Spam im Rampenlicht
Der Feiertags-Spam im Juli war größtenteils dem heiligen Fastenmonat Ramadan gewidmet. Die unerwünschten Mails enthielten auch Angebote, Werbebotschaften an die Telefone und E-Mail-Postfächer der Benutzer zu senden. Wir stießen auch auf betrügerische E-Mails mit der Bitte, bei Investitionen zu helfen. Es gab auch Angebote für Schönheitsprodukte und -dienstleistungen.
Ramadan
Auch im Juli nutzten die Spammer den Fastenmonat Ramadan aus, indem sie Massenmailings anboten. Die E-Mails waren auf Englisch verfasst. Betreff und Text der Mails lockten die Leser mit Sonderangeboten und Rabatten zu Ehren des wichtigsten muslimischen Feiertags. Massenmails, die für den Versand von SMS an Einwohner der Vereinigten Arabischen Emirate warben, wurden von kostenlosen E-Mail-Diensten verschickt und waren im gleichen Stil gestaltet. Die Mails verwendeten unterschiedliche Schriftarten und enthielten unterschiedliche Kontaktdaten: So waren beispielsweise die Telefonnummern im Nachrichtentext und im Betreff unterschiedlich. In einigen Mails wurde auf die Website einer Firma verwiesen, die SMS-Marketing betreibt.
Auch die „nigerianischen“ Betrüger haben sich nichts Neues einfallen lassen und versuchten, die Aufmerksamkeit der Benutzer zu erregen, indem sie ihnen sowohl im Betreff der E-Mail als auch im Text der Nachricht einen frohen Ramadan wünschten. Betrügerische E-Mails, die beeindruckende Belohnungen für Hilfe bei der Investition von Geld in ein Geschäftsprojekt anboten, wurden sowohl auf Englisch als auch auf Arabisch verschickt.
Aktuelle Spam-Ströme enthalten häufig E-Mails in verschiedenen Sprachen. Insbesondere die Zahl der Nachrichten in semitischen Sprachen, darunter Arabisch, hat im Laufe des Jahres zugenommen. Gleichzeitig verwenden die Betrüger im Betreff der E-Mails Englisch statt Arabisch. Dies liegt wahrscheinlich daran, dass Englisch weiter verbreitet ist und sie hoffen, dass ein englischer Betreff mehr Leser anzieht.
Eine der E-Mails wurde angeblich im Namen einer muslimischen Mutter geschrieben. Darin wurde die komplizierte politische Lage in Syrien erwähnt und erklärt, dass es deshalb unmöglich sei, Geld im Inland sicher anzulegen. In diesem Fall lässt der Inhalt der Nachricht vermuten, dass der Autor Arabisch kann, sodass ein Text in dieser Sprache verwendet werden kann, um die Glaubwürdigkeit zu erhöhen.
Spam schön
Unter den wichtigsten Versendungen im Juli war eine Kampagne hervorzuheben, in der eine Reihe von Hautpflegeprodukten für Frauen sowie Werbeaktionen für Schönheitskliniken angeboten wurden. In den Spam-Versendungen wurden verschiedene Reinigungsmittel, Antifaltencremes, „Elixiere der Jugend“ und andere Kosmetikprodukte angepriesen. Die Betrüger boten Produktproben an, um den Benutzer von deren Vorzügen zu überzeugen, und versprachen, das Geld zurückzuerstatten, falls die Ergebnisse nicht zufriedenstellend seien. Die Betrüger versuchten, potenzielle Kunden anzulocken, indem sie eine schnelle und kostenlose Lieferung in jedes beliebige Land versprachen.
Schönheitskliniken boten vermeintlichen Lottogewinnern aktiv Laser-Haarentfernung zu erheblichen Rabatten oder sogar kostenlos an. Die mit Bildern versehene Verkaufsmasche konzentrierte sich auf die dringende Notwendigkeit dieser Behandlung vor dem Entspannen am Strand. Manchmal waren diese E-Mails mit Texten „verrauscht“, die nichts mit den beworbenen Waren und Dienstleistungen zu tun hatten. In einigen Fällen nahm dieser „Lärm“ die Hälfte der Nachricht ein (siehe Beispiel unten). Die Namen der Absender in diesen E-Mails waren eine zufällig generierte Kombination aus Buchstaben und Zahlen. Die Namen der beworbenen Zentren und Kliniken wurden auch im Nachrichtentext erwähnt, um sie über Suchmaschinen leichter finden zu können. Die Links in den E-Mails führten jedoch zu von Spammern geparkten Websites, die auf neu erstellten Domänen registriert waren. Manchmal boten sie ähnliche Waren oder Dienstleistungen an, manchmal machten sie Werbung für völlig andere.
Hitzestörender Spam
Die Sommerhitze hat den Markt für Produkte, die uns beim Abkühlen helfen, aufgeheizt: Im Spam-Verkehr wurde aktiv für Sonnenschutzfolien für Fenster, Ventilatoren und Klimaanlagen geworben, inklusive Reparatur- und Wartungsservice. Wir stießen häufig auf E-Mails, in denen für Wasserspender und Mineralwasser geworben wurde. Wasser wurde mit speziellen Sommerrabatten und kostenloser Lieferung nach Hause und ins Büro angeboten, und als Bonus wurde zu jeder Bestellung im Juli oder August ein kostenloser Obstkorb versprochen. Um eine Bestellung aufzugeben, muss man nur die in der Anzeige angegebene Nummer anrufen.
Sonnenbrillen gehörten zu den beliebtesten Sommerangeboten. Imitate von Designer-Sonnenbrillen wurden zu enormen Rabatten im Vergleich zum Original angeboten. Solche E-Mails enthielten oft die Logos der Designer und Symbole verschiedener sozialer Netzwerke, in denen das Unternehmen offiziell vertreten ist. Diese Symbole waren jedoch lediglich dekorativ und boten keinen Link zu diesen Websites. Sie sollten die E-Mail lediglich realistischer erscheinen lassen. Sobald Benutzer auf den Link in der E-Mail klickten, wurden sie zu einem neu erstellten Online-Sonnenbrillenshop weitergeleitet. Die Namen der Websites enthielten oft die Wörter „Brille“ oder „Sonnenbrille“. Manchmal konnte man in der zufälligen Buchstaben- und Zahlenkombination, aus der die Adresse der Website bestand, sogar den verzerrten Namen der Brillenmarke optisch erkennen.
Statistiken
Der Spam-Anteil im E-Mail-Verkehr
Der Spam-Anteil im E-Mail-Verkehr betrug durchschnittlich 67 Prozent, das sind 2,2 Prozentpunkte mehr als im Juni. Die höchsten Spam-Werte wurden in der zweiten Woche des Monats (67,6 Prozent) festgestellt, die niedrigsten in der ersten Woche (66 Prozent).
Spam-Anteil im E-Mail-Verkehr
Die geografische Verteilung der Spam-Quellen
Im Juli sah die Liste der weltweit am häufigsten versendeten Spam-Quellen folgendermaßen aus:
Spam-Quellen auf der ganzen Welt
Den ersten Platz belegten die USA (15,3 %), deren Spam-Anteil im Vergleich zum Vormonat um 2,2 Prozentpunkte zunahm. Auf Platz zwei folgte Russland mit 5,6 %, das dort 1,4 Prozentpunkte weniger Spam produzierte. Den dritten Platz belegte China mit 5,3 %, das 0,3 Prozentpunkte weniger Spam produzierte als im Juni.
Auf Platz vier landete Argentinien mit 4,2 Prozent aller versendeten Spam-Mails. Damit blieb sein Anteil praktisch unverändert, konnte das Land sich im Ranking aber um einen Platz verbessern. Dahinter folgt die Ukraine (4,1 Prozent), die im Vergleich zum Juni um 0,9 Prozentpunkte zulegte.
Im Juli verzeichneten wir einen Rückgang der Spam-Menge aus Vietnam um 1,8 Prozentpunkte (3,5 %), wodurch das Land vom vierten auf den achten Platz vorrückte.
Frankreich komplettierte die Top 10 mit 2,63 Prozent des gesamten versendeten Spams und verwies Indien (2,59 Prozent) auf den 11. Platz.
Schädliche Anhänge in E-Mails
Die folgende Grafik zeigt die Top 10 der per E-Mail verbreiteten Schadprogramme im Juli.
Die Top 10 der per E-Mail verbreiteten Schadprogramme
An der Spitze der Rangliste steht diesmal Trojan.Win32.Yakes.fize, der Trojaner-Downloader Dofoil. Dieses Programm lädt eine schädliche Datei auf den Computer des Opfers herunter, führt sie aus, stiehlt die persönlichen Daten des Benutzers (vor allem Passwörter) und leitet sie an die Betrüger weiter.
Der berüchtigte Trojan-Spy.HTML.Fraud.gen fiel zum ersten Mal seit vielen Monaten aus dem Spitzenplatz. Die Leser erinnern sich vielleicht, dass es sich hierbei um eine Bedrohung handelt, die als HTML-Phishing-Website auftritt und E-Mails versendet, die als wichtige Benachrichtigungen von Banken, Online-Shops und anderen Diensten getarnt sind.
Als nächstes folgte Trojan.JS.Redirector.adf, eine HTML-Seite mit Code, der Benutzer auf eine betrügerische Website umleitet, die Downloads von Binbot anbietet, einem Dienst für den automatischen Verkauf von binären Optionen, der derzeit im Internet sehr beliebt ist. Dieses Schadprogramm wird über E-Mail-Anhänge verbreitet.
Dahinter folgt Backdoor.Win32.Androm.enji. Dieses Schadprogramm ist eine Modifikation von Andromeda – Gamarue, einem universellen modularen Bot, der als Grundlage für den Aufbau eines Botnetzes mit verschiedenen Funktionen dient. Die Funktionalität des Bots kann mithilfe eines Systems von Plugins erweitert werden, die von den Kriminellen nach Bedarf heruntergeladen werden.
Den fünften Platz belegt Trojan-Banker.Win32.ChePro.ink. Dieser Downloader erscheint in Form eines CPL-Applets (einer Komponente der Systemsteuerung) und lädt, wie für diese Art von Malware typisch, Trojaner herunter, die zum Diebstahl von Bankdaten und Passwörtern entwickelt wurden. Diese Banking-Trojaner zielen hauptsächlich auf Online-Kunden brasilianischer und portugiesischer Banken ab.
Trojan-Ransom.Win32.Cryptodef.ny endete am 8. Juli. Dieses Schadprogramm verschlüsselt Dateien auf Computern, blockiert den Bildschirm und verlangt vom Benutzer eine Zahlung für die Wiederherstellung der Dateien.
Den Abschluss der Top 10 bildet Trojan.Win32.Bublik.cran. Die Hauptfunktion der Bublik-Malware-Familie besteht im unbefugten Herunterladen und Installieren neuer Versionen von Schadsoftware auf den Computern der Opfer.
Verteilung der Alarme von Mail-Antivirus nach Ländern
Die Top 3 im Juli blieben im Vergleich zum Juni unverändert. Deutschland nahm 11,7 Prozent aller Antivirus-Alarme ein und lag damit an der Spitze des Ratings (+4,71 Prozentpunkte). Auf Platz zwei folgten die USA mit 9,82 Prozent (+0,28 Prozentpunkte). Auf Platz drei landete Großbritannien mit 6,9 Prozent (+0,10 Prozentpunkte).
Indien (5,16 %) überholte Brasilien (3,94 %) und erreichte mit einem Anstieg von 0,54 Prozentpunkten den vierten Platz. Italien verbesserte sich im Ranking um zwei Plätze auf Platz 5 (+1,2 Prozentpunkte).
Russland steigerte seinen Anteil um 1,37 Prozentpunkte auf durchschnittlich 3,40 Prozent aller Antiviren-Alarme und kletterte vom 13. auf den 8. Platz.
In den Vereinigten Arabischen Emiraten ist die Zahl der Virenschutz-Erkennungen deutlich zurückgegangen: Das Land verlor 1,09 Prozentpunkte und damit sechs Plätze im Ranking.
Neu in den Top 20 im Juli ist Polen, das mit 1,42 Prozent aller Antiviren-Alarme den 19. Platz belegt.
In den anderen Ländern hat sich der Anteil der Alarme unseres Mail-Antivirus im Juni nicht wesentlich verändert.
Besonderheiten von Schadspam
Im Juli stellten wir einen Anstieg der Anzahl gefälschter Benachrichtigungen in portugiesischer Sprache fest, die im Namen des beliebten Smartphone-Messengers WhatsApp gesendet wurden.
Ein Beispiel waren Nachrichten, die Benutzer warnten, dass sie gegen die Nutzungsbedingungen verstoßen hätten und die Sperrung ihrer Konten riskierten. In der Nachricht hieß es, ein anderer Benutzer habe verbotene Inhalte gemeldet, die von den Konten der Empfänger stammten. Die Autoren der E-Mail behaupteten, dass sie als Reaktion auf eine zunehmende Zahl solcher Beschwerden das betreffende Konto vorübergehend für bis zu 90 Tage sperren könnten, während die IP-Adresse des Absenders bestätigt würde. Am Ende der E-Mail wurde der Benutzer aufgefordert, die Nutzungsbedingungen der Anwendung durch Anklicken der entsprechenden Schaltfläche einzusehen. Über diesen Link wurde Trojan-Downloader.Win32.Genome.a heruntergeladen, ein Downloader in Form eines .cpl-Applets (eine Komponente der Systemsteuerung), das wiederum eine Modifikation von Trojan-Banker.Win32.ChePro herunterlud. Darüber hinaus konnte der Banker Virus.Win32.Hidrag.a herunterladen, um ausführbare Dateien im System zu infizieren.
In einem anderen Fall informierte die gefälschte Nachricht den Empfänger darüber, dass WhatsApp für PC nach Monaten harter Arbeit es Benutzern nun ermöglichen könne, in Echtzeit über ihren Computer mit Freunden zu chatten. Um die Intrige noch zu verstärken, behauptete die Nachricht, dass bereits 11 Personen dem Empfänger Freundschaftsanfragen geschickt hätten. Um herauszufinden, wer diese 11 Personen waren, musste der Benutzer die neueste Version des Messengers für PC herunterladen, indem er auf den Link in der E-Mail klickte. Bemerkenswerterweise registrieren wir seit Anfang 2014 verschiedene Versionen dieser Nachricht.
Wie in den vorherigen Fällen erhielt der Benutzer statt des gewünschten Programms ein ZIP-Archiv, das den Dropper Trojan-Dropper.Win32.Dapato.egel enthielt. Seine Aufgabe besteht darin, eine Verbindung zu einem entfernten brasilianischen Host herzustellen und dann einen Bank-Trojaner herunterzuladen und auszuführen, der die Finanzdaten des Benutzers stehlen soll. Der Dropper kopiert sich außerdem unter dem Namen BaRbEcuE.exe nach C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\. Dort erstellt er eine Datei namens windataup.inf, in der er seine Anwesenheit anzeigt und das aktuelle Datum angibt. Schließlich schreibt er sich in AutoRun und sorgt so dafür, dass er automatisch gestartet wird.
Phishing
Im Juli 2014 registrierte die Anti-Phishing-Komponente von Kaspersky Lab 20.157.877 Erkennungen.
Am häufigsten wurden die Anwender in Brasilien von Phishern angegriffen: Auf den Computern von 18,17 Prozent der brasilianischen Anwender wurde die Anti-Phishing-Komponente des Systems mindestens einmal im Laufe des Monats aktiviert. Dieser Aktivitätsschub hängt wahrscheinlich mit der Fußballweltmeisterschaft zusammen, die im Juni und Juli in Brasilien stattfand.
Die Geographie der Phishing-Angriffe*, Juni 2014
* Prozentualer Anteil der Benutzer, auf deren Computern die Komponente „Anti-Phishing“ aktiviert war, an der Gesamtzahl aller Kaspersky-Lab-Benutzer
Top 10 Länder nach dem Prozentsatz der angegriffenen Benutzer:
| Land | % der Benutzer | |
| 1 | Brasilien | 18.17 |
| 2 | Indien | 12,99 |
| 3 | Australien | 11.10 |
| 4 | Frankreich | 10,73 |
| 5 | Kasachstan | 10,62 |
| 6 | Vereinigtes Königreich | 10.15 |
| 7 | Vereinigte Arabische Emirate | 10.14 |
| 8 | Dominikanische Republik | 10.11 |
| 9 | Kanada | 9,61 |
| 10 | Ukraine | 9,53 |
Angriffsziele nach Organisation
Die Statistik zu Phishing-Zielen basiert auf den Erkennungen der Anti-Phishing-Komponente von Kaspersky Lab. Diese wird jedes Mal aktiviert, wenn ein Benutzer eine Phishing-Seite aufruft, über die jedoch keine Informationen in den Kaspersky-Lab-Datenbanken vorhanden sind. Dabei spielt es keine Rolle, wie der Benutzer auf diese Seite gelangt – durch Klicken auf den Link in einer Phishing-E-Mail oder in einer Nachricht in einem sozialen Netzwerk oder beispielsweise infolge einer Schadsoftware-Aktivität. Nach der Aktivierung des Schutzsystems wird dem Benutzer im Browser ein Banner angezeigt, das vor einer potenziellen Bedrohung warnt.
In unseren vorherigen Berichten haben wir uns bei der Analyse der attraktivsten Ziele für Phishing-Angriffe auf die Top 100-Organisationen bezogen. Im Juli haben wir die Statistiken für alle angegriffenen Organisationen analysiert.
Im Juli belegte die Kategorie „Globale Internetportale“ weiterhin den ersten Platz im Rating der am häufigsten von Phishern angegriffenen Organisationen (29,49 %), auch wenn ihr Anteil um 2,67 Prozentpunkte zurückging. Auf Platz zwei landeten die sozialen Netzwerke mit 14,61 %, was einem Rückgang von 3,2 Prozentpunkten im Vergleich zum Vormonat entspricht.
Am häufigsten von Phishern angegriffene Organisationen nach Kategorie – Juli 2014
Unten sehen Sie ein ähnliches Diagramm für den Vormonat:
Am häufigsten von Phishern angegriffene Organisationen nach Kategorie – Juni 2014
Finanzielles Phishing machte 41,85 % aller Angriffe aus, ein Anstieg von 7,86 Prozentpunkten gegenüber dem Vormonat. Der Prozentsatz der Erkennungen bei Banken, Online-Shops und elektronischen Zahlungssystemen stieg um 2,25, 2,64 bzw. 2,29 Prozentpunkte. Der größte Anstieg betraf PayPal (3,24 %), ein Anstieg um 2,27 Prozentpunkte im Juli.
Ende des Monats stießen wir auf ein interessantes Beispiel für PayPal-Phishing. Die betrügerische E-Mail informierte den Empfänger über eine eingehende Zahlung von einem Craiglist-Benutzer (höchstwahrscheinlich handelt es sich um die falsche Schreibweise von Craigslist, der Website für elektronische Anzeigen), aber das Geld konnte aufgrund eines Fehlers bei einem PayPal-Konto nicht überwiesen werden.
Die E-Mail kam von einer Adresse, die nicht zu PayPal gehört. Darüber hinaus ist sie unpersönlich, was ein typisches Merkmal einer Phishing-E-Mail ist.
Zur Lösung des Problems wurde der Nutzer aufgefordert, das beigefügte Formular umgehend herunterzuladen, zu öffnen und auszufüllen. Das Formular wurde unter Verwendung der Designelemente der PayPal-Site erstellt. Die Angreifer erbeuten die E-Mail-Adresse des Benutzers und ein entsprechendes Passwort, seinen vollständigen Namen und sein Geburtsdatum, den Mädchennamen seiner Mutter, seine Adresse, seine Kreditkartennummer, deren Ablaufdatum und CVV sowie alle Passwörter für Verified by Visa oder MasterCard SecureCode. Diese detaillierten persönlichen Informationen würden es Betrügern leicht machen, den Benutzer aller elektronischen Ersparnisse zu berauben. Betrachtet man den HTML-Code der Seite, erkennt man, dass sämtliche im Formular eingegebenen Daten an eine Seite übermittelt werden, die nichts mit PayPal zu tun hat. Im Juli waren die Google-Dienste das am häufigsten von Phishing-Links betroffene Ziel. Ihr Anteil betrug 11,64 Prozent aller Alarme der Anti-Phishing-Komponente. Die Zahl der betrügerischen Links zu Windows Live, dem globalen Portal der Microsoft-Dienste (einschließlich Outlook), ist im Juli deutlich gestiegen. Die Attraktivität dieser Ressource für Betrüger lässt sich leicht anhand der Popularität der MS-Dienste und insbesondere der Tatsache erklären, dass auf sie von einem einzigen Konto aus zugegriffen werden kann. Phishing-Seiten sind in der Regel als Einstiegsseite für Outlook konzipiert (derzeit gibt es auch eine gefälschte Anmeldeseite für live.com). Ein Beispiel für eine Phishing-Seite, die die Outlook-Einstiegsseite imitiert Interessanterweise verwenden viele aktuelle Phishing-Seiten immer noch das alte Hotmail-Design, obwohl Outlook es bereits Anfang 2012 ersetzt hat. Die Benutzer scheint das jedoch nicht sonderlich zu beunruhigen: Sie springen immer noch auf die Köder solcher Phishing-Seiten an. Ein Beispiel für Phishing auf live.com unter Verwendung des veralteten Hotmail-Designs Der Spam-Anteil am weltweiten E-Mail-Verkehr stieg im Juli um 2,2 Prozentpunkte und lag im Durchschnitt bei 67 Prozent. Spam-Mails mit Werbung für Dienste, die Nachrichten an die Telefone und E-Mails der Benutzer senden, versuchten, aus den Ramadan-Feierlichkeiten Kapital zu schlagen, während neue Kunden mit Feiertagsrabatten und günstigen Angeboten angelockt wurden. „Nigerianische“ Betrüger verbreiteten E-Mails auf Englisch und Arabisch und baten um Hilfe bei der Geldanlage. Es gab auch Angebote für Schönheitsprodukte und -dienstleistungen. Im Juli führten die USA (15,3 %), Russland (5,6 %) und China (5,3 %) die Liste der weltweit beliebtesten Spam-Herkunftsländer an. Im Juli 2014 registrierte die Anti-Phishing-Komponente von Kaspersky Lab 20.157.877 Erkennungen. Am häufigsten wurden Benutzer in Brasilien von Phishern angegriffen: 18,2 Prozent der brasilianischen Computer zeigten im Laufe des Monats mindestens eine Phishing-Warnung an. Die Kategorie „Globale Internetportale“ belegte weiterhin den ersten Platz in der Rangliste der am häufigsten von Phishern angegriffenen Organisationen (29,5 Prozent). Finanzielles Phishing machte 41,85 Prozent aller Angriffe aus, was einem Anstieg von 7,86 Prozentpunkten gegenüber dem Vormonat entspricht. An der Spitze des Ratings der am häufigsten per E-Mail verbreiteten schädlichen Anhänge steht Trojan.Win32.Yakes.fize. Die meisten Antivirus-Alarme verzeichnen nach wie vor Deutschland (11,7 %). Eine beträchtliche Anzahl bösartiger Anhänge imitierte gefälschte Benachrichtigungen in portugiesischer Sprache, die angeblich im Namen des beliebten Smartphone-Messengers WhatsApp gesendet wurden. Diese Anhänge zielten auf die Finanzdaten von Benutzern in Brasilien und Portugal ab.
Top 3 der am häufigsten von Phishern angegriffenen Organisationen
Organisation
% Erkennungen
1
Google Inc
11,64 %
2
auf facebook.
9,64 %
3
Windows Live
6,28 %
Abschluss
