Spam-Aufkommen

Im November 2011 erreichte das Spam-Aufkommen einen neuen Höchststand seit der Abschaltung des weltgrößten Botnets Rustock am 16. März 2011. Gegenüber Oktober wuchs das Spam-Volumen erneut um 6,3 Prozent. Im November lag das tägliche Spam-Aufkommen im September wieder bei 78 Prozent des Niveaus im Januar 2011, vor der Rustock-Abschaltung.

Der Anteil von Spam am gesamten E-Mail-Aufkommen durchbrach im Oktober 2011 erstmals seit der Rustock-Abschaltung wieder die 90-Prozent-Marke: Im Oktober betrug der Anteil 90,3, im November 90,2 Prozent. Im Mai war er bis auf 78,7 Prozent gefallen. Der Anteil „cleaner“ E-Mails betrug im November 6,4 Prozent, legitime Massen-E-Mails (z. B. Newsletter) machten 2,4 Prozent aus. Malware-E-Mails lag bei 0,04 Prozent.

Werbung für Online-Casinos, seit der Rustock-Abschaltung das dominierende Spam-Thema, baute ihre Spitzenposition weiter aus. Auffällig war, dass immer wieder längere Spam-Pausen einsetzten, die bis zu eineinhalb Wochen dauerten und während derer das Spam-Volumen auf etwa einem Fünftel des Ausgangsniveau slag. Solche Pausen traten Ende Oktober bis Anfang November sowie erneut in den letzten Novembertagen auf. In dieser Zeit versiegten die Casino-Mailings fast vollständig. Analysen des eleven Research-Teams legen nahe, dass Botnetbetreiber diese Pausen nutzen, um ihre Infrastrukturen umzubauen und zu erweitern. Am Ende solcher Pausen erreicht das Spam-Aufkommen innerhalb kürzester Zeit wieder sein Ausgangsniveau.

Spam-Themen

Spitzenreiter bei den Spam-Themen bleiben Werbe-E-Mails für Online-Casinos, die ihren Vorsprung deutlich vergrößerten. So stieg ihr Anteil am gesamten Spam-Aufkommen von 53,7 Prozent im September auf 69,1 Prozent im November 2011. Damit entfielen mehr als zwei Drittel aller Spam-E-Mails Werbung auf dieses Thema. Der langjährige Spitzenreiter Pharma-Spam verlor weiter an Boden und fiel im November erstmals unter die 10-Prozent-Marke (9,4 Prozent). Die Dominanz von Casino-Spam wird dadurch verstärkt, dass auch alle anderen Spam-Themen an Bedeutung verlieren. Kein weiteres Thema schaffte es im November auf drei Prozent, die Plätze belegten Jobangebote (2,3 Prozent), Software (2,2 Prozent) und gefälschte Uhren (1,8 Prozent).

Herkunftsländer

Die Top 3 der Herkunftsländer von Spam konnten ihre Stellung im November 2011 festigen. Mit Indien (11,6 Prozent), Brasilien (11,2 Prozent) und Vietnam (10,5 Prozent) lagen drei Länder über der 10-Prozent-Marke. Gleichzeitig sind die drei größten Spam-Versender näher zusammengerückt – ein Indikator dafür, dass die Spammer die Verbreitung ihrer Mailing stärker verteilen. Auf Platz vier landete Indonesien mit 8, 3 Prozent, gefolgt von Russland mit 6,9 Prozent.

Damit setzt sich auch der Trend fort, dass die führenden westlichen Industrieländer, die vor der Rustock-Abschaltung eine wesentliche Rolle bei der Verbreitung von Spam gespielt hatten, weiter an Bedeutung verlieren. Der langjährige Spitzenreiter USA lag im November 2011 mit 1,3 Prozent nur noch auf Platz 14, Deutschland belegte gerade noch Platz 30 (0,6 Prozent). Der Spam-Versand wird weiterhin von Schwellenländern in Asien (sechs der Top 10), dominiert. Auch osteuropäische Länder (Russland, Ukraine, Rumänien) gewinnen wieder an Bedeutung, während der Anteil Südamerikas mit Ausnahme von Brasilien wieder sinkt.

Analysen den eleven Research-Teams ergaben einen klaren Zusammenhang zwischen Spam-Themen und Herkunftsländern. Während der Casino-Wellen waren Indien, Brasilien und Vietnam die größten Spam-Versender. Dies änderte sich jedoch, als die Casino-Wellen ausblieben: Plötzlich führte Vietnam vor Russland und Indonesien. Bei den Spam-Themen lagen gefälschte Software und Luxusgüter und auch wieder potenzsteigernde Medikamente vorn. Daraus lässt sich ableiten, dass für unterschiedliche Themen unterschiedliche Botnets eingesetzt werden, die verschiedene regionale Schwerpunkte aufweisen – eine Vermutung, die der Einbruch von Pharma-Spam sowie das gleichzeitige Verschwinden von Ländern wie den USA; Großbritannien und Deutschland aus den Spam-Top-10 in Folge der Rustock-Abschaltung nahelegte. Rechner in Indien und Brasilien sind dabei offenbar für große Teile des Casino-Spam verantwortlich, während Russland und Indonesien führend bei den Themen Software und gefälschte Luxusgüter sind. Vietnam scheint dabei eine Sonderstellung einzunehmen: Vietnamesische IP-Adressen sind als Absender einer Reihe unterschiedlicher Spam-Themen vertreten.

Spam-Trends

Die Monate Oktober und November, die wichtigsten Einkaufmonate des Jahres, erlebten neue Höhepunkte im Bereich Event-Spam, bei dem Feiertage oder andere populäre Ereignisse als Köder für Spam-, Phishing- und Malware-Kampagnen genutzt werden, um das öffentliche Interesse an diesen Themen auszunutzen. In den USA wird ein Großteil des Vorweihnachtsgeschäfts in der Zeit um Thanksgiving (Ende November) abgewickelt. Mittlerweile haben sich Institutionen wie der „Cyber Monday“, das Online-Äquivalent zum Haupt-Shopping-Tag „Black Friday“, auch in Europa etabliert. Ähnliches gilt für Halloween (31. Oktober), eine weitere konsumstarke Zeit.

Im Vorfeld von Halloween kursierten wie in den Vorjahren massenhaft Angebote für illegale Software. Hinzu kamen 2011 eine Reihe größerer Mailings, die Sonderangebote in den Bereichen Süßigkeiten, Snacks oder Getränke anpriesen. Da das Sammeln von Süßigkeiten durch Kinder, die an die Türen ihrer Nachbarn klopfen, zu den bekanntesten und längst auch außerhalb der USA verbreiteten Traditionen gehört, erhofften sich die Spammer von dieser Masche besonders großen Erfolg.

Der wichtigste Termin für Event-Spam waren jedoch wie in den Vorfahren die Tage um Halloween, in denen zahlreiche vermeintliche oder tatsächliche Sonderangebote den Weg in die Postfächer der E-Mail-Nutzer fanden. Gerade Anbieter gefälschter Uhren und anderer Luxusgüter versuchen, ihre angeblichen Schnäppchen loszuwerden.

In diesem Jahr stand vor allem der wachsende Trend, Gutscheine zu verschenken, im Fokus der Spammer und Malware-Autoren. So kursierte eine E-Mail, die angeblich einen Gutschein für Apples beliebten Musikdienst iTunes beinhaltete. Tatsächlich verbarg sich im Anhang ein Trojaner. Der gleiche Trick wurde Anfang Dezember erneut versucht, diesmal mit Gutscheinen für den Online-Versanddienst Amazon. Damit setzt sich ein Trend dieses Jahres fort: Zunehmend wird Event-Spam zusätzlich auch zur Verbreitung von Malware sowie zum Phishing eingesetzt. Das Interesse an besonderen Angeboten und Schnäppchen führt bei vielen dazu, weniger vorsichtig als sonst zu sein, wenn sie unbekannte E-Mails erhalten. Darauf spekulieren viele Spam- und Malware-Versender.

Phishing

Im Bereich Phishing setzte sich der Trend hin zu einer zunehmenden Regionalisierung fort. So verzeichnete das eleven Research-Team zahlreiche Kampagnen, die sich an Empfänger eines Landes oder zumindest eines Sprachraums wandten. Diese waren in der Sprache des Empfängers verfasst und gaben vor, von regionalen Kreditinstituten zu stammen. Davon versprechen sich die Phisher eine deutlich verbesserte „Erfolgsquote“, zumal sich das sprachliche Niveau der E-Mail-Texte deutlich verbessert hat.

In Deutschland stand erneut die Deutsche Bank im Fokus der Phisher. Die E-Mails waren sehr kurz gehalten und forderten dazu auf, die Website der Deutschen Bank zu besuchen, praktischerweise ist der Link gleich mit in der E-Mail eingefügt. Folgt man diesem Link, wird man auf eine URL umgeleitet, die zwar die URL ”meine.deutsche-bank.de” enthält, aber auf einem anderen Server gehostet wird. Die Website präsentiert sich im Layout der Deutschen Bank. Die Untersuchung des Quellcodes zeigt, dass große Teile der Website tatsächlich von der Originalseite der Deutschen Bank geladen werden. Fast alle Links führen auch auf die Website der Deutschen Bank, nur der Login-Link verweist auf eine weitere Seite der Phisher. Dort wird eine “Kontobestätigung” gefordert. Hier sollen vertrauliche Daten wie Kontonummer, Sicherheitscode, Karteninhaber und weiteres eingetragen werden. Nach erfolgter Eingabe wird der Nutzer zur wirklichen Seite der Deutschen Bank weitergeleitet und hat möglicherweise den Online-Betrug gar nicht bemerkt.

Weiterhin beobachtete eleven Versuche, Zugangsdaten zu E-Mail-Konten abzuphishen. Dahinter steckt der Trend, verstärkt legitime E-Mail-Accounts zum Spam-Versand zu missbrauchen. Weitere Phishing-Kampagnen betrafen Kunden der Postbank, die bereits das neue Layout der Postbank-Onlinebanking-Seiten einsetzten. Auch Mastercard-Kunden wurden in deutscher Sprache von Phishern angesprochen. Weitere Phishing-Ziele waren erneut der Kreditkartenanbieter Visa und der Online-Bezahldienst PayPal.

Malware

Im November stieg das Aufkommen per E-Mail versandter Malware gegenüber dem Vormonat um 183 Prozent. Dabei handelte es sich um einen weiteren einer ganzen Reihe massiver Sprünge, die 2011 wiederholt aufgetreten sind. Diese nach wie vor spürbare Malware-Aktivität, die zu einem Großteil aus Trojanern besteht, deutet darauf hin, dass Botnetbetreiber nach wie vor dabei sind, ihre Infrastruktur zu erweitern oder möglicherweise auch neue Botnets aufzubauen.

Größter Versender bekannter Malware war im November 2011 China mit 18,5 Prozent aller Viren-E-Mails, gefolgt von Bangladesch mit 13,9 Prozent. Mit 8,9 Prozent belegt Spam-Spitzenreiter Indien Platz 3. Mit Vietnam lag eine weitere wichtige Spam-Quelle auf Platz 4 (8,1 Prozent). Im Gegensatz zum Spam-Versand spielt Deutschland bei der Malware-Verbreitung nach wie vor eine wichtige Rolle. Im November lag das Land mit 3,2 Prozent auf Platz 10.

Auch bei den neuen Virenausbrüchen befand sich Deutschland in der erweiterten Spitzengruppe (Platz 11, 2,7 Prozent). Spitzenreiter waren hier die USA mit 20,2 Prozent vor Südkorea (10,6 Prozent) Ungewöhnlich groß war die Menge der aus Österreich stammenden Malware-Ausbrüche: Mit 6,8 Prozent lag das Land auf Platz 3.

Der Trojaner TR/Gamarue.A belegte im November mit 20,8 Prozent aller Malware-E-Mails Platz 1. Getarnt war er als angebliche Nachricht über vermeintlich missbräuchliche Bewegungen auf dem Konto des Empfängers. Weitere Informationen sollte ein Anhang enthalten, der jedoch den Trojaner aktivierte und auf den Rechner lud. Diese Masche tritt bereits seit September immer wieder auf. Damals wurde damit eine Variante des Chepvil-Trojaners verbreitet.

Erneut traten vermeintlich von einem Drucker gesendete Scan-Benachrichtigungen auf und auch Versandbenachrichtigungen von Paketdiensten waren häufig zu finden. Das eleven Research-Team erwartet, dass diese Variante in den kommenden Wochen weiter zunehmen wird, da im Zuge der Vorweihnachtszeit deutlich mehr Pakete als im Jahresdurchschnitt versandt werden und damit die Öffnungsrate solcher E-Mails zunehmen dürfte.