Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Das nigerianische Erbe erwartet Sie



Kaspersky Security Bulletin 2013/2014 – Statistik für das Jahr 2013
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Spam im ersten Quartal 2014

6.05.2014   |   Ihr Kommentar

Darja Gudkova

Gefälschte Benachrichtigungen von mobilen Anwendungen

Mit der hohen Verbreitung von Smartphones und Tablets etabliert sich derzeit eine Spam-Art, die es auf die Anwender dieser mobilen Geräte abgesehen hat. Die Kaspersky-Experten berichteten bereits über Versendungen, die Schadprogramme für Android enthalten. Bisher gibt es nur sehr wenige solcher Programme, allerdings werden sie mit beneidenswerter Regelmäßigkeit verschickt. Im vergangenen Quartal beobachteten wir noch eine weitere Tendenz: Die gefälschten Benachrichtigungen der Spammer imitieren jetzt Mitteilungen von mobilen Anwendungen. Am häufigsten beziehen sich solche Versendungen auf die Plattform übergreifende Anwendung WhatsApp: Gefälschte WhatsApp-Benachrichtigungen wurden von Spammern sowohl zur Verbreitung von Schadprogrammen als auch für den Versand gewöhnlicher Werbung verwendet.

Im Januar entdeckte das Kaspersky-Team eine Versendung von E-Mails, die den Empfänger darüber informierten, dass ihm jemand angeblich ein Bild über WhatsApp geschickt hat. Der aufmerksame Anwender wird sich jedoch gefragt haben, warum ihn eine solche Mitteilung via E-Mail erreicht, da der WhatsApp-Account gar nicht direkt mit einer E-Mail-Adresse zusammenhängt. Vielen Empfängern dürfte dieser Umstand aber gar nicht auffallen, da sie mittlerweile so sehr daran gewöhnt sind, dass ihre Kontakte synchronisiert werden und sie Mitteilungen von mobilen Anwendungen erhalten.

Tatsächlich befand sich in dem angehängten Archiv ein Schadprogramm, das die Lösungen von Kaspersky Lab als Backdoor.Win32.Androm.bjkd erkennen. Das ist eine bekannte Backdoor, deren Hauptfunktionalität im Download anderer Schadprogramme auf den Computer des Nutzers besteht.

Im März hatten wir es zudem mit einer anderen Versendung zu tun, die ebenfalls die Popularität von WhatsApp ausnutzte. In den E-Mails wurde der Empfänger darüber informiert, dass er angeblich eine Voicemail in WhatsApp verpasst habe. Daher wurde er aufgefordert, auf den in der E-Mail enthaltenen Link zu klicken, um sich die Nachricht anzuhören.

Mit einem Klick auf den Button „Autoplay“ landete der Nutzer auf einer gehackten legitimen Webseite mit integriertem Javascript, das folgendermaßen aussah:

Übersetzt man die Symbole vom Hexadezimalsystem in Buchstabenform, sieht der Code so aus:

Das bedeutet, dass die gehackte Webseite als Redirect fungierte und den Anwender auf eine andere Webseite umleitete, in diesem Fall auf eine Seite mit Viagra-Werbung.

Bemerkenswert ist, dass in einem ähnlichen Schema nicht nur gefälschte Mitteilungen von WhatsApp zum Einsatz kamen, sondern auch Fälschungen von Benachrichtigungen anderer bekannter mobiler Messenger, und zwar Viber und Google Hangouts.

Vor dem Hintergrund des steigenden Interesses an mobilen Geräten müssen wir auch auf Phishing-Attacken hinweisen, deren Ziel der Diebstahl von Apple IDs ist:

Im ersten Quartal 2014 landete Apple im Kaspersky-Rating der von Phishern am häufigsten angegriffenen Organisationen auf dem 17. Platz.

Aktuelle Themen im Spam: Olympische Spiele

Im Februar fanden in Russland die Olympischen Winterspiele statt. Ein solches Ereignis konnten auch die Spammer nicht außer Acht lassen, und so nutzten sie dieses Thema auch tatsächlich in den unterschiedlichsten Versendungen aus. Der Spam-Ansturm auf die Olympischen Spiele war allerdings nicht so groß wie man hätte erwarten können. Chinesische Unternehmer boten unterschiedlichste Produkte mit Olympia-Symbolen an, und „nigerianische“ Betrüger nutzten das Thema aus, um den Anwendern Geld aus der Tasche zu ziehen. Außerdem entdeckten die Kaspersky-Experten einige umfassende Versendungen, die Imitate von „Uhren für den Trip zur Olympiade“ und private Hubschrauberflüge nach Sotchi im Angebot hatten.

Eine derart schwache Spammer-Aktivität in Verbindung mit einem großen Ereignis von weltweitem Interesse beobachten wir nicht zum ersten Mal. Während den olympischen Sommerspielen in London hatte es das Kaspersky-Team in erster Linie mit betrügerischen Versendungen über „olympische“ Lotterie-Gewinne zu tun. Die Winterspiele 2010 in Vancouver haben die Cyberkriminellen gleich gar nicht interessiert. Interessanterweise ist die Zahl der thematischen Spam-Versendungen während einer Fußball-WM immer deutlich höher.

Neben der Olympiade in Sotchi wurde (hauptsächlich von „nigerianischen“ Betrügern) beispielsweise auch der Tod von Ariel Sharon, des ehemaligen Premierministers Israels, ausgenutzt. Darüber hinaus verschicken Betrüger weiterhin „nigerianischen“ Spam – angeblich im Namen von Vertrauten des südafrikanischen Expräsidenten Nelson Mandela, der im Dezember letzten Jahres verstorben ist.

Spammer-Methoden: HTML-Verrauschung

Um jede E-Mail in einer groß angelegten Versendung zu individualisieren, greifen Spammer häufig auf die „Verschleierung“ des Textes zurück. Das heißt, es werden willkürlich ausgewählte Symbole, Wörter und Textfragmente hinzugefügt. Natürlich wird das Schreiben dadurch weniger schön und vor allem weniger lesbar und zieht daher auch nur in geringerem Maße die Aufmerksamkeit der Nutzer auf sich. Daher versuchen die Spammer in der Regel, den willkürlichen Text vor den Nutzern zu verbergen. Alte Ansätze wie die Platzierung von weißem Text auf weißem Hintergrund oder die Abgrenzung des Junk-Textes vom eigentlichen Inhalt durch eine große Zahl von Zeilenumbrüchen werden bis heute noch gern und häufig von Spammern eingesetzt, obwohl diese Tricks praktisch genau so alt sind wie der Spam selbst.

Einige Spammer setzen allerdings auch modernere Methoden ein. Eine davon ist die Verrauschung der E-Mail durch HTML-Tags. Das Besondere dieser Methode besteht darin, dass der Anwender nichts außer dem eigentlichen Inhalt sieht. Hinzu kommt, dass dabei jede E-Mail für den Spam-Filter einmalig aussieht.

Folgendes Beispiel zeigt, wie der Nutzer die Spam-Mail sieht:

Der Quellcode zeigt allerdings eine ganz andere Mitteilung:

Mit Ausnahme der rot hervorgehobenen Links und Bilder ist der gesamte HTML-Text vollkommen sinnlos. Besonders häufig ist dabei der Tag „span“ mit verschiedenen Attributen. Dabei handelt es sich um einen Container-Tag, der im Wesentlichen für die Erstellung oder die Zuordnung einer eindeutigen ID zu einem bestimmten Textfragment verwendet wird. In diesem Fall gibt es zwischen den öffnenden und schließenden Tags keinen realen Text. Das bedeutet, dass die Tags nur dazu dienen, die E-Mail zu verrauschen.

Besondere Aufmerksamkeit verdient der Link selbst, der ebenfalls verrauscht ist. Außerdem wurde zwischen den normalen Buchstaben ab und zu und an willkürlichen Stellen die Zeichenfolge „=EF=BB=BF“ hinzugefügt. Eine solche Abfolge hat im Hexadezimalsystem die Bedeutung eines UTF-8-Symbols, das zur Indikation der Bytefolge in einer Textdatei verwendet wird. Doch das trifft nur zu, wenn es in seiner eigentlichen Eigenschaft verwendet wird und am Textanfang steht. Laut Unicode-Spezifizierung muss ein solches Symbol in der Mitte eines Datenstroms als „Nullbreite einer unauflösbaren Leerstelle“ interpretiert werden (im Grunde also als ein Nullzeichen). Das bedeutet also, der E-Mail-Client ignoriert diese Zeichenabfolge einfach und öffnet problemlos einen Link oder lädt ein Bild. Für Spam-Filter ist allerdings jeder dieser Links einmalig. Zudem ist das letzte Stück des Links (orange hervorgehoben) ebenfalls willkürlich.

Der Quellcode der Mitteilung sieht in nicht verrauschter Form also folgendermaßen aus:

Der verrauschte Teil ist bei Weitem umfangreicher als der inhaltliche Teil des Schreibens. Der ganze Müll wird willkürlich generiert und ist für jede E-Mail in einer Versendung einmalig. Dabei sieht der Empfänger, der die Mitteilung im E-Mail-Client öffnet, nur den akkurat aufgemachten Brief, ohne irgendwelche Hinweise auf Spammer-Tricks.

Statistik

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic betrug im ersten Quartal 2014 durchschnittlich 66,34 Prozent. Das sind 6,43 Prozentpunkte weniger als im vorangegangenen Quartal. Verglichen mit den entsprechenden Werten für das erste Quartal 2013 ging der Spam Anteil im ersten Quartal 2014 allerdings nur geringfügig zurück, und zwar lediglich um 0,16 Prozentpunkte.



Spam-Anteil im E-Mail-Traffic, erstes Quartal 2014

Der Anteil unerwünschter Nachrichten schwankte im Laufe des ersten Quartals 2014 stark und erreichte in der letzten Quartalswoche mit 61 Prozent den niedrigsten Wert.

Spam-Herkunftsländer

Die geografische Verteilung der Spam-Quellen veränderte sich nur unwesentlich.



Verteilung der Spam-Quellen nach Ländern, erstes Quartal 2014

Die ersten drei Positionen der Top 20 belegen China (minus 0,34 Prozentpunkte), die USA (plus 1,23 Prozentpunkte) und Korea (minus 0,91 Prozentpunkte). Nach Menge der verschickten unerwünschten Nachrichten überholte Russland Taiwan und rückte auf den vierten Platz vor. Russland hat damit gegenüber dem vorherigen Quartal eine Position gutgemacht (plus 0,34 Prozentpunkte).

Auf den anderen Top-10-Rängen gab es keine bedeutenden Veränderungen.

Ab Position elf waren die Veränderungen schon deutlicher. Von Position 20 auf Position elf rückten die Philippinen mit einem Plus von 0,67 Prozentpunkten vor. Der Anteil Kasachstans ging dagegen um 0,76 Prozentpunkte zurück, wodurch dieses Land von Platz elf auf Platz 17 abrutschte. Kanada, im vergangenen Quartal noch auf Platz zehn, gab gleich 17 Positionen nach und befindet sich jetzt auf Rang 27, mit einem Rückgang von 1,73 Prozent auf 0,49 Prozent.

Spam-Herkunftsregionen



Verteilung der Spam-Quellen nach Regionen, erstes Quartal 2014

Bei der Verteilung der Spam-Quellen nach Regionen gab es ebenfalls keine besonderen Veränderungen. Der Anteil Asiens ging etwas zurück, und zwar um 3,2 Prozent. Trotzdem führt diese Region in punkto Spam-Versand nach wie vor mit großem Abstand. Der Anteil Nordamerikas blieb praktisch unverändert (minus 0,01 Prozentpunkte), die Werte der übrigen Regionen sind leicht gestiegen.

Größe der Spam-Mails

Mengenmäßig sind nach wie vor die superkurzen E-Mails mit einer Größe von höchstens 1 KB am häufigsten im Spam vertreten.



Größen der Spam-Mails, erstes Quartal 2014

Im Januar registrierte Kaspersky Lab eine Zunahme der E-Mails, die es auf eine Größe zwischen zehn und 20 KB bringen. Möglicherweise hängt das mit den Feiertagsversendungen zusammen, die meist sehr hübsch aufgemacht und mit vielen Bildern garniert sind.

Schädliche Anhänge



Тop 10 der via E-Mail verbreiteten Schadprogramme, erstes Quartal 2014

Das am häufigsten im E-Mail-Traffic verbreitete Schadprogramm ist nach wie vor Trojan-Spy.HTML.Fraud.gen. Dieses Programm wird normalerweise mit Phishing-Mails in Umlauf gebracht: Es handelt sich dabei um eine HTML-Seite, die ein Registrierungsformular eines Online-Banking-Services imitiert. Trojan-Spy.HTML.Fraud.gen wird von Phishern benutzt, um die dazugehörigen Anmeldedaten zu stehlen.

Auf dem zweiten und siebten Platz positionierten sich die Netzwürmer Net-Worm.Win32.Aspxor. Solche Schadprogramme suchen automatisch nach verwundbaren Webseiten, die in der Folge zur weiteren Verbreitung des Bots massenhaft infiziert werden. Zu ihrer Funktionalität gehören der Download und Start anderer Malware, das Zusammentragen wertvoller Informationen auf dem Computer (wie etwa dort gespeicherte Passwörter oder Zugangsdaten zu E-Mail- und FTP-Accounts) sowie der Versand von Spam.

Auf Position drei befindet sich das langjährige Mitglied unserer Top 10, der Wurm Email-Worm.Win32.Bagle.gt. Die Hauptfunktionalität aller E-Mail-Würmer besteht im Sammeln von E-Mail-Adressen auf den befallenen Computern. Ein E-Mail-Wurm der Familie Bagle kann zudem entfernte Befehle zur Installation anderer Schadprogramme entgegennehmen.

Die Plätze vier und acht belegen Trojaner der Familie Fareit, die sich im Januar am stärksten ausbreiteten. Diese Schadprogramme können Passwörter stehlen, DDoS-Attacken durchführen und beliebige Software starten. Die beiden Vertreter der Familie aus unserem Rating laden und starten obendrein auch Trojaner der Familie Zbot. Außerdem stehlen Schädlinge der Familie Fareit Bitcoin-Wallets und elektronische Geldbörsen anderer Kryptowährungen (insgesamt um die 30).

Platz fünf besetzt Trojan.Win32.Bublik.bwbx, der andere Schädlinge auf den PC des Nutzers laden kann, insbesondere Schadprogramme der Familie Zbot.

Position sechs belegt Backdoor.Win32.Androm.bngy. Zu der Familie Androm gehören Backdoors, die es Cyberkriminellen ermöglichen, einen infizierten Rechner unbemerkt zu steuern. Häufig werden mit diesen Programmen infizierte Computer an ein Botnetz angeschlossen.

Auf Platz neun befindet sich der alte E-Mail-Wurm Email-Worm.Win32.Mydoom.l.

Abgeschlossen werden die Top 10 von einem Trojaner aus der berüchtigten Familie Zbot. Diese Familie ist auf den Diebstahl von vertraulichen Informationen spezialisiert. Darüber hinaus kann der Schädling auf einem infizierten Rechner Cryptolocker installieren, ein Erpresser-Programm, das Daten auf dem Computer verschlüsselt und anschließend vom Anwender Geld für die Dechiffrierung verlangt.



Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, erstes Quartal 2014

Im Rating der Länder, in die die meisten mit schädlichen Anhängen verminten E-Mails geschickt wurden, stieg der Anteil der Alarme von Kaspersky Anti-Virus in den USA gegenüber dem vorherigen Quartal an (plus 3,68 Prozentpunkte). Dagegen nahmen die Anteile Großbritanniens (minus 2,27 Prozentpunkte), Deutschlands (minus 1,34 Prozentpunkte) und Hongkongs (minus 2,73 Prozentpunkte) ab. Das hatte zur Folge, dass die USA, die im vorangegangenen Quartal nur den dritten Platz im Rating belegte, die Hitliste der attackierten Länder erneut anführt. Der Anteil der Schadprogramme, die in die anderen Länder geschickt wurden, änderte sich nur unwesentlich.

Phishing

Seit dem ersten Quartal 2014 fasst Kaspersky Lab die beiden vormals getrennten Kategorien „E-Mail und IM-Programme“ und „Suchmaschinen“ in der neuen Kategorie „E-Mail- und Suchportale“ zusammen. Der Grund dafür ist, dass Anwender für solche Portale meist nur einen einzigen Account benötigen. Dieser umfasst dann nicht nur die E-Mail- und Such-Einstellungen, sondern bietet auch Zugriff auf Cloud-Services und andere Funktionen.



Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien, erstes Quartal 2014

* Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.

Wie erwartet belegte die Kategorie „E-Mail- und Suchportale“ den Spitzenplatz im Kategorien-Rating der von Phishern angegriffenen Organisationen. Obwohl ein Account bei einem E-Mail- und Suchportal ein breites Spektrum an Möglichkeiten eröffnet, zielen die meisten dieser Angriffe auf den Diebstahl von Daten ab, die Zugriff auf das elektronische Postfach des Anwenders eröffnen. Cyberkriminelle nutzen das Postfach nicht nur zu ihren Zwecken, sondern können dieses auch nach anderen Login-Daten und Passwörtern durchsuchen. Denn viele Webseiten verschicken vergessene Passwörter per E-Mail an den Nutzer. Während manche Anbieter lediglich einen Link zum Zurücksetzen des Passworts versenden, schreiben andere das Kennwort direkt in den Mailkörper. Einige Webseiten schicken sogar gleich nach der Registrierung eine E-Mail, die Benutzername und Kennwort enthält. Um den Verlust von vertraulichen Daten zu vermeiden, bieten moderne E-Mail-Systeme die Zwei-Faktoren-Authentifizierung an: Neben Benutzername und Passwort muss ein via SMS zugeschickter Code eingegeben werden. Man sollte aber in jedem Fall einfach alle E-Mails löschen, die vertrauliche Informationen enthalten.

Auch die Accounts zu Sozialen Netzwerken – in unserem Rating für das erste Quartal auf Platz zwei – sind nach wie vor sehr beliebt unter Phishern, obwohl ihr Anteil gegenüber dem vorangegangenen Quartal um 1,44 Prozentpunkte zurückgegangen ist.

Am deutlichsten zugenommen hat der Anteil der Attacken auf Online-Shops (plus 2,47 Prozentpunkte). Diese Entwicklung geht in erster Linie auf das Konto von Coupon-Services und den unter Phishern im März ebenfalls sehr beliebten Agenturen, die Tickets für verschiedene Veranstaltungen verkaufen.

Leicht zurückgegangen ist der Anteil der Angriffe auf IT-Anbieter (minus 2,46 Prozentpunkte). Ansonsten blieb die Verteilung der Kategorien praktisch unverändert.

Fazit

Heute besitzt fast jeder ein „smartes“ mobiles Gerät, und von fast allen populären Internet-Ressourcen existieren mobile Versionen. Zudem gibt es spezielle mobile Anwendungen, die sich großer Beliebtheit erfreuen. Diese Popularität machen sich Cyberkriminelle zunutze, die ihren Spam als Benachrichtigungen von mobilen Anwendungen tarnen. Mit der Zeit wird die Zahl solcher Fälschungen steigen. Zudem ist auch eine Zunahme von Phishing-Angriffen zu erwarten, die es auf Passwörter von Accounts bei mobilen Anwendungen abgesehen haben.

Schadprogramme unter Android werden bereits per E-Mail verbreitet, doch bisher ist deren Anzahl relativ gering. Es ist zu erwarten, dass die Zahl der Schadprogramme, die für mobile Plattformen entwickelt wurden, im E-Mail-Traffic zunimmt.

Das Hauptziel der meisten über E-Mail verbreiteten Schädlinge besteht im Diebstahl vertraulicher Daten. Im ersten Quartal 2014 waren allerdings auch Schadprogramme beliebt, die in der Lage sind, Spam zu versenden und DDoS-Attacken durchzuführen. Die meisten populären Schadprogramme sind multifunktional: Sie können Daten vom befallenen Computer stehlen, ihn an ein Botnetz anschließen, und andere Malware laden und installieren.

Um die Filter zu umgehen, greifen die Spammer nach wie vor auf verschiedene Tricks zurück, wobei einer der fortschrittlichsten unter ihnen die Verrauschung der Mail mit HTML-Tags ist, sowie die Obfuskation der Links in der Mitteilung. Der neueste Trick dieser Art besteht darin, einem Link ein UTF-8-Symbol hinzuzufügen, das – wenn es sich nicht am Anfang des Textes befindet – als Nullzeichen interpretiert wird. Tatsächlich gibt es eine Menge derartiger Raffinessen in UTF-8, was sich auch Online-Gangster ab und zu zunutze machen.

Die meisten Phishing-Attacken waren auf E-Mail-Accounts ausgerichtet. Häufig machen sich die Nutzer keine großen Sorgen um ihre E-Mails und verwenden schwache Logins und Passwörter. Ein gehackter E-Mail-Account kann allerdings den Cyberkriminellen Zugriff auf alle dort vorhandenen Informationen verschaffen, inklusive andere Benutzernamen und Kennwörter. Kaspersky Lab empfiehlt Anwendern, komplexe Passwörter für den Zugriff auf elektronische Postfächer zu verwenden und – wenn möglich – sogar eine Zwei-Faktoren-Authentifizierung einzusetzen.

Quelle:
Kaspersky Lab
Weiterführende Links
Weblog
Ein „Geschenk“ für treue Apple-Kunden
Geheimer Käufer: Vorsicht vor Fälschungen
Nigerianisches Gelübde
Wollen Sie Ihre Spam-Versendungen wirklich abbestellen?
Virtuelle Bitcoins vs. reales Geld
Artikel
Spam-Lieferservice: Gefahr garantiert
Spam im Juli 2014
Spam und Phishing im zweiten Quartal 2014
Spam im Juni 2014
Gewinn garantiert oder das wahre Gesicht der falschen Fortuna
Viruslist-Nachrichten
Zerstreute Spammer
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen