Eleven Internet Threats Trend Report 2. Quartal

Eleven Internet Threats Trend Report 2. Quartal 2013
Überblick
Im zweiten Quartal 2013 sank das globale Spam-Aufkommen zwar insgesamt, nahm in
bestimmten Regionen und Ländern jedoch deutlich zu. Dies ist ein Beweis für den
wachsenden Trend hin zu immer mehr lokalisierten Kampagnen. „Diät“ erlebte ein
Revival als führendes Spam-Thema, und die meisten Spam-Mails weltweit kamen aus
Weißrussland. Aktuelle Meldungen wurden beinahe in Echtzeit verwendet, um Malware
zu verbreiten. Die Zahl der mit Malware infizierten Websites erhöhte sich weiter,
während das Phishing-Niveau sank.
Spam-Trends
Im zweiten Quartal 2013 sank das Spam-Aufkommen im Vergleich zum ersten Quartal.
Zwar wurden im April relativ große Mengen an Spam verzeichnet, doch sank das
Niveau im Mai um 32 Prozent und dann im Juni noch einmal um 15 Prozent.
Durchschnittlich gab es im Juni täglich etwa 54 Milliarden Spam-Mails pro Tag – das ist
der niedrigste Stand seit Jahren. Am 30. Juni gab es sogar „nur“ 36 Milliarden E-Mails.
Der Anteil von Spam am gesamten E-Mail-Verkehr sank im Juni auf den historischen
Tiefstand von 64 Prozent.
März bis Juli
2013: SpamNiveau
März bis Juli
2013: Anteil
an Spam
von allen EMails
Im zweiten Quartal gab es eindeutige Hinweise auf eine wachsende Tendenz zu mehr
örtlich gezielten Spam-Kampagnen, was das Spam-Volumen auf höchst signifikante
Weise beeinflusste. Ganz deutlich wird dies, wenn man die globalen Zahlen mit der
Entwicklung des Spam-Niveaus in Deutschland vergleicht. Deutsche E-Mail-User
verzeichneten ein um 32,2 Prozent höheres gesamtes Spam-Aufkommen im zweiten
Quartal gegenüber dem ersten Quartal 2013. Der Anteil von Spam am gesamten EMail-Volumen stieg über die 80-Prozent-Marke und erreichte im zweiten Quartal einen
Durchschnitt von ganzen 81,2 Prozent. Dies ist eine deutliche Steigerung gegenüber
Januar, als der Spam-Anteil bei 60 Prozent lag. Dies war zumindest zum Teil den
großen Spam-Aufkommen am 25. Juni geschuldet, als es Spam-Mengen gab, wie man
sie zuletzt im November 2011 beobachtet hatte. An dem Tag war das SpamAufkommen dreimal höher als am Vortag. Diese große Spitze war auf mehrere SpamWellen zurückzuführen, die Werbung für Online-Casinos machten.
Im zweiten Quartal 2013 setzte sich ein bereits im ersten Quartal beobachteter Trend
fort: Der Missbrauch aktueller Meldungen zur Verbreitung von Malware und die schnelle,
wahrscheinlich mindestens semiautomatische Anpassung an aktuelle Nachrichten –
man könnte dies als Echtzeit-Spam bezeichnen. Die wichtigste Kampagne dieser Art
wurde kurz nach den Terroranschlägen auf den Boston Marathon gelauncht. Kurz
danach wurden E-Mails mit einem Link zu einer Website verschickt, die angeblich
exklusives Videomaterial von den Vorfällen enthielt. Ein weiteres Beispiel für EchtzeitSpam zeigte sich bereits am folgenden Tag: Die Kampagne wurde fortgesetzt, dieses
Mal jedoch mit angeblichen Videos der tödlichen Gasexplosion in der texanischen Stadt
Waco. Dieser Trend ist bereits heute eine der wichtigsten Entwicklungen des Jahres
2013 und wird sich sicherlich fortsetzen.
Die E-Mails enthielten Betreffzeilen wie:

CAUGHT ON CAMERA: Fertilizer Plant Explosion

CAUGHT ON CAMERA: Fertilizer Plant Explosion Near Waco, Texas

Fertilizer Plant Explosion Near Waco, Texas

Texas Explosion Injures Dozens

Raw: Texas Explosion Injures Dozens

Texas Plant Explosion
Ähnliche E-Mails gab es zu dem Thema Boston Marathon, z. B.:

Video of Explosion at the Boston Marathon 2013

BREAKING – Boston Marathon Explosion

Explosion at Boston Marathon

Aftermath to explosion at Boston Marathon
Die Links leiteten zu Websites weiter, die eingebettete YouTube-Clips von den
Bombenanschlägen zeigten. Die E-Mails zur Explosion in Texas führten zu nahezu
identischen Seiten. Beide Seiten enthielten einen unsichtbaren iframe, der zum
Download einer ausführbaren Malware-Datei führte.
Eine weitere, nicht ganz neue Entwicklung ist, dass der Zweck einer Spam-Mail
verborgen wird. Weil fast alle E-Mail-Nutzer gelernt haben, E-Mails zu ignorieren, die
ihnen wundersame Arzneimittel versprechen, versuchen Pharma-Spammer schon
lange, das Thema zu verschleiern. Im zweiten Quartal entdeckte Commtouch
Kampagnen, in denen scheinbar persönliche Einladungen zum beliebten OnlineSpeicherdienst Dropbox gefälscht wurden und die Anwender stattdessen zu Websites
wie „U.S. Drugs“ führten, die blaue und andere Pillen anboten.
Spam-Themen
Nach dem Revival von Pump-and-dump-Spam im ersten Quartal 2013 feierte ein
weiteres altbekanntes Spam-Thema im zweiten Quartal ein großes Comeback: E-Mails,
die für angeblich wundersame Medikamente und Methoden für den Gewichtsverlust
werben. Der Anteil solcher E-Mails am gesamten Spam-Aufkommen stieg im zweiten
Quartal von 0,4 auf 10,9 Prozent und belegte damit Platz zwei der am meisten
verbreiteten Spam-Themen. Die am weitesten verbreitete Diätzutat vieler dieser
Kampagnen waren grüne Kaffebohnen. Pillen mit dieser „magischen“ Zutat wurden in
Nachrichten angepriesen, die wie aktuelle Meldungen daherkamen, indem sie die Logos
diverser Nachrichtenkanäle und Fernsehsendungen verwendeten, um sich selbst einen
Anschein der Glaubwürdigkeit zu verleihen und ihre Angebote glaubhafter aussehen zu
lassen.
Spam-Thema Nummer eins blieb Pharma-Spam, vor allem Werbung für Viagra und
ähnliche Medikamente, auch wenn ihr Anteil am gesamten Spam-Aufkommen deutlich
zurückging: von 16,3 Prozent im ersten Quartal auf 11,7 Prozent im zweiten Quartal.
Halblegale und illegale Jobangebote blieben ebenfalls eines der zentralen Themen im
Bereich der Spam-E-Mails. Diese Kampagnen zielen vor allem darauf ab, dass die
Empfänger als Geldkuriere agieren und so bei der Geldwäsche helfen. Job-Spam war
mit einem Anteil von 9,1 Prozent das drittgrößte Spam-Thema im zweiten Quartal, ein
bisschen weniger als die 12,1 Prozent im ersten Quartal. Casino-Spam-E-Mails – im
ersten Quartal noch auf dem zweiten Platz – fielen im zweiten Quartal zurück auf Platz
fünf und gingen von 14,1 auf 8,6 Prozent zurück, auch wenn sie für die bislang größte
Spam-Welle des Jahres verantwortlich waren. Dating-Spam blieb mit einem stabilen
Niveau und einem Anteil von 8,8 Prozent im zweiten Quartal ebenfalls relevant.
Das Revival von Penny-Stock- oder Pump-and-Dump-Spam ging im zweiten Quartal
weiter. Typischerweise dauerten Pump-and-Dump-Kampagnen durchschnittlich vier
Tage und begannen oft noch vor dem Wochenende. Dabei wird versucht, angebliche
Insider-Tipps zu teilen, die die Empfänger dazu verleiten sollen, eine bestimmte Aktie zu
kaufen, wenn die Märkte am folgenden Montag öffnen, wodurch der Preis steigt und
Spammer, die zuvor Aktien gekauft haben, sie dann verkaufen können und so Geld
verdienen. Doch seit Kurzem weichen einige Kampagnen vom etablierten Muster ab
und dauern mehrere Wochen. Sinn und Zweck dieser neuen Taktik bleibt unklar.
Auch wenn der Anteil von betrügerischen 419-E-Mails weiterhin unter einem Prozent
liegt, hat sich die Zahl im zweiten Quartal mehr als verdreifacht, nachdem sie noch im
vierten Quartal 2012 auf einem konstanten Niveau war. Diese Art Spam war somit die
einzige der großen Kategorien, die sich in absoluten Zahlen mehr als verdoppelte –
abgesehen von Diät-Spam-Mails, die im Vergleich zum ersten Quartal im Volumen um
mehr als 3,7 Prozent zunahmen.
Spam-Zombies
Im zweiten Quartal 2013 blieb Indien auf dem ersten Platz der Länder mit den meisten
Spam-versendenden Bots (19,3 Prozent), gefolgt vom Iran mit einem deutlichen Anstieg
von fast 8 Prozent. Brasilien, früher führend im Bereich Zombies und in den
vergangenen vier Jahren mit einem festen Platz in den Top 15, hat es endlich aus der
Liste herausgeschafft, ebenso Kasachstan und Spanien. Neu dabei sind Italien, Serbien
und Mexiko.
Spam-Herkunftsländer
Nachdem die USA im ersten Quartal 2013 die Spam-Liste anführten, fielen sie im
zweiten Quartal auf den zweiten Platz und wurden von Weißrussland abgelöst, das für
14,8 Prozent aller Spam-Mails verantwortlich zeichnete (vormals Platz zwei und mit
einem Zuwachs von 6,5 Prozent), während der Anteil der USA von 9,1 auf 6,3 Prozent
sank. In absoluten Zahlen verdreifachte sich die Menge von Spam aus Weißrussland im
Vergleich zum ersten Quartal, während die Zahl der Spam-Mails aus den Vereinigten
Staaten um 10 Prozent abnahm.
In geografischer Hinsicht waren die Top 10 weit verteilt – mit drei asiatischen Ländern,
zweien aus Osteuropa, zweien aus Südamerika, zweien aus Südeuropa und einem aus
Nordamerika. Auffällig war die Abwesenheit langjähriger Top-Spammer wie Brasilien
und Russland sowie das völlige Fehlen mittel- und westeuropäischer Länder.
Insgesamt zeichneten die zehn größten Spam-Länder für mehr als die Hälfte aller
Spam-Mails verantwortlich. Ihr gemeinsamer Anteil betrug 54,1 Prozent, wobei die Top
5 mehr als ein Drittel aller Spam-Mails (37,1 Prozent) verschickten. Diese Zahlen lagen
signifikant höher als im ersten Quartal, als die Top 10 einen Anteil von 47,7 Prozent und
die Top 5 30,5 Prozent ausmachten. In Anbetracht der Tatsache, dass das SpamAufkommen im zweiten Quartal zunahm, war ein wichtiger Trend im zweiten Quartal die
geografische Konzentration der Spam-Verteilung.
Malware-Trends
Web-Malware
Die Zahl der mit Malware infizierten Websites hat sich weiter erhöht. Bis Juni waren 34
Prozent mehr bösartige Websites in Commtouchs URL-Filter-Datenbank GlobalViewTM
verzeichnet als im April. Die Kategorien der Websites, die am ehesten mit Malware
kompromittiert wurden, sind in der Tabelle unten zusammengefasst.
Kategorien von mit Malware infizierten Websites
Rang
Kategorie
Rang
Kategorie
1
Aus-/Fortbildung
6
Pornografie/sexuell explizit
2
Reise
7
Freizeit/Hobby
Restaurants/Essen und
3
Business
8
Trinken
4
Sport
9
Gesundheit und Medizin
5
Verkehr
10
Immobilien
Im zweiten Quartal 2013 war wieder eine umfangreiche Verwendung diverser WebExploit-Kits zu verzeichnen. Gefälschte LinkedIn-Einladungen und FacebookBenachrichtigungen waren sehr beliebt, wenn es darum ging, die Empfänger dazu zu
verleiten, infizierte (kompromittierte) Websites zu besuchen.
E-Mail-Malware
Nach mehreren großen Ausbrüchen im März sank das Aufkommen von E-Mail-Malware
im April um 30 Prozent, bevor es im Mai und Juni wieder auf durchschnittlich 2,3
Milliarden E-Mails pro Tag anstieg.
In puncto Verteilung von Malware per E-Mail waren in der Jahreshälfte 2013 zwei
wichtige Trends zu verzeichnen: Ein Trend ist die zunehmende Lokalisierung von
Malware-E-Mail-Kampagnen. Sie richten sich zunehmend an bestimmte Länder oder
Regionen und weisen zwei wichtige Elemente auf: Erstens sind sie in der Sprache der
Zielgruppe verfasst und zweitens verwenden sie Marken, Services und Produkte, die in
der entsprechenden Region beliebt sind, damit die E-Mails echt erscheinen und
Benutzer dazu verleiten, Anlagen mit Malware zu öffnen. Im zweiten Quartal entdeckte
das Commtouch-Forschungsteam Kampagnen, die speziell auf deutsche und britische
Nutzer ausgerichtet waren, sowie Malware-E-Mails auf Spanisch, Italienisch und
Niederländisch, die als Köder für die Empfänger lokale Marken verwendeten.
Der zweite Trend bezieht sich auf das Lieblingswerkzeug der Malware-Absender, wenn
es darum geht, Benutzer dazu zu bringen, auf angehängte Dateien zu klicken:
gefälschte Auftragsbestätigungen, Rechnungen und ähnliche Dokumente. Im zweiten
Quartal sind sie für Absender von Malware-E-Mails zur beliebtesten Methode geworden.
Handy-Anbieter sind als Ziel besonders beliebt – hier reichen die Taktiken von
gefälschten monatlichen Rechnungen bis hin zu Meldungen, die den Benutzer darüber
informieren, er habe eine neue MMS erhalten. Ebenfalls beliebt bei Cyberkriminellen
blieben Buchungsbestätigungen für Hotels sowie Bestellungen bei Online-Shops (wie
die unten gezeigte Amazon-Bestellung). Eine dieser Kampagnen zielte auf OnlineKunden des beliebten britischen Einzelhändlers Sainsbury ab, eine andere große
Kampagne verschickte echt aussehende Buchungsbestätigungen für Züge. Auch die
Post diente als Tarnung für Malware. In vielen dieser Fälle sehen die gefälschten EMails sehr professionell aus und übernehmen Inhalte tatsächlicher E-Mails inklusive der
Originallogos und -designs.
In diesen Kampagnen verwendete man bei den E-Mails einen besonders effektiven
Trick: Zusätzlich zur Anlage mit der Malware enthielten die E-Mails noch einen oder
mehrere Links. Diese leiteten dann oft auf die Original-Websites des Dienstleisters oder
Unternehmens weiter. Die Idee dahinter: Falls der Benutzer auf den Link klickt und
feststellt, dass er zu einer echten Website führt, kann ihn dies dazu verleiten, der
gesamten E-Mail zu vertrauen und schließlich den Anhang zu öffnen.
Phishing-Trends
Die Phishing-Landschaft war im zweiten Quartal relativ ruhig, das Phishing-Niveau sank
um 64 Prozent. Das beliebteste Phishing-Ziel blieb im zweiten Quartal der OnlineBezahldienst PayPal. Der grundlegende Trick blieb der gleiche: In der Regel
behaupteten die E-Mails, dass das Benutzerkonto gesperrt worden sei und der Benutzer
seine Daten erneut eingeben müsse, um es zu aktivieren. Auch Banken bleiben das Ziel
von Phishing-Aktivitäten. Die Mehrheit der Kampagnen waren gezielte Angriffe auf die
Nutzer aus einem bestimmten Land mit lokalen Banken und in der jeweiligen Sprache,
um so die Chance ihrer Akzeptanz zu erhöhen.
Commtouchs Forschungsteam identifizierte zudem mehrere kompromittierte E-MailKonten, die Links zu einem „Google doc“ verschickten. Empfänger, die auf den
entsprechenden Link klickten, erhielten die Option, sich bei einer ganzen Reihe
verschiedener E-Mail-Anbieter wie Google Mail, Yahoo, AOL, Windows Live sowie unter
„andere E-Mails“ einzuloggen.
Die folgende Tabelle fasst die Kategorien legitimer Websites zusammen, auf denen am
ehesten Phishing-Seiten versteckt waren.
Kategorien von mit Phishing infizierten Websites
Rang
Kategorie
Rang Kategorie
1
Business
6
Medien-Streaming
2
Computer/Technologie
7
Immobilien
3
Blogs
8
Gesundheit/Medizin
4
Shopping
9
Sport
5
Aus-/Fortbildung
10
Freizeit/Hobby