Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr    
     
     
Most Popular Analysis



Finanzielle Cyberbedrohungen im Jahr 2013. Teil 2: Malware



BitGuard: das aufgedrängte Suchsystem



Entwicklung der IT-Bedrohungen im 1. Quartal 2014



Finanzielle Cyberbedrohungen im Jahr 2013, Teil 1: Phishing



Malware im dritten Quartal 2011
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Spam im Juli 2013

22.08.2013   |   Ihr Kommentar

Darja Gudkova
Tatyana Shcherbakova
Maria Vergelis

Der Juli in Zahlen

  • Der Spam-Anteil im E-Mail-Traffic stieg im Juli um insgesamt 0,1 Prozentpunkte und betrug 71,2 Prozent.
  • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen ging im Vergleich zum Juni um mehr als die Hälfte zurück und betrug 0,0012 Prozent.
  • Im Juli enthielten 2,2 Prozent aller elektronischen Mitteilungen schädliche Anhänge, das ist ein um 0,4 Prozentpunkte höherer Wert als im Vormonat.

Die wichtigsten Ereignisse des Monats

Aktuelle Themen im Spam

Im Juli registrierten die Kaspersky-Experten weiterhin Versendungen, in denen die Spammer das Interesse der Anwender an bedeutenden Ereignissen ausnutzten. So blieben weder die Geburt des „Royal Baby“ in England noch der Spionage-Skandal um Edward Snowden von den Spammern unbeachtet. Cyberkriminelle versenden traditionell E-Mails mit schädlichen Links, die als Newsletter von Nachrichtenagenturen getarnt waren und Links auf aktuelle Themen enthielten.
 

Zudem wurde das Interesse der Anwender an diesen Ereignissen auch dazu genutzt, um ihre Aufmerksamkeit auf Spam-Werbung zu richten. So wurde der Rummel um die Geburt des britischen Thronfolgers in Werbung für grafische Dienstleistungen und Werbeaccessoires eingebaut. Dem lang erwarteten Ereignis zu Ehren gab ein Unternehmen Rabatte auf ausrollbare Werbeständer.

 

Der Skandal um Edward Snowden, den ehemaligen Mitarbeiter des US-Geheimdienstes, wurde von den Spammern in Werbung für Produkte zum Abnehmen genutzt. Dabei wurde im Betreff dieser E-Mails in keiner Weise auf diese Waren hingewiesen und im Textkörper war auch nicht von Methoden zum Abnehmen die Rede. Vielmehr wurden Details zum Fall Snowden angekündigt. Doch der Link auf diese „Details“ führte dann auf eine Webseite mit Reklame.


Mit etwas mehr Sinn und Verstand wurde der Name Edward Snowden in einer deutschsprachigen Werbung für Programme zum Schutz von Informationen eingesetzt. Die Anwender sollten davon überzeugt werden, das beworbene Produkt zu kaufen, da die Enthüllungen Snowdens bewiesen hätten, dass die Nutzer im Netz „massiv bespitzelt werden“.

 

Ramadan

In diesem Jahr fiel der in der islamischen Welt heilige Monat Ramadan auf die Zeit zwischen Anfang Juli bis Anfang August. Alljährlich registriert das Kaspersky-Team Versendungen, die dieses Thema ausnutzen, unter anderem, um das Interesse der Anwender zu wecken. Das laufende Jahr bildet diesbezüglich keine Ausnahme – wir fingen mehrere englischsprachige Versendungen ab, die nicht nur die für Ramadan typische Werbung für Nachtrestaurants und Lebensmittel enthielt, sondern auch Werbung für Autos und Sommerferienlager für Kinder.

 

Neue Helden im „nigerianischen“ Spam

Die traditionell beliebtesten Protagonisten in „nigerianischen“ E-Mails sind Verwandte oder Mitstreiter bekannter reicher Leute, die entweder gerade verstorben sind oder sich in einer schwierigen Lebenssituation befinden. Im Juli wurde der ägyptische Präsident Mohammed Mursi gestürzt. Nur wenige Tage später fanden die Kaspersky-Experten eine betrügerische Versendung, die den Namen des Ex-Präsidenten Ägyptens ausnutzte.
 

In dem nigerianischen Schreiben, das angeblich vom Sekretär des Ex-Präsidenten stammt, wird mitgeteilt, dass alle Konten des Präsidenten eingefroren worden seien und sich sowohl der Präsident als auch sein Sekretär unter Hausarrest befänden. Daher suche Mursi nach einem Moslem, der das Geld des Präsidenten, welches sich auf einer europäischen Bank befinde, auf sein Konto transferieren könne. Als Belohnung wurde selbstverständlich eine verlockende Summe in Aussicht gestellt. Doch ganz dem klassischen Verlauf der Dinge folgend enthalten die „nigerianischen“ Betrüger ihren Opfern nicht nur die versprochene Belohnung vor, sondern ziehen ihnen unter einem Vorwand obendrein das eigene Geld aus der Tasche.

 

Eine seltene Betrugsvariante

Die Kaspersky-Experten hatten es außerdem mit E-Mails zu tun, in denen eine äußerst seltene Betrugsvariante zum Einsatz kam. Von einer Adresse, die der offiziellen Adresse der „Australia and New Zealand Banking Group“ ähnelt, erhielt der Anwender eine E-Mail mit der Benachrichtigung, dass der Zugriff auf sein Konto eingeschränkt wurde. Um wieder auf das Konto zugreifen zu können, müsse er bei der in der E-Mail angegebenen Telefonnummer anrufen. Dieser Anruf ist für den Betroffenen gefährlich, weil es sich zum einen um eine kostenpflichtige Nummer handelt kann, deren Gebühren vom Konto des Anwenders abgebucht werden. Zum anderen können die Betrüger dem Opfer per Telefon Details zu seiner Bankverbindung entlocken.

 

Sommerlicher Schad-Spam

Im Sommer stehen unterschiedliche Arten von Touristik-Spam besonders hoch im Kurs, und das Kaspersky-Team spürt weiterhin schädliche Versendungen auf, die angeblich von verschiedenen Fluggesellschaften stammen. Im Juli kursierten gefälschte Mitteilungen im Namen der amerikanischen Fluglinie „United Airlines“. Der Empfänger wurde darüber informiert, dass sich seine Sitzplatznummer im Flugzeug geändert habe und sich nähere Informationen zu seinem Flug im angehängten Archiv „flight document upgrade.doc.zip“ befänden. Das Archiv enthält eine ausführbare Datei mit dem Namen „flight document upgrade.doc.exe“, welche die Produkte von Kaspersky Lab als Backdoor.Win32.Vawtrak.a identifizieren.

 

Diese Backdoor wird von Cyberkriminellen zum Diebstahl von Passwörtern eingesetzt, die im Browser gespeichert sind sowie zum Diebstahl von FTP-Passwörtern und Zugangsdaten zu E-Mail-Clients. Der Schädling sendet seinen Herren zudem Screenshots vom Desktop und eröffnet ihnen uneingeschränkten Zugriff auf einen infizierten Computer. Das ermöglicht es den Cyberkriminellen, unterschiedliche Dateien auf den Rechner zu laden und diese zu starten.

Waren und Dienstleistungen für Haustiere

Im vergangenen Monat registrierte Kaspersky Lab auch Versendungen mit Werbung für Dienstleistungen und Waren, die für Haustiere bestimmt sind. Da Menschen auf der ganzen Welt ihre Haustiere als Familienmitglieder ansehen, ist auch die Nachfrage nach Waren und Dienstleistungen für die pelzigen Verbraucher sehr hoch. Das wiederum erzeugt ein Angebot, welches nur allzu häufig via Spam-Versendungen präsentiert wird. Solcher Spam wird sowohl in russischer als auch in englischer Sprache versendet.
 

Im englischsprachigen Spam werden in erster Linie Waren für Tiere und günstiges Futter beworben.

 

Statistik

Spam-Herkunftsländer

Im Juli haben sich die Werte der Länder, die weltweit am meisten Spam versenden, gegenüber dem Vormonat nicht wesentlich verändert, ebenso wenig wie die Positionierung der Länder selbst im Rating.

 
Spam-Herkunftsländer weltweit

Die Spitzenposition belegt China mit einem Anteil von 23,4 Prozent an der weltweit versendeten Spam-Menge. Dieser Wert unterscheidet sich nur geringfügig vom Vormonatswert (23,9 %). Es folgen die USA auf Platz zwei, wobei der Anteil des aus diesem Land versendeten Spams von 18 Prozent gegenüber dem Juni um 0,8 Prozentpunkte gestiegen ist. Abgeschlossen wird das Führungstrio von Südkorea, woher 14,9 Prozent des weltweiten Spam-Aufkommens stammten – das sind 0,4 Prozentpunkte mehr als im Vormonat. Insgesamt geht nach wie vor über die Hälfte der globalen Spam-Menge auf das Konto der ersten drei Länder im Rating.


Von Platz zehn auf Platz sieben aufgestiegen ist Indien, dessen Anteil im Juli um 0,4 Prozentpunkte gestiegen ist und damit insgesamt drei Prozent betrug. Der Wert Indiens hat gegenüber dem Vormonat um fast ein Drittel abgenommen – von 2,7 Prozent auf 0,96 Prozent (minus 1,74 Prozentpunkte), wodurch dieses Land von Position neun auf Platz 16 absackte. In der Folge kehrte Russland (2,3 %) in die Top 10 der Spam-Herkunftsländer zurück.


Der Wert Rumäniens hat im Juli um 0,6 Prozentpunkte zugelegt und betrug damit 1,9 Prozent, so dass das Land im Rating von Platz 14 auf Rang elf aufstieg.


Die Verteilung der nach Europa sendenden Spam-Quellen nach Ländern sah im Juli folgendermaßen aus:

 
Spam-Herkunftsländer für Europa


Insgesamt gab es auch in diesem Rating bei der Verteilung der Länder gegenüber dem Juni keine wesentlichen Veränderungen. Absoluter Spitzenreiter unter den nach Europa versendenden Spam-Quellen ist nach wie vor Südkorea (57,4 %), dessen Wert noch um 2,1 Prozentpunkte zugenommen hat. Diese steigende Tendenz könnte auch im folgenden Monat bestehen bleiben. Die Positionen zwei und drei belegen Taiwan (4,3 %) respektive die USA (4 %).


Italien (1,9 %), noch im Juni auf Position zwei, sackte auf den achten Platz im Rating ab. Im Vergleich zum Vormonat wurden im Juli um 4,8 Prozentpunkte weniger Spam aus diesem Land nach Europa verschickt.


Deutschland ist im Juli wieder in unserer Hitliste vertreten und schließt die Top 10 mit einem Wert von 1,6 Prozent ab.

 
Spam-Quellen nach Regionen


Bei den Spam-Herkunftsregionen bleibt Asien (55,2 %) Spitzenreiter – gegenüber dem Vormonat ging der Wert allerdings um 2,1 Prozentpunkte zurück. Es folgen wie gehabt Nordamerika (19,4 %) und Osteuropa (14,3 %). Die Werte dieser Regionen stiegen um 0,7 beziehungsweise 1,1 Prozentpunkte.

Schädliche Anhänge und Links

Der Anteil schädlicher Anhänge im E-Mail-Traffic stieg im Juli um 0,4 Prozentpunkte und betrug 2,2 Prozent des gesamten E-Mail-Aufkommens.

 
Top 10 der via E-Mail verbreiteten Schadprogramme

Position eins im Rating der via E-Mail verbreiteten Schadprogramme belegt nach wie vor Trojan-Spy.HTML.Fraud.gen (plus 2,9 Prozentpunkte). Bei dem Programm handelt es sich um eine Phishing-Seite zur Eingabe von Daten, die direkt an die Cyberkriminellen weitergeleitet werden.

Auf sechs der zehn Positionen befinden sich verschiedene Modifikationen von Spionageprogrammen aus der Familie Zbot/ZeuS. Es handelt sich dabei um einen der populärsten Spionage-Trojaner, dessen verschiedene Modifikationen bereits mehrere Jahre in großer Zahl via E-Mail versendet werden. Ziel des Trojaners ist der Diebstahl verschiedener vertraulicher Daten von Computern, inklusive Kreditkartendaten.

Meist tarnen die Online-Gangster mit Zbot verseuchte E-Mails als offizielle Mitteilungen. Das können angebliche Schreiben von Banken, Online-Shops, Sozialen Netzwerken oder Logistikunternehmen sein, in denen der Empfänger unter irgendeinem Vorwand darum gebeten wird, den schädlichen Anhang zu öffnen. In diesem Monat erfreuten sich gefälschte Mitteilungen von der Bank of America unter Cyberkriminellen besonderer Beliebtheit.

 

Zusammengenommen machten die verschiedenen Modifikationen der Familie Zbot im Juli 23,24 Prozent aller via E-Mail verbreiteten Schadprogramme aus.

Der Schädling Email-Worm.Win32.Bagle.gt büßte gegenüber dem Vormonat eine Position ein und landete damit auf Platz drei (minus 0,1 Prozentpunkte). Dieser E-Mail-Wurm verschickt sich selbst an alle E-Mail-Adressen, die er auf dem infizierten Computer gefunden hat. Der Schädling kann sich zudem mit einem Steuerungszentrum verbinden und ohne Wissen des Anwenders andere Schadprogramme auf den Rechner laden.

Auf Position neun befindet sich Email-Worm.Win32.Mydoom.m (plus 0,14 Prozentpunkte). Neben der Standardfunktionalität – dem Selbstversand an die auf dem Computer gefundenen E-Mail-Adressen – ist der Wurm in der Lage, verborgene Anfragen an Suchsysteme wie Google, Yahoo und Lycos zu schicken. Der Wurm vergleicht die Adressen der Webseiten auf der ersten Seite der Suchergebnisse mit einer Adressliste, die er vorher vom Server der Cyberverbrecher geladen hat. Findet er eine Übereinstimmung, so öffnet der Schädling den Link auf die Webseite des Suchsystems und erhöht somit die Klickrate und gleichzeitig die Positionierung unter den Suchergebnissen.

Abgeschlossen werden die Top 10 von Trojan-Dropper.Win32.Dorifel.afpu. Einmal auf einem Computer installiert verbindet sich der Trojaner mit dem Steuerungszentrum, wodurch er in der Lage ist, weitere Schadprogramme zu laden.

Interessant ist die Positionierung des Schädlings SMS-Flooder.AndroidOS.Didat.a auf Platz 15 im Rating der via E-Mail verbreiteten Schadprogramme. Erstmals hat sich ein Schadprogramm unter Android so hoch in der Hitliste positioniert. SMS-Flooder.AndroidOS.Didat.a ermöglicht massenhafte SMS-Versendungen. Eine Zunahme von Schadprogrammen unter Android ist zu erwarten und entspricht der allgemeinen Tendenz zur Zunahme solcher Schädlinge. Die Kaspersky-Experten nehmen an, dass die Zahl der via E-Mail verbreiteten Schadprogramme unter Android künftig weiter steigt.

 Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern

Nach den Abweichungen im Juni sind die vormaligen Spitzenreiter im Rating nach Zahl der Alarme von Kaspersky Anti-Virus wieder auf ihre ursprünglichen Positionen zurückgekehrt: Auf dem ersten Platz befinden sich die USA (plus 4,1 Prozentpunkte), auf Platz zwei liegt Deutschland (plus 1,7 Prozentpunkte) und Platz drei belegt Indien (plus 0,8 Prozentpunkte).

Großbritannien (plus 2,6 Prozentpunkte) ließ Australien hinter sich und stieg von Rang acht auf die vierte Position auf.

Die Anteile der Alarme von Kaspersky Anti-Virus in den anderen Ländern haben sich nur geringfügig verändert.

Phishing

Im Juli ging der Anteil an Phishing-Mails im globalen E-Mail-Traffic um mehr als die Hälfte zurück und betrug 0,0012 Prozent.

 Top 100 der im Juli 2013 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien

Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Auch im Juli konnten die Sozialen Netzwerke mit 29,55 Prozent ihre Führungsposition im Kategorien-Rating der von Phishern angegriffenen Organisationen behaupten, obwohl sich ihr Wert um 1,7 Prozentpunkte verringerte.

Der Anteil der Attacken auf E-Mail-Dienste stieg um 4,4 Prozentpunkte, was einen Aufstieg vom vierten auf den zweiten Platz zur Folge hatte. Dadurch büßten die Suchsysteme (15,54 %) eine Position ein und landeten auf Platz drei. Die Finanzorganisationen und Bezahlsysteme belegten im Juli mit einem Wert von 13,36 Prozent den vierten Platz.

Die Positionen fünf bis acht blieben unverändert – die Werte der IT-Anbieter (8,53 %) sowie der Telefon- und Internetprovider (7,11 %) änderten sich insgesamt nur um einen Prozentpunkt, die der Online-Shops (6,41 %) und Online-Spiele (0,83 %) sind minimal gestiegen.

Eine der typischen Phishing-Attacken im Juli richtete sich gegen Nutzer des englischen Kreditsystems Wonga. In einer im Namen dieses Unternehmens verschickten gefälschten Benachrichtigung wurde über einen Fehler in der Konten-Datenbank des Systems informiert. Der Anwender müsse nun angeblich seine Konto-Daten aktualisieren, andernfalls würde sein Konto mit allen darauf befindlichen Geldern gesperrt. Die Aktualisierung könne in jeder beliebigen Filiale vorgenommen werden. Zudem bestehe die Möglichkeit, das angehängte Formular zu laden und auszufüllen, um dieses dann via E-Mail zu versenden. An das Schreiben war ein HTML-Dokument angehängt, in das die E-Mail-Adresse sowie das Passwort zu dem Konto eingegeben werden sollten. Kam der Anwender der Aufforderung nach und sendete den Cyberkriminellen seine persönlichen Daten, so erhielten die Betrüger vollen Zugriff auf sein persönliches Ablagefach und auf sein Geld.

 

Eines der neusten Phisher-Ziele ist die Unternehmensgruppe Alibaba, eine Internet-Handelsplattform. Die gefälschten Mitteilungen im Namen dieses Unternehmens wurden an Lieferanten von Waren verschickt, die im Internet-Shop Alibaba Showroom erhältlich sind. In dem Schreiben hieß es, Käufer seien an den auf der Webseite angebotenen Produkten interessiert. Um sich mit einigen wichtigen Dokumenten vertraut zu machen, müsse sich der Empfänger einloggen, indem er auf den in der E-Mail enthaltenen Link klickt. Tatsächlich führte dieser Link aber auf eine gefälschte Phishing-Seite mit Feldern zum Eingeben der E-Mail-Adresse und des Passwortes.

 

Fazit

Auch im Juli lag der Spam-Anteil bei über 70 Prozent des E-Mail-Aufkommens.

Sommer ist Urlaubszeit, das heißt, sowohl die Aktivität der Werbenden als auch der Internet-Nutzer nimmt ab. Wie immer, wenn es zu wenige Aufträge zur Verbreitung von kommerziellem Spam gibt, schalten die Spammer auf Partner-Spam um, in erster Linie auf schädlichen. Der Anteil an E-Mails mit schädlichen Anhängen lag im Juli bei über zwei Prozent. Dabei überwiegen unter den via E-Mail verbreiteten Schadprogrammen Spionage-Trojaner, die unter anderem Finanzinformationen stehlen. Besonders populär unter Cyberkriminellen ist der Trojaner Zbot, auf den 23,24 Prozent aller Schädlinge entfallen, die im Juli über E-Mail-Anhänge verbreitet wurden.

Im Rating der Schadprogramme im E-Mail-Traffic konnte sich erstmals ein Schädling unter Android auf einem hohen Rang (Platz 15) positionieren. Sehr viele Smartphones und Tablets laufen unter dieser Plattform und ihre Zahl steigt weiter. Die Kaspersky-Experten prognostizieren nicht nur eine Zunahme derartiger Schädlinge im E-Mail-Traffic, sondern auch eine zunehmende Vielfalt. Höchstwahrscheinlich gesellen sich zu den SMS versendenden Programmen schon bald Trojaner, die vertrauliche Daten stehlen. Wir empfehlen Anwendern, sich rechtzeitig nicht nur um den Schutz ihrer stationären Computer, sondern auch um den ihrer mobilen Geräte zu kümmern.

Der Juli war reich an Ereignissen, die weltweit Aufsehen erregten. Die Spammer nutzten das Interesse an diesen Vorfällen traditionell aus, indem sie E-Mails mit schädlichen Links verschickten, die als Nachrichtenversendungen getarnt waren. Auch die Betrüger machten sich die bedeutsamen Ereignisse des Monats zunutze: Im E-Mail-Traffic tauchten klassische „nigerianische“ E-Mails auf, die im Namen von Vertrauten von Mohammed Mursi, dem Anfang Juli gestürzten Präsidenten Ägyptens, verfasst waren.

Die gedämpfte Internetaktivität in den Sommermonaten hat höchstwahrscheinlich auch Einfluss auf den Rückgang von Phishing-Mails im Juli gehabt. Unter den von Phishern angegriffenen Organisationen stieg der Anteil der E-Mail-Dienste, allerdings nicht so stark wie noch im Juni. Diese Zunahme ist vermutlich nur vorübergehend und lässt sich mit der Urlaubssaison und den Ferien erklären. Im August wird der Wert der E-Mail-Dienste möglicherweise noch hoch sein, im September wird sich die Situation aber aller Wahrscheinlichkeit nach ändern.

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen