Spam-Aufkommen

In den Monaten August und September 2011 stieg das Spam-Aufkommen deutlich an. Insgesamt wuchs es gegenüber Juli 2011 um 89 Prozent. Allein im September verzeichnete eleven einen Anstieg um mehr als die Hälfte (51 Prozent). Damit lag das Spam-Aufkommen im September wieder bei 74 Prozent des Niveaus vor der Abschaltung des weltgrößten Botnets Rustock am 16. März 2011. Das sprungartige Wachstum deutet darauf hin, dass die Spam-Versender einen Großteil ihrer verloren gegangenen Kapazitäten ersetzt haben.

Verantwortlich für den Anstieg waren vor allem Kampagnen für Online-Casinos, die in kurzen, aber häufigen massiven Wellen versandt wurden. Während die Rustock-Abschaltung zu einem Spam-Einbruch von etwa 80 Prozent führte, hatte die Stilllegung des Kelihos-Botnets Ende September 2011 keinerlei Auswirkungen auf das Spam-Niveau.

Durch den Anstieg des Spam-Aufkommens nahm auch der Anteil von Spam am gesamten E-Mail-Aufkommen weiter zu. Im September waren 89,6 Prozent aller E-Mails Spam. Im Mai lag der Anteil noch bei 78,7 Prozent. Der Anteil „cleaner“ E-Mails betrug 6,4 Prozent, legitime Massen-E-Mails (z. B. Newsletter) machten 2,4 Prozent aus. Malware-E-Mails lagen bei 0,13 Prozent, wovon 0,04 Prozent neue Virenausbrüche waren.

Spam-Themen

Spitzenreiter bei den Spam-Themen bleiben Werbe-E-Mails für Online-Casinos. Mit einem Anteil von 53,7 Prozent machten sie im September mehr als die Hälfte aller Spam-E-Mails aus. Der langjährige Spitzenreiter Pharma-Spam brach erneut ein und kam nur noch auf einen Anteil von 10,0 Prozent (Juli: 26,0 Prozent). Auch andere populäre Spam-Themen dieses Jahres verloren an Boden: Gefälschte Uhren fielen von 9,8 Prozent im Juli auf 3,0 Prozent im September, illegale Job-Angebote von 4,6 auf 1,3 Prozent. Phishing-E-Mails machten im September 2011 2,6 Prozent aller Spam-E-Mails aus.

Spam-Trends

Auch im August und September 2011 setzte sich der Trend fort, aktuelle Ereignisse für Spam-Mailings auszunutzen. So führten die Umwälzungen in Libyen umgehend zu betrügerischen Spam-Wellen. So bat eine angebliche Tochter des gestürzten Diktators Gaddafi um Hilfe bei der „Rettung“ des Familienvermögens. Wer keine Sympathie für die Gaddafi-Familie aufbrachte, sollte über eine andere Geschichte geködert werden: Ein amerikanischer Geschäftsmann, behaupteten die E-Mails, sei in Libyen gestrandet, die US-Botschaft geschlossen, helfen könnte nur noch der E-Mail-Empfänger. Wer auf die E-Mail reagierte, würde dann zur Kasse gebeten: für ein Flugticket oder Gebühren für einen neuen Pass.

Auch Gerüchte über ein neues iPhone boten im September Anlass für Spam-Kampagnen. E-Mails mit Quizfragen über das Smartphone von Apple suggerierten, der Empfänger könne bei einer Teilnahme ein iPhone 5 gewinnen. Tatsächlich verbarg sich dahinter eine Abo-Falle: Die Quiz-Teilnahme führte zum automatischen Abschluss eines Vertrags über 4,99 pro Woche.

Auch die anhaltende Popularität von Facebook bot Anlass für Spam-Kampagnen. Vorwand waren neue Funktionen, die Facebook Ende September vorstellte.„New Facebook site.“ oder „Lastest from Facebook“ lauteten die Betreffzeilen der Spam-E-Mails. . Der Nutzer sollte verleitet werden, auf einen Link zu klicken, der ihn zu einem Dating-Portal führte, die im Facebook-Stil gehalten war und sich als Facebook-Dienst tarnte.

Herkunftsländer

Beim Spam-Versand setzt sich die deutliche Verschiebung fort, die nach der Rustock-Abschaltung eingesetzt hatte: Die meisten Spam-E-Mails kommen derzeit aus Schwellenländern, wobei Asien, Osteuropa und in geringerem Maße Südamerika die wichtigsten Herkunftsregionen von Spam sind. Unter den Spam-Top-10 im September kamen sechs aus Asien, drei aus Osteuropa und eines aus Südamerika.

Die Nummer 1 unter den Spam-Herkunftsländern bleibt Indien. Im Juli belegte das Land mit einem Anteil von 13,2 Prozent am gesamten Spam-Aufkommen Platz eins, gefolgt von Brasilien (10,4 Prozent), Vietnam (10,3 Prozent), Indonesien (8,7 Prozent) und Russland (6,7 Prozent). Die lange Zeit eine wesentliche Rolle beim Spam-Versand spielenden westlichen Industrienationen sind dagegen aus der Spitzengruppe völlig verschwunden. Hier betrieb Rustock einen Großteil seiner infizierten Rechner. Der langjährige Spam-Spitzenreiter USA war zuletzt im April unter den Top 10.

Phishing

In den Monaten August und September waren erneut deutschsprachige Bankkunden Opfer von Phishing-Kampagnen. Damit setzt sich der Trend zu einer verstärkten Regionalisierung von Phishing-Attacken fort. Zunehmend werden gezielt E-Mail-Empfänger in der eigenen Sprache und unter Nutzung des Namens lokaler Geldinstitute angegriffen. Davon versprechen sich die Phisher eine deutlich verbesserte „Erfolgsquote“.

Betroffen waren diesmal vor allem Kunden der Deutschen Bank. Die Betreffzeilen lauteten „Kreditkartensperrung“ oder „Wichtig: Ihr Konto wurde gesperrt!“. Als Absender tritt „Deutsche Bank Visa und Mastercard Sicherheit“ mit der E-Mail-Adresse verschlossen@deutsche-bank-visa-mastercard.de auf. Um die angeblich gesperrte Karte zu reaktivieren sollte ein Formular ausgefüllt werden, das sensible Daten wie Kreditkartennummer, Ablaufdatum und die dreistellige Kontrollnummer abfragte. Weiterhin wird nach dem 3d-Secure-Code gefragt, der eigentlich nicht zusammen mit der dreistelligen Kontrollzahl abgefragt werden darf. Fällt der Nutzer darauf herein, hat der Phisher alle Informationen, um das Kreditkartenkonto leerzuräumen.

Eine besonders perfide Kampagne wandte sich an Menschen, die Opfer betrügerischer E-Mail-Attacken geworden waren. Diese stammten angeblich von einer UNO-Organisation und stellten eine Entschädigung in Aussicht. Um die E-Mails wieder seriöser aussehen zu lassen, wurde ein Link zu einer UN-Website eingefügt. In einem angehängten Formular sollen die Betroffenen persönliche Daten und Kreditkartendaten eingeben, um sich dann die Entschädigung an einem Geldautomaten abholen zu können.

Malware

Einen explosionsartigen Anstieg erlebten im August und September E-Mails, die Malware verbreiteten. So stieg die Zahl der Angriffe mit bekannten Viren allein im September um 348 Prozent. Dabei dominierten weiterhin Trojaner die Malware-Verbreitung. Den Experten des eleven Research-Teams zufolge ist dies ein deutliches Zeichen dafür, dass der Umbau der weltweiten Botnet-Infrastrukturen weiter fortgesetzt wurde, mit dem Ziel, die durch Botnet-Abschaltungen eingebüßten Ressourcen zu ersetzen und ihre Infrastrukturen widerstandsfähiger gegen künftige Angriffe zu machen.

Die am häufigsten auftretenden Malware-Arten waren erneut Varianten des Trojaners Crypt.XPACK.Gen, der dem Zeus-Botnet zuzuordnen ist. Stark vertreten war auch der Trojaner Chepvil, der mit dem Donbot-Botnet in Zusammenhang gebracht wird. Klassische Viren und Würmer spielen bei der Malware-Verbreitung derzeit keine wesentliche Rolle.

Angeblich missbräuchliche Kontobewegungen sind der neueste Trick der Virenversender, um die Aufmerksamkeit der Empfänger zu erlangen. So tauchten immer wieder die Kürzel ACH oder NACHA in den E-Mails auf. Es handelt sich dabei um eine Organisation zur Abwicklung von Zahlungsvorgängen. Sie ist nur in den USA tätig und wickelt den Zahlungsverkehr für Privatkunden, Unternehmen und Behörden ab. Seit dem 24. August verzeichnete das eleven Research-Team einen starken Anstieg von Mailings, die angebliche Dokumente von NACHA enthalten sollen. Die Anhänge waren unterschiedlich benannte Zip-Dateien, meist document.zip oder report.zip. Der Anhang entpackte den Trojaner-Downloader Chepvil. Im aktuellen Fall lud Chepvil nach dem Entpacken weitere Malware aus dem Internet nach. Es handelt sich dabei um eine Variante von Zbot. Zusätzlich wurde ein zweiter Trojaner geladen, welcher sich in das Autostart-Verzeichnis von Windows eintrug und versuchte, mit verschiedenen Domains Kontakt aufzunehmen und wiederum Daten nachlud. Dazu gehörten Spam-E-Mails, die dann über das infizierte System weiter verbreitet wurden.

Ein älterer Trick sind angeblich automatisch von einem Drucker oder Scanner versandte E-Mails. Unter Betreffzeilen wie „Scan from a HP Officejet #5223920“ wurde behauptet, die E-Mail enthielte im Anhang ein gescanntes Dokument. Stattdessen befand sich darin ein Trojaner, der beim Versuch, die vermutete Datei zu öffnen, aktiviert wurde. Malware-Wellen mit dieser Masche wurden im September erneut versendet.