Im Januar standen Neujahr und Weihnachten nicht mehr im Fokus der Spammer, sondern vielmehr die noch bevorstehenden Festlichkeiten. Ein weiteres beliebtes Spam-Thema war die Sicherung von privaten und öffentlichen Immobilien mit Hilfe von Videoüberwachung. Versendungen mit Angeboten zu derartigen Dienstleistungen spürten die Kaspersky-Experten sowohl in russischer als auch in englischer Sprache auf.
Die „nigerianischen“ Spammer konzentrierten sich im Januar weiterhin auf den Tod bekannter Persönlichkeiten – in diesem Fall Nelson Mandela und Ariel Sharon –, um die Anwender zu betrügen und ihnen ihr Geld abzunehmen.
Feiertags-Spam
Die wichtigsten Festtage des Winters liegen bereits hinter uns. Daher richteten die Spammer ihre Aufmerksamkeit im Januar auf andere feierliche Ereignisse, insbesondere auf den Valentinstag. Kaspersky Lab registrierte im englischsprachigen Spam nicht nur traditionelle Versendungen von „Blumen-Partnerprogrammen“, Werbung für romantische Dinner und Kurzreisen, sondern auch Reklame für ungewöhnliche Geschenke, zum Beispiel einen Stern am Himmel.
Für den Februar erwartet das Kaspersky-Team neben einer Zunahme des Festtags-Spams auch eine Zunahme bei Versendungen zu bestimmten Themen. Zudem rechnen wir im kommenden Monat mit einem Anstieg der Versendungen, die auf den St. Patrick’s Day Bezug nehmen.
Die „nigerianischen“ Ehefrauen Nelson Mandelas
Tragische Ereignisse, die sich in den letzten Monaten zugetragen haben, werden aktiv von den „Nigerianern“ ausgenutzt, um ihrer betrügerischen Themensammlung weitere Plots hinzuzufügen. Anfang Januar starb der ehemalige Premierminister Israels, Ariel Sharon, und bereits eine Woche später kursierte eine Versendung, die dieses Ereignis ausnutzte. Allerdings wurde das Ableben Sharons im Januar nicht so häufig ausgenutzt wie ein anderes tragisches Ereignis, und zwar der Tod Nelson Mandelas. Die ersten Versendungen mit Bezug auf den verstorbenen Ex-Präsidenten Südafrikas entdeckte Kaspersky Lab bereits im Dezember 2013.
Im Januar erschienen dann erwartungsgemäß weitere E-Mails. Da allgemein bekannt ist, dass Nelson Mandela drei Mal verheiratet war, blieb dieser Umstand auch den Spammern nicht verborgen. Und so bedienten sie sich der Namen der Ehefrauen, um die Empfänger der Schreiben von der Wahrheit der von ihnen frei erfundenen Geschichten zu überzeugen.
Eine von uns entdeckte „nigerianische“ E-Mail, deren Autor sich als Jurist von Winnie Madikizela ausgab, der zweiten Frau des verstorbenen Präsidenten, enthielt keine Details zur Zusammenarbeit. In dem Schreiben wurde lediglich darüber informiert, dass die Ex-Ehefrau und ihr Anwalt nicht nur Hilfe beim Empfang einer riesigen Summe Geldes und verschiedener Goldbarren benötigten, sondern auch bei der anschließenden Investition des Vermögens. Zu diesem Zweck suchten sie einen anständigen Menschen, der unbedingt aus dem Ausland sein müsse. Im Schreiben wurde eine Mobiltelefonnummer angegeben, über die der Empfänger zwecks Besprechung der Details Kontakt aufnehmen sollte. Die Betrüger baten ihre potenziellen Opfer zudem, sich in jedem Fall zu melden, selbst wenn sie nicht an dem Vorschlag interessiert seien, da sie sich in diesem Fall an jemand anderen wenden würden. Dieser Trick wurde eingesetzt, um das Opfer dazu zu bringen, auf den Vorschlag einzugehen, da sich der Gedanke, der märchenhafte Reichtum könne einem anderen zukommen, als stärkerer Antrieb erweisen könnte als der gesunde Menschenverstand.
Eine andere von Kaspersky Lab abgefangene Versendung war im Namen von Graça Machel verfasst, der dritten Ehefrau Nelson Mandelas. Dieses Mal versuchten die Cyberkriminellen, ihr Opfer mit einer traurigen Geschichte über den Kampf um die Millionen Mandelas zu rühren und damit, dass von der gierigen restlichen Verwandtschaft die schrecklichsten Dinge zu erwarten seien. Um den Wahrheitsgehalt dieser Geschichte zu unterstreichen, wurde im Schreiben ein Link auf ein bekanntes Nachrichtenportal angeführt. In der Hoffnung darauf, dass das naive Opfer Mitleid mit der „unglücklichen Frau des Präsidenten“ bekommt, baten die Betrüger den E-Mail-Empfänger um Hilfe bei der Überweisung und um die Aufbewahrung des Geldes auf seinem Konto.
Videoüberwachung
In letzter Zeit beobachten wir, dass immer mehr Versendungen mit Angeboten über den Kauf und die Installation von Videoüberwachungssystemen für private und Firmen-Gebäude in Umlauf sind. Angebote für derartige Dienstleistungen sind in der Regel recht typisch. Im Wesentlichen handelt es sich dabei um unerwünschte Schreiben im Namen von Vertretern verschiedener Unternehmen, die auf Videoüberwachungssysteme spezialisiert sind. Dabei ist der Name des Unternehmens in den Absenderadressen nicht enthalten. Im Namen des Absenders wird zumeist auf einen einzelnen Vor- oder Nachnamen verwiesen, der nicht immer mit dem Namen des im Schreiben erwähnten Vertreters übereinstimmen muss.
In den englischsprachigen Versendungen lag die Betonung besonders auf der persönlichen Sicherheit und der Möglichkeit, mit den beworbenen technischen Hilfsmitteln ein Auge auf Ehefrauen und Ehemänner beziehungsweise auf Babysitter und Handwerker im Hause zu haben. Anstelle einer Telefonnummer enthielten die englischsprachigen Versionen der Spam-Mails zur Kontaktaufnahme meist einen Link auf eine Werbewebseite des Unternehmens oder auf einen Internet-Shop, der Videoüberwachungsausstattung im Angebot hat.
Geografische Verteilung der Spam-Quellen
Spam-Anteil im E-Mail-Traffic
Spam-Anteil im E-Mail-Traffic, Januar 2014
In der ersten Woche des neuen Jahres war ein leichter Rückgang des Spam-Anteils im E-Mail-Traffic zu beobachten, der mit der insgesamt geringeren Aktivität der Spammer während der Januar-Feiertage in Russland zusammenhängt. Die Situation änderte sich bereits in der zweiten Woche, als ein deutlicher Anstieg der Spam-Versendungen zu verzeichnen war. In der zweiten Hälfte des Monats normalisierte sich die Lage wieder. Der durchschnittliche Spam-Anteil betrug 65,7 Prozent.
Spam-Herkunftsländer
Im Januar 2014 ergaben sich im Rating der Spam-Herkunftsländer folgende Veränderungen.
Spam-Herkunftsländer weltweit
Von Position zwei auf den ersten Platz stiegen die USA (21,9 %) auf – innerhalb des Monats nahm der aus diesem Land verschickte Spam-Anteil um fast drei Prozentpunkte zu. Es folgt mit China (16 %) der Spitzenreiter des Vormonats, dessen Anteil im Gegensatz zur USA schrumpfte, und zwar gleich um sieben Prozentpunkte. Den dritten Platz nimmt nach wie vor Südkorea (12,5 %) ein. Hier kam es ebenfalls zu einem Rückgang des Spam-Anteils, der fast 1,5 Prozentpunkte betrug.
Taiwan (6,2 %) und Russland (6 %) halten nach wie vor die Plätze vier respektive fünf. Abgeschlossen werden die Top 10 von Rumänien, das zwei Prozent der weltweiten Spam-Menge stellt. Das sind 0,4 Prozentpunkte mehr als im vorangegangenen Monat.
Zu einem unbedeutenden Anstieg des Spam-Anteils kam es im Januar in Italien (1,5 %) und Spanien (1 %), sowie bei einigen Vertretern der asiatischen Region, und zwar in Hongkong (1 %) und auf den Philippinen (1,1 %). Die übrigen Länder demonstrierten Stabilität, sowohl hinsichtlich der Verteilung als auch in Bezug auf die prozentualen Werte.
Spam-Herkunftsländer für Europa
Mit einem Anteil von 47,2 Prozent belegte Südkorea im ersten Monat des Jahres 2014 den ersten Platz unter den Ländern, die Spam nach Europa versenden. Gegenüber dem Vormonat ging der von dort stammende Spam-Anteil um 5,8 Prozentpunkte zurück. Auf Platz zwei folgt Taiwan (5,8 %), das im Vormonat den dritten Platz belegte. Dort finden sich nun die USA (5,3 %), deren Anteil verglichen mit Januar um 2,1 Prozentpunkte zurückging.
Position vier belegt Hongkong – die chinesische Sonderverwaltungszone trägt zum europäischen Spam-Aufkommen einen Anteil von drei Prozent bei. Auf Rang fünf befindet sich wie im Vormonat auch Russland (3 %), dessen Anteil um 0,3 Prozentpunkte höher lag. Ein Anstieg der versendeten Spam-Menge gab es zudem in Spanien (2,4 %) und Italien (2 %). Abgeschlossen werden die Top 10 von Rumänien (1,7 %).
Nach den Ergebnissen des Monats büßte China (1,4 %) sieben Positionen ein und war damit nicht mehr unter den ersten Zehn, wobei der Anteil dieses Landes um fast zwei Prozentpunkte zurückging.
Erwähnenswert ist auch, dass im Januar die Spam-Aktivität in Ländern wie Großbritannien (1,4 %), Deutschland (1,3 %) und Frankreich (0,9 %) leicht zunahm.
Spam-Herkunftsregionen
Bei den Spam-Herkunftsregionen liegt nach wie vor Asien (49 %) an erster Stelle. Allerdings nahm der Anteil der aus dieser Region versendeten Spam-Menge im Vergleich zum Dezember um 7,6 Prozentpunkte ab. Auf Position zwei befindet sich Nordamerika (22,7 %), dessen Wert um 2,8 Prozentpunkte zunahm. Abgeschlossen wird das Führungstrio von Osteuropa (15 %). Hier wurde mit einem Plus von 1,3 Prozentpunkten ebenfalls ein Anstieg der verschickten Spam-Menge registriert. Es folgen Westeuropa (5,8 %) und Lateinamerika (4 %).
Schädliche Anhänge
Im Januar sahen die Top 10 der via E-Mail verbreiteten Schadprogramme folgendermaßen aus:
Top 10 der ia E-Mail verbreiteten Schadprogramme
Am häufigsten im E-Mail-Traffic anzutreffen ist nach wie vor der Schädling Trojan-Spy.HTML.Fraud.gen. Zur Erinnerung: Vertreter der Trojaner-Familie Fraud.gen sind als gefälschte HTML-Seite umgesetzt. Sie tarnen sich als wichtige Benachrichtigungen von Banken, Online-Shops sowie verschiedenen Dienstleistern und werden via E-Mail verbreitet.
Auf den Plätzen zwei, drei, vier, acht und neun positionierten sich Trojan-PSW.Win32.Fareit.amzb, Trojan-PSW.Win32.Fareit.anaq, Trojan-PSW.Win32.Fareit.annp, Trojan-PSW.Win32.Fareit.anai sowie Trojan-PSW.Win32.Fareit.amzs. Alle diese Schädlinge kommen aus einer Familie, stehlen Passwörter und senden sie dann an den Steuerungsserver der Cyberkriminellen. Zudem können sie DDoS-Attacken durchführen sowie beliebige Software herunterladen und ausführen. Alle fünf Samples laden und starten Trojaner der Familie Zbot, die für Angriffe auf Server und Clients und das Abfangen von Daten entwickelt wurden. Obwohl der Trojaner verschiedene schädliche Aktionen ausführen kann, wird er in den meisten Fällen für den Diebstahl von Bankinformationen eingesetzt. Zudem kann er auch CryptoLocker installieren, ein Schadprogramm, das Daten des Anwenders verschlüsselt und „Lösegeld“ für die Dechiffrierung fordert. Trojan-PSW.Win32.Fareit.anai lädt ebenfalls einen Trojaner, der wiederum eine schädliche Browser-Erweiterung installiert. Diese analysiert die Suchanfragen des Anwenders bei großen Suchmaschinen und ändert die Trefferlisten den Interessen der Cyberkriminellen entsprechend. Zudem stehlen die Schädlinge der Familie Fareit Bitcoin-Geldbörsen und andere Kryptowährungen (insgesamt etwa 30 verschiedene).
Die fünfte Position belegt der Spam versendende Netzwurm Asprox. Dieser Schädling infiziert automatisch Webseiten, lädt und startet andere Software, und sammelt wertvolle Informationen auf dem Computer, wie etwa dort gespeicherte Passwörter und Zugangsdaten zu E-Mail- und FTP-Accounts.
Email-Worm.Win32.Bagle.gt schließt die Top 10 der Schadprogramme im E-Mail-Traffic ab. Dieser E-Mail-Wurm verschickt sich selbst an alle E-Mail-Adressen, die er auf einem infizierten Computer findet. Zudem ist der Wurm in der Lage, ohne Wissen des Anwenders Dateien aus dem Internet zu laden. Für den Versand von Mitteilungen benutzt Email-Worm.Win32.Bagle.gt eine eigene SMTP-Bibliothek.
Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern
Im Rating der Länder nach Zahl der Alarme von Kaspersky Anti-Virus belegten im Januar die USA (plus 3,5 Prozentpunkte) den ersten Platz und verwiesen Großbritannien damit auf Rang zwei (minus 3,41 Prozentpunkte). Den dritten Platz besetzt nach wie vor Deutschland (minus 0,39 Prozentpunkte).
Der Anteil der Alarme von Kaspersky Anti-Virus auf russischem Gebiet hat gegenüber dem Dezember 2013 zugenommen und betrug insgesamt zwei Prozent. Deutlich gestiegen ist der Anteil der Alarme in Mexiko und Südafrika, so dass diese Länder nun unter den ersten 20 sind und die Plätze 17 respektive 18 belegen.
Besonderheiten im Schad-Spam
Im vergangenen Monat konzentrierte sich die Aufmerksamkeit der Cyberkriminellen auf Anwender des plattformübergreifenden Kurznachrichtendienstes WhatsApp für Smartphones, der weltweit immer beliebter wird. WhatsApp ermöglicht das Versenden von Textmitteilungen sowie den Austausch von Fotos, Video- und Audiodateien. Die Tatsache, dass WhatsApp derzeit nur auf Smartphones verfügbar ist, und dass für die Anmeldung keine E-Mail-Adresse notwendig ist, hielt die Cyberkriminellen nicht davon ab, Spam-Benachrichtigungen per E-Mail zu verschicken.
Die Kaspersky-Experten entdeckten E-Mails, die als Benachrichtigung von WhatsApp daher kamen, und in denen es hieß, dass einer der Freunde des Empfängers oder einfach „Ihr Bekannter“ eine Fotografie oder ein Bild geschickt habe. Doch in dem an die E-Mail angehängten Archiv befand sich in Wahrheit ein Schadprogramm, das die Lösungen von Kaspersky Lab als Backdoor.Win32.Androm.bjkd erkennen. Das ist ein bekannter Backdoor, dessen Hauptfunktion darin besteht, andere Schadprogramme auf einen infizierten Computer zu laden.
Phishing
Das Rating der von Phishern angegriffenen Organisationen war im Januar keinen bedeutenden Veränderungen unterworfen.
Top 100 der am häufigsten von Phishern angegriffenen Organisationen nach Kategorien
Das Kategorien-Ranking der von Phishern angegriffenen Organisationen wird auf Grundlage der Alarme der Anti-Phishing-Komponente auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Das Anti-Phishing-Modul erkennt alle Phishing-Links, die Anwender aufrufen, wobei die Links in einer Spam-Mitteilung oder im Internet platziert sein können.
Den ersten Platz behaupten die Sozialen Netzwerke (27,3 %), deren Wert im Januar um 0,9 Prozentpunkte gestiegen ist. Die Anteile der E-Mail-Dienste (19,7 %) und Suchsysteme (16,9 %) sind ebenfalls geringfügig gestiegen, so dass auch diese Kategorien ihre Positionen (zwei und drei) behaupten konnten.
Der Anteil der Finanz- und Bezahlorganisationen (15,7 %) ging um 0,2 Prozentpunkte zurück, womit diese Kategorie auf Platz vier verharrt.
Die Telefon- und Internetprovider (8,29 %) und die IT-Anbieter (5,93 %) haben geringfügig nachgelassen, die Plätze fünf und sechs konnten sie allerdings für sich behaupten.
Im Januar verschickten die Phisher gefälschte Mitteilungen im Namen bekannter Internet-Shops. Dem Empfänger eines betrügerischen Schreibens, das vom „Manager“ der US-amerikanischen Einzelhandelskette Walmart unterschrieben war, wurde mitgeteilt, dass seine Bestellung nicht zugestellt werden könne, und er nun zur Lösung des Problems ein Formular ausfüllen und es innerhalb einer Woche zurücksenden müsse. Um den Empfänger von der Legitimität des Schreibens zu überzeugen, imitierten die Betrüger in der E-Mail die Aufmachung der offiziellen Walmart-Webseite, benutzten zudem das Unternehmenslogo und setzten eine Signatur unter die E-Mail. Das Fehlen einer persönlichen Anrede und die Auflistung gleich mehrerer Gründe für die Unzustellbarkeit der Lieferung sollten den Empfänger allerdings trotzdem misstrauisch machen.
Im Januar stießen die Kaspersky-Experten außerdem auf deutschsprachige Phishing-Versendungen im Namen von Amazon. Darin wurde dem Empfänger mitgeteilt, dass von einem fremden Computer auf seinen Account zugegriffen worden sei. Daher wurde er gebeten, seine Registrierungsdaten innerhalb von 48 Stunden zu bestätigen, andernfalls würde sein Konto gesperrt. Ans Ende des Schreibens setzten die Cyberkriminellen einen Link auf eine Phishing-Seite. Allerdings erinnerte äußerlich nichts an eine echte Mitteilung von Amazon. Offensichtlich setzten die Betrüger in diesem Fall vielmehr auf die Unerfahrenheit und Unaufmerksamkeit des Empfängers, indem sie einfach eine auf den ersten Blick echt erscheinende E-Mail-Adresse in das Absender-Feld eintrugen.
Fazit
Der Spam-Anteil im globalen Traffic ging im Januar um 7,6 Prozentpunkte zurück und betrug damit 65,7 Prozent. Wie von Kaspersky Lab vorhergesagt, wirkte sich die durch die Feiertage verursachte Flaute Anfang des Monats auf den Spam-Anteil insgesamt aus. Während dieser Zeit geht die Geschäftstätigkeit (in Russland) zurück und viele Botnetze sind abgeschaltet.
Die Spam-Versendungen enthielten Werbung für verschiedene Geschenke und Angebote für die Organisation von Events oder Kurzreisen. Ein anderes Fest, der Valentinstag, wurde sowohl im englischsprachigen als auch im russischsprachigen Spam ausgenutzt. Wir registrierten traditionelle Versendungen von „Blumen-Partnerprogrammen“, Werbung für romantische Abendessen und vielfältige Angebote für Geschenke zu diesem Anlass.
Wie erwartet verschickten die Spammer auch weiterhin „nigerianische“ E-Mails, die den Tod Nelson Mandelas ausnutzen – dieses Mal stellten sich die Betrüger als Ehefrauen beziehungsweise Rechtsanwälte der Ehefrauen des ehemaligen Präsidenten vor. Zudem bezogen sich Online-Verbrecher im Januar auch auf den Tod von Ariel Sharon, um Anwender über den Tisch zu ziehen.
Ein weiteres wichtiges Ereignis, das die Aufmerksamkeit der Spammer im Januar auf sich zog, waren die Olympischen Winterspiele in Sotchi. Im ersten Monat des Jahres beobachteten wir Versendungen mit Werbung für imitierte Luxuswaren und Accessoires, die das Logo der Spiele tragen.
Das Rating der von Phishern angegriffenen Organisationen veränderte sich im Januar nur unwesentlich. Die Spitzenposition belegen die Sozialen Netzwerke, deren Anteil um 0,9 Prozentpunkte gestiegen ist. Es folgen E-Mail-Dienste und Suchsysteme, die ebenfalls geringfügig zugelegt haben.
Bei den gefälschten Mitteilungen mit integrierter Malware liegen nach wie vor die auf der ganzen Welt beliebten Sozialen Netzwerke vorn, ebenso wie IM-Anwendungen. Im Januar verschickten Cyberkriminelle auch schädliche Benachrichtigungen im Namen von WhatsApp, dem plattformübergreifenden Messaging-Anwendung für Smartphones.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt