungsformular für Online-Banking-Systeme und wird von Phishern zum Diebstahl von Finanzinformationen eingesetzt.


Auf Platz zwei befindet sich wie gehabt der E-Mail-Wurm Email-Worm.Win32.Bagle.gt, der im Gegensatz zu anderen Würmern nicht nur in der Lage ist, sich selbst an die Kontakte aus dem Adressbuch des Anwenders zu verschicken, sondern überdies Befehle von einem entfernten Server zur Installation anderer Schadprogramme empfangen kann.


Position drei belegte im zweiten Quartal eine Modifikation des bekannten Spionage-Programms ZeuS/Zbot – Trojan-Spy.Win32.Zbot.lbda. Das Programm ZeuS/Zbot ist auf den Diebstahl von vertraulichen Daten spezialisiert, darunter auch Kreditkartendaten.


Den vierten Platz besetzt Trojan-PSW.Win32.Tepfer.hjva. Programme dieses Typs wurden für den Diebstahl von Zugangsdaten zu Anwender-Accounts entwickelt.


Zudem finden sich in den Top 10 einige E-Mail-Würmer und zwei weitere Modifikationen des Spionage-Trojaners ZeuS/Zbot. Auch der Backdoor Backdoor.Win32.Androm.pta ist in dem Rating vertreten. Schädlinge dieser Art ermöglichen es Cyberkriminellen, einen infizierten Computer unbemerkt zu steuern, um zum Beispiel andere Schaddateien zu laden und zu starten oder verschiedene Informationen vom Computer aus zu versenden. Außerdem werden die mit solchen Programmen infizierten Computer häufig an ein Botnetz angeschlossen.


Von einigen Schadprogrammen gibt es viele Modifikationen, die sich in ihrer Funktion aber praktisch nicht unterscheiden. Daher haben die Kaspersky-Experten auch die zehn populärsten Familien in einer Grafik zusammengestellt: Sie spiegelt die Verteilung der schädlichen Anhänge im E-Mail-Traffic besser wider.

 
Top 10 der via E-Mail verbreiteten Schadprogramm-Familien, zweites Quartal 2013

Mehr als 40 Prozent der Schadprogramme, die per E-Mail versendet werden, sind auf die eine oder andere Art auf den Diebstahl von persönlichen Informationen ausgerichtet, darunter auch Finanz-Daten.
 

Im Rating der Länder, in die der meiste Schadcode gesendet wird, gab es einige Veränderungen.

 
Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, zweites Quartal 2013

Die USA konnten gegenüber dem vorangegangenen Quartal die Spitzenposition in diesem Rating behaupten, wenn auch mit etwas geringerem Anteil (minus 1,2 Prozentpunkte). Von Platz sieben (!) auf den zweiten Platz ist Russland (plus 8,3 %) aufgestiegen, dessen Anteil an den Alarmen von Kaspersky Anti-Virus sich vervielfacht hat. Dieser enorme Sprung ist den Ergebnissen des Monats Juni zuzuschreiben, als der Anteil der Alarme in Russland einen Wert von 29,3 Prozent erreichte. Die in Russland am weitesten verbreiteten schädlichen Familien sind Net-Worm.Win32.Kolab und Trojan-GameThief.Win32.Magania. Kolab ist eine Familie von Schadprogrammen mit der Funktionalität einer Backdoor, die die Funktion von Antiviren-Programmen behindern und Befehle von Cyberkriminellen entgegennehmen. Die Programme der Familie Magania wurden für den Diebstahl von Benutzernamen und Passwörtern für das Onlinespiel Maple Story entwickelt, doch sie verfügen zudem über die Funktionalität eines Wurms (sie verbreiten sich über USB-Speicher).


Aufgrund des steilen Aufstiegs Russlands sackte Deutschland vom zweiten auf den dritten Platz ab (minus 1,9 Prozentpunkte). Indien und Australien haben ihre Positionen nicht verändert, allerdings nahm der Anteil des in diese Länder versendeten Spams ein wenig ab: um 0,9 Prozentpunkte in Indien und um 1,1 Prozentpunkte in Australien. Die Anteile der Alarme von Kaspersky Anti-Virus in den übrigen Ländern haben sich nur geringfügig verändert.

Phishing

Der Anteil von Phishing-Mails im E-Mail-Strom ging im zweiten Quartal um 0,0016 Prozentpunkte zurück und betrug 0,0024 Prozent.

 
Top 100 der im ersten Quartal 2013 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien*

*Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Insgesamt unterscheidet sich die Verteilung der von Phishern angegriffenen Organisationen nicht sehr von der Verteilung im vorangegangenen Quartal. Die Zahl der Angriffe auf Soziale Netzwerke ist um 3,3 Prozentpunkte zurückgegangen. Der Anteil der Attacken auf Finanzorganisationen nahm um 1,2 Prozentpunkte zu, wodurch diese Kategorie den zweiten Platz im Rating belegte.
 

Um 1,8 Prozentpunkte gestiegen ist der Anteil der Angriffe auf Provider, der der Attacken auf E-Mail-Systeme um zwei Prozentpunkte. Die Zunahme der Phishing-Attacken auf E-Mail-Systeme hängt mit der drastischen Zunahme der Angriffe im Juni zusammen, als der Anteil dieser Kategorie 13,2 Prozent betrug. Der Anteil der Angriffe auf die übrigen Kategorien hat sich um weniger als einen Prozentpunkt geändert.


Immer häufiger verlassen sich die Phisher nicht mehr allein auf den menschlichen Faktor und warten nicht darauf, dass der Anwender seine Daten selbst eingibt. Stattdessen verschicken die Cyberkriminellen schädliche E-Mails mit trojanischen Programmen, die Login-Daten stehlen, darunter auch Zugangsdaten zu Online-Banking-Systemen.


Nicht nur zahlreiche gefälschte Formulare von Facebook und anderen populären Ressourcen können schädliche Anhänge enthalten, sondern auch E-Mails, die anscheinend von einer Bank stammen.

 

Diese E-Mail wurde nicht korrekt erstellt (auffällig sind die in Klammern aufgeführten Synonyme – ein charakteristischer Fehler im Spammer-Programm). Doch davon abgesehen wirkt diese E-Mail auf den Anwender nicht verdächtig. Selbst die angehängte Datei ist weder ausführbar („.exe“) noch kommt sie in Form eines Archivs, was bei den meisten Nutzern sofort Misstrauen erwecken würde. Doch in der harmlosen „doc“-Datei ist ein Exploit enthalten, das Kaspersky Lab als Exploit.MSWord.Agent.dj bezeichnet. Dieser Schädling kann unter Ausnutzung einer Sicherheitslücke den Schutz des Computers außer Kraft setzen und weitere Schadprogramme laden, die auf den Diebstahl von persönlichen Daten spezialisiert sind.

Fazit

Seit Februar 2013 ist der Spam-Anteil im E-Mail-Traffic praktisch unverändert. Das ist die erste dauerhafte Stabilisierung, denn in den letzten Jahren war dieser Wert starken Schwankungen unterworfen. Höchstwahrscheinlich wird sich der Spam-Anteil auch künftig auf diesem Niveau halten.
 

Bei den Spam-Herkunftsländern gab es dagegen Veränderungen: Der aus der Ukraine, aus Weißrussland und Kasachstan stammende Spam-Anteil hat deutlich zugenommen. Dieser Zuwachs zeugt von neuen Botnetzen oder infizierten Web-Hostings in diesen Ländern. Insbesondere von Hostings wird in letzter Zeit immer mehr Spam verschickt.


Unter den via E-Mail verbreiteten Schädlingen überwiegen die Familien, deren Bestimmung im Diebstahl von Zugangsdaten zu Anwender-Accounts liegt (Benutzername und Passwort), insbesondere zu Online-Banking-Systemen. Deutlich zugenommen hat die Zahl der E-Mails mit schädlichen Anhängen, die an Nutzer in Russland adressiert sind.


In letzter Zeit verbreiten Spammer Mitteilungen mit schädlichen Anhängen, die als Benachrichtigungen vom Server über die Nichtzustellbarkeit von E-Mails getarnt sind. Nicht selten sind zudem gefälschte Benachrichtigungen von bekannten Ressourcen mit Links auf schädliche Webseiten unterwegs. Die Kaspersky-Experten empfehlen den Anwendern, sehr vorsichtig im Umgang mit E-Mails zu sein, die nicht legitim erscheinen.

Quelle:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen