Im Dezember versuchten die Spammer traditionell potentielle Kunden mit den unterschiedlichsten und ungewöhnlichsten Angeboten für Geschenke und Winterreisen auf sich aufmerksam zu machen, indem sie aktiv die bevorstehenden Festtage ins Feld führten. Auch die saisonalen Waren und Dienstleistungen fielen dabei nicht unter den Tisch. Ein anderer Vorwand für den Spamversand war im vergangenen Monat der Tod Nelson Mandelas.
Ein weiteres Thema, das die Spammer im Dezember zu ihren Zwecken ausnutzten, war die Finanzkrise. Vor dem Hintergrund der Nachrichten über mögliche Auswirkungen der Krise versuchten die Spammer, die von ihnen beworbenen Dienstleistungen im bestmöglichen Licht erscheinen zu lassen und so potentielle Kunden an Land zu ziehen.
Neujahrsspam
Im Dezember, wenn Millionen von Menschen damit beschäftigt sind, Geschenke für ihre Lieben zu suchen und zu kaufen, steigt die Nachfrage nach thematischen Waren und Dienstleistungen drastisch an. Um neue Kundschaft zu gewinnen und die Verkaufszahlen zu steigern, verlegen sich einige Unternehmen sowie Privatpersonen auf Spam-Versendungen.
Im Vorfeld der Weihnachtsfeiertage registrierten wir weiterhin Rabatte auf Waren und Dienstleistungen sowie Werbung für Briefe von Santa Claus an die lieben Kleinen. Werbung für Blumen-Sonderangebote, die üblicherweise zum Valentins- und Muttertag verschickt wird, war im Dezember unerwartet dem Weihnachtsfest gewidmet. Auch um Werbung für personalisierte Produkte kamen wir nicht herum, wobei diese im Dezember als Tannenbaumschmuck angeboten wurden.
Unternehmen, die den massenhaften Versand von E-Mails und das Hochtreiben von Websites in den Ergebnislisten von Suchmaschinen anbieten, lockten im Dezember neue Kunden mit Rabatten, die sie anlässlich des Weihnachtsfests vergaben.
Der „nigerianische“ Anwalt Nelson Mandelas
Anfang Dezember verstarb in seinem 96. Lebensjahr der erste schwarze Präsident der Republik Südafrika, Nelson Mandela. Dieses tragische Ereignis ging auch an den Betrügern nicht unbemerkt vorüber, und in der Mitte des Monats registrierten wir die erste „nigerianische“ Spam-Versendung. In dem Schreiben, das im Namen des persönlichen Anwalts des verstorbenen Präsidenten verfasst worden war, setzten die Betrüger die üblichen Tricks ein, um den Anwender übers Ohr zu hauen: Sie baten um Hilfe bei der Investition von Millionen von Dollar, versprachen eine großzügige Belohnung und führten zudem Links auf bekannte Nachrichtenressourcen ins Feld. Weitere Einzelheiten zur künftigen Zusammenarbeit versprachen sie dem Opfer nach einer Antwort auf das vorliegende Schreiben zu liefern. Als Kontakt wurde eine E-Mail-Adresse angegeben, die bei einem kostenlosen Service registriert war.
Antikrisen-Spam
Die wirtschaftliche Situation ist in vielen Ländern derzeit nicht stabil, dementsprechend häufig ist das Wort „Krise“ in den Massenmedien anzutreffen. Auf eben dieses Thema spekulierten im vergangenen Monat die Autoren verschiedener Spam-Versendungen. In englischsprachigen Mitteilungen musste die Krise als Vorwand für den Kauf günstiger Markenuhren-Imitate herhalten. In diesen Nachrichten gab es einen Link auf eine gerade erst erstellte Domain, die im Namen zumeist das Fragment „luxurywatch“ enthielt und der auf die Website eines Internet-Shops mit Uhren-Kopien führte.
Visa und Reisen
Für all diejenigen, die ihren Winterurlaub nicht rechtzeitig geplant und organisiert haben, verschickten die Spammer Angebote über die Ausstellung von Visa in jedes beliebige Land, und zwar innerhalb kürzester Zeit und ohne dass der Empfänger des Visums selbst zum Interview in der Botschaft erscheinen müsste.
Die Autoren englischsprachiger Mitteilungen boten verschiedene Mittel und Wege zur Vereinfachung des Visa-Ausstellungsprozesses an, darunter die Teilnahme an einer Lotterie. Mitteilungen dieser Art stammten dabei von Organisationen, die absolut nichts mit den offiziellen Botschaften der jeweiligen Staaten zu tun haben.
Geografische Verteilung der Spam-Quellen
Spam-Anteil im E-Mail-Traffic
Spam-Anteil im E-Mail-Traffic
Der größte Spam-Anteil wurde zu Beginn der zweiten Monatshälfte registriert, als die Aktivität der Spammer vor dem Hintergrund der nahenden Feiertage ihren Höhepunkt erreichte. Zum Ende des Monats beobachteten wir bereits einen Rückgang der Spam-Aktivität und unter dem Strich lag der Anteil unerwünschter Nachrichten im Dezember durchschnittlich bei 73,3% des E-Mail-Traffics.
Spam-Herkunftsländer
Spam-Herkunftsländer weltweit
Ende des Jahres blieben der Umfang des weltweiten Spamaufkommens sowie seine geografische Verteilung stabil. Nicht nur in der Liste der Spam-Herkunftsländer gab es keine wesentlichen Veränderungen, sondern auch der Anteil der unerwünschten Nachrichten, die aus diesen Ländern stammen, blieb weitestgehend gleich. Nach den Ergebnissen des Dezembers 2013 befindet sich China (23,1%) nach wie vor auf Platz eins. Die zweite Position belegen die USA (19%), gefolgt von Südkorea (13,9%) auf Rang drei. Insgesamt stammten im vergangenen Monat 56% des weltweiten Spam-Aufkommens aus diesen drei Ländern.
Auf dem vierten Platz positionierte sich, wie bereits im November, Taiwan (6,5%). Es folgt Russland mit einem Anteil von 5,4% der globalen Spam-Menge. Abgeschlossen werden die TOP 10 von Rumänien (1,6%).
Die aus Kanada (0,8%) versendete Spam-Menge hat sich halbiert, so dass dieses Land um vier Positionen abrutschte und sich nun auf Platz 14 befindet.
Eine geringfügige Zunahme des Spam-Anteils war dagegen in Spanien (0,7%) und Israel (0,7%) zu beobachten, die unsere Liste im Dezember komplettierten.
Spam-Herkunftsländer für Europa
Nach den Ergebnissen für Dezember 2013 belegt Südkorea (53,1%) den ersten Platz der Spam-Herkunftsländer für Europa, allerdings ist der Wert dieses Landes gegenüber dem Vormonat um fast 3 Prozentpunkte zurückgegangen. Auf dem zweiten Platz positionierten sich die USA (7,4%), wobei der aus diesem Land stammende Spam-Anteil fast um 2 Prozentpunkte zugenommen hat, so dass es eine weitere Position nach oben kletterte. Im November belegten die USA den dritten Platz, jetzt besetzt Taiwan (6%) diese Position.
Eine Zunahme des aus China stammenden Spam-Anteils um 2,1 Prozentpunkte führte dazu, dass das Land ganze sieben Positionen vorrückte und nun den vierten Platz belegt. Auf Rang fünf befindet sich nach wie vor Russland (2,7%).
Den letzten Platz der TOP 10 belegt Vietnam (1,4%). Wir konnten einen leichten Rückgang des aus diesem Land versendeten Spam-Anteils beobachten, und zwar um 0,9 Prozentpunkte.
Eine geringe Zunahme der Spammer-Aktivität wurde in Italien registriert, wo der Anteil der versendeten unerwünschten Korrespondenz 1,4 Prozentpunkte betrug. Erwähnenswert ist außerdem die leicht gestiegene Spam-Aktivität in Spanien – im Dezember war das Land in unserer Hitliste mit einem Wert von 1,3% vertreten.
Spam-Herkunftsregionen
Bei den Spam-Herkunftsregionen liegt nach wie vor Asien (56,6%) an erster Stelle, dessen Wert sich im Vergleich zum Vormonat um 2 Prozentpunkte verringert hat. Es folgt Nordamerika (19,9%) mit einem vernachlässigbaren Zuwachs von 0,3%. Die Troika wird abgeschlossen von Osteuropa (13,7%). Die Positionen vier und fünf belegen Westeuropa (4,4%) und Lateinamerika (2,5%) respektive. Der aus dem Nahen Osten stammende Anteil unerwünschter Nachrichten beträgt 2,4%.
Schädliche Anhänge
Im Dezember sahen die TOP 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen aus:
TOP 10 der via E-Mail verbreiteten Schadprogramme
Unverändert bleibt die Position des Schädlings Trojan-Spy.HTML.Fraud.gen, der seit mehreren Monaten in Folge hartnäckig den ersten Platz besetzt. Zur Erinnerung: Bei dem Vertreter der Familie Fraud.gen handelt es sich um eine gefälschte HTML-Seite, der getarnt als wichtige Mitteilung von Großbanken, Internet-Shops, Softwareunternehmen usw. verbreitet wird.
Auf dem zweiten, vierten und sechsten Platz positionierten sich Trojan-PSW.Win32.Tepfer.stlj, Trojan-PSW.Win32.Tepfer.swrz und Trojan-PSW.Win32.Tepfer.sugm respektive – Spionage-Programme, die Cookies und Browser-Passwörter sowie Passwörter von FTP-Clients und E-Mail-Programmen stehlen und diese an die Cyberkriminellen weiterleiten.
Die dritte Position belegt Trojan.Win32.Inject.gxgh. Dieser Schädling installiert unbemerkt eine schädliche Erweiterung für die Browser Google Chrome und Mozilla Firefox auf dem Rechner des Opfers. Die Erweiterung fängt Suchanfragen an eine Vielzahl von Suchdiensten ab, sendet die Suchzeile an den Server des Cyberkriminellen und ändert daraufhin die Suchergebnisse, d.h. er zeigt dem Nutzer nicht die tatsächlichen, sondern gefälschte, von Online-Verbrechern fabrizierte Suchresultate an.
Rang fünf belegt der uns bereits wohl bekannte Email-Worm.Win32.Bagle.gt – ein E-Mail-Wurm, der sich selbst an die E-Mail-Adressen verschickt, die er auf einem infizierten Rechner findet. Zudem verfügt dieser Wurm über die Möglichkeit, Dateien unbemerkt aus dem Internet zu laden. Für den Versand der schädlichen Mitteilungen verwendet Email-Worm.Win32.Bagle.gt eine eigene SMTP-Bibliothek.
Auf den Plätzen acht und zehn im Rating der am weitesten verbreiteten E-Mail-Schädlinge befanden sich im Dezember Net-Worm.Win32.Aspxor.apo und Net-Worm.Win32.Aspxor.app respektive. Asprox ist ein Spam versendender Netzwurm. Er kann automatisch Websites infizieren, andere Software downloaden und ausführen, wertvolle Informationen auf dem Computer sammeln, wie etwa gespeicherte Passwörter und Zugangsdaten für E-Mail- und FTP-Accounts.
Den neunten Platz im Dezember-Rating belegt Trojan-Spy.Win32.Zbot.qvpu. Bei der Familie Zbot/Zeus handelt es sich um Trojaner, die für Angriffe auf Server und Anwendercomputer und das Abfangen von Daten entwickelt wurden. Obgleich ein trojanisches Programm dieser Familie in der Lage ist, verschiedene schädliche Aktionen auszuführen, wird es meist für den Diebstahl von Bankinformationen eingesetzt. Zudem kann es CryptoLocker installieren – ein Schadprogramm, das Geld für die Dechiffrierung von Anwenderdaten fordert.
Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern
Im Rating der Länder nach Anzahl der Alarme unseres Mail-Antivirus‘ hält sich Großbritannien seit November mit 14% auf dem Spitzenplatz. Im Dezember nahm der Wert dieses Landes um 1,7 Prozentpunkte zu. Der Anteil der Alarme in den USA (13,2%) stieg ebenfalls, und zwar um 3,1 Prozentpunkte, wodurch dieses Land sich auf dem zweiten Platz positionierte. Das hatte zur Folge, dass Deutschland mit einem Rückgang von einem Prozentpunkt auf Rang drei landete.
Der Anteil der Alarme von Kaspersky Mail-Antivirus auf russischem Gebiet ging auf 1,7% zurück. Der Anteil der Alarme des Mail-Antivirus in anderen Ländern hat sich im Dezember nicht wesentlich verändert.
Besonderheiten im Schadspam
Immer häufiger bedienen sich Betrüger, die schädliche Mitteilungen versenden, der Namen bekannter Elektronik- oder Softwareanbieter als Absender. Das Kalkül der Cyberkriminellen ist dabei simpel: Erhält der User eine Benachrichtigung von einem Unternehmen, dessen Kunde er in vielen Fällen tatsächlich ist, wird sofort sein Interesse geweckt und mit hoher Wahrscheinlichkeit öffnet er das Archiv mit dem Schadprogramm.
Im vergangenen Monat registrierten wir nicht wenige Nachrichten, die im Namen eines bekannten Herstellers von Telekommunikationsgeräten, Haushaltstechnik und Audio-/ Videogeräten versendet wurden, nämlich des Unternehmens Samsung, sowie im Namen eines amerikanischen Software-Entwicklers, und zwar Adobe Systems Inc.
Im Namen von Samsung verschickten die Cyberkriminellen Mails, die angeblich von einem Manager des Unternehmens verfasst worden waren. In dem Schreiben teilte der „Manager“ mit, dass er dringend Eillieferungen bestimmter Produkte organisieren müsse und dass seine Wahl nach langer Suche nach einem Vermittler ausgerechnet auf den Empfänger der Mail und sein Unternehmen gefallen sei. Dieser wurde nunmehr aufgefordert, sich mit den Auftragsdetails vertraut zu machen, indem er die angehängte Datei öffnet. Außerdem wurde auch die Lieferfrist angegeben, innerhalb derer alle Formalitäten, sprich Dokumentenausfertigung und Bezahlung, erledigt werden müssten. Das Schreiben endete mit einer automatischen Signatur des Managers inklusive aller notwendigen Kontaktdaten. Tatsächlich handelte es sich bei der Datei in dem angehängten Archiv um einen Schädling, der von Kaspersky Lab als Trojan-Spy.Win32.Zbot.qzpl detektiert wird. Dieser Spionage-Trojaner aus der Familie Zbot/Zeus ist für den Diebstahl von vertraulichen Anwenderdaten vorgesehen.
Die Mitteilungen im Namen von Adobe kamen als Kaufbestätigung für ein Softwareprodukt des Unternehmens daher und enthielten angeblich den Lizenzschlüssel für die Aktivierung. Eine Überprüfung ergab, dass sich in dem angehängten Archiv anstelle des Registrierungscodes ein Wurm befand, der von den Kaspersky Lab-Produkten als Net-Worm.Win32.Aspxor.apo detektiert wird. Dieser Wurm aus der Familie Net-Worm.Win32.Aspxor wird von Cyberkriminellen zum Versenden von Spam benutzt. Er kann auch Websites infizieren, Software downloaden und ausführen sowie Daten vom Computer des Anwenders stehlen.
Phishing
Das Rating der von Phishern angegriffenen Organisationen war im Dezember keinen bedeutenden Veränderungen unterworfen.
TOP 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien
Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.
Den ersten Platz im Rating belegen nach wie vor die Sozialen Netzwerke (26,9%), deren Wert weiterhin rückläufig ist (-0,4 Prozentpunkte). Die Werte der E-Mail-Dienste (19,5%) und Suchsysteme (16,6%) stiegen unwesentlich an und in der Hitliste für Dezember behaupten sie wie gehabt die zweite und dritte Position respektive.
Der Wert der Finanz- und Bezahlorganisationen (15,8%) ging um 0,3 Prozentpunkte zurück, und diese Kategorie bleibt damit auf dem 4. Platz.
Die Kategorie „Telefon- und Internetprovider“ tauschte erneut die Position mit der Kategorie „IT-Anbieter“, so dass beide Kategorien im Dezember-Rating die Plätze 5 und 6 respektive belegen. Dabei ging der Wert der IT-Anbieter (6%) zurück und der der Telefon- und Internetprovider (8,5%) stieg um 2,4 Prozentpunkte.
Die Werte der Kategorien Online-Spiele, Regierungsorganisationen und Massenmedien nahmen geringfügig ab – im Dezember besetzten diese Kategorien die 8., 9. und 10. Position respektive.
Einige Bankorganisationen stehen mit nicht beneidenswerter Beständigkeit im Visier der Phisher. So verschickten Cyberkriminelle im Dezember erneut gefälschte offizielle Mitteilungen im Namen der indischen Bank ICICI. In dem Schreiben wird dem Empfänger mitgeteilt, dass das Online-Banking-System verbessert wurde und der Anwender sich nun im System autorisieren und davon überzeugen müsse, dass das Update erfolgreich durchgeführt wurde. Es folgte eine schrittweise Instruktion, im Rahmen derer der Anwender aufgefordert wurde, einen HTML-Anhang zu öffnen, dort die notwendigen Informationen einzutragen und sie zu bestätigen. Die Mail enthielt zwei derartige Anhänge – einen für Privat-, einen für Unternehmenskunden – die auszufüllenden Pflichtfelder waren allerdings identisch. Im Folgenden wurden die auf den Phishing-HTML-Seiten eingetragenen Daten an die Cyberkriminellen weitergegeben und sie erhielten damit vollen Zugriff auf das Konto des Anwenders.
Um den Anwender von der Legitimität des Schreibens zu überzeugen verwendeten die Betrüger eine Absenderadresse, die der offiziellen Bankadresse ähnelte, und der Mitteilungstext enthielt genaue Instruktionen zur Aktivierung, was bei Phishing-Mails eher selten vorkommt. Außerdem waren auch die an die Mail angehängten Phishing-Seiten den Seiten der offiziellen Bank-Website sehr ähnlich.
Fazit
Der Spam-Anteil im weltweiten E-Mail-Traffic ist im Dezember um 0,8 Prozentpunkte gestiegen und betrug insgesamt 73,3%. Im Januar wird die Menge der unerwünschten Nachrichten vermutlich abnehmen, da Anfang Januar im Spam-Business üblicherweise Flaute herrscht: Während der Feiertage in Russland zu Beginn des Monats bleiben viele Botnetze abgeschaltet und auch die Anwender sind weniger aktiv.
Wie von uns vorhergesagt, erreichte das Feiertagsspam im Dezember seinen Höchstwert. Dabei war das Weihnachts- und Neujahrsspam im Jahr 2013 noch vielseitiger und es gab völlig neue Angebote. Gleichzeitig hält sich die Tendenz zu mehr grafischem Spam, das sich auf die winterlichen Festtage bezieht.
Der Tod Nelson Mandelas im Dezember wurde zu einem weiteren Vorwand für „nigerianische“ Mails, die im Namen von Kollegen des verstorbenen Ex-Präsidenten verschickt wurden, um die Anwender über den Tisch zu ziehen. Wir erwarten, dass es im Januar weitere Versendungen dieser Art geben wird, die sich auf dieses tragische Ereignis beziehen.
Im Dezember behauptete die Kategorie „Soziale Netzwerke“ ihre Führungsposition in den ТОР 100 der von Phishern angegriffenen Organisationen; ihr Wert sank dabei um 0,4 Prozentpunkte. Es folgen die E-Mail-Dienste und Suchsysteme, deren Werte geringfügig stiegen. Der Wert der Finanzorganisationen auf Position 4 war dagegen rückläufig und betrug 15,8%. Im Januar wird es in diesem Rating aller Wahrscheinlichkeit nach keine bedeutenden Veränderungen geben.
Was die schädlichen Versendungen betrifft, so nutzten die Betrüger im Dezember zur Tarnung nicht nur die Namen von Finanzorganisationen und Sozialen Netzwerken aus, sondern auch die guten Namen weltweit bekannter Elektronik- und Softwareanbieter.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt