eleven E-Mail Security Report April 2012

Das Spam-Aufkommen blieb im ersten Quartal 2012 weitgehend stabil und ging gegenüber Dezember 2011 leicht um 3,7 Prozent zurück. Nach einem Rückgang um 9,5 Prozent im Februar blieb das Spam-Volumen im März 2012 mit einem minimalen Rückgang von 0,1 Prozent praktisch unverändert. Damit verharrt es in etwa auf dem niedrigen Niveau des Jahresendes 2011, als das Spam-Aufkommen allein im Dezember 2011 um 70,3 Prozent gesunken war. Im März lag das Spam-Volumen um 55,4 Prozent unter dem des gleichen Vorjahresmonats.


Abgesehen von einer großen Casino-Spam-Welle am 26. März 2012, die das Spam-Volumen innerhalb kurzer Zeit um etwa 60 Prozent steigen ließ, blieben die großen Schwankungen, welche die Spam-Entwicklung 2011 gekennzeichnet hatten, im ersten Quartal 2012 weitgehend aus.

Auch der Anteil von Spam am gesamten E-Mail-Aufkommen verblieb in etwa auf dem Niveau des Jahresendes 2011. Zwischen Januar und Dezember 2011 war der Spam-Anteil von 90,2 auf 74,8 Prozent gefallen. Im Januar lag er bei 75,1 Prozent, im Februar bei 71,3 Prozent und im März 2012 betrug er 72,9 Prozent. Der Anteil „cleaner“ E-Mails betrug im März 18,2 Prozent, legitime Massen-E-Mails (z.B. Newsletter) machten 6,6 Prozent aus, Malware-E-Mails steigerten ihren Anteil auf 0,8 Prozent. 0,25 Prozent des gesamten E-Mail-Aufkommens waren Phishing-E-Mails.

Spam-Themen

Während Pharma-Spam mit 25,0 Prozent im März 2012 seine Spitzenposition bei den Spam-Themen behielt, holte Casino-Spam, wichtigstes Spam-Thema des Jahres 2011, wieder auf und lag mit 19,1 Prozent nur noch knapp auf Platz 2. Hinter gefälschten Luxusartikeln (11,1 Prozent) folgten Job-Angebote mit 7,7 Prozent auf Platz 4. Im Januar lagen diese Nachrichten, in denen meist Menschen gesucht werden, die bereit sind, sich an Geldwäsche zu beteiligen, nur bei 0,35 Prozent.

Erstmals seit November 2011verzeichnete das eleven Reserch-Team im März wieder eine massive Casino-Spam-Welle, wie sie für 2011 typisch war. Innerhalb kurzer Zeit stieg das gesamte Spam-Aufkommen um etwa 60 Prozent. In der Vergangenheit traten solche Wellen mit wachsender Häufigkeit auf und dauerten meist nicht länger als zwei Stunden, oft sogar deutlich kürzer. Genauso schnell wie sie einsetzten, versiegten sie auch wieder. In diesem Punkt unterschied sich die März-Welle von ihren Vorgängern: Statt auf einmal zu enden, wurde sie nur langsam schwächer und war erst nach einigen Tagen vollständig verschwunden. Möglicherweise deutet sich hier ein neues Versandmuster für diese Art von Kampagnen an. Im Gegensatz dazu erfolgt der Versand von Pharma-Spam deutlich gleichmäßiger und kann über Wochen hinweg anhalten.

Herkunftsländer

Der Spam-Versand wurde im ersten Quartal 2012 weiterhin von asiatischen und osteuropäischen Ländern dominiert. Unter den Top 10 befanden sich fünf Länder aus Asien und drei aus Osteuropa. Größte Spam-Quelle war weiterhin Indien mit einem Anteil von 11,7 Prozent, gefolgt von Russland (7,5 Prozent) und Brasilien (7,1 Prozent). Im März fanden sich auch zwei prominente „Neulinge“ unter den zehn größten Spam-Versendern: Der langjährige Spitzenreiter USA, der in Folge der Abschaltung des weltgrößten Botnets Rustock im März 2011 aus den Top 10 gefallen war, kehrt erstmals seit einem Jahr wieder auf die Liste zurück und belegte mit einem Anteil von 3,3 Prozent Rang 9. Eine längere Abwesenheit in den Top 10 beendete China mit Platz 10 (2,8 Prozent). Der Anteil westlicher Industrieländer, die vor der Rustock-Abschaltung eine wichtige Rolle beim Spam-Versand spielten, nimmt langsam wieder zu. Im März befanden sich neben den USA auch Spanien (Platz 18, 1,6 Prozent) und Deutschland (Platz 20, 1,4 Prozent) unter den Top 20. Im Februar lagen auch Frankreich (Platz 10) und Italien Platz 10 unter den 20 wichtigsten Spam-Quellen.

Generell ließ sich in den vergangenen Monaten eine stärkere Fluktuation bei den Spam-Versendern beobachten, die sich unter anderem in häufigen Verschiebungen der Spam-Anteile aber auch in einer Zunahme von Spam beispielsweise aus Westeuropa ausdrückte. Dies deutet darauf hin, dass die zum Spam-Versand genutzten Infrastrukturen derzeit in Bewegung sind. Auch vor dem Hintergrund zahlreicher Botnet-Abschaltungen in den letzten Monaten geht das eleven Research-Team davon aus, dass sich derzeit einige neue oder restrukturierte Botnets im Aufbau befinden, welche die verloren gegangenen Infrastrukturen zumindest teilweise ersetzen sollen.

Spam-Trends

Neben einer Veränderung im Verbreitungsverhalten von Casino-Spam (siehe oben) zeichneten sich die Monate Februar und März 2012 durch einige wesentliche Spam-Trends aus: Die größte Zunahme verzeichnete das eleven Research-Team bei illegalen Job-Angeboten. Die größte Welle (6,32 %) wurde hauptsächlich zwischen dem 5. und 26. März versendet. Die E-Mails hatten den Betreff „Leichte Arbeit“ und bewarben eine scheinbar leichte und gut bezahlte Arbeit, deren Voraussetzung ein deutsches Bankkonto ist. Dabei handelte es sich um Angebote für so genannte Money Mules, die ihre Konten für Geldwäsche zur Verfügung stellen sollten. In der E-Mail wurde als Kontakt eine E-Mail-Adresse bei einer seriös klingenden Domain angegeben, zum Beispielkoet-gruppe.com. Der Webserver, der für die Domain zuständig ist, lieferte eine leere Internetseite zurück.

Eine der auffälligsten Spam-Kampagnen zeigte eine neue Fecette von Event-Spam auf, bei dem aktuelle Ereignisse als Anlass und Köder für Spam-Kampagnen eingesetzt werden. In diesem Fall diente die Schließung des Filehosters Megaupload als Anlass für gefälschte Abmahnschreiben einer angeblichen Rechtsanwaltskanzlei. Die E-Mails stammten von einer angeblichen Münchner Rechtsanwaltskanzlei namens Kroner & Kollegen und trugen die Betreffzeile „Abmahnung wegen Urheberrechtsverletzung – Filesharing“. Im Anhang befand sich ein PDF, welches den Sachverhalt der E-Mail wiederholt und einen teilweise ausgefüllten Überweisungsträger enthält. Das beigefügte Dokument im PDF-Format wirkte auf den ersten Blick seriös und trug den Briefkopf der vermeintlichen Kanzlei. Es wies jedoch eine Reihe inhaltlicher und formaler Fehler auf: So wurden die heruntergeladenen Inhalte nicht benannt und auch auf eine Unterlassungserklärung wurde verzichtet. Die enthaltene Drohung, eine Nichtzahlung an die Schufa zu melden, ist nicht zulässig. Darüber hinaus fehlten Pflichtangaben anwaltlicher Schreiben, wie Signatur und Angaben zur zuständigen Rechtsanwaltskammer. Die „Kanzlei“ hatte keine Festnetz- oder Faxnummern, lediglich eine Mobilfunknummer war angegeben. Die Bankverbindung für die Zahlung der Vergleichssumme verwies auf ein slowakisches Kreditinstitut, die Internet-Domain wurde in Österreich registriert. Die Website war professionell gestaltet, jedoch schon am nächsten Tag nicht mehr erreichbar. Verdächtig war schließlich auch die enorme Diskrepanz zwischen dem Gegenstandswert (10.000 Euro) und der geforderten Summe (146,95 Euro). Die relativ niedrige Summe sollte offenbar die Bereitschaft zu zahlen fördern, ohne die Rechtmäßigkeit der Forderung zu prüfen.

Phishing

Im ersten Quartal 2012 nahm die Anzahl der Phishing-E-Mails deutlich um 169,6 Prozent zu, allein im März betrug das Wachstum 152,9 Prozent. Der Anteil am gesamten E-Mail-Aufkommen stieg von 0,1 Prozent im Januar auf 0,25 Prozent im März 2012. Innerhalb eines Jahres stieg das Phishing-Volumen um 466,5 Prozent an.

Dabei setzte sich auch im Februar und März der Trend regionalisierter Phishing-Kampagnen fort, die sich beispielsweise gezielt an deutschsprachige Nutzer wenden. Erneut verzeichnete das eleven Research-Team eine Reihe von Kampagnen, die in gutem Deutsch verfasst waren und vorgaben, von regionalen Unternehmen zu stammen. Damit steigt die Wahrscheinlichkeit, dass Nutzer die E-Mails als echt und für sich relevant ansehen. Dadurch erhoffen sich die Phisher eine deutliche Verbesserung der Öffnungs- und Reaktionsrate ihrer Kampagnen.

Insbesondere Bezahldienste und Online-Shops standen im Februar und März 2012 im Fokus von Phishing-Wellen. „Ihr Konto! Mithilfe ist gefragt“, lautete die Betreffzeile einer auf Kunden von PayPal zielenden Kampagne. Die E-Mails behaupteten, die bei PayPal registrierte Kreditkarte hätte auffällige Aktivitäten aufgewiesen und sei daher gesperrt worden. Um sie wieder freizuschalten, sollte der Empfänger einem Link folgen, der ihn zu einer Phishing-Seite führte. Angebliche Kreditkarten- und Kontosperrungen gehören seit einiger Zeit zu den beliebtesten Phishing-Tricks, zunehmend kommen sie jedoch nicht mehr ausschließlich im Namen von Banken oder Kreditkartenunternehmen, sondern auch von Anbietern wie PayPal oder Amazon. Wie so oft wurde auch hier mit „norply@payment-pal.de“ eine Absender-Adresse eingesetzt, die bei flüchtigem Hinsehen als echt erscheinen könnte.

Eine weitere Kampagne richtet sich an deutsche Kunden des weltgrößten Online-Shops Amazon. Auch hier wurde behauptet, das Konto sei „eingeschränkt“ worden. Die Betreff-Zeile lautete: “Aktualisierung Ihrer Informationen.“ An die Phishing-E-Mail war ein HTML-Formular angehängt, in dem Informationen verlangt wurden, die angeblich zur Aufhebung der angeblichen Kontosperre nötig seien. Dazu zählten unter anderem die komplette Postanschrift, aber auch das Amazon-Passwort und die Kreditkartennummer mit dem 3D-Secure-Code. Auch der Mädchenname der Mutter wurde erfragt, eine beliebte Sicherheitsfrage für Passwörter.

Generell war zu beobachten, dass Phishing-E-Mails immer gezielter verbreitet werden und zunehmend professionell gestaltet sind. Insbesondere deutschsprachige Nutzer sind ein beliebtes Ziel von Phishing-Angriffen.

Malware

Das gesamte Malware-Volumen stieg im Februar 2012 um 252,8 Prozent, während es im März 2012 mit einem leichten Rückgang von 4,4 Prozent auf dem hohen Niveau des Vormonats blieb. Insgesamt stieg es seit Dezember 2011 um 83,7 Prozent. Allein die neuen Virenausbrüche stiegen in diesem Zeitraum um 81,8 Prozent. Größter Malware-Versender war erstmals Italien, das bei den bekannten Viren mit einem Anteil von 12,9 Prozent am Gesamt-Aufkommen Platz 1 und bei den Virenausbrüchen mit 11,3 Prozent Platz 2 belegte. Bei den bekannten Viren folgten China (10,8 Prozent) und Indien (10,6 Prozent) auf den Plätzen. Wichtigste Quelle neuer Schadsoftware war Taiwan mit 14,4 Prozent, auf Platz 3 landete Vietnam mit 8,9 Prozent.

Auch beim Malware-Versand spielen asiatische Länder eine entscheidende Rolle: Bei den bekannten Viren belegten sie im März vier der ersten zehn Plätze, bei den Ausbrüchen waren es sogar sieben. Stark vertreten waren auch Osteuropa, Westeuropa und Südamerika. Deutlich weniger Malware kam aus Deutschland: Bei den bekannten Viren fiel der Anteil zwischen Januar und März 2012 von 3,1 Prozent (Platz 7) auf 1,4 Prozent (Platz 19), bei den Virenausbrüchen von 3,7 Prozent (Platz 8) auf 1,5 Prozent (Platz 17).

Im Februar und März 2012 nahmen Malware-Attacken weiter zu.Es wurden vermehrt E-Mails mit HTML-Anhängen verschickt, die beim Öffnen im Browser den Rechner mit aus dem Internet nachgeladener Schadsoftware infizierten. Dabei wurde eine Sicherheitslücke in den Browsererweiterungen für PDF-Dokumente (Adobe Reader), Flash (Adobe Flash) oder Java (Oracle JDK) ausgenutzt. Die Schadsoftware wurde per Drive-By-Download auf den Rechner der Betroffenen ohne deren Wissen installiert. Eine dieser Kampagnen tarnte sich als Vodafone-Rechnung, die angeblich als PDF an die E-Mail angefügt war. Das PDF enthielt verschleierten JavaScript-Code, welcher versuchte, eine Sicherheitslücke im Adobe Reader auszunutzen, um anschließend Schadsoftware aus dem Internet nachzuladen und den Rechner mit einem Virus zu infizieren. Eine weitere Kampagne hatte den Betreff „Scan from a Xerox WorkCentre Pro“. Das angehängte HTML-Dokument versuchte dann, über einen iFrame eine URL aufzurufen, um von dort Malware nachzuladen.

Varianten des Zeus-Trojaners (auch ZBot genannt) dominierten die per E-Mail verbreitete Malware. Die beiden größten Mailings allein machten im März mehr als ein Drittel (36,8 Prozent) aller Malware-E-Mails aus. Ein weiteres knappes Drittel (27,4 Prozent) waren Varianten des MyDoom-Wurms, der seit 2004 verbreitet wird. Das am häufigsten eingesetzte Lockmittel für Viren-E-Mails stellten nach wie vor falsche Paketbenachrichtigungen dar. Mit Betreffzeilen wie: „DHL Express Notification for shipment“ sollte der Empfänger verleitet werden, den Anhang zu öffnen, der die Zustellbenachrichtigung versprach, in Wirklichkeit aber eine ausführbare Date enthielt, die den Trojaner oder Virus auf das System lud.

Quelle: eleven