Spam-Aufkommen

Nachdem das Spam-Aufkommen im November 2011 einen neuen Höchststand seit der Abschaltung des weltgrößten Botnets Rustock am 16. März 2011 erreicht hatte, fiel es im Dezember 2011 auf den niedrigsten Wert seit Anfang 2007 zurück. Im Dezember ging das Spam-Aufkommen um 70,3 Prozent zurück, im Januar stieg es nur leicht um 9,7 Prozent und lag 61,2 Prozent unter dem Wert des gleichen Monats im Vorjahr.

Damit setzte sich der Trend einer extrem uneinheitlichen Spam-Entwicklung fort, der das Jahr 2011 prägte. Noch nie seit dem Beginn der Spam-Beobachtung durch eleven im Jahr 2003 wies das Spam-Volumen so viele Schwankungen auf. Mehrfach fiel und stieg das Spam-Aufkommen um deutlich mehr als 50 Prozent, beispielsweise im Januar 2011 nach einem massiven Einbruch im Vormonat und zuletzt beim Rückgang im Dezember. Wichtigstes Ereignis war die Abschaltung des Rustock-Botnets im März 2011, in deren Folge das Spam-Aufkommen innerhalb weniger Stunden um mehr als 60 Prozent fiel. Auch der Wiederanstieg im August vollzog sich in kürzester Zeit. Zudem stellte sich das Versandmuster von Spam um: Der Casino-Spam, der das zweite Halbjahr dominierte, wurde in kurzen, aber massiven Wellen verbreitet. Kurzzeitig wuchs das Spam-Aufkommen um ein Mehrfaches, nur um danach genauso schnell wieder abzufallen.

In Folge des Spam-Einbruchs fiel auch der Spam-Anteil am gesamten E-Mail-Volumen zwischen November und Dezember 2011 von 90,2 auf 74,8 Prozent. Im Januar lag er bei 75,1 Prozent. Der Anteil „cleaner“ E-Mails betrug im Januar 17,0 Prozent, legitime Massen-E-Mails (z. B. Newsletter) machten 5,7 Prozent aus, Malware-E-Mails lagen bei 0,2 Prozent.

Haupt-„Schuldiger“ am massiven Spam-Rückgang waren Casino-E-Mails, die auch ursächlich für das erneute Spam-Wachstum seit August 2011 waren. Die letzten großen Wellen traten Ende November 2011 auf, seitdem pausieren größere Casino-Mailings. Schon zuvor hatte es immer wieder längere Casino-Pausen gegeben, die allerdings nie länger als zwei Wochen dauerten. Allerdings erinnert der Spam-Einbruch an Entwicklungen aus dem Vorjahr: Damals war das Spam-Aufkommen Mitte Dezember auf etwa ein Viertel eingebrochen, um Mitte Januar wieder auf den Ausgangswert zurückzukehren. Ob die derzeitige Pause, obwohl sie schon länger andauert, dem gleichen Muster folgt, bleibt abzuwarten.

Spam-Themen

Werbe-E-Mails für Online-Casinos, die seit Mai 2011 die Spam-Landschaft dominierten, gingen im Dezember und Januar deutlich zurück. Lagen sie im November 2011 noch bei 69,1 Prozent aller Spam-Nachrichten, betrug ihr Anteil im Januar 2012 nur noch 7,5 Prozent. Damit fiel Casino-Spam von Platz 1 auf Platz 4 der wichtigsten Spam-Themen zurück. Stärkstes Spam-Thema war erstmals seit Mai 2011 der langjährige Spitzenreiter Pharma-Spam mit 26,0 Prozent. Damit liegt dieser jedoch noch deutlich unter den Werten vor Abschaltung des Rustock-Botnets: Im gleichen Vorjahreszeitraum lag ihr Anteil noch bei 64 Prozent.

Aufsteiger im Dezember und Januar waren gefälschte Luxusartikel, die mit 23,2 Prozent Platz 2 belegten. Im November waren sie noch bei mageren 1,8 Prozent (Platz 4). Auf dem dritten Platz lag Dating-Spam mit 8,1 Prozent, gefolgt von Online-Casinos und Job-Angeboten (5,5 Prozent). Auch diese erhöhten ihren Anteil deutlich, lagen sie doch im November noch bei 2,3 Prozent.

Herkunftsländer

Auch auf die geografische Verteilung des Spam-Versands hatte der Einbruch im Dezember spürbaren Einfluss: Während Indien mit 11,7 Prozent seine Spitzenposition behielt, fiel Brasilien von Rang 2 auf Platz 5 zurück. Im Januar kamen nur noch 5,1 Prozent aller Spam-E-Mails aus dem südamerikanischen Land, im November waren es noch 11,2 Prozent. Verringert hat sich auch der Anteil von Spam aus Vietnam, das von Platz 4 (8,9 Prozent) auf Platz 7 (4,2 Prozent) fiel. Neuer Zweitplatzierter war Indonesien mit 7,9 Prozent, gefolgt von Russland mit (7, 2 Prozent). Dominiert werden die Spam-Top-10 von Asien und Osteuropa: In den Top 10 stehen fünf asiatische vier osteuropäischen Ländern gegenüber. Unterbrochen wird diese Dominanz nur noch von Brasilien.

Gestiegen ist dagegen der Spam-Anteil aus westeuropäischen Industrieländern, die bis zur Rustock-Abschaltung eine zentrale Rolle bei der Spam-Verbreitung spielten. So lag der langjährige Spitzenreiter USA im Januar mit einem Anteil von 2,5 Prozent auf Platz 11 (November: Platz 14, 1,3 Prozent). Neben Spanien (Platz 15, 2,9 Prozent) fand sich auch Deutschland wieder in den Top 20 wieder: Mit 1,3 Prozent belegte Deutschland im Januar 2012 Platz 19. Im November lag das Land noch mit 0,6 Prozent auf Platz 30 und hat damit seinen Anteil am gesamten Spam-Volumen innerhalb von zwei Monaten mehr als verdoppelt.

Spam-Trends

Wichtigster, weil gefährlichster Spam-Trend war der so genannte Drive-by Spam. Dabei handelt es sich um E-Mails, bei denen die Schadsoftware automatisch auf den Rechner geladen wird, sobald die E-Mail geöffnet oder im E-Mail-Programm angezeigt wird. Sie sind im HTML-Format verfasst und enthalten ein JavaScript, das beim Öffnen der Nachricht automatisch Malware auf den Rechner lädt. Die Funktionsweise ähnelt dem so genannten Driveby-Download, bei dem Webseiten so manipuliert werden, dass sie Malware den Rechner infizieren, sobald die Seite in einem Browser geöffnet wird. Driveby-Spam ermöglicht es, den zusätzlichen Weg über einen in die E-Mail eingebetteten Link oder einen angefügten Anhang zu umgehen und gefährdet auch vorsichtige E-Mail-Nutzer, die keinen unbekannten Anhang öffnen oder entsprechende Links anklicken.

Damit Driveby-Spam funktioniert, muss das E-Mail-Programm so konfiguriert sein, dass HTML-Inhalte angezeigt werden und das Nachladen von Inhalten aus dem Internet erlaubt ist. In den Standardeinstellungen aktueller Versionen verbreiteter E-Mail-Clients wie Microsoft Outlook oder Thunderbird, sind diese Funktionen ausgeschaltet. Deutlich stärker gefährdet sind jedoch Nutzer älterer Clients sowie einiger Webmail-Dienste. Vorsicht ist aber auch dann geboten, wenn diese Inhalte nicht angezeigt werden: Dann befindet sich das gefährliche HTML-Dokument im Anhang der E-Mail. Wird dieser geöffnet, vollzieht sich die Infektion über den Web-Browser. Ganz neu ist der Trick nicht, allerdings wurde er im Januar zum ersten Mal in größerem Maße eingesetzt: So stieg der Anteil von Driveby-Spam gegenüber Dezember 2011 auf 1.225 Prozent. Mit einem Anteil von 0,2 Prozent am gesamten Spam-Aufkommen hat er mittleweile eine signifikante Größe erreicht.

Eine deutliche Professionalisierung beobachtete das eleven Research-Team bei Job-Angeboten, die sich nach wie vor hauptsächlich mit der Anwerbung so genannter „Money Mules“ zur Geldwäsche befassen. Die Spammer haben offenbar erkannt, dass eine E-Mail mit Versprechen und Antwortadresse bei einem Webportal nicht mehr ausreichen. So wurden in großem Stil vermeintlich seriöse Domains gekauft, dort aber kein Inhalt hinterlegt, sondern nur E-Mail-Adressen eingerichtet. Eine Antwortadresse bei der frei erfundenen „Walter-Gruppe.com“ wirkt natürlich sehr viel seriöser als bewerbung@hotmail.com.

Die „Money Mules“ sind offenbar gefragter denn je, denn die Betrüger tun alles, um als ernsthafte Jobvermittler zu erscheinen. Neben einem guten Einkommen wird in den E-Mails ganz deutlich darauf hingewiesen, dass die angebotene Tätigkeit nicht gegen deutsche oder EU-Gesetze verstößt. Eine besonders sorgfältige Tarnung wurde im Januar entdeckt: Mit leicht verändertem Text suchte ein Jobvermittler nach Arbeitskräften. Die Jobanzeige ist wie immer wohlklingend: „Gesucht wird ein Vertreter des Unternehmens in Deutschland und in Niederlanden.“ oder auch „Personalagentur sucht einen Manager für ein englisches Unternehmen in Deutsch“, Gehalt ab 1.500 Euro pro Monat bei drei Stunden Arbeit pro Tag. Die Antwortadresse lautet „…@smartsr.com“. Ruft man diese Internetseite auf, gelangt man tatsächlich zu einem Webauftritt einer Personalvermittlung. Wie so häufig haben die Betrüger einen großen Teil der Original-Website kopiert. In diesem Falle scheinen die Spammer jedoch die Übersicht verloren zu haben. Die Prüfung, ob der E-Mail-Server auch alle angegebenen E-Mail-Adressen annimmt, führte teilweise zu Ablehnungen.

Phishing

Phishing-E-Mails erlebten im Dezember 2011 und Januar 2012 ein explosionsartiges Wachstum: Im Dezember stieg ihre Zahl um 194 Prozent, im Januar um weitere 214 Prozent. Dabei setzte sich der Trend regionalisierter Phishing-Kampagnen fort, die sich beispielsweise gezielt an deutschsprachige Nutzer wenden. Erneut verzeichnete das eleven Research-Team zahlreiche Kampagnen, die in gutem Deutsch verfasst waren und vorgaben, von regionalen Unternehmen, beispielsweise Banken, zu stammen. Davon versprechen sich die Phisher eine deutlich verbesserte „Erfolgsquote“, da die Wahrscheinlichkeit, dass beispielsweise ein deutscher Nutzer die angebliche E-Mail einer deutschen Bank öffnet, deutlich höher ist, als wenn sie ein ausländisches Kreditinstitut als vermeintlichen Absender hat.

Im Fokus standen auch im Januar wieder Kunden der Postbank weiter. Die Phishing-E-Mail kam diesmal ohne grafische Elemente, dafür mit dem sehr deutlichen Hinweis: „Klicken Sie hier, um das Problem zu lösen“, denn das Konto wurde „begrenzt“. Absender war beispielsweise sec@postank.de. Der Link der E-Mail führt zu einer Internetseite, auf die die Login-Maske der Postbank (des Postbank-Online-Bankings) kopiert wurde. Es handelt sich dabei um den im Oktober 2011 eingeführten neuen Log-In. Wie in vielen dieser Betrugsfällen wurde die Seite auch hier einem „normalen“ Webauftritt untergeschoben. Ein Großteil der Website wurde wieder von der Original-Website kopiert. Nur die Eingaben und die Links direkt unter dem Eingabefeld wurden verändert. Gibt man Kontonummer und PIN ein, wird man zu einer weiteren Seite geleitet. Hier ist das Layout schon wesentlich gröber, immerhin werden noch die Farben der Postbank verwendet. Hier sind Name, Vorname, Geburtstag und Telefonnummer gefragt.

Die Kampagne reflektiert eine Reihe aktueller Phishing-Trends: Zum einen die Regionalisierung in Bezug auf Absender und Sprache. Versendet man deutschsprachige E-Mails im Namen der Postbank an deutsche Empfänger, ist die Chance, tatsächlich Postbank-Kunden zu treffen, relativ gut. Zweitens baut die Betreffzeile einen gewissen Druck auf. Phisher operieren gern mit vermeintlichen Kontosperrungen, um beim Empfänger Angst zu erzeugen, in der Hoffnung, dass er dadurch unvorsichtiger wird und seine Daten irgendwo eingibt, wo er das sonst nicht tun würde. Drittens wird bei den Absenderadressen oft ein kleiner Fehler eingebaut, den (wie beim fehlenden „b“ in „postank“) der Nutzer auf den ersten Blick nicht sieht und dann der Meinung ist, es handele sich um einen legitimen Absender.

Ein weiterer Trend: Das Themenspektrum von Phishing-Kampagnen erweitert sich zunehmend: So stehen neben Banken zunehmend auch Online-Dienste wie Amazon oder Facebook im Fokus der Phisher. Ein Beispiel fand das eleven Research-Team im Dezember 2011. Die E-Mails behaupteten, aufgrund nicht autorisierter Aktivitäten sei das Amazon-Konto des Empfängers gesperrt wurden. Um es zu reaktivieren, sollte er auf einer – selbstverständlich manipulierten, aber an das Amazon-Design angelehnten – Seite seine Kreditkartendaten eingeben. Dabei wurden sowohl die dreistellige Kartenprüfnummer als auch der Secure-3D-Code abgefragt, eine Kombination, die bei seriösen Angeboten nie vorkommt. Ziele der Phisher sind zudem auch Zugangsdaten zu E-Mail-Konten, die dann zum Spam-Versand eingesetzt werden können, aber auch Accounts bei Webhostern. Hier können dann Spam- und Phishing-Seiten abgelegt werden.

Malware

Das Malware-Volumen stieg im Januar 2012 um 8,0 Prozent, das Aufkommen unbekannter Virenausbrüche um 6,5 Prozent. Größter Versender bekannter Malware war erneut China mit 29,4 Prozent, gefolgt von Bangladesch (13,8 Prozent) und Spam-Spitzenreiter Indien mit 10,1 Prozent. Deutschland gehört auch weiterhin zu den größten Quellen von Malware-E-Mails und lag im Januar auf Platz 7 (3,1 Prozent). Bei den Virenausbrüchen belegte Italien mit 10,7 Prozent die Spitzenposition. Auf den Plätzen folgten die USA (7,5 Prozent) und Vietnam (6,3 Prozent), Deutschland lag mit 3,7 Prozent auf Platz 8.

Dominierten im Jahr 2011 vor allem Trojaner die Malware-Landschaft, schoben sich zum Jahreswechsel Varianten eines seit langem bekannten E-Mail-Wurms in den Vordergrund. Mehrere Modifikationen des MyDoom-Wurms machten im Dezember 2011 und Januar 2012 etwa 65 Prozent aller Viren-Mailings aus. MyDoom gehört zu den am weitesten verbreiteten Malware-Familien. Die erste bekannte Variante (MyDoom.A) trat erstmals 2004 auf. Diese installierte in Windows-Systemen eine sogenannte Backdoor. Es handelt sich dabei um einen Zugang zum System, über den es möglich ist, unbemerkt einzudringen, um danach alle Funktionen zu kontrollieren. Spam-Versand oder das Mitlesen von Tastatureingaben sind nur zwei Möglichkeiten von vielen. Die Virenversender nutzen den Wurm seitdem immer leicht abgewandelt. Zum einen werden die Schadroutinen geändert oder an Sicherheitsprogramme angepasst, zum anderen auch willkürliche Änderungen vorgenommen, um einfache Virenscanner zu täuschen. Mittlerweile gibt es zahlreiche Weiterentwicklungen: So zählten MyDoom.L, MyDoom.M und MyDoom.O zu den am häufigsten verbreiteten Viren und Würmern im Januar.