Ungeachtet der aufgrund des nahenden Endes des Finanzjahres durchaus zu erwartenden Flaute auf dem Arbeitsmarkt registrierten wir eine große Zahl von Versendungen mit Stellenangeboten – sowohl für einmalige Jobs als auch für längerfristige Tätigkeiten. Solches Spam enthielt häufig keinerlei klare Aussagen über den potentiellen Arbeitgeber oder die Stellen selbst. Nicht wenige Versendungen aus dem letzten Monat waren zudem dem Winterurlaub gewidmet sowie der Planung der bevorstehenden Weihnachts- und Neujahrsferien. Das so genannte Festtags-Spam nahm außerdem Bezug auf Thanksgiving und den Veterans Day in den USA. Die Spammer führen auch wie gehabt tragische Ereignisse ins Feld, um das Mitleid der Nutzer für ihre Zwecken auszunutzen und verschickten dementsprechend im vorletzten Monat des Jahres betrügerische Mails mit der Bitte um finanzielle Unterstützung für die Opfer des Taifuns auf den Philippinen.
Feiertage – kein Ende in Sicht
Im November boten Spammer im Namen von Vertretern kleiner und mittelständischer Unternehmen aktiv Rabatte auf Waren und Dienstleistungen zu Ehren des Veteranentages an, der in den USA am 11. November begangen wird, und versuchten die Aufmerksamkeit der Kunden auch durch traditionelle Ausverkäufe und ähnliches auf sich zu ziehen. In Schreiben, die beispielsweise Rabatte in einem Autohaus zum Thema hatten, wurden die angebotenen Prozente als Zeichen der Verehrung für amerikanische Kriegsveteranen präsentiert.
Natürlich ließen die Spammer auch einen der wichtigsten US-amerikanischen Feiertage am letzten Donnerstag im November – Thanksgiving - nicht tatenlos verstreichen, und nutzten ihn ebenfalls zur Werbung für Waren und Dienstleistungen. Einige Mails zogen die Aufmerksamkeit der Empfänger nicht allein durch die Erwähnung des Festtages im Betreff auf sich, sondern auch durch die bunte Aufmachung, z. B. unter Verwendung von Truthahn-Bildchen – dem wichtigsten Thanksgiving-Symbol- die z.T. mit unterhaltsamem Fakten über dieses Geflügel garniert waren. Auch Spam-Mitteilungen mit Werbung für pharmazeutische Produkte sowie für Mega-Rabatte auf Elektrogeräte machten sich einen der wichtigsten Feiertage in den USA zunutze.
Inhalt und Thema einer Mail stimmten allerdings nicht immer mit dem Inhalt der Seite überein, auf der der Nutzer landete, nachdem er auf einen Werbelink geklickt hatte. So führten beispielsweise Links aus einer von uns entdeckten Versendung auf eine MP3-Datei, die – mit den Worten der Spammer – helfen sollte, die „Truthahn-Apokalypse“ zu überleben, während der Anwender tatsächlich auf einer Website landete, auf der für potenzsteigernde Mittel geworben wurde.
Die Festtagsvorbereitungen treten in die heiße Phase ein und als Folge nimmt auch die Menge an Weihnachts- und Neujahrsspam weiterhin zu. In der Vorweihnachtszeit bieten kleine und mittelständische Unternehmen die unterschiedlichsten Waren und Dienstleistungen an, von Weihnachtstrips bis hin zu Frankiermaschinen. Neben der Werbung für traditionelle papierne Postkarten registrierten wir auch Angebote über die Produktion von Video-Postkarten mit Firmenlogo und Glückwünschen im Namen des Unternehmens. In dieser vorweihnachtlichen Zeit haben die Spammer auch unsere Allerkleinsten nicht vergessen, die nicht nur auf Geschenke warten, sondern auch auf einen Brief vom Weihnachtsmann: Eine von Kaspersky Lab entdeckte Versendung bot die Bestellung solcher Briefe online an.
Spenden für Betrüger
Tragische Ereignisse auf der ganzen Welt dienen Spammern traditionell als indirekte Einnahmequelle – wir entdecken regelmäßig Versendungen, die Meldungen über Terrorakte, Naturkatastrophen oder tragische Unfälle dazu nutzen, den Empfängern das Geld aus der Tasche zu ziehen. Dabei geben sich die Betrüger häufig als Vertreter verschiedener humanitärer Hilfsorganisationen aus oder berichten über eine Zusammenarbeit mit diesen, um den Opfern schnelle Hilfe zukommen zu lassen. Im November 2013 verschickten die Spam-Betrüger „nigerianische“ Mails im Namen des „Roten Kreuzes“ und wandten sich an den Empfänger mit der Bitte, den Opfern des Taifuns auf den Philippinen zu helfen.
Damit das Betrugsopfer keinen Verdacht schöpfte, baten die Verbrecher in diesem Fall nicht um eine konkrete Geldsumme, sondern betonten, dass selbst der geringste Betrag einen enormen Beitrag leisten würde. Der Brief stammte dabei von einer gefälschten Rote-Kreuz-Adresse, doch für die Kontaktaufnahme mit dem angeblichen Vertreter dieser Hilfsorganisation wurden eine Telefonnummer und eine persönliche E-Mail-Adresse auf einer völlig anderen Domain angegeben. Darüber hinaus haben wir es überaus selten mit betrügerischen Mails mit integrierten Links zu tun, die auf eine HTML-Seite verweisen, welche detaillierte Informationen über das tragische Ereignis selbst und den Spendenvorgang enthält, doch in den von KL im November entdeckten Schreiben führte der Link auf eine Seite mit Videoaufzeichnungen des Unglücks und zusätzlichen Informationen zur Überweisung des Geldes. Um den Empfänger von der Authentizität des Schreibens zu überzeugen, fügten die Betrüger im Text der Mail Links auf die offizielle Website des Roten Kreuzes hinzu.
Schemenhafte Stellenangebote
Üblicherweise sind Spätherbst und Winteranfang stets von einer gewissen Flaute auf dem Arbeitsmarkt geprägt. In dieser Zeit ziehen die Unternehmen Bilanzen und beginnen mit der Planung für das nächste Jahr, wobei die Suche nach neuen Mitarbeitern nicht unbedingt vorangetrieben wird. Allerdings registrierte Kaspersky Lab nach wie vor eine große Zahl von Stellenangeboten. Und dabei handelte es sich keineswegs um offizielle Anzeigen neuer Stellen von bekannten Unternehmen auf den üblichen Internet-Ressourcen.
Im Wesentlichen waren es vielmehr Schreiben ohne persönliche Anrede. Die Empfänger werden hierin über Jobangebote informiert, wobei die Arbeitsbedingungen überaus vorteilhaft dargestellt werden und der potentielle Mitarbeiter zwischen einer Voll- und einer Teilzeitstelle auswählen kann. Doch häufig fehlt die Stellenbeschreibung selbst, und für die nötigen Informationen sollte der Adressat sich an die angegebene E-Mail-Adresse wenden, die sich allerdings von der Absenderadresse unterschied. Dabei war auch die Adresse, über die der Empfänger Kontakt zum potentiellen Arbeitgeber aufnehmen sollte, von Mail zu Mail unterschiedlich, während der Inhalt der Mitteilungen unverändert blieb.
Doch manchmal enthielten solche Mitteilungen auch tatsächlich den Namen des konkreten Unternehmens, das auf der Suche nach neuen Mitarbeitern ist, sowie eine Kurzbeschreibung des Tätigkeitsbereichs. Einige Absender solcher Schreiben erklärten, die Daten des Empfängers seinem Lebenslauf entnommen zu haben, der von irgendeiner Arbeitsvermittlungsagentur zur Verfügung gestellt worden war. Zudem wurde in den Mitteilungen auf die Grundanforderungen an die Kandidaten sowie auf die vorgeschlagene Gehaltsebene eingegangen.
Winterurlaub
Die Weihnachts- und Neujahrsfeierlichkeiten stehen vor der Tür und viele Leute versuchen, diese mit einem Urlaub zu kombinieren. Aus eben diesem Grund steigt zum Ende des Herbstes die Zahl der Spam-Versendungen mit Angeboten für verschiedene Kurztrips und Reisen innerhalb der Weihnachtsferien. Der diesjährige November bildete dabei keine Ausnahme.
Neben Offerten für die zu dieser Jahreszeit sehr beliebten Reisen in wärmere Gefilde registrierten wir eine Menge Angebote über die typischen Wintervarianten: Reisen in Schneegebiete zum Abfahrts- und Langlaufski-Fahren sowie Exkursionen auf Skiern in den winterlichen Wald.
Geografische Verteilung der Spam-Quellen
Spam-Anteil im E-Mail-Traffic
Spam-Anteil im E-Mail-Traffic
Im Laufe der ersten drei Novemberwochen stieg der Spamanteil schrittweise, allerdings ging er zum Ende des Monats erneut zurück, und unter dem Strich betrug der Anteil unerwünschter Nachrichten im November durchschnittlich 72,5% des gesamten E-Mail-Aufkommens.
Spam-Herkunftsländer
Spam-Herkunftsländer weltweit
Im November 2013 war die Liste der Länder, die weltweit Spam versenden, praktisch keinen Veränderungen unterworfen. Bereits seit mehreren Monaten in Folge behauptet China (23,3%) den ersten Platz, dessen Anteil gegenüber dem Vormonat um 2 Prozentpunkte gestiegen ist. Es folgen die USA (18%) und Südkorea (14,5%), wobei sich die Werte dieser Länder nur unwesentlich verändert haben. Position vier belegt Taiwan (6,7%), auf Platz fünf befindet sich wie gehabt Russland (5,4%) mit einem Zuwachs von 1,4 Prozentpunkten.
Die aus der Ukraine (2,9%) stammende Spam-Menge nahm um einen Prozentpunkt ab, so dass dieses Land im November um eine Position zurückfiel und nun den 8. Platz belegt. Wir registrierten zudem einen geringfügigen Rückgang des aus Kanada stammenden Spamanteils (-0,4 Prozentpunkte), auf Grund dessen das Land nicht mehr unter den ersten Zehn vertreten ist und seinen Platz zugunsten Japans (+0,9 Prozentpunkte) räumte.
Das Schlusslicht der TOP 10 bildet Rumänien (1,6%), das mit einem Zuwachs von 0,2 Prozentpunkten drei Positionen nach oben kletterte.
Spam-Herkunftsländer für Europa
Einmal mehr wird auch im November das Rating der Spam-Herkunftsländer für Europa von Südkorea (56%) angeführt, dessen Wert um 4,7 Prozentpunkte gestiegen ist. Position zwei belegt mit einem Rückgang von einem Prozentpunkt (6,4%) Taiwan; abgeschlossen wird das Führungstrio in diesem Monat von den USA, deren Anteil dagegen um 1,4 Prozentpunkte zugenommen hat.
Leicht gestiegen ist der aus Hongkong (+0,4 Prozentpunkte) stammende Spam-Anteil, das daher von der 6. auf die 4. Position aufsteigen konnte. Singapur ist mit einem Zuwachs des Spamanteils (+0,6 Prozentpunkte) im Ranking ebenfalls hochgeklettert, und zwar drei Positionen, womit der Stadtstaat auf dem achten Platz landete.
Eine gegenteilige Situation beobachteten wir in Russland (2,5%) – das Land verlor 2,7 Prozentpunkte und sackte von Rang 3 auf den 5. Platz ab. Und auch die Ukraine (2,3%) hatte eine Abnahme von 1,2 Prozentpunkten zu verzeichnen und positionierte sich damit auf Rang 7. Aus demselben Grund sind Kasachstan (-0,6 Prozentpunkte) und Italien (-0,8 Prozentpunkte) jetzt gar nicht mehr in den TOP 10 vertreten.
Abgeschlossen werden die TOP 10 für den Monat November von Rumänien (1,3%), wobei sich der Anteil des aus diesem Land verschickten Spam-Anteils praktisch nicht veränderte (-0,1 Prozentpunkte).
Spam-Herkunftsregionen
Ebenfalls unverändert blieb die Situation bei den Spam-Herkunftsregionen, wo nach wie vor Asien (+2,6 Prozentpunkte) Spitzenreiter in punkto Spam-Versand ist, wie gehabt gefolgt von Nordamerika (+0,5 Prozentpunkte) und Osteuropa (-2,3 Prozentpunkte). Die Positionen vier und fünf belegen noch immer Westeuropa (-0,7 Prozentpunkte) und Lateinamerika (-0,02 Prozentpunkte).
Schädliche Anhänge
Im November sahen die TOP 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen aus:
TOP 10 der via E-Mail verbreiteten Schadprogramme
Den ersten Platz belegt erneut Trojan-Spy.HTML.Fraud.gen. Bei diesem Schädling handelt es sich um eine gefälschte HTML-Seite, auf der Daten eingegeben werden sollen, die dann direkt an die Online-Verbrecher gesendet werden. Der Schädling Trojan-Spy.HTML.Fraud.gen wird üblicherweise als wichtige Mitteilung von großen kommerziellen Organisationen, Internetshops usw. getarnt verbreitet.
Die berühmt-berüchtigten Programme der Familie Bublik haben im November nicht nachgegeben und belegen erneut ganze vier Positionen unseres Ratings (die Plätze 2, 3, 8 und 10). Alle in den TOP 10 gelisteten Programme dieser Familie sind normale Trojan-Downloader, die schädliche Dateien auf die Anwendercomputer laden und diese daraufhin ausführen.
Auf dem vierten Platz positionierte sich der Virus-Wurm Email-Worm.Win32.Bagle.gt, der in Form eines E-Mail-Anhangs verbreitet wird. Nach der Infektion versendet er sich selbst an alle auf dem Computer gefundenen E-Mail-Adressen. Die Hauptaufgabe des Virus‘ besteht im Download und der Ausführung von Dateien aus dem Internet – ohne Wissen des Anwenders.
Die Ränge fünf und sechs belegen Trojan.Win32.Buzus.ofhx und Trojan-Spy.Win32.Zbot.qsec – Programme, die von Cyberkriminellen zum Diebstahl verschiedener Bankinformationen von den Computern der Anwender verwendet werden, wie zum Beispiel Anmeldedaten für das Onlinebanking. In der Regel wird die Arbeit solcher Schädlinge nicht von irgendwelchen visuellen Effekten begleitet, und das erschwert ihre Entdeckung auf einem Opfer-Computer, der nicht durch eine AV-Lösung geschützt ist, erheblich. Zudem verwenden die Programme dieser Familie zu Selbstschutzzwecken Rootkit-Technologien, die es ihnen ermöglichen, ihre ausführbaren Dateien und Prozesse zu verbergen.
Position sieben belegt der Schädling Trojan-Ransom.Win32.Gimemo.blyq – ein Spionage-Programm, das Cookies stiehlt und Passwörter zu FTP-Clients und E-Mail-Programmen, die sodann an die Cyberverbrecher gesendet werden.
Verteilung der Alarme von Kaspersky Mail-Antivirus nach Ländern
Spitzenreiter unter den Ländern, in denen der Mail-Antivirus im November am häufigsten Alarm geschlagen hat, ist Großbritannien (12,3%), das 2,4 Prozentpunkte zugelegt hat und damit Deutschland (11,2%) auf den 2. und die USA (10%) auf den 3. Platz verwies.
Die Anteile der Alarme der anderen Länder aus dem Rating waren keinen wesentlichen Veränderungen unterworfen. Erwähnenswert ist allein Katar (1,5%), das im November in den TOP 20 vertreten war. In Russland gingen die Alarme des Mail-Antivirus auch im November weiter zurück und ihr Anteil betrug insgesamt 1,9%.
Besonderheiten im Schadspam.
Im November verschickten die Spammer aktiv Schadprogramme in Mails, die als Benachrichtigungen über den Empfang einer Voicemail getarnt waren. In den meisten der von KL entdeckten Fälle war der Text des Schreibens nach ein und derselben Schablone erstellt worden: „Sie haben eine XX Minuten XX Sekunden lange Voicemail von der Firma/dem User erhalten: Datum, Zeit. Die Voicemail befindet sich im Anhang an diese Mail und kann auf den meisten Computern angehört werden.“ Die beschriebene Mitteilung befand sich in einem ZIP-Archiv, das in der Regel message.zip hieß und in Wahrheit Malware enthielt.
Nach demselben Muster – getarnt als Benachrichtigung über den Erhalt einer Voicemail – wurden Schreiben im Namen von Skype verschickt, dem populären Instant-Messaging und Videotelefonie-Service. Im Absender-Feld fand sich die Bezeichnung „SkypeVoiceMessage”, doch die Absenderadresse hatte rein gar nichts mit dem bekannten Dienst zu tun und sah nach einer automatisch generierten Buchstabenansammlung aus. Im Text der Mitteilung wurde ebenfalls auf die Länge der Sprachnachricht, das Datum sowie die Uhrzeit hingewiesen, zu der der Anruf angeblich eingegangen ist. Um die Nachricht selbst anzuhören, wurde der Empfänger aufgefordert, das angehängte ZIP-Archiv mit der Bezeichnung Skype_Voice_Message-DB43D7B84C.zip zu öffnen. Tatsächlich aber befand sich in dem Archiv ein Schädling, der von Kaspersky Lab als Trojan-PSW.Win32.Tepfer.sjsm detektiert wird. Das ist ein Spionageprogramm, das Browser-Cookies stiehlt sowie Passwörter zu FTP- und E-Mail-Clients, die daraufhin an die Online-Gangster verschickt werden.
Phishing
Im November gab es in dem Rating der von Phishern angegriffenen Organisationen keine wesentlichen Veränderungen.
Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien
Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.
Wie auch schon im vorangegangenen Monat wird das Spitzentrio von den sozialen Netzwerken angeführt (26,9%), deren Wert um 1,3 Prozentpunkte zurückgegangen ist. Die Werte der E-Mail-Dienste (19,2%) und Suchsysteme (16,5%) sind geringfügig gestiegen, und im November belegten diese Kategorien die Positionen 2 und 3 respektive.
Die Finanz- und Bezahlorganisationen (16,1%) hielten den 4. Platz, wobei der Anteil der Angriffe auf diese Kategorie weiterhin zunimmt – im November betrug der Zuwachs 0,7 Prozentpunkte.
Der Wert der IT-Anbieter (9,2%) stieg um 2,2 Prozentpunkte, wodurch sie auf den 5. Platz aufstiegen und den 6. Platz für die Kategorie Telefon- und Internet-Provider frei machten, deren Wert nach den Ergebnissen des Monats um 2,9 Prozentpunkte zurückging.
Im November richtete sich die Aufmerksamkeit der Spammer erneut auf die Australia and New Zealand Banking Group. In den Schreiben einer Versendung unterschieden sich die Absender, Betreffs sowie die Phishing-Links, allerdings blieb der Inhalt unverändert. In der Mail wurde der Empfänger um Bestätigung dafür gebeten, dass die darunter aufgeführten Transaktionen von ihm oder einem anderen autorisierten Nutzer durchgeführt wurden. Um sich einzuloggen, sollte der Empfänger auf einen Link klicken, der auf eine Phishing-Seite führte, die in Aufmachung und Inhalt die offizielle Website der Bankengruppe imitierte. Die von dem Anwender auf der Phishing-Seite eingegebenen Daten wurden selbstverständlich an die Betrüger weitergeleitet.
Um die gefälschte Mitteilung nicht wie eine klassische Betrugsmail aussehen zu lassen, in der das potentielle Opfer gleich eingangs mit der Sperrung des Kontos verschreckt wird, platzierten die Phisher diese Benachrichtigung in diesem Fall am Ende der E-Mail. Und bei einem nur flüchtigen Blick auf das Schreiben konnte man diese Information sogar übersehen. Um der Nachricht einen legitimen Anstrich zu geben, wurde im Feld „From” die offizielle Domain des Unternehmens angegeben, und am Ende der Mitteilung fand sich die Auto-Signatur der Bank.
Fazit
Der Spam-Anteil im weltweiten E-Mail-Traffic blieb im November unverändert und betrug – genau wie im Vormonat - 72,5%. Auch die geografische Spam-Verteilung hat sich im Vergleich zum Oktober nicht entscheidend verändert.
Wie von uns vorhergesagt, verschickten die Spammer im vorletzten Monat des Jahres aktiv „Feiertags-Spam“, darunter grafisches, mit Bezug auf Weihnachten und den Jahreswechsel. Auch die wichtigen US-amerikanischen Feiertage „Thanksgiving“ und „Verterans Day“ wurden von Spammern intensiv ausgenutzt, um potenzsteigernde Mittel und Abnehm-Präparate zu bewerben, und Unternehmen lockten neue Kunden mit Festtagsrabatten auf unterschiedlichste Waren und Dienstleistungen. Im Dezember werden die Festtagsvorbereitungen auf Hochtouren laufen, und die Zahl der unerwünschten Weihnachts-/Sylvester-Versendungen wird ihren Höhepunkt erreichen.
Trotz der Flaute auf dem Arbeitsmarkt enthielten nicht wenige Spam-Versendungen Stellenangebote für potentielle Bewerber auf der ganzen Welt. Auf Grund der nahenden Festtage und der bevorstehenden Winterurlaubssaison stießen wir häufig auf Angebote für verschiedene Kurztrips bzw. Skiferien. Wir erwarten, dass solche Spam-Versendungen auch nach den Feiertagen, im Laufe des gesamten Januars, im E-Mail-Traffic kursieren werden.
Auch im November riss die Kette der betrügerischen Mitteilungen nicht ab, die tragische Ereignisse auf der ganzen Welt zu ihren unlauteren Zwecken ausnutzen. In diesem Fall versuchten die Betrüger, den Nutzern ihr Geld aus der Tasche zu ziehen, in dem sie vorgaben, es den Opfern des Taifuns auf den Philippinen zu spenden.
Bei einem bedeutenden Teil der Mitteilungen, die Schadcode enthalten, handelte es sich im November um gefälschte Benachrichtigungen über den Erhalt einer Voicemail. Ins Visier der Cyberkriminellen geriet dabei insbesondere der beliebte Videotelefonie-Dienst Skype.
Das Rating der von Phishern angegriffenen Organisationen hat sich nicht merklich verändert. Der Wert der sozialen Netzwerke ist gesunken, doch trotzdem behauptete diese Kategorie im November seine Führungsposition. Wie von uns vorhergesagt, nimmt die Zahl der Attacken auf Finanzorganisationen weiterhin zu. In dem vorweihnachtlichen Trubel sollte man also besonders vorsichtig mit den verschiedenen Benachrichtigungen von Online-Shops, Buchungsservices, aber auch Banken und Bezahlsystemen sein. Vor den Festtagen steigt die Zahl der Käufe und finanziellen Transaktionen über das Internet, daher setzten die Betrüger auf die Unaufmerksamkeit der User und versenden vermehrt gefährliche Phishing-Benachrichtigungen.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt