Spam-Aufkommen

In den Monaten April und Mai 2011 ging das Spam-Aufkommen als Folge der Abschaltung des weltweit größten Botnets Rustock am 16. März 2011 zurück. So lag das Spam-Volumen im April als direktes Resultat der Abschaltung um 51 Prozent unter dem des Monats März, im Mai verzeichnete das eleven Research-Team eine weitere leichte Verringerung um 16 Prozent.

Ein möglicher Umschwung deutete sich jedoch Ende Mai 2011 an. Ab 23. Mai stieg das Spam-Aufkommen bis Monatsende rasant an – zum ersten Mal seit der Rustock-Abschaltung. Zwischen 22. und 31. Mai wuchs das tägliche Spam-Aufkommen auf mehr als das Zweieinhalbfache. Hauptverursacher waren kurze, aber sehr heftige Casino-Spam-Wellen, die ab 23. Mai mindestens einmal täglich auftraten. Es bleibt abzuwarten, ob dies ein kurzes Aufflackern oder der Beginn erneuten Spam-Wachstums war.

Ebenfalls verursacht durch die Ausschaltung von Rustock sank der Anteil vom Spam im Mai auf den mehrjährigen Rekordtiefstand von 78,7 Prozent. Im April lag er bei 81,5 Prozent. Vor der Abschaltung, im Februar 2011, waren noch 94,6 Prozent aller E-Mails Spam. Durch den Rückgang des Spam-Anteils erreichten legitime „cleane“ E-Mails im April und Mai einen zweistelligen Anteil am E-Mail Aufkommen (Mai: 13,6 Prozent). Legitime Newsletter lagen im Mai bei 5,0 Prozent, Malware-E-Mails bei etwa 0,2 Prozent.

Spam-Themen

Das Spam-Wachstum Ende Mai wurde allein durch Casino-Spam verursacht, der ab 23. Mai in regelmäßigen heftigen Wellen auftrat. Im Monatsdurchschnitt machten Casino-Mailings 17,5 Prozent aller Spam-E-Mails aus, im April waren es noch 6,3 Prozent. Damit belegte Casino-Spam knapp hinter gefälschten Uhren (17,6 Prozent) Platz 3. Spitzenreiter blieb Pharma-Spam, dessen Anteil jedoch seit der Rustock-Abschaltung weiterhin deutlich reduziert ist. Hatte dieses Thema im Februar 2011 noch einen Anteil von 71,6 Prozent, waren es im Mai nur noch 39,0 Prozent. Im April lag Pharma-Spam sogar nur bei 28,3 Prozent.

Ein Wechsel an der Spitze deutete sich Ende Mai nach Einsetzen der massiven Casino-Kampagnen an. Am 1. Juni machte Viagra-Spam nur noch drei Prozent aller Spam-E-Mails aus. Tagesspitzenreiter war Casino-Spam, der einen Rekordanteil von 28 Prozent erreichte.

Spam-Trends

Nach dem Einbruch von Spam mit Pharma-Themen als Folge der Abschaltung des Rustock-Botnets versuchten die Spammer im April und Mai die Öffnungsrate einschlägiger E-Mails zu erhöhen. Statt wie bisher die beworbenen Produkte in den Mittelpunkt der Nachricht zu stellen, nutzten sie nun die Popularität des Video-Portals YouTube aus. Mit Betreffzeilen wie „YouTube Service sent you a message: TOP10 Best Unrated Videos To Watch“ oder „YouTube Administration sent you a message: Your video on the TOP of YouTube” soll der Empfänger verleitet werden, auf den enthaltenen Link zu klicken. Dieser führt jedoch nicht zu YouTube, sondern auf eine Seite der Spammer-Gruppe Canadian Pharmacy, auf der Medikamente verkauft werden. Die Idee hinter der Kampagne: Wenn der Nutzer erst einmal auf der Seite ist, steigt die Wahrscheinlichkeit, dass er auch etwas bestellt.

Darüber hinaus war im April und Mai 2011 eine zunehmende Kriminalisierung von Spam-Kampagnen zu beobachten. So gehörte zu den Trends im April und Mai eine verstärkte Vermischung von Spam und Malware. Beispielsweise wurde Dating-Spam nicht nur genutzt, um dubiose Partnerportale zu bewerben, teilweise enthielten die E-Mails auch Schadsoftware im Anhang. Transportiert wurde auf diese Weise eine Variante des Banking-Trojaners SpyEye/Zeus.

Auch Spam illegalen Inhalts stand im Fokus der Spammer. So nahm vor allem im April Spam mit "Jobangeboten" deutlich zu. Dabei handelte es sich vor allem um die Anwerbung so genannter „Money Mules“, die ihre Konten für Geldtransaktionen zur Verfügung stellen sollten, welche vermutlich der Geldwäsche dienen. Den gleichen Zweck hatten wahrscheinlich auch Offerten, in denen Testkäufer gesucht wurden. Diese sollten online Produkte erwerben und mit Gutscheinen bezahlen. Auf diese Weise sollte vermutlich Geld krimineller Herkunft gewaschen werden. Ebenfalls im Trend lagen akademische Abschlüsse, die per Spam-E-Mail angeboten wurden.

Immer wieder kommen auch alte Spam-Tricks zurück, mit denen in der Vergangenheit versucht wurde, Spam-Filter zu umgehen. Im April und Mai waren es ASCII-Spam sowie Random-Texte, mit denen versucht wurde, Spam-Filter auszutricksen.

Herkunftsländer

Eine klare „Wachablösung“ gibt es bei den Spam-versendenden Ländern: Verlor der langjährige Spitzenreiter USA schon im März seine Spitzenposition, war dieses Land im Mai nicht einmal mehr unter den zehn größten Spam-Versendern. Deutschland ist bereits seit März nicht mehr in den Top 10. Generell beobachtet das eleven Research-Team eine eindeutige Verschiebung von den westlichen Industrienationen – im Mai war nur noch Großbritannien mit Platz 9 in den Top 10 vertreten – hin zu Schwellenländern. Regional verschiebt sich der Spam-Versand schwerpunktmäßig nach Asien, Osteuropa und Südamerika.

Top-Spam-Quelle im Mai war Indien mit 10,4 Prozent, gefolgt von Russland (9,2 Prozent), April-Spitzenreiter Brasilien (7.9 Prozent), Südkorea (5,7 Prozent) und der Ukraine (4,7 Prozent). Die Experten des eleven Research-Teams gehen davon aus, dass dies eine direkte Folge der Rustock-Abschaltung ist. Das Botnet verfügte über besonders viele Rechner in den USA, war jedoch offenbar auch in anderen westlichen Industrieländern stark vertreten.

Phishing

Die gefährlichste Phishing-Kampagne im April und Mai nutzte die bevorstehende Frist für die Abgabe der jährlichen Steuererklärung aus. Die E-Mail stammte angeblich vom Bundesfinanzministerium und informierte den Empfänger über eine vermeintliche Steuerrückzahlung. Um sie zu erhalten, so die Nachricht, solle der Empfänger ein Formular ausfüllen und dort seine Kreditkartendaten eintragen. Tonfall und Layout von E-Mail und Formular waren sehr authentisch nachempfunden.

Die Kampagne ist aber auch ein Beispiel, wie betroffene Institutionen schnell und effektiv auf Phishing-Versuche reagieren können: In diesem Fall enthielt das Formular Bilder, die direkt vom offiziellen Server des Ministeriums abgerufen wurden. Das Bundesfinanzministerium ersetzte als Reaktion auf den Betrugsversuch die Bilder durch solche, die einen deutlich sichtbaren Warnhinweis enthielten, der dadurch jedes Mal angezeigt wurde, wenn ein Empfänger das Formular öffnete.

Kunden namhafter deutscher Banken gerieten im April und Mai 2011 verstärkt in das Visier von Phishing-Kampagnen. Betroffen waren unter anderem die Postbank und die Berliner Sparkasse. Die falschen Postbank-E-Mails behaupteten, das Konto des Nutzers wäre „limitiert“, er könne die Einschränkungen jedoch im Resolution Center aufheben. Die E-Mail war im Design der Postbank gehalten und verwendete Bilder von deren Webauftritt. Der Link ins “Resolution Center” führte auf eine Seite, die täuschend echt der des Online-Bankings der Postbank nachempfunden war. Dort wurde der Empfänger aufgefordert, sich mit seiner Kontonummer und PIN einzuloggen. Weniger professionell gestaltet war die Kampagne gegen die Kunden der Berliner Sparkasse. Die E-Mail war in schlechtem Deutsch verfasst und verwendete keinerlei Sparkassen-Layout oder -Logos. Sie gab vor, dass aufgrund von Wartungsarbeiten Kontodaten zu reaktivieren seien und leitete auf eine Phishing-Seite weiter.

Malware

Seit der Abschaltung des Rustock-Botnets am 16. März 2011 ist das Aufkommen per E-Mail verbreiteter Malware deutlich gestiegen. Dies ist vor allem auf Versuche zurückzuführen, durch massiven Trojaner-Versand zahlreiche neue Rechner in Unternehmen oder Privathaushalten zu infizieren und mit diesen die verloren gegangenen Botnet-Infrastrukturen zumindest teilweise zu ersetzen. Vor allem im April stieg das Malware-Volumen erheblich an. Ein Schwerpunkt lag dabei auf Virenausbrüchen, die von herkömmlichen Virenscannern noch nicht erkannt werden. Diese nahmen im April um 129 Prozent zu, bekannte Viren stiegen um 26 Prozent.

Auch im Mai verzeichnete das eleven Research-Team parallel zum Anstieg gezielter Phishing-Kampagnen vor allem gegen Bankkunden einen deutlichen Anstieg einschlägiger Malware. Dies gilt insbesondere für den bekanntesten und gefährlichsten Banking-Trojaner SpyEye/Zeus, der im Mai 2011 für etwa 80 Prozent aller Malware-E-Mails verantwortlich war. Insbesondere die Varianten Crypt.XPack und Crypt.ZPack wurden in zum Teil massiven Wellen verbreitet, die zumeist angebliche Nacktbilder anpriesen. SpyEye/Zeus enthält eine Routine, die versucht, das als besonders sicher geltende mTAN-Verfahren für Online-Bankgeschäfte auszuhebeln. SpyEye/Zeus erkennt den Aufruf einer Bankseite und versucht den Anwender zum Download eines angeblichen Sicherheitszertifikats auf sein Mobiltelefon zu verleiten. Der Anwender soll seine Ruf- und die IMSI-Nummer seines Telefons angeben. Danach können die Kriminellen die mTANs der Bank mitlesen. Auf dem Computer wird zudem ein Programm installiert, welches mit den abgefangenen mTANs Transaktionen vornimmt.

Ein weiterer Trend war die Nutzung bekannter Markennamen für den Malware-Versand. Auffällig häufig wurde die bekannte Marke Apple als Lockmittel benutzt, beispielsweise durch die Ankündigung eines angeblichen iPhone 5G. Statt Bildern des begehrten Produkts lud sich der Empfänger jedoch einen Trojaner auf den PC. Andere Apple-Interessierte hatten mehr Glück: Die Nachricht entpuppte sich „nur“ als Spam und warb für Viagra & Co.