Der Spam-Anteil nahm im dritten Quartal um 2,8 Prozentpunkte ab und betrug 71,5 Prozent.
Der Anteil von Mails mit schädlichen Anhängen stieg um 0,9 Prozentpunkte und betrug 3,9 Prozent.
27 Prozent der Phishing-Attacken richteten sich gegen soziale Netzwerke.
26,7 Prozent des gesamten Spam-Aufkommens stammte aus den USA.
Besonderheiten im dritten Quartal: Politik und Religion im Spam
Die bei Spammern beliebteste Persönlichkeit war im dritten Quartal 2012 erneut der US-amerikanische Präsident Barack Obama. Sein Name wurde in den unterschiedlichsten Zusammenhängen erwähnt: von banaler Werbung für „Uhren, wie der Präsident sie trägt“ bis zu Enthüllungsstorys über die US-Regierung und Aufrufen an die amerikanischen Bürger, sich gegen die Politik des amtierenden Präsidenten zu wehren. In der Regel enthielten derartige Aufrufe außerdem die Bitte, Geld für diesen Widerstand zu spenden. Daneben registrierten wir auch betrügerische und schädliche Versendungen, in denen der Name des US-Präsidenten benutzt wurde.
Ende September nahm die Zahl der englischsprachigen Versendungen zu, in denen US-Bürger zu einem politischen Kurswechsel aufgerufen wurden. Offensichtlich lag das am Beginn des Wahlkampfs: Die Präsidentschaftswahlen in den USA fanden am 6. November 2012 statt. In den Mitteilungen fand sich auch Kritik an der Tätigkeit des Präsidenten sowie Appelle, für seinen Gegenspieler Mitt Romney zu stimmen.
Ende September nahm die Zahl der englischsprachigen Versendungen zu, in denen US-Bürger zu einem politischen Kurswechsel aufgerufen wurden. Offensichtlich lag das am Beginn des Wahlkampfs: Die Präsidentschaftswahlen in den USA fanden am 6. November 2012 statt. In den Mitteilungen fand sich auch Kritik an der Tätigkeit des Präsidenten sowie Appelle, für seinen Gegenspieler Mitt Romney zu stimmen.
Auch Betrüger machten sich die Popularität von Barack Obama zunutze. Dabei wurde in den betrügerischen Mails nicht nur der Name des amerikanischen Präsidenten missbraucht, sondern auch der seiner Ehefrau Michelle Obama. Indem nigerianische Spammer Mails im Namen der First Lady versendeten, versuchten sie sich das Vertrauen der Anwender zu erschleichen: In der Nachricht verspricht „Michelle Obama“ demjenigen Millionen von US-Dollar, der „ihr“ seine Adresse, Telefonnummer und 240 US-Dollar sendet.
Im dritten Quartal beobachteten wir neben politischem auch religiösen Spam. In den unerwünschten Nachrichten wurden Links auf das skandalumwitterte Video „Die Unschuld der Muslime“ bei YouTube verbreitet. Bemerkenswert dabei ist, dass Cyberkriminelle normalerweise das Interesse der Nutzer an aktuellen Themen ausnutzen und über derartige Spam-Mails Links auf schädliche Ressourcen verbreiten. In diesem Fall führten alle Links jedoch tatsächlich zum YouTube-Video und nicht ein Schadprogramm wurde mit Hilfe dieser Versendung verbreitet.
Nichtsdestoweniger machten sich einige Cyberkriminelle die Aufregung um den Film zunutze, indem sie schädliche Mails im Stil von Eilmeldungen in Umlauf brachten:
Die Links in den Mitteilungen führten auf eine gehackte Webseite mit darauffolgender Weiterleitung auf die schädliche Ressource pillsearnings.nl. Auf dieselbe Ressource führte auch ein Link in einem anderen Teil derselben Versendung, die den Namen des amerikanischen Präsidenten und das Thema Präsidentschaftswahlen verwendete:
Neue Werbeplattformen: Vor- und Nachteile
Rückgang des Spam-Anteils
Im vergangenen Quartal beobachteten wir bereits, dass sich die Werbung neue Plattformen sucht – weg vom Spam, hin zu Bannern, sozialen Netzwerken, Kontextwerbung und Couponservices. Im dritten Quartal hielt diese Tendenz an und der Spam-Anteil im E-Mail-Traffic ging um weitere 2,8 Prozentpunkte zurück.
Die Grafik zeigt einen für den Sommer typischen Rückgang des Spam-Anteils sowie eine geringe Zunahme dieses Wertes im September. Fast jedes Jahr ist ein solcher Anstieg im Herbst zu beobachten: Die Ferien sind zu Ende, die Leute verbringen wieder mehr Zeit im Internet und die Werbungsgeber versuchen, wieder mehr Reklame in Umlauf zu bringen, darunter auch im Spam. Doch trotzdem zeichnet sich deutlich eine allgemeine Tendenz zum Rückgang des Spam-Anteils ab.
„Grauzonen“ der Versendungen
In der letzten Zeit tauchten im Netz viele verschiedenartige Coupon-(Rabatt-) Dienste auf – Internet-Portale, die mit so genannten kollektiven Rabatten werben. Solche Angebote erfreuen sich weltweit großer Beliebtheit und sie ziehen die Werbungsgeber vom Spam ab. Auf der einen Seite ist das ein positiver Prozess. Auf der anderen Seite bewegen sich aber nicht alle diese Dienste beim Versand der eigenen Werbung in einem rechtlich einwandfreiem Rahmen. In der Folge ergeben sich so genannte „Grauzonen“ der Versendungen.
Einige Coupon-Services versenden Spam für die Eigenwerbung und um neue Kunden zu werben, wofür ein Teil der Versendungen auch an Newsletter-Abonnenten geht und an eine wesentlich größere Adressdatenbank. Hat der Empfänger den Newsletter allerdings nicht abonniert, so handelt es sich um Spam, selbst wenn er neben der direkten Werbung für eine Ware oder Dienstleistung Neuigkeiten, Artikel zum Thema oder andere relevante Informationen enthält. Zudem kann in Russland jedermann gegen den Versender solcher „Newsletter“ klagen. In Artikel 18 des russischen föderalen Gesetzes „Über die Werbung“ heißt es unter anderem:
„Die Verbreitung von Werbung über elektronische Kommunikationsmittel, unter anderem unter Verwendung von Telefon, Fax, Mobiltelefonen, ist nur mit vorheriger Zustimmung des Abonnenten oder Adressaten zum Empfang der Werbung zulässig. Dabei gilt die Werbung als ohne vorherige Zustimmung des Abonnenten oder Adressaten versandt, wenn der Reklameverbreiter nicht beweist, dass eine solche Zustimmung erhalten wurde“.
In praktisch allen Ländern existieren ähnliche Gesetzesartikel und in manchen Fällen sogar spezielle Anti-Spam-Gesetze.
Das heißt, jeder Mensch kann gerichtlich gegen unredliche Werber vorgehen, die ihm unerwünschte Nachrichten schicken. Während es im Fall von klassischem Spam, bei dem der Absender anonym bleibt, sehr schwer ist, den Gesetzesbrecher zu finden und zur Verantwortung zu ziehen, so ist es in der „Grauzone“ wesentlich einfacher, den Verantwortlichen ausfindig zu machen.
Schädliche Fälschungen von Coupon-Service-Benachrichtigungen
Spammer nutzen die wachsende Popularität neuer, legaler Werbeplattformen zu ihren Zwecken aus. In erster Linie, indem sie schädliche Mails versenden, die als offizielle Benachrichtigungen getarnt sind. Der als Mitteilungen von Coupon-Diensten getarnte Schad-Spam nimmt immer mehr zu.
Bereits in unserem Spam-Bericht für das zweite Quartal 2012 waren Coupons ein Thema. Das Auftreten schädlicher Versendungen, die als Benachrichtigungen des größten Coupon-Services Groupon getarnt waren, zwingt uns, dieses Thema wieder aufzunehmen.
Wir haben mit dem Auftauchen solchen Spams gerechnet, da die Coupons unter Anwendern sehr populär sind und die Coupon-Services sich des Vertrauens der Nutzer erfreuen. Mitteilungen von Coupon-Diensten sind daher die ideale Tarnung für den Versand von Schädlingen.
Die erste Versendung dieser Art registrierten wir im Juli. In diesem Fall war an die Mail, die wie eine Mitteilung über eine neue Aktion des größten Coupon-Services aussah, ein Zip-Archiv angehängt, das die ausführbare Datei „Gift coupon.exe“ enthielt. In Wirklichkeit handelte es sich bei der Datei um das Schadprogramm Trojan.Win32.Yakes.aigd. Alle Links in den Mails mit schädlichen Anhängen führten auf die Webseite von Groupon, wo keinerlei gefährliche Objekte platziert waren. Dieser Trick wurde von den Cyberkriminellen eingesetzt, um die Nutzer in Sicherheit zu wiegen.
Im September hatten wir es mit einer völlig anderen Situation zu tun. In der neuen Versendung, die angeblich von Groupon stammte, gab es keine Anhänge, allerdings führten die Links über mehrere Umleitungen auf eine schädliche Ressource mit Exploits.
Wie bereits oben erwähnt war das Auftauchen von Schad-Spam, in dem das Thema Coupons ausgenutzt wird, überhaupt keine Überraschung, da solche Services sehr beliebt sind. In diesem Zusammenhang möchten wir die Nutzer warnen:
Erstens verschicken Coupon-Dienstleister mit ihren E-Mails in keinem Fall Dateien, schon gar nicht in Form von Zip-Archiven und ausführbaren Dateien.
Zweitens kann und sollte man sich – bevor man einem Link in einer Mail folgt – davon überzeugen, dass eine Mail, die angeblich von einem bekannten Anbieter stammt, zumindest den entsprechenden Absender im Feld „Von“ anzeigt und dass alle Links auch tatsächlich auf die angegebene Webseite verweisen. Diese Adresse wird sichtbar, wenn man den Mauszeiger auf den Link bewegt.
Vielfältige schädliche Versendungen
Im dritten Quartal beobachteten wir eine ungeheure Vielfalt von schädlichen Versendungen. Praktisch alle waren als offizielle Benachrichtigungen getarnt: In den Spam-Strömen fanden wir gefälschte Mails von Hostings, Banksystemen, sozialen Netzwerken, Online-Shops und anderen Dienstleistern.
Während Cyberkriminelle im vorangegangenen Quartal mit Vorliebe Bestätigungsmails über den Kauf von Flugtickets versendeten, so erfreuten sich im dritten Quartal gefälschte Benachrichtigungen über Buchungen von Hotelzimmern größter Beliebtheit unter Online-Betrügern.
In einigen Fällen kombinierten die Ganoven zwei verschiedene Social-Engineering-Tricks: Um den Anwender dazu zu bringen, auf einen Link zu klicken, wurde in gefälschten Mitteilungen eines populären Anbieters mit Rabatten gelockt.
Angesichts der großen Menge und hohen Qualität der Fälschungen mit schädlichen Links sollten die Anwender noch vorsichtiger sein: Jede Mail könnte gefährlich sein!
Statistik
Schädliche Anhänge
Obwohl der Anteil an schädlichen Anhängen im E-Mail-Traffic im Laufe des gesamten dritten Quartals zurückging, stieg nach den Ergebnissen des Quartals der durchschnittliche prozentuale Anteil an Mails, die schädliche Anhänge enthielten, im Vergleich zum 2 Quartal um 0,9 Prozentpunkte und betrug 3,9 Prozent. Unten stehendes Diagramm zeigt die Verteilung dieses Wertes nach Monaten.
Anteil schädlicher Anhänge im E-Mail-Traffic, drittes Quartal 2012
Anteil schädlicher Anhänge im E-Mail-Traffic, drittes Quartal 2012
Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern
Die bemerkenswerteste Veränderung im Rating der Länder nach Alarmen von Kaspersky Mail-Antivirus ist im dritten Quartal ohne Zweifel der Aufstieg Deutschlands auf den Spitzenplatz – mit einem Zuwachs von 3,8 Prozentpunkten.
Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern im dritten Quartal 2012
Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern im dritten Quartal 2012
Die USA führte die Top 10 acht Monate in Folge an, rutschte im September jedoch überraschend auf den achten Platz ab, was sich auch auf die Ergebnisse des gesamten Quartals auswirkte. Im Vergleich zum vorangegangenen Quartal sank der Anteil der USA um 5,2 Prozentpunkte, so dass das Land mit nur geringem Abstand zum Spitzenreiter auf Platz zwei landete.
Der Anteil Großbritanniens (5. Platz) ging um 1,7 Prozentpunkte zurück, der Italiens um 1,6 Prozentpunkte, so dass dieses Land nicht mehr in den Top 10 vertreten ist. Die Veränderungen der übrigen Länder aus dem Rating liegen nicht über 1,5 Prozentpunkten.
Interessant ist auch die Versendungsdynamik von Schadcode auf dem Gebiet von Vietnam und Australien: Im Laufe des gesamten Quartals entwickelten sich die Werte dieser Länder praktisch identisch.
Anteil von schädlichem Spam in Australien und Vietnam von Juni bis September 2012
Top 10 der via E-Mail verbreiteten Schadprogramme
Der Anteil der Detektionen unseres traditionellen Spitzenreiters Trojan-Spy.HTML.Fraud.gen ging im September zwar drastisch zurück, dennoch belegte dieser Schädling nach den Ergebnissen des Quartals mit großem Abstand zu den anderen Schadprogrammen den ersten Platz. Mehr als ein Fünftel aller Alarme von Kaspersky Mail-Antivirus entfielen im dritten Quartal 2012 auf dieses Programm. Zur Erinnerung: Trojan-Spy.HTML.Fraud.gen ist ein Schadprogramm in Form einer HTML-Seite, das als Registrierungsformular einer Finanzorganisation oder irgendeines anderen Dienstes daherkommt. Die auf einer solchen Seite eingegebenen Registrierungsdaten werden an die Cyberkriminellen gesendet. Dieses Schadprogramm wird von Phishern eingesetzt.
Top 10 der via E-Mail verbreiteten Schadprogramme, drittes Quartal 2012
Die E-Mail-Würmer Bagle.gt, Mydoom.m und Mydoom.l belegen im Rating die Plätze zwei und drei respektive vier. Der Wurm Netsky.q blieb ein wenig hinter seinen Artgenossen zurück und landete auf Position sechs. Zur Erinnerung: Die Standardfunktionalität von Würmern besteht auf einem infizierten Computer im Sammeln von E-Mail-Adressen und dem anschließenden Selbstversand dorthin. Bagle.gt ist der einzige von den aufgeführten vier Schädlingen, der mit einer zusätzlichen Funktionalität ausgestattet ist: Er kann sich mit dem Internet verbinden und andere Schadprogramme auf den Computer laden.
Die im Juni in unserem Rating erstmals aufgetretenen Programme der Familie Androm behaupteten ihre Position den gesamten Sommer über und im September belegte mit Androm.kv ein Vertreter dieser Familie den ersten Platz der Top 10. Nach den Ergebnissen des dritten Quartals landete diese Modifikation auf Position fünf und ein weiterer Vertreter dieser Familie positionierte sich auf dem letzten Platz des Ratings. Auf dem Computer installiert laden diese Schädlinge andere Schadprogramme aus dem Internet, unter anderem auch Spam-Bots.
Auf dem siebten Platz liegt das Schadprogramm Trojan-Ransom.Win32.PornoAsset.aauh – ein Erpresser-Programm, das das Betriebssystem blockiert und vom Anwender Geld für die Wiederherstellung der Funktionsfähigkeit verlangt. Derartige Programme gehörten im September zu den auffälligsten: Im ersten Herbstmonat waren vier Programme aus den Top 10 Vertreter eben dieser Familie.
Größe der Spam-Mails
Größe der Spam-Mails, drittes Quartal 2012
Im dritten Quartal 2012 überwogen wie üblich die sehr kleinen Spam-Mails (1 KB und weniger). In der Regel befindet sich im Körper solcher Nachrichten eine kurze Textpassage sowie ein Link auf eine Webseite, auf die der Nutzer gemäß Plan der Spammer surfen soll. Im September registrierten wir eine Zunahme der etwas größeren unerwünschten Nachrichten (2 bis 5 KB). Das hängt damit zusammen, dass im Herbst die Menge an Bestell-Spam von kleinen und mittelständischen Unternehmen zunimmt. Solcher Spam enthält in der Regel mehr Informationen im Mail-Körper. Partner-Spam hingegen dürfte immer einen Link enthalten, da die Einnahmen des Spammers von der Zahl der Anwender abhängen, die auf den Link klicken.
Verteilung der Spam-Quellen nach Ländern und Regionen.
Im dritten Quartal stieg der Anteil der aus China (plus 6,7 %) und den USA (plus 15 %) versendeten unerwünschten Nachrichten deutlich. Zusammen sind diese zwei Länder für mehr als die Hälfte des weltweiten Spam-Aufkommens verantwortlich.
Der Anteil der übrigen Länder ging relativ proportional zurück.
Spam-Herkunftsländer, drittes Quartal 2012
Während Spam aus China im Wesentlichen in Länder der asiatisch-pazifischen Region und nach Westeuropa versandt wurde, werden die unerwünschten Nachrichten aus den USA aktiv auf dem amerikanischen Kontinent sowie in der asiatisch-pazifischen Region verbreitet. Was Osteuropa betrifft, so stammte der größte Teil der dort eingegangenen Spam-Menge aus Indien und Vietnam. Aus Indien wurden auch aktiv unerwünschte Mitteilungen nach Westeuropa gesendet, wo dieses Land den zweiten Platz im Rating der Spam-Herkunftsquellen einnahm.
Bei der Verteilung der Spam-Quellen nach Regionen stieg aufgrund der aus den USA stammenden Spam-Menge der Anteil von Nordamerika mit einem Plus von 15 Prozentpunkten deutlich an, wobei der Anteil Asiens nach wie vor auf hohem Niveau ist: Fast die Hälfte des Spam-Aufkommens stammt von Computern in dieser Region. Westeuropa überholte Osteuropa, landete auf dem vierten Platz und näherte sich damit den Werten von Lateinamerika an.
Verteilung der Spam-Quellen nach Regionen, drittes Quartal 2012
Phishing
Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien. Alarme des Anti-Phishing-Moduls im dritten Quartal 2012
Das Kategorien-Rating der von Phishern angegriffenen Organisationen wird auf der Grundlage der Alarme unserer Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Networks (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können. Genauere Informationen über jede Kategorie finden Sie hier.
Im dritten Quartal 2012 standen die sozialen Netzwerke an der Spitze der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien. Auf sie entfielen 26,5 Prozent der Attacken, 0,6 Prozentpunkte mehr als im vorangegangenen Quartal. Auf Position zwei befinden sich Finanzorganisationen mit einem Anteil von 22 Prozent aller Phishing-Attacken. Das sind 1,6 Prozentpunkte weniger als im zweiten Quartal.
Ungeachtet des geringen Anteils an Phishing-Attacken auf Online-Games registrierten wir im Verlauf des gesamten Quartals Versendungen, deren Ziel der Diebstahl von battle.net-Konten war. Es ist anzunehmen, dass die Veröffentlichung von WoW: Mists of Pandaria das Interesse der Phisher an Attacken auf die Spiele von Blizzard befeuert hat.
Fazit und Prognosen
Im dritten Quartal 2012 beobachteten wir eine Vielzahl von Versendungen mit politischer Ausrichtung. Bis zu den amerikanischen Präsidentschaftswahlen am 6. November nahm ihre Zahl stetig zu. Auch die Menge von schädlichen Versendungen stieg an, die das Interesse der User an den Wahlen ausnutzen.
Die Migration der Werbungsgeber weg vom Spam und hin zu anderen Plattformen führt unter anderem dazu, dass Spam insgesamt immer stärker kriminalisiert wird – durch sehr viel Werbung für verbotene Waren, durch Betrug und schädliche Mitteilungen. Im Laufe des letzten Jahres beobachteten wir zwei parallele Trends: Einen Rückgang des Spam-Anteils insgesamt und eine geringe Zunahme des Anteils von schädlichen Versendungen. Vermutlich werden sich beide Trends fortsetzen, da der Spam-Anteil aufgrund des Abwanderns von Werbungsgebern, die legale Waren und rechtschaffene Dienstleistungen anbieten, zurückgeht.
Was die Spam-Herkunftsländer betrifft, so stieg der Anteil der USA deutlich an. Dieses hohe Niveau wird vermutlich nicht gehalten werden und im nächsten Quartal etwas sinken. Asien bleibt die Region, aus der am meisten Spam kommt.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt