Spam-Aufkommen

In den Monaten Juni und Juli 2011 hielt das Spam-Wachstum, das am 23. Mai 2011 begonnen hatte, weiter an. Zwischen Mai und Juli stieg das Spam-Volumen um 21,5 Prozent an. Dies stellt das erste kontinuierliche Spam-Wachstum seit der Abschaltung des weltgrößten Botnets Rustock am 16. März 2011 dar. Verantwortlich für den Anstieg waren Kampagnen für Online-Casinos, die in kurzen, aber massiven Wellen versandt wurden. Dadurch verzeichnete das eleven Research-Team auch eine deutliche Zunahme der Schwankungen des Spam-Aufkommens. Während das ständige Spam-Volumen sehr niedrig war, führten die Casino-Wellen zu erheblichen Spam-Spitzen, welche die Spam-Menge innerhalb kurzer Zeit um ein Vielfaches in die Höhe schnellen ließen.

Der erneute Spam-Anstieg führte auch dazu, dass der Anteil von Spam am gesamten E-Mail-Aufkommen wieder anwuchs. War er im Mai auf 78,7 Prozent eingebrochen, lag er im Juli 2011 wieder bei 83,1 Prozent. Legitime „cleane“ E-Mails lagen bei 10,8 Prozent, legitime Newsletter bei 3,7 Prozent. Der Anteil neuartiger Virenausbrüche (0,09 Prozent) lag erstmals deutlich über dem bekannter Malware (0,03 Prozent).

Spam-Themen

Im Juni und Juli 2011 fand eine deutliche Verschiebung bei den Spam-Themen statt. Werbung für Online-Casinos machte mit 54,2 Prozent mehr als die Hälfte aller Spam-E-Mails aus. Der langjährige Spitzenreiter Pharma-Spam lag mit 26,0 Prozent deutlich auf Platz 2, gefolgt von gefälschten Uhren (9,8 Prozent) und illegalen Job-Angeboten (4,6 Prozent). Fast verschwunden ist dafür Dating-Spam, der im Mai noch 7,7 Prozent des Spam-Volumens ausmachte und im Juli nur noch bei 0,8 Prozent lag. Auch der Anteil der Job-Angebote hat sich gegenüber Mai (9,5 Prozent) mehr als halbiert.

Spam-Trends

Im Juni und Juli hielt der Trend an, aktuelle Ereignisse und populäre Themen als Köder für Spam-Mailings zu benutzen. Im Mittelpunkt stand dabei der unter großem öffentlichen Interesse vollzogene Start von Googles sozialem Netzwerk Google+. Dabei machten sich die Spammer zunutze, dass die Plattform zunächst nur Nutzer zuließ, die von bereits registrierten Nutzern eingeladen wurden. Daraufhin wurden fingierte Einladungs-E-Mails verbreitet, die stattdessen auf eine Seite von Canadian Pharmacy, einem bekannten Anbieter für Viagra-Spam, verlinkten.

Damit setzte sich auch ein weiterer Trend fort, der nach der Rustock-Abschaltung eingesetzt hatte: Bewarben Pharma-Spammer früher ihre Produkte direkt in Betreffzeile und E-Mail-Inhalt, versuchen sie nun, E-Mail-Nutzer unter einem Vorwand auf ihre Online-Shops zu locken, in der Hoffnung, dass der eine oder andere Nutzer auch etwas bestellt, wenn er schon einmal auf der Seite ist.

Ein aktuelles Ereignis, die von Spammern ausgenutzt wurde, war vor allem Skandal um den Medienkonzern von Rupert Murdoch und die Abhörmethoden der mittlerweile eingestellten Zeitung News of the World. Diese führten im Juli zu vereinzelten Kampagnen. Eine solche hatte die Betreffzeile „Murdoch faces Australia questions“. Diese enthielt die Aufforderung „buy Viagra“ und einen Link zu einer Online-Apotheke.

Beim wichtigsten Spam-Thema Online-Casinos fiel auf, dass diese Spam-Nachrichten zunehmend lokalisiert sind, das heißt deutsche Nutzer erhalten Nachrichten in deutscher Sprache. Die Betreffzeilen lauteten beispielsweise „Erhalten Sie einen 100% Bonus, Melden Sie sich noch heute an, um zu spielen oder Jetzt gewinnen.“, „Spielen Sie mit unseren Bonussen, um den Jackpot zu knacken“ oder „Ihr Lieblingscasino erwartet Sie“.

Herkunftsländer

Indien ist die Nummer 1 unter den Spam-Herkunftsländern. Im Juli belegte das Land mit einem Anteil von 12,1 Prozent am gesamten Spam-Aufkommen zum dritten Mail in Folge Platz eins. Der Vorgänger als Spam-Spitzenreiter, Brasilien lag mit 9,5 Prozent auf Platz 2, während die USA, die den Spam-Versand über Jahre hinweg dominiert hatten, zuletzt im April unter den Top 10 waren. Platz 3 belegte Indonesien (9,2 Prozent), Platz 4 Vietnam (8,6 Prozent) und Platz 5 Russland (6,1 Prozent).

Mit Großbritannien schied im Juni auch das letzte der führenden westlichen Industrieländern aus den Top 10 aus, Deutschland und Frankreich gehörten schon seit der Rustock-Abschaltung nicht mehr zu den wichtigsten Spam-Quellen. Stattdessen spielen bei der Spam-Verbreitung derzeit vor allem Asien und Osteuropa eine führende Rolle. Unter den Top 10 in Juli stammten acht Länder aus diesen Regionen, hinzu kamen mit Brasilien (Platz 2) und Peru (Platz 10) zwei südamerikanische Länder.

Phishing

Die Zahl der Phishing-Versuche nahm im Juni und Juli deutlich zu. Auffällig war dabei eine starke Lokalisierung. So waren die größten an deutsche E-Mail-Empfänger gerichteten Kampagnen auch auf Deutsch verfasst. Ins Visier der Phisher gerieten dabei vor allem Kunden der Sparkassen sowie Kreditkartennutzer. Als Aufhänger der Sparkassen-Kampagnen diente vor allem das seit einiger Zeit verwendete SecureCode-Verfahren, mit dem zusätzlich Einkäufe mit Kreditkarte im Internet abgesichert werden sollen. Die Kampagne nutzt nicht nur einen aktuellen Bezug aus, sie benutzt sogar das Sicherheitsbedürfnis der Bankkunden als Köder. Die Betreffzeile lautet beispielsweise: „Aktivieren Sie Ihr Verified by Visa – MasterSecure Code“. In der E-Mail wird mit einer Sperrung des Kontos bzw. des Warenkorbs gedroht. An die E-Mail ist entweder eine HTML-Datei angehängt, die der Nutzer ausfüllen soll, oder es wird direkt zu einer Phishing-Seite verlinkt.

In einer weiteren Kampagne wurden Kreditkarteninhaber angesprochen. Als Absender ist die CreditCard Association genannt. Die E-Mails geben vor, die Kreditkarte des Nutzers sei aus Sicherheitsgründen gesperrt worden. Um sie zu entsperren, solle ein Formular ausgefüllt werden, in das wichtige persönliche und Kreditkartendaten eingetragen werden sollten. Dieses führte zu einer manipulierten Website, über welche die Phisher die Daten abgreifen konnten.

Ein weiteres Ziel von Phishing-Angriffen war der bei Unternehmen beliebte Google-AdWords-Dienst. Google AdWords ermöglicht es Unternehmen, Anzeigen zu schalten, die bei der Eingabe definierter Suchbegriffe mit den Suchergebnissen angezeigt werden. Die Betreffzeile der Phishing-Mails täuscht eine Sperrung des Google-AdWord-Accounts vor: „Account has stopped running this morning“. Weiter heißt es, dass der Account pausiere, wodurch keine Werbeanzeigen mehr geschaltet würden. Viele Unternehmen schalten AdWords-Anzeigen nur für kurze Zeit, beispielsweise 24 Stunden. Daher kann bereits eine kurze Pause ernste Verluste für das werbende Unternehmen bedeuten. Das Linkziel präsentiert eine Google-typische Anmeldeseite, auf der sich der Nutzer mit Name (oder Google-E-Mail-Adresse) und Passwort einloggen soll. Die abgephishten Daten werden über ein PHP-Formular weiterverarbeitet.

Malware

Juli 2011 war der Monat der Virenausbrüche. Während die Zahl bekannter Malware um 45 Prozent zurückging, explodierte das Aufkommen neuer Malware regelrecht: Die Zahl der Virenausbrüche stieg gegenüber Juni um 233 Prozent. Der Anteil neuer Malware am gesamten E-Mail-Aufkommen lag mit 0,09 Prozent dreimal so hoch wie der bekannter Schadsoftware (0,03 Prozent). Das eleven Research-Team beobachtet schon seit geraumer Zeit, dass Malware-Versender sich zunehmend die zeitliche Verzögerung bei der Virenerkennung durch herkömmliche Virenscanner zunutze machen. Diese benötigen in der Regel einige Stunden, bis sie einer neuen Malware eine Signatur zugeordnet haben und diese dadurch erkennen können. Die Malware-Autoren nutzen genau diese Zeit, um einen Großteil der Schadsoftware zu verbreiten. Die Virenfrüherkennung eXpurgate Virus-Outbreak-Detection von eleven erkennt Virenausbrüche bereits unmittelbar nach ihrem ersten Auftreten.

Die aufsehenerregendste Malware-Kampagne im Juni und Juli stellten E-Mails dar, die einen angeblichen angeblichen Gutschein für ein kostenloses Frühstück bei McDonald’s beinhalteten. Die Nachrichten mit Betreffzeilen wie „invite everyone to the day of free food“ stammten angeblich von der Adresse information@mcdonalds.com. Eine vermeintliche Einladung zum kostenlosen Frühstück am 28. Juni 2011 – von den Spammern als „Free Breakfast Day“ benannt – soll den Empfänger dazu verleiten, den Anhang zu öffnen. Statt kostenlosem Frühstück erhielt der Empfänger jedoch einen Virus.

Bei der per E-Mail verbreiteten Malware dominierten weiterhin verschiedene Trojaner, darunter Crypt.XPACK.Gen, eine Variante des Banking-Trojaners Zeus/ZBot. Getarnt war dieser als vorgebliche Geldüberweisung oder Zustellbenachrichtigung eines Paketdienstes. Wurde der Anhang geöffnet, wurde der Trojaner aktiviert. Unter einem ähnlichen Trick wurde vor allem im Juni der Trojaner Dropper TR/Dropper.gen verbreitet, der im Juni „Hitparade“ der per E-Mail verbreiteten Malware anführte. Ein Comeback erlebte der Wurm Mydoom, der bereits seit einigen Jahren sein Unwesen treibt und im Juli die meistversandte Schadsoftware war. Die E-Mails täuschten eine angebliche Nichtzustellbarkeitsnachricht vor. Die Schadsoftware befand sich auch hier im Anhang, der sich als Fehlerbericht der abgewiesenen E-Mail tarnte.