Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Das nigerianische Erbe erwartet Sie



Rootkits – Anfänge, Massenproduktion, Trends
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Spam im dritten Quartal 2013

11.11.2013   |   Ihr Kommentar

Darja Gudkova

Das Quartal in Zahlen

  • Im Vergleich zum zweiten Quartal 2013 nahm der Spam-Anteil im E-Mail-Traffic um 2,4 Prozentpunkte ab und betrug damit 68,3 Prozent.
  • Der Anteil von Phishing-Mails am gesamten E-Mail-Aufkommen hat sich verdreifacht und betrug 0,0071 Prozent.
  • 3,9 Prozent aller E-Mails enthielten schädliche Anhänge, das sind 1,6 Prozentpunkte mehr als im vorangegangenen Quartal.

Zurück zu den Wurzeln

Im dritten Quartal 2013 waren diejenigen Spammer am kreativsten, die die wohl bekannteste Spammer-Ware an den Mann zu bringen versuchten, nämlich Mittel zur Steigerung der Potenz. In solchen Versendungen setzten die Cyberkriminellen sowohl Tricks zur Umgehung der Filter als auch Social-Engineering-Methoden ein.

In einer der Versendungen machten die Spammer folgenden Schachzug: Im Header der E-Mail schrieben sie mit verschiedenen Symbolen ein Wort, das so ähnlich wie „Viagra“ aussah. Im Körper der E-Mail befand sich ausschließlich ein Link auf eine Pharma-Webseite.

 

Die Wortkargheit der Spammer beruht auf dem Bemühen, die Content-Filter zu umgehen: Diese finden hier nicht ein einziges Schlüsselwort, denn sie können das Wort „Viagra“ schlichtweg nicht entziffern. Der Empfänger kann es dagegen problemlos lesen. Das Wort im Header war in der Unicode-Kodierung UTF-8 in jeder E-Mail anders geschrieben, so dass es den Antiviren-Experten auch nicht weiterhalf, den Datenbanken ein neues Schlüsselwort hinzuzufügen. UTF-8 enthält Symbole aus allen Sprachen, darunter auch aus wenig verbreiteten, sehr seltenen und sogar ausgestorbenen. Viele Sprachen haben ihre eigenen Buchstaben, Buchstabenmodifikationen und Besonderheiten in der Notierung, wobei die Grundlage dieser Sprachen in der lateinischen Schrift liegt. So kommt es, dass allein in der UTF-8-Kodierung mehr als hundert Symbole vorhanden sind, die dem Buchstaben „a“ ähneln. Deshalb ergeben sich durch die Kombinationen der Symbole mehrere Millionen Möglichkeiten, das Wort „Viagra“ verständlich darzustellen.

In einer anderen Versendung sahen die E-Mails aus wie offizielle Benachrichtigungen eines populären E-Mail-Anbieters oder eines Sozialen Netzwerks. Sie informierten den Empfänger über die erfolgreiche Registrierung, über den Erhalt einer neuen Mitteilung oder über die Unzustellbarkeit einer Nachricht aus verschiedenen Gründen. Klickte der Nutzer allerdings auf den in diesen E-Mails enthaltenen Link, so landete er auf einer gefälschten Redirect-Seite, die ihn auf die Webseite eines Internet-Shops umleitete, der potenzsteigernde Mittel im Angebot hat.

 

Die Autoren dieser Versendung fälschten Benachrichtigungen von Unternehmen wie Apple, Yahoo, Google, Amazon, eBay, Twitter, Instagram, Skype und anderen. Charakteristisch ist hier, dass sich die Spammer nicht allzu große Mühe gaben: Sie gestalteten die gefälschten Mitteilungen nach ein und derselben Schablone und tauschten nur die Namen der Unternehmen aus.

Interessanterweise gehen auch Spammer, die Schadcode verbreiten, häufig nach einem solchen Schema vor (gefälschte Benachrichtigungen – Link auf eine gehackte Webseite – Umleitung auf die Zielseite). Derartiger Spam wird über spezielle Partnerprogramme verbreitet, wobei die Spammer Geld für jeden Empfänger erhalten, der seinen Computer durch einen Klick auf den Link mit einem Schadprogramm infiziert. Die Zahlungsbedingungen für Spammer, die Medikamentenwerbung verschicken, sind dieselben. Nur erhält der Spammer in diesem Fall kein Geld für infizierte Computer, sondern für die von den Usern gekauften Tabletten. Das bedeutet, dass die Cyberkriminellen in unterschiedlichen Partnerprogrammen nach ein und demselben Schema vorgehen. Zudem hat das Kaspersky-Team Fälle beobachtet, in denen die Spammer die gleiche Versendung für zwei verschiedene Partnerprogramme benutzt haben: Die Links in den E-Mails führten – abhängig von der Region des Anwenders oder der Tageszeit – auf völlig unterschiedliche Webseiten. So wurden beispielsweise Nutzer aus Ländern, in denen jedes Medikament rezeptpflichtig ist, auf eine Webseite mit Viagra umgeleitet, und alle anderen User auf eine betrügerische oder schädliche Seite.

In einer weiteren Versendung setzten die Spammer zudem Social Engineering ein (sie verschickten gefälschte Benachrichtigungen von populären Anbietern) und tarnten die Links.

 

Die Mitteilungen waren als Benachrichtigungen von Google Message Center getarnt. Der Körper der E-Mail enthielt einen Link auf die Domain google.com, genauer gesagt auf den Übersetzungsdienst Google Translate. Tatsächlich haben die Spammer Google Translate aber nur dazu benutzt, um ihre eigenen Webseiten zu tarnen, indem sie diese vom Google-Dienst übersetzen ließen. Doch eine Übersetzung haben die Spammer nicht wirklich benötigt, denn die Seiten waren ursprünglich in englischer Sprache geschrieben und wurden wiederum ins Englische übersetzt.

Die Spammer griffen außerdem noch zu einem weiteren Winkelzug: Ein Teil der Buchstaben des Links (in jedem Schreiben ein anderer) wurde gegen das entsprechende Hexadezimal-Äquivalent im ASCII-Code ausgetauscht. Der Browser erkennt den getarnten Link problemlos und öffnet die entsprechende Webseite, doch für die Spam-Filter erscheint jeder Link ein individueller zu sein.

Nachrichten und Schädlinge

In diesem Quartal gab es vieles, was das Interesse der Öffentlichkeit geweckt hat: sei es die Geburt des königlichen Babys in Großbritannien, die Jagd des FBI nach Edward Snowden oder das Eisenbahnunglück in Spanien. Alle diese Nachrichten dienten Cyberkriminellen als Vorwand, schädliche Programme zu verbreiten.

 

 

Die von Kaspersky Lab entdeckten schädlichen E-Mails waren unterschiedlich aufgemacht, kamen aber zumeist als Newsletter von Nachrichtenseiten daher. Allerdings führten die Links in allen diesen Schreiben auf gehackte Webseiten, die den Browser auf eine Seite mit einem der populärsten Exploit-Packs umleiteten, und zwar Blackhole. Landet der Nutzer auf einer solchen Seite, so durchsucht Blackhole seinen Computer nach verschiedenen Programmen, die Sicherheitslücken aufweisen. Werden welche gefunden, so können gleich mehrere Schadproramme auf den Rechner geladen werden, darunter auch Spionage-Trojaner, die persönliche Daten stehlen.

Im Oktober wurde der unter dem Namen Paunch bekannte Blackhole-Autor in Russland verhaftet. Was weiter mit dem Exploit-Pack geschehen wird, ist bisher noch nicht klar. Möglicherweise übernimmt ein anderer Cyberkrimineller den Support oder die Spammer werden anstelle von Blackhole andere Exploit-Sammlungen benutzen. In jedem Fall ist zu erwarten, dass die Zahl solcher schädlichen „Nachrichtenversendungen“ für eine gewisse Zeit abnehmen wird.

Statistik

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil war während des gesamten Quartals rückläufig und betrug durchschnittlich 68,3 Prozent des E-Mail-Traffics. Das sind 2,4 Prozentpunkte weniger als im vorangegangenen Quartal.

 
Spam-Anteil im E-Mail-Traffic, drittes Quartal 2013

Allerdings sind die Werte des dritten Quartals nur um 0,3 Prozentpunkte niedriger als der durchschnittliche Wert von Januar bis Juni, so dass von einer rückläufigen Tendenz des Spam-Anteils im E-Mail-Traffic nicht die Rede sein kann.

Spam-Herkunftsländer

 
Spam-Herkunftsländer weltweit, drittes Quartal 2013

Führend unter den Spam versendenden Ländern sind nach wie vor China (minus 0,9 Prozentpunkte), die USA (plus 1,2 Prozentpunkte) und Südkorea (plus 2,1 Prozentpunkte). Insgesamt stammen über 55 Prozent des globalen Spam-Aufkommens aus diesen drei Ländern.

Auf Position vier befindet sich wie gehabt Taiwan (plus 0,1 Prozentpunkte).

Russland (plus 1,3 Prozentpunkte), dessen Anteil um das Anderthalbfache stieg, kletterte auf den fünften Platz.

Der Anteil des aus den früheren Sowjetrepubliken verschickten Spams nahm parallel zur Zunahme der aus Russland stammenden Spam-Menge ab. In Weißrussland waren das 0,9 Prozentpunkte, in der Ukraine ebenfalls 0,9 Prozentpunkte und in Kasachstan 1,5 Prozentpunkte. Diese Länder besetzten im vorangegangenen Quartal noch höhere Positionen im Rating als Russland.

 
Veränderungen der Spam-Anteile aus Weißrussland, der Ukraine und Kasachstan, drittes Quartal 2013

Daraus lässt sich allerdings nicht schlussfolgern, dass die Cyberkriminellen neue Botnetze aufbauen. Solche Fluktuationen lassen sich beispielsweise dadurch erklären, dass die Spammer für das Verschicken von recht umfangreichen Versendungen anstelle des einen Botnetzes nun ein anderes benutzen.

Spam-Herkunftsregionen

 
Spam-Herkunftsregionen weltweit, drittes Quartal 2013

Die Verteilung der Regionen bleibt in diesem Rating gegenüber den ersten zwei Quartalen 2013 unverändert. Auch die Werte der Regionen haben sich im Vergleich zum vergangenen Quartal praktisch nicht geändert.

Auf Platz eins befindet sich nach wie vor mit großem Abstand Asien (plus 0,2 Prozentpunkte), gefolgt von Nordamerika (plus 1,9 Prozentpunkte) auf Platz zwei und Osteuropa (minus 0,2 Prozentpunkte) auf Platz drei.

Die Anteile der übrigen Regionen veränderten sich um weniger als einen Prozentpunkt.

Der Bestimmungsort des Spams korreliert durchaus nicht immer mit dem Ursprungsort. So landet beispielsweise eine große Menge Spam aus Afrika in Russland, der Spam aus Korea wird nach Europa verschickt und der aus Westeuropa stammende Spam wird gleichmäßig über den ganzen Globus verteilt.

Größen der Spam-Mails

 
Größen der Spam-Mails, drittes Quartal 2013

Das oben stehende Diagramm zeigt, dass die Zahl der sehr kleinen E-Mails – mit einer Größe von nicht mehr als einem Kilobyte – von Quartal zu Quartal zunimmt. Die Mehrzahl solcher E-Mails enthält praktisch keinen Text. In ihnen platzieren die Spammer nur einen Link, der in der Regel auf eine Umleitungswebseite oder auf einen Kurz-URL-Dienst führt, wodurch der Link in jeder E-Mail individuell gestaltet werden kann. Solche E-Mails erschweren den Spam-Filtern zum einen die Arbeit und ermöglichen aufgrund ihrer geringen Größe gleichzeitig einen Versand mit enormer Stückzahl.

Schädliche Anhänge und Links

Im dritten Quartal betrug der Anteil von E-Mails mit schädlichen Anhängen im E-Mail-Traffic insgesamt 3,9 Prozent, das sind 1,6 Prozentpunkte mehr als im vorangegangenen Quartal.

 
Top 10 der via E-Mail verbreiteten Schadprogramme, drittes Quartal 2013

Spitzenreiter im Rating der im E-Mail-Traffic am weitesten verbreiteten Schadprogramme wurde mit großem Abstand Trojan-Spy.HTML.Fraud.gen. Zur Erinnerung: Dieser Schädling kommt als HTML-Seite daher, die als Registrierungsformular für einen Online-Banking-Dienst getarnt ist. Phisher setzen diese Seite ein, um Kontodaten zu stehlen.

Auf Position zwei befindet sich wie bereits im zweiten Quartal der Wurm Email-Worm.Win32.Bagle.gt. Diese Malware kann sich im Gegensatz zu vielen anderen Würmern nicht nur selbst an die Kontakte aus dem Adressbuch des Anwenders verschicken, sondern ist auch in der Lage, entfernte Befehle zur Installation anderer Schadprogramme entgegenzunehmen.

Die Plätze drei und vier werden ebenfalls von E-Mail-Würmern besetzt, allerdings aus einer anderen Familie, und zwar Mydoom. Diese Schadprogramme sind auf das Sammeln von E-Mail-Adressen aus Kontaktlisten spezialisiert. Gerade diese Methode des Adressdiebstahls kann dafür verantwortlich sein, dass Adressen Spammern in die Hände fallen, selbst wenn sie nirgendwo persönlich hinterlassen wurden. Die Familie Mydoom ist schon sehr alt, allerdings funktionieren ihre Vertreter auf Computern mit nicht aktualisierter Software nach wie vor äußerst effektiv. Der Schädling Email-Worm.Win32.Mydoom.m ist zudem in der Lage, verborgene Suchanfragen an Suchmaschinen zu senden und diejenigen Links auf der ersten Seite der Ergebnisliste zu öffnen, die in einer von den Cyberkriminellen gesendeten Liste enthalten sind. Auf diese Weise erhöht der Wurm künstlich die Besucherzahlen bestimmter Webseiten.

Auf den Positionen fünf, sechs, sieben und neun des Ratings befinden sich Programme der Familie ZeuS/Zbot. Diese Programme sind auf den Diebstahl unterschiedlicher vertraulicher Informationen von infizierten Computern ausgerichtet. In erster Linie geht es dabei um Kreditkartendaten.

Den achten Platz belegt Trojan.Win32.Llac.dleq. Die Hauptaufgabe dieses Schadprogramms besteht im Ausspionieren des Anwenders. Der Schädling sammelt Informationen über die installierte Software (in erster Linie über Antiviren-Programme und Firewalls), über den PC (Prozessor, Betriebssystem, Festplatten), fängt Bilder von der Webkamera sowie Tastatureingaben ab und sammelt vertrauliche Informationen aus den unterschiedlichsten Anwendungen.

Rang zehn wird von Trojan.Win32.Bublik.beyb besetzt. Die Hauptfunktion dieses Trojaners besteht im durch den Nutzer nicht autorisierten Download und der anschließenden Installation von neuen Schadprogramm-Versionen auf seinem Computer. Es handelt sich dabei um eine ausführbare Datei (Extension .exe) mit dem Icon eines PDF-Dokuments.

Die Verteilung der Anteile der verschiedenen Schadprogramme im E-Mail-Traffic nach Familien sieht folgendermaßen aus:

 
Top 10 der via E-Mail verbreiteten Schadprogramm-Familien, drittes Quartal 2013

Die Familie ZeuS/Zbot führt das Rating an. Auf Platz zwei befindet sich die Familie Tepfer, wobei nicht eine Modifikation dieses Schadprogramms in der entsprechenden Top 10 vertreten ist. Trojaner dieses Typs werden ebenfalls für den Diebstahl von Passwörtern entwickelt. Auf dem dritten Platz befindet sich die Trojaner-Familie Fraud, was in erster Linie der Führungsposition von Trojan-Spy.HTML.Fraud.gen im Rating der via E-Mail verbreiteten Schädlinge zuzuschreiben ist.

Die Familie Bublik besetzt den vierten Platz. Auf Rang fünf befinden sich Programme aus der Familie Androm, die schädliche Dateien auf den Computer laden und ausführen.

Im Rating der Länder, in die die meisten schädlichen E-Mails gesendet werden, gab es einige Veränderungen.

 
Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, drittes Quartal 2013

Auf Position eins befinden sich nach wie vor die USA (minus 0,2 Prozentpunkte), und von Platz drei auf den zweiten Platz aufgestiegen ist Deutschland (plus 2,4 Prozentpunkte). Russland, im vorangegangenen Quartal auf Position zwei, findet sich dagegen auf Platz 9 wieder (minus 8,6 Prozentpunkte), eine für das Land eher übliche Position. Den dritten Platz belegt Großbritannien (plus 2,8 Prozentpunkte).

Im dritten Quartal stießen die Kaspersky-Experten auf eine interessante schädliche Versendung: Die von Cyberkriminellen erstellten E-Mails waren als Antwort des technischen Supports eines großen Antiviren-Anbieters getarnt.

 

In der E-Mail wurde der Empfänger darüber informiert, dass es sich bei einer angeblich von ihm zur Analyse eingesandten Datei um ein Schadprogramm handelt. „Der Mitarbeiter aus dem technischen Support“ nennt sogar dessen Bezeichnung (in unserem Beispiel mydoom.j) und fordert den Anwender auf, den Computer mit Hilfe des E-Mail-Anhangs zu desinfizieren. Wenn der neugierige Nutzer (der kaum irgendwelche Samples eingeschickt haben wird) den Anhang öffnete, fing sich sein Rechner ein Schadprogramm ein. Produkte von Kaspersky Lab identifizieren es als Email-Worm.Win32.NetSky.q.

Die Spammer haben sich hier interessanterweise einen Lapsus geleistet: Die Absenderadresse ist der offiziellen Adresse des technischen Supports der Firma Symantec nachempfunden, wobei die Unterschrift in der E-Mail ein anderes Antiviren-Unternehmen nennt, und zwar F-Secure.

Phishing

Im dritten Quartal hat sich der Anteil von Phishing-Mails im E-Mail-Traffic verdreifacht und betrug 0,0071 Prozent.

 
Top 100 der im dritten Quartal 2013 am häufigsten von Phishern angegriffenen Organisationen nach Kategorien*

*Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Im dritten Quartal hatten es die Kaspersky-Experten am häufigsten mit Phishing-Fälschungen von Benachrichtigungen verschiedener Sozialer Netzwerke zu tun. Auf den Plätzen zwei und drei befinden sich Phishing-Mails im Namen von E-Mail-Anbietern und Suchdiensten. Tatsächlich lassen sich diese beiden Kategorien nur sehr schwer auseinanderhalten, da viele große Unternehmen sowohl Suchfunktionen als auch kostenlosen E-Mail-Service anbieten.

Insgesamt entfallen auf diese drei Kategorien über 60 Prozent aller Phishing-Attacken aus den Top 100 der angegriffenen Organisationen. Dieser recht hohe Wert zeigt, dass die Monetarisierung des Phishings stark auf dem Verkauf von gestohlenen Accounts beruht, die ihrerseits für den Spamversand an Kontaktlisten benutzt werden können.

Banken, Finanzorganisationen und Bezahlsysteme belegen im Rating der Phisher-Zielscheiben den vierten Platz. Allerdings kann man nicht behaupten, dass Banken die Phisher nicht interessieren. Es gibt reichlich Angriffe auf die Kunden verschiedener Finanzinstitute, doch weil sie nicht sehr umfangreich sind, landen daher bei Weitem nicht alle von ihnen in den Top 100.

Fazit

Im dritten Quartal 2013 setzten die Spammer aktiv alte und neue Tricks zur Umgehung der Filter sowie Social-Engineering-Methoden ein, um Anwender dazu zu bringen, auf einen bestimmten Link zu klicken. Eine der beliebtesten Spammer-Methoden liegt beispielsweise im Einsatz von marktschreierischen Schlagzeilen und von E-Mails, die im Stile von Nachrichtenversendungen aufgemacht sind. Einige Ansätze, wie etwa die Imitation eines offiziellen Schreibens einer bekannten Internet-Ressource, hielten die Spammer für besonders gelungen und setzten sie dementsprechend bei den unterschiedlichsten Partnerprogrammen ein. So konnte ein Link in einem als Facebook-Benachrichtigung getarnten Schreiben je nach Zeitpunkt auf eine Webseite mit Werbung für Medikamente oder auch auf eine Webseite mit Exploits führen.

Die Festnahme des Autors des Exploit-Packs Blackhole hat allerdings gezeigt, dass Cyberkriminalität selbst in Russland nicht ungestraft bleibt, wo die Gesetzesgrundlage gegen Online-Verbrechen noch relativ schwach aufgestellt ist. Kaspersky Lab wird die Entwicklung der Ereignisse im Auge behalten.

Im dritten Quartal gab es im Rating der Länder, die am meisten Spam versenden, nicht sehr viele Veränderungen. Auch bei den Regionen, die in punkto Spam-Versand führend sind, waren die Veränderungen kaum spürbar.

Ungeachtet des geringen Rückgangs des Spam-Anteils im E-Mail-Traffic stieg der Anteil von Schad-Spam im Vergleich zum zweiten Quartal 2013 um mehr als das Anderthalbfache an. Der überwiegende Teil der via E-Mail verbreiteten Schadprogramme ist auf den Diebstahl vertraulicher Daten wie Logins, Passwörtern sowie Finanzinformationen ausgerichtet.

Die Phisher haben es dagegen immer mehr auf die Accounts von Nutzern Sozialer Netzwerke, E-Mail-Anbietern und anderen Ressourcen abgesehen.

Quelle:
Kaspersky Lab
Weiterführende Links
Weblog
Ein „Geschenk“ für treue Apple-Kunden
Geheimer Käufer: Vorsicht vor Fälschungen
Nigerianisches Gelübde
Wollen Sie Ihre Spam-Versendungen wirklich abbestellen?
Virtuelle Bitcoins vs. reales Geld
Artikel
Spam-Lieferservice: Gefahr garantiert
Spam im Juli 2014
Spam und Phishing im zweiten Quartal 2014
Spam im Juni 2014
Gewinn garantiert oder das wahre Gesicht der falschen Fortuna
Viruslist-Nachrichten
Zerstreute Spammer
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen