Spam im Jahr 2016

Die Zahlen des Jahres

Die Daten von Kaspersky Lab für das Jahr 2016 lauten:

• Der Spam-Anteil betrug 58,31 Prozent, das ist ein um 3,03 Prozentpunkte höherer Wert als im Jahr 2015.
• 62,16 Prozent der versendeten Spam-Mails hatten eine Größe von nicht mehr als zwei KB.
• 12,08 Prozent des weltweiten Spam-Aufkommens wurden aus den USA verschickt.
• Die im E-Mail-Traffic am weitesten verbreitete Malware-Familie ist Trojan.Win32.Bayrob.
• Die meisten schädlichen E-Mails (14,13 %) waren an Nutzer in Deutschland adressiert.
• Das System „Antiphishing“ von Kaspersky Lab schlug 154.957.897 Mal Alarm.
• Insgesamt 15,29 Prozent der individuellen Nutzer wurden im Laufe des Jahres mit Phishing konfrontiert.
• Nach Anteil der von Phishern angegriffenen Nutzer war Brasilien (27,61 %) Spitzenreiter.
• 47,48 Prozent aller Alarme der heuristischen Komponente des Systems „Antiphishing“ entfielen auf Kunden verschiedener Finanzorganisationen.

Weltweite Ereignisse im Spam

Im Laufe des Jahres 2016 wurden im Betrugsspam die großen aktuellen Sportereignisse ausgenutzt: die Fußball-Europameisterschaft, die Olympiade in Brasilien sowie auch die kommenden Fußball-Weltmeisterschaften in den Jahren 2018 und 2022. Meist verschickten die Spammer gefälschte Benachrichtigungen über den Gewinn in einer Lotterie, die angeblich mit einem dieser sportlichen Großereignisse in Verbindung stehen. Der Inhalt dieser gefälschten Nachrichten zeichnete sich in der Regel nicht durch Originalität aus: Die Betrüger teilten mit, dass die Lotterie von einer offiziellen Organisation durchgeführt würde, und dass die Adresse des Empfängers zufällig aus Millionen anderer Adressen ausgewählt wurde. Um in den Genuss des Gewinns zu kommen, müsse der Empfänger unbedingt auf die E-Mail antworten und die geforderten persönlichen Informationen bereitstellen.

Der detaillierte Mitteilungstext dieses Sport-Spams befand sich in Anhängen der Formate DOC, PDF oder JPEG. Für seine Aufmachung wurden besondere grafische Elemente verwendet, beispielsweise offizielle Wappen und Logos von Veranstaltungen und Sponsoren. Die Nachrichten, bei denen der Spammer-Text direkt im Mail-Körper enthalten war, waren nicht so zahlreich. Um Abwechslung in ihre Versendungen zu bringen, griffen die Betrüger auf alte Methoden zurück: Sie änderten den Text, die Adresse der Kontakt-E-Mail, die Absenderadresse, den Namen der angehängten Datei, die Größe und anderes. Dabei konnte es vorkommen, dass E-Mails mit ein und demselben Anhang mehrmals im Laufe mehrerer Monate in unseren Spamfiltern hängen blieben.

Im vierten Quartal 2016 richteten die Spammer ihre Aufmerksamkeit auf die bevorstehenden Fußball-Weltmeisterschaften in den Jahren 2018 und 2022. Im Spam-Traffic stießen die Kaspersky-Experten häufig auf betrügerische Benachrichtigungen über Lottogewinne, die dieses Thema ausnutzten.

Das Fußballthema wurde auch im Schadspam bemüht. Unter anderem verschickten Cyberbetrüger Scans gefälschter Benachrichtigungen im Namen einer Webseite, die Nachrichten aus dem Bereich Computerspiele und aus der Welt des Fußballs veröffentlicht, offensichtlich mit der Absicht, den Empfänger neugierig zu machen. In dem ZIP-Archiv befand sich ein JavaScript-Lader, den die Lösungen von Kaspersky Lab als Trojan-Downloader.Script.Generic detektieren. Dieser Schädling lud wiederum andere Schadsoftware auf den Computer des Opfers.

Auch das Thema Terrorismus, der in den letzten Jahren zu einem weltweiten Problem geworden ist, fand seinen Niederschlag im Spam. Die Nutzer erhielten nicht nur im Namen von Mitarbeitern staatlicher Organisationen zahlreiche „nigerianische“ E-Mails, sondern auch im Namen von Privatpersonen. Die Sujets der erfundenen Geschichten unterschieden sich zwar in Details, aber die Absicht dahinter war stets dieselbe: Die Spammer wollten den Empfänger dazu bringen, mit ihnen in Kontakt zu treten, indem sie ihn mit der Möglichkeit lockten, eine große Geldsumme zu erhalten. Auch „nigerianische“ E-Mails, die die Situation in Syrien zum Inhalt haben, verloren nicht an Aktualität, und auch dieses Thema wurde im Laufe des Jahres von Spammern ausgenutzt, um die Nutzer zu betrügen.

Schadspam zum Thema Terrorismus war wesentlich seltener anzutreffen und zielte auf den Diebstahl von persönlichen Daten, die Organisation von DDoS-Attacken und die Installation weiterer Malware auf dem Computer des Opfers ab.

Angebote aus chinesischen Fabriken

Im Jahr 2016 stießen die Experten von Kaspersky Lab im E-Mail-Traffic häufig auf Schreiben von Fabriken und Betrieben in China, in denen für die von ihnen hergestellten Produkte geworben wurde. Die Spammer boten dabei nicht nur fertige Waren an, sondern auch einzelne Komponenten aus den verschiedensten Bereichen.

Der Text einer typischen E-Mail dieser Art begann mit einer unpersönlichen Anrede, es folgten Vor- und Nachname des Managers sowie der Name des Betriebs oder der Fabrik, die er repräsentiert. Häufig wurde in dem Brief auf die Verdienste des Unternehmens, den Erfahrungsschatz oder das Vorhandensein verschiedener Zertifikate eingegangen. Eine Liste der von dem Unternehmen angebotenen Waren konnte entweder in der E-Mail selbst enthalten sein oder auf Wunsch des Empfängers zugesendet werden. Der Anschaulichkeit halber enthielten solche E-Mails teilweise sogar Abbildungen der angebotenen Waren. Am Ende des Schreibens standen die Kontaktdaten (Festnetz- oder Mobiltelefonnummer, Fax, E-Mail-Adresse, verschiedene Messenger). Manchmal verwiesen die Kontaktdaten auf ein Bild, das an die E-Mail angehängt war.

Die Autoren der E-Mails waren angeblich Vertreter der Herstellerunternehmen. Dabei konnten die Kontaktadressen bei einem kostenlosen Service registriert sein oder auch auf eigenen Unternehmensdomains. Manchmal wurde in den E-Mails auf die Webseite des Unternehmens verwiesen, wenn sich die Firma eine solche leisten kann.

Zu einer gewissen Zeit haben kleine und mittelständische Unternehmen in vielen Ländern auf Spam zurückgegriffen, um ihre Waren zu bewerben. Doch diese Art der Werbung wurde von den Nutzern zunehmend als lästig und unerwünscht empfunden, Gesetze gegen Spam wurden erlassen und – was am wichtigsten ist – es erschienen andere, zielgenauere, bequeme und weniger aufdringliche Werbeplattformen. Nicht an letzter Stelle steht hier die Werbung in Sozialen Netzwerken. Nun kann man sich fragen, warum chinesische Geschäftsleute sich diesem Trend nicht angeschlossen haben (zumal es auch in China ein Anti-Spam-Gesetz gibt, sogar eins der strengsten weltweit). Es ist so, dass die Sozialen Netzwerke in China alle national sind, globale Giganten wie Facebook sind verboten. Wollen chinesische Unternehmen auf den Weltmarkt vordringen, stehen ihnen also wesentlich weniger legale Mittel zur Verfügung.

Das Jahr der Erpresser im Spam

Im Jahr 2016 registrierten wir eine Unmenge von Schadspam. Und während sich in den letzten Jahren in den schädlichen Anhängen am häufigsten das Spionageprogramm Fraud.gen befand – eine HTML-Seite zum Diebstahl von Bankkartendaten der Nutzer –, so waren die unangefochtenen Spitzenreiter im Schadspam im Jahr 2016 trojanische Downloader, die Erpressersoftware auf den Computer des Opfers laden. Anteilsmäßig wurde am meisten Spam verschickt, der die Infektion des Computers mit dem Schadprogramm Locky zum Ziel hatte, doch auch andere Erpresserprogramme wie etwa Petya, Cryakl und Shade wurden auf diese Weise in Umlauf gebracht.

Die Zahl der Schadprogramme begann schon im Dezember 2015 zuzunehmen und stieg im Laufe des gesamten Jahres weiter in einer Wellenbewegung an. Die wiederkehrenden deutlichen Abnahmen hingen in erster Linie damit zusammen, dass die Cybergangster das Botnet Necurs zeitweise deaktivierten. Dieses Zombienetz ist für einen großen Teil des Spams verantwortlich, der das Schadprogramm Locky verbreitet. Nach Aktivierung des Botnets änderten die Betrüger die Schablonen im zu versendenden Spam.

Zahl der schädlichen E-Mails im Spam im Jahr 2016

Insgesamt schlug unsere Antiviren-Komponente in den E-Mails unserer Kunden 239.979.660 Mal Alarm. Das ist fast vier Mal häufiger als im Jahr 2015.

Diese deutliche Übermacht der Erpresserprogramme könnte mit der Verfügbarkeit von Malware dieses Typs auf dem Schwarzmarkt zusammenhängen. Zum gegenwärtigen Zeitpunkt können Verbrecher nicht nur Botnet-Ressourcen mieten, sondern sich auch eines Schemas mit der Bezeichnung Ransomware-as-a-Service bedienen. Das bedeutet also, dass ein Cyberkrimineller kein Hacker im klassischen Sinne mehr sein muss. Er muss noch nicht einmal programmieren können.

Die Spam-Mails selbst, an die die Schadprogramme angehängt waren, kamen häufig als persönliche Korrespondenz mit der auf unterschiedliche Weise begründeten Bitte daher, die Anhänge zu öffnen. Außerdem tarnten die Betrüger ihre E-Mails als verschiedene Rechnungen, als Benachrichtigungen über den Erhalt eines Pakets und sogar als E-Mail von der Office-Technik selbst mit angeblich gescannten Dokumenten im Anhang.

In beiden oben abgebildeten Beispielen befindet sich im Anhang eine schädliche Datei mit der Erweiterung WSF. Sie wird von den Kaspersky-Lab-Produkten als Trojan-Downloader.JS.Agent.myd erkannt. Die Schaddatei ist in JavaScript programmiert und lädt eine Modifikation des Verschlüsselungsschädlings Locky auf den infizierten Computer.

In diesem Beispiel hat die Datei im Anhang die Erweiterung JSE, sie wird detektiert als Trojan-Downloader.JS.Cryptoload.auk. Auch diese Schaddatei ist in JavaScript geschrieben und lädt eine der Modifikationen des Verschlüsselungsprogramms Locky auf den Computer.

Insgesamt zeichneten sich die schädlichen Anhänge durch ihre Vielfalt aus. In der Regel waren das Archive mit Programmen, die in Java und JavaScript geschrieben waren (Dateien der Typen JS, JAR, WSF, WRN und andere), doch es gab auch Office-Dokumente mit Makros (DOC, DOCX, XLS, RTF) sowie klassische ausführbare Dateien (EXE). Darüber hinaus wurden manchmal auch seltene Archiv-Formate verwendet, beispielsweise CAB.

Beim Start verschlüsseln die Erpresserprogramme die Daten auf dem Computer des Anwenders und verlangen ein Lösegeld (in der Regel zu zahlen in Bitcoin über das anonyme Netzwerk Tor). Genaueres hierzu finden Sie in unserem Bericht „Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution“.

Methoden und Tricks der Spammer

Verrauschung des Textes

Um jede E-Mail einer Versendung einzigartig zu machen, fügen die Spammer den Schreiben für den Empfänger unbemerkt eine willkürliche Zeichenfolge hinzu. Der Trick ist alt, doch die Spammer verwenden ihn Jahr für Jahr aufs Neue und perfektionieren ihre Methoden dabei. Unten stehend beschreiben wir, welche Tricks zum Vermüllen der E-Mails im Jahr 2016 populär waren. Alle aufgeführten Beispiele stammen aus echten Spam-Mails.

1. Kleinbuchstaben und/oder weißer Text

Der einfachste und älteste Trick: Der Text wird in weißer Schrift geschrieben (ffffff –Hexadezimalcode für die Farbe Weiß).

In diesem Beispiel wurde zwischen den Wörtern, die in normaler Größe geschrieben wurden – „You have received a £500“ – eine willkürliche Buchstabenfolge platziert, die in sehr kleiner Schrift in weißer Farbe geschrieben ist.

2. Text, der nicht dargestellt wird

Mit Hilfe des Attributs “ erreicht man, dass der Text in der E-Mail nicht abgebildet wird. Unter normalen Umständen wird so ein Tag beispielsweise beim Rohlayout verwendet. In Spam-Mails werden solche Tags, die zufälligen Text enthalten, in großer Menge platziert. Wenn in den Antispam-Filter keine spezielle Verarbeitung solcher Tags integriert ist, verschwindet der „gehaltvolle“ Text der E-Mail dahinter praktisch vollständig.

Denselben Effekt erreicht man, wenn man eine zufällige Zeichenfolge in Schriftgröße null platziert:

3. Platzieren des Textes jenseits des Bildschirmbereichs

Eine weitere Methode, „Junk“-Text für den Nutzer unsichtbar zu machen, besteht darin, ihn zwar in gewöhnlicher Schrift zu gestalten, ihn jedoch in Bereichen der E-Mail zu platzieren, die außerhalb des Bildschirmrahmens liegen (sehr stark links, rechts oder unter dem Hauptbereich):

4. Verwendung von Tags, die standardmäßig für die Nutzer nicht sichtbar sind

Manchmal wird willkürlicher Text in Tags geschrieben, die überhaupt nicht dafür vorgesehen sind, dem Nutzer Text anzuzeigen. In der Regel werden Kommentar-Tags verwendet, aber es gibt auch andere Fälle:

Der Inhalt des Tags <noscript> wird nur in Kommentaren mit nicht unterstützten oder deaktivierten Skripten angezeigt, daher ist er für die meisten Nutzer nicht sichtbar.

5. Verrauschung mit Tags

Manchmal wird der Text nicht mit zufälligen Zeichenfolgen verrauscht, die auf die eine oder andere Weise unsichtbar gemacht wurden, sondern auch durch Tags, die keinerlei Bedeutung haben und nicht interpretiert werden:

In manchen Spam-Mails geht die Zahl solcher Tags in die Hunderte.

Außerdem wird die willkürliche Zeichenfolge selbst manchmal nicht zwischen bestimmten Tags platziert, sondern innerhalb der Tags, als Attribut des Tags:

Ein solches Attribut wird selbstverständlich auch auf keine Weise interpretiert und nicht in der E-Mail, die der Nutzer sieht, dargestellt.

Tarnung der Links

Während sich der Text der E-Mails so sehr wie auch immer gewünscht voneinander unterscheiden kann, so sieht es mit den Spammer-URLs in den Schreiben schon ganz anders aus. Ihre Zahl kann innerhalb einer Versendung recht groß sein (sie geht in die Tausende), doch trotz allem ist sie endlich, denn die Spammer müssen für jede einzelne gekaufte Domain bezahlen. Und auch hier haben die Spammer verschiedene Methoden ersonnen, um jeden Link einmalig zu gestalten, wobei er bei einem Klick trotzdem korrekt geöffnet wird.

1. Obfuskation der Domains mit Hilfe des Unicode Transformation Formats (UTF)

Im vergangenen Jahr haben wir bereits Spammer-Tricks beschrieben, die mit der unterschiedlichen Darstellung von Domains und IPs in Verbindung stehen. Auch in diesem Jahr hat sich die Tendenz zur Verwendung derartiger Methoden – der Darstellung von Domains mit Symbolen aus verschiedenen UTF-Formaten und der Darstellung der IPs durch verschiedene Zahlensysteme – fortgesetzt.

Besonderer Beliebtheit unter Spammern erfreute sich ein spezieller mathematischer Block, beispielsweise der Unicodeblock der mathematischen alphanumerischen Symbole:

Domain dargestellt in mathematical bold script

Domain dargestellt in mathematical monospace small

Der Unicodeblock ist für spezifische mathematische Formeln vorgesehen und soll nicht in normalem Text oder in Hyperlinks verwendet werden.

2. Vermischung der Codierungen

Der oben beschriebene Ansatz wurde noch durch eine Vermengung der Codierungen erweitert: Einen Teil der Buchstaben der Domain schreiben die Spammer in normaler lateinischer Schrift in Unicode, und einen anderen Teil mit Zeichen spezieller Bereiche in der Codierung URL-encoded.

Die Domain aus dem Beispiel oben wird zuerst umgewandelt in

und daraufhin in server119.bullten.org.

3. Verrauschung der URL unter Verwendung von Kurzlink-Diensten

Die Spammer schreiben die Adresse der Webseite selbst nicht nur auf unterschiedliche Art und Weise, sondern hin und wieder richten sie es auch so ein, dass in der E-Mail gar nicht direkt auf die Webseiten selbst hingewiesen wird. Zu diesem Zweck werden Kurz-URL-Dienste und Redirects verwendet. Doch auch jeder dieser Links wurde im Jahr 2016 noch mit verschiedenen Mitteln verrauscht.

Zwischen dem Namen des Kurz-URL-Dienstes und der Link-ID selbst werden Buchstaben, Schrägstriche und Punkte platziert (der bedeutungstragende Teil ist in halbfetter Schrift dargestellt, der Rest ist Müll):

Manchmal landen hier sogar ganze Kommentar-Tags:

Um die Filter noch weiter in die Irre zu führen, werden in den Junk-Teil noch die Namen verschiedener Webseiten eingefügt, in der Regel die bekannter Portale:

Alle diese Teile fallen weg, wenn man dem Link folgt.

Spammer tarnen ihre Links manchmal auch, indem sie an ihrem Ende nicht existierende Parameter einfügen:

Alles, was auf das Fragezeichen im oben stehenden Beispiel folgt, ist nicht die URL selbst, sondern sind ihre Parameter. Die Parameter können verschiedene Informationen enthalten. Beispielsweise befindet sich in einem Unsubscribe-Link häufig die E-Mail-Adresse, die in das Abmeldeformular eingetragen werden muss. Doch Kurzlink-Dienste verlangen und akzeptieren wie auch viele andere Seiten keine Parameter, daher wird dieser Teil der URL beim Übergang einfach verworfen. Die Spammer machen sich das zunutze und platzieren in die Parameter verschiedene zufällige Zeichenfolgen. In unserem Fall befindet sich am Ende der Parameter noch die Erweiterung „.pdf“ – damit sollen nicht die Filter in die Irre geführt werden, sondern der Anwender, der glauben soll, dass ihn der Link auf irgendeine PDF-Datei führt.

4. Präfixe

Außer Parametern, die am Ende eines Links angefügt werden können, lassen sich auch am Anfang überflüssige Elemente platzieren. Das kann eine Vielzahl von Symbolen sein, die beim Übergang auf die URL von dem Link-Interpreter nicht berücksichtigt werden, zum Beispiel:

(Neben der Verrauschung des Links am Anfang und mit Hilfe nicht existierender Parameter am Ende ist der Link selbst in diesem Beispiel eine IP-Adresse, die teilweise im Oktalsystem, teilweise im Hexadezimalsystem dargestellt ist.)

Die am weitesten verbreitete Art, den Anfang eines Links zu verrauschen, ist die Verwendung des Zeichens @. Bekanntermaßen kann @ vor einer Domain als ID des Anwenders in der Domain verwendet werden (faktisch wird das aber nicht mehr benutzt). Für Webseiten, die keine Identifikation erforderlich machen, wird alles, was vor dem Symbol @ steht, einfach vom Browser ignoriert.

Dieses Zeichen ist deshalb für Spammer so praktisch, da es nicht nur die Verrauschung eines Links ermöglicht, sondern ihn überdies in den Augen des Nutzers auch vertrauenswürdig erscheinen lässt, sofern vor das @ der Name einer bekannten Webseite gestellt wird.

5. Getarnte Redirects

Redirects werden schon seit Langem von Spammern verwendet, um die eigentliche Domain zu verschleiern, und wir haben bereits ausführlich darüber berichtet. Im Jahr 2016 stachen die Umleitungsmethoden nicht durch ihre Vielfalt hervor, doch die Links mit den Redirects waren ebenfalls verrauscht. Die Methoden zur Verschleierung sind dabei in etwa dieselben wie die oben beschriebenen zur Verrauschung von Kurz-URL-Diensten: Verwendung des Zeichens @, Parameter, zusätzliche Zeichen.

Häufig kombinierten die Cyberverbrecher mehrere Methoden miteinander, die gleichzeitig den Ausgangslink verbargen und den Link verfälschten:

Hier gibt es zum einen den Namen einer Webseite, die die Aufmerksamkeit auf sich lenkt (tatsächlich ist das nur überflüssiger Ballast vor dem @). Des Weiteren folgt ein Redirect auf einen Kurzlink-Dienst (der selbst auch durch mehrere @-Zeichen verfälscht wurde), und erst darüber gelangt Nutzer dann auf die Webseite der Spammer.

Statistik

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic stieg im Jahr 2016 um 3,03 Prozentpunkte und betrug 58,31 Prozent.

Spam-Anteil im weltweiten E-Mail-Traffic im Jahr 2016

Der geringste Wert fiel mit 54,61 Prozent auf den Februar 2016. Danach stieg der Spam-Anteil gleichmäßig an und erreichte seinen Höchststand zum Ende des Jahres, und zwar mit 61,66 Prozent im November.

Bezeichnend ist, dass der Spam-Anteil im E-Mail-Traffic das letzte Mal vor acht Jahren zugenommen hat, nämlich im Jahre 2009. Seither ist der Anteil unerwünschter Nachrichten beständig zurückgegangen, von einem Spitzenwert von 85,2 Prozent im Jahr 2009 auf 55,28 Prozent im Jahr 2015. Wir haben diesen Rückgang mit der schrittweisen Abkehr kleiner und mittlerer Betriebe vom Spam erklärt, die auf andere – legale – Werbeplattformen umgestiegen sind.

Spam-Anteil im weltweiten E-Mail-Traffic, 2009 bis 2016

Möglicherweise ist dieser Prozess zum Stillstand gekommen, da diejenigen, die die Dienste der Spammer nicht in Anspruch nehmen konnten oder wollten, das nun in der Mehrheit nicht mehr tun. Und die geringfügige Zunahme des Spam-Anteils hängt mit der Unmenge an Spam mit schädlichen Anhängen zusammen.

Spam-Herkunftsländer

Spam-Herkunftsländer weltweit im Jahr 2016

Im Jahr 2016 haben sich auf den ersten drei Spitzenplätzen im Ranking der Spam-Herkunftsländer folgende Veränderungen ergeben: Indien (10,15 %) ist aufgrund einer bedeutenden Zunahme des aus diesem Land versendeten Spams, und zwar um 7,19 Prozentpunkte, auf den dritten Platz aufgestiegen. Eine derartig starke Zunahme könnte von der Organisation eines Botnetzes in dieser Region zeugen. Der Anteil des aus Vietnam (10,32 %) verschickten Spams hat ebenfalls zugenommen, und zwar um 4,19 Prozentpunkte. Das Land ist dadurch eine Position im Ranking nach oben geklettert und belegt nun den zweiten Platz. Spitzenreiter unter den Spam versendenden Ländern sind nach wie vor die USA (12,08 %), obgleich der Anteil des verschickten Spams im Jahr 2016 hier um 3,08 Prozentpunkte zurückgegangen ist.

China (4,66 %) verlor 1,46 Prozentpunkte, belegt aber wie gehabt den vierten Platz. Es folgen die Vertreter Lateinamerikas – Mexiko (4,40 %) und Brasilien (4,01 %). Russland (3,53 %) ist nicht mehr unter den ersten Drei und belegt nach den Ergebnissen des Jahres 2016 den siebten Platz im Rating. Der Anteil dieses Landes an der versendeten Spam-Menge ist um 2,62 Prozentpunkte zurückgegangen.

Auf den Plätzen neun und zehn positionierten sich Frankreich (3,39 %, plus 0,22 Prozentpunkte) respektive Deutschland (3,21 %, minus 1,03 Prozentpunkte). Abgeschlossen werden die Top 10 von der Türkei mit einem Wert von 2,29 Prozent, das ist ein um 0,34 Prozentpunkte höherer Wert als im Jahr 2015.

Größe der Spam-Mails

Im Jahr 2016 ging der Anteil der sehr kleinen E-Mails (bis zwei KB) im Spam-Traffic deutlich zurück und betrug durchschnittlich 62,16 Prozent, das sind 16,97 Prozentpunkte weniger als im Jahr 2015. Der Anteil der Nachrichten mit einer Größe zwischen zwei und fünf KB hat ebenfalls abgenommen und lag bei 4,70 Prozent.

Größen der Spam-Mails im Jahr 2016

Andererseits haben die Anteile der E-Mails mit Größen von fünf bis zehn KB (6,15 %), von zehn bis 20 KB (14,47 %) und von 20 bis 50 KB (10,08 %) deutlich zugenommen. Insgesamt war im Jahr 2016 im Spam eine deutliche Tendenz zur Verringerung der Zahl von E-Mails ganz geringer Größe hin zur Zunahme von E-Mails mittlerer Größe, zwischen fünf und 50 KB, zu beobachten. Diese Zunahme hängt unter anderem mit einem starken Anstieg des Anteils unerwünschter Nachrichten mit schädlichen Anhängen zusammen.

Schädliche Anhänge

Schadprogramm-Familien

Top 10 der Schadprogramm-Familien, 2016

Den ersten Platz im Gesamtjahresranking 2016 der am weitesten verbreiteten Schadprogramm-Familien belegt Trojan-Downloader.JS.Agent. Ein typischer Schädling dieser Familie ist ein obfuskiertes Java-Skript, das die Technologie ADODB.Stream verwendet, um Dateien der Formate DLL, EXE und PDF zu laden und auszuführen.

Auf Position zwei befinden sich die Vertreter der Familie Trojan-Downloader.VBS.Agent. Es handelt sich dabei um VBS-Skripte, die die Technologie ADODB.Stream einsetzen, um ZIP-Archive zu laden und die aus ihnen extrahierte Malware zu starten.

Platz drei belegt die Familie Trojan-Downloader.MSWord.Agent. Bei den Schädlingen dieser Familie handelt es sich um DOC-Dateien mit integrierten Makros, geschrieben in Visual Basic for Applications (VBA), das beim Öffnen des Dokuments ausgeführt wird. Das Makro lädt von der Webseite der Cyberkriminellen eine andere Schaddatei und führt sie auf dem Computer des Anwenders aus.

Die Familie Trojan-Downloader.JS.Cryptoload besetzt Position vier. Die Schädlinge dieser Familie sind obfuskierte Java-Skripte, die ein Verschlüsselungsprogramm auf den Computer laden und es dort starten.

Die Top 5 werden abgeschlossen von Trojan.Win32.Bayrob. Die Vertreter dieser Trojaner-Familie sind in der Lage, vom Steuerungsserver zusätzliche Module zu laden und auszuführen, außerdem können sie als Proxy-Server fungieren. Sie werden zum Spam-Versand und zum Diebstahl persönlicher Daten verwendet.

Auf Platz sechs befindet sich die Familie Trojan-PSW.Win32.Fareit. Das Hauptziel der Schadprogramme dieser Familie ist der Datendiebstahl, beispielsweise Zugangsdaten zu FTP-Clients, die auf dem infizierten Computer installiert sind, Account-Informationen von Programmen für die Arbeit mit Cloud-Speichern, Cookie-Dateien in Browsern und Passwörter für E-Mail-Programme. Die zusammengetragenen Informationen senden die Fareit-Trojaner an den Server der Cyberkriminellen. Einige Vertreter der Familie können andere Schadprogramme laden und starten.

Position sieben belegt Trojan-Downloader.JS.SLoad. Das sind Java-Skripte, die andere Schadprogramme, in der Regel Verschlüsselungsschädlinge, auf den Computer des Opfers laden und diese dort ausführen.

Den achten Platz besetzt die Familie Trojan.Java.Agent. Die Schadprogramme dieser Familie sind in der Sprache Java geschrieben und haben die Erweiterung JAR. Diese Anwendungen nutzen Sicherheitslücken in Sun Java Runtime aus und können Daten zerstören, blockieren, ändern oder kopieren. Zudem sind sie in der Lage, andere Schadprogramme zu laden und auszuführen.

Auf dem neunten Platz befindet sich Backdoor.Win32.Androm. Das sind Schädlinge, die zu der Familie universeller modularer Bots Andromeda, Gamarue, gehören. Die wichtigsten Funktionen dieser Bots bestehen im Laden, Speichern und Starten einer schädlichen ausführbaren Datei; im Laden und Starten einer schädlichen DLL (ohne sie auf der Festplatte zu speichern); und in der Möglichkeit, sich selbst zu aktualisieren und zu löschen. Die Funktionalität des Bots wird mit Hilfe von Plug-ins erweitert, die von den Cybergangstern jederzeit geladen werden können.

Den letzten Platz der Top 10 belegt die Familie Worm.Win32.WBVB. Hierzu gehören ausführbare Dateien in Visual Basic 6 (sowohl im Modus P-code als auch im Modus Native), die im Kaspersky Security Network (KSN) nicht als vertrauenswürdig eingestuft werden.

Zielländer der Schadversendungen

Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern im Jahr 2016

Im Gesamtjahresranking 2016 belegt wie bereits im Vorjahr wieder Deutschland mit 14,13 Prozent den ersten Platz. Im Verlauf des Jahres nahm der Anteil des Landes um 4,93 Prozentpunkte ab. Auf den Plätzen zwei und drei befinden sich Vertreter des Pazifischen Raums, und zwar Japan (7,59 %) und China (7,32 %), die sich im Jahr 2015 weit außerhalb der Top 10 positioniert hatten.

Russland (5,6 %), vorher auf Platz drei, landete nach den Ergebnissen des Jahres 2016 auf Position vier – der Anteil der Alarme von Kaspersky Anti-Virus ging in diesem Land um 0,7 Prozentpunkte zurück. Es folgen Italien (5,44 %), Großbritannien (5,17 %) und Brasilien (4,99 %), das im Jahresranking 2016 nicht mehr im Führungstrio vertreten ist.

Die USA positionierten sich auf Platz acht im Ranking. Hier betrug der Anteil der Alarme von Kaspersky Anti-Virus 4,03 Prozent, das ist ein um 0,89 Prozentpunkte niedrigerer Wert als im vorangegangenen Jahr.

Österreich beschließt die Top 10 mit einem Anteil von 2,35 Prozent, das sind 0,93 Prozentpunkte mehr als im Vorjahr.

Phishing

Im Jahr 2016 wurden auf den Computern der Anwender von Kaspersky-Lab-Produkten 154.957.897 Alarme des Systems „Antiphishing“ bei den Versuchen registriert, auf Phishing-Seiten zu gelangen. Das sind 6.562.451 Alarme mehr als im Jahr 2015. Insgesamt wurden 15,29 Prozent der Anwender von Kaspersky-Produkten von Phishern angegriffen.

Die Top-Themen des Jahres

Wie immer ließen sich die Phisher auch in diesem Jahr die internationalen Top-Themen nicht entgehen, wie etwa die Olympiade in Brasilien. Ziel der Betrüger waren sowohl die Organisatoren der Olympischen Spiele selbst als auch die gewöhnlichen Internetnutzer, die von ihnen gefälschte Benachrichtigungen über den Gewinn in einer Lotterie erhielten, die angeblich von der Regierung des Landes und dem Olympischen Komitee ins Leben gerufen wurde.

Die Präsidentschaftswahlen in den USA waren ebenfalls ein willkommener Medien-Anlass für Angriffe von Betrügern. Nicht nur in den USA, sondern auch in anderen Ländern machten sich Cybergangster diese Thematik zunutze, um die Internetuser in die Irre zu führen.

Ein weiteres interessantes Thema, dem wir eine eigene Untersuchung gewidmet haben, waren die Sonderangebote anlässlich von Feiertagen. Sich den allgemeinen Wirbel und den hervorragenden Informationsvorwand zunutze machend, fälschten Betrüger die Webseiten von Bezahlsystemen und Online-Shops und lockten potenzielle Opfer mit dem Versprechen großzügiger Rabatte.

Beispiel für einen gefälschten Internet-Shop

Darüber hinaus bietet ein Fest an sich bereits ausreichend Anlässe für Betrüger, Informationen abzugreifen. So wurden die Opfer beispielsweise aufgefordert, ihre Account-Daten zum Jahreswechsel zu erneuern.

Phishing-Seite, die die Neujahrsthematik im Namen einer Subdomain ausnutzt

Verbreitungsmethoden

Im Jahr 2016 nutzten Verbrecher alle zur Verfügung stehenden Mittel, um mit dem Nutzer in Kontakt zu treten und ihn dazu zu bringen, ihnen seine vertraulichen Daten oder finanziellen Mittel zu überlassen: Soziale Netzwerke, Pop-up-Werbung, Banner, SMS – das und vieles mehr verwendeten die Betrüger in ihren Angriffsschemata.

Unter den interessantesten Verbreitungsmethoden haben wir Betrügereien mit Online-Flohmärkten ausgewählt. Cyberkriminelle sammelten die bei solchen Diensten in Kleinanzeigen hinterlassenen Telefonnummern und verschickten an diese Nummern SMS mit dem Angebot, Ware gegen Geld zu tauschen. Die Kurznachricht enthielt einen Link, der angeblich auf ein Foto der angebotenen Sache führen sollte, doch tatsächlich landete das Opfer damit auf einer Phishing-Seite.

Die Betrüger nutzten in ihren Schemata häufig Soziale Netzwerke, und es geht hier nicht nur um persönliche Mitteilungen. Indem sie das Opfer in einem Posting inklusive Phishing-Link erwähnten, der angeblich auf ein pikantes Video führt, gelang es Betrügern im Jahr 2016, eine Vielzahl von Facebook-Usern auf der ganzen Welt dazu zu bringen, eine schädliche Erweiterung für den Browser zu installieren.

Am weitesten verbreitete sich die schädliche Erweiterung „xic. Graphics“, die bald aus dem Shop gelöscht wurde. Doch auf die Inhaber der gleichnamigen Domain, auf der sich die gefälschte Seite befand, wurden nach Angaben von whois mehr als 50 andere Domains registriert. Vermutlich verwendeten die Cyberkriminellen sie alle zu ähnlichen Zwecken.

Fallstricke der Phisher: Dienste zum Deaktivieren des Referrers

Im vierten Quartal 2016 stellten die Kaspersky-Experten fest, dass Betrüger zunehmend Dienste zum Löschen des Referrers nutzten. Das Opfer erhält eine E-Mail im Namen irgendeines bekannten Unternehmens, die einen Link enthält, in dessen Parametern die Adresse des Anwenders geschrieben ist.

Beim Übergang auf die angegebene URL landet der Anwender auf einer Seite, die den Fehler 302 ausgibt und den Browser auf die Adresse eines Dienstes zum Löschen des Referrers umleitet, der ihn wiederum auf die legitime Webseite der Bank weiterleitet.

http://nullrefer.com/?https://www.cartalis.it/cartalis/prepagata/index.jsp

Auf diese Weise erkennt der Anwender nicht, dass er eine Phishing-Mail erhalten hat, und die Bank erhält keine Phishing-Domain in ihren Referrern. Gleichzeitig erhalten die Phisher eine Bestätigung dafür, dass der Nutzer dem Link gefolgt ist, und das bedeutet, dass man ihm künftig weitere Phishing-Mails schicken kann, beispielsweise mit dem Ziel, seine Bankkartendaten abzugreifen. Auf diese Weise säubern die Phisher ihre Datenbanken von nicht genutzten E-Mail-Adressen und von vorsichtigen Empfängern, und machen außerdem die Kunden von Banken ausfindig, deren Namen in den E-Mails erwähnt wurden, wodurch die Versendungen sehr viel zielgerichteter gestaltet werden können.

Geografie der Attacken

Top 10 der Länder nach Anteil der angegriffenen Anwender

Spitzenreiter nach Anteil der individuellen angegriffenen Anwender an der Gesamtzahl aller Anwender im Land wurde im Jahr 2016 Brasilien (27,61 %), dessen Wert um 5,98 Prozentpunkte zulegte.

Anteil der Anwender, auf deren Computern das „Antiphishing“-System im Jahr 2016 Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land

In Brasilien beobachteten wir eine Vielzahl von Attacken, die sich gegen die Kunden von Banken und Online-Shops richten, daher erstaunt es nicht, dass das Land häufig unter den Ersten im Rating der Länder nach Anzahl der angegriffenen Anwender landet.

Wir weisen darauf hin, dass Phisher häufig gefälschte Seiten auf den Servern von staatlichen Einrichtungen und Behörden in Brasilien platzieren. Unter anderem durch diesen Ansatz wird die Wahrscheinlichkeit verringert, dass die Phishing-URL auf den Schwarzen Listen landet. Außerdem soll dem Opfer auf diese Weise Vertrauen eingeflößt werden. Im Jahr 2016 registrierten wir 1.043 solcher Fälle.

Gefälschte Seite auf der Domain gov.br

Top 10 der Länder nach Anteil der angegriffenen Anwender

Den zweiten Platz in unserem Rating belegt China (22,84 %), das im Gesamtrating für das Jahr 2015 gar nicht in den Тop 10 vertreten war, im Jahr 2016 aber um 5,87 Prozentpunkte zugelegt hat. Auf Platz drei befindet sich Australien (20,07 %), im Vorjahr auf dem siebten Platz, dessen Wert um 2,39 Prozentpunkte zugelegt hat. Die Anteile der übrigen Vertreter der Top 10 haben sich mit Ausnahme von Saudi-Arabien (plus 4,9 Prozentpunkte) nur geringfügig verändert.

Verteilung der Attacken nach Ländern

Nach Anteil der Alarme unseres Systems „Antiphishing“ (gemessen an der Gesamtzahl der Alarme unserer Produkte weltweit innerhalb des Jahres) führt Russland vor allen anderen Ländern der Welt mit 16,12 Prozent, dabei ist der Wert des Landes innerhalb des Jahres um 1,68 Prozentpunkte gesunken.

Verteilung der Phishing-Attacken nach Ländern im Jahr 2016

Auf Russland folgt wie bereits im Jahr 2015 Brasilien (8,77 %), dessen Wert sich nur um ein Hundertstel Prozentpunkt geändert hat. Um 0,5 Prozentpunkte gestiegen ist innerhalb eines Jahres der Wert der USA (8,01 %). Dadurch verdrängten die Vereinigten Staaten Indien (6,01 %) vom dritten Platz. Ebenfalls unter den ersten Fünf ist China mit einem Wert von 7,86 Prozent.

Ziele der Phishing-Attacken

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Kaspersky-Lab-Systems Antiphishing auf den Computern der KSN-Teilnehmer erstellt. Diese Komponente erkennt alle Seiten mit Phishing-Inhalten, die der Anwender über Links in einer E-Mail oder im Internet zu erreichen versucht. Das Antiphishing-System schlägt dann Alarm, wenn noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind.

Kategorien-Rating der von Phishern angegriffenen Organisationen

In der zweiten Jahreshälfte 2016 stieg der Anteil der Phishing-Attacken deutlich, die sich gegen Kunden von Finanzorganisationen richteten (44,16 % im ersten Quartal gegenüber 48,14 % im vierten). Hier beobachten wir bereits seit einigen Jahren eine stetige Zunahme: Im Jahr 2014 betrug der durchschnittliche Jahreswert 28,74 Prozent, im Jahr 2015 waren es 34,33 Prozent und im Jahr 2016 schon 47,47 Prozent.

Besonders auffällig war im Jahr 2016 der Zuwachs der Kategorie „Banken“ (25,76 Prozent), und zwar um 8,31 Prozentpunkte. Gestiegen sind auch die Werte der Kategorien „Online-Shops“ (10,17 % mit einem Plus von 1,09 Prozentpunkten) und „Bezahlsysteme“ (11,55 %, plus 3.75 Prozentpunkte).

Verteilung der von Phishern angegriffenen Organisationen nach Kategorien im Jahr 2016

Gleichzeitig ist ein Rückgang der Anteile der Hauptkategorien zu verzeichnen. So ging der Wert der Kategorie „Globale Internetportale“ (24,10 %) um 7,77 Prozentpunkte zurück und die „Sozialen Netzwerke und Blogs“ (10,91 %) verloren 5,49 Prozentpunkte.

Insgesamt ändern sich die Prioritäten der Cyberbetrüger über die Jahre nicht. Die Phisher benutzen in ihren Betrugsschemata in erster Linie die Marken, an denen sie am meisten verdienen, wenn sie deren Kunden angreifen, oder die ihnen die größte Anzahl an potenziellen Opfern zu bieten haben.

Ebenfalls ganz oben auf der Prioritätenliste stehen bei den Betrügern Attacken, infolge derer sie ein Maximum an vertraulichen Informationen – und damit letztlich auch Geld – abgreifen können. Als Beispiel nehmen wir einmal die Kategorie „Globale Internetportale“ (Google, Yahoo!, Microsoft (live.com) und andere). Diese Portale verwenden ein und denselben Account für eine Vielzahl von Services. Somit erhalten die Betrüger infolge einer erfolgreichen Phishing-Kampagne Zugriff auf alle Services des Opfers.

Beispiel für eine Phishing-Seite für Angriffe auf Google-Nutzer

Top 3 der von Phishern angegriffenen Organisationen

Auf Platz eins befindet sich erneut Yahoo! (7,84 %), obgleich der Anteil der Alarme von Kaspersky Anti-Virus auf gefälschten Seiten mit Verweis auf dieses Internetportal innerhalb des Jahres deutlich zurückgegangen ist, und zwar um 6,86 Prozentpunkte. Bereits im Jahr 2015 verringerte sich der Anteil von Yahoo! um fast zehn Prozentpunkte. Es macht sich bemerkbar, dass das Unternehmen aktiv gegen Phisher vorgeht, beispielsweise indem es obfuskierte Domains auf seinen Namen registriert (yshoogames.com, ypyahoo.com.cn, yhoonews.com, yhoooo.com, yayoo.com, yahou.com). Doch recht häufig erstellen die Online-Betrüger gar keine Phishing-Domains, sondern platzieren ihre Inhalte auf legalen Webseiten, selbstverständlich ohne Wissen ihrer jeweiligen Betreiber.

Beispiel einer gefälschten Seite, die die Marke Yahoo! ausnutzt

Auf Platz zwei im Rating der unter Phishern beliebtesten Marken zum Verschleiern ihrer Attacken befindet sich Facebook (7,13 %). Der Anteil des Sozialen Netzwerks verringerte sich im Laufe des Jahres 2016 um 2,38 Prozentpunkte.

Wir konnten sowohl klassische Phishing-Seiten beobachten, die die Startseite von Facebook mit den Eingabefeldern für die Anmeldedaten kopieren, sowie verschiedene Varianten von Seiten, die Daten stehlen. Eine der beliebtesten Methoden, um Opfer anzulocken, ist das Versprechen, nach Eingabe von E-Mail-Adresse und Passwort Material anzuzeigen, für das eine Altersbeschränkung gilt.

Das massenhafte Phishing bedient sich also der Namen höchst populärer Marken, um so die Wahrscheinlichkeit zu erhöhen, das Ziel zu erreichen. Die betroffenen Marken sind häufig international, so dass die Angriffe sich gegen Nutzer auf der ganzen Welt richten. Daher haben wir es mit Phishing in einer Vielzahl von Sprachen zu tun. Einen Ansatz, den die Phisher verwenden, haben wir in unserem Bericht für das dritte Quartal 2016 beschrieben. Mit Hilfe der Informationen über die IP-Adresse eines potenziellen Opfers bestimmen die Verbrecher das Land, in dem sich dieses befindet. Für die Darstellung der Seite verwenden die Phisher dann ein Wörterbuch für die Sprache, die in dem jeweiligen Land gesprochen wird.

Den dritten Platz in unseren Тop 3 belegt Microsoft (6,98 %). Indem sie sich hinter dem Namen dieser Marke verstecken, versuchen Betrüger in den meisten Fällen, die Account-Daten für das Portal live.com zu stehlen. In der Regel benutzen sie zu diesem Zweck Seiten, die das Anmeldeformular für den E-Mail-Dienst des Unternehmens imitieren.

Doch es gibt auch andere Ansätze, beispielsweise eine gefälschte Account-Verifizierung:

Fazit und Prognosen

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen und im Jahr 2017 dürfen wir keinen Rückgang des Schadspams erwarten.

Im vergangenen Jahr brachte es Spam zu einer gewissen Popularität unter kleinen und mittelständischen Betrieben in China. Einer der möglichen Gründe hierfür ist die Great China Firewall, die es chinesischen Geschäftsleuten erschwert, auf legale internationale Werbeplattformen zuzugreifen.

Besonders hervorzuheben unter den technischen Methoden, die die Spammer im Laufe des Jahres einsetzten, sind verschiedene Verfälschungen von Text und Links mit Hilfe der Möglichkeiten, die HTML bietet. Das ist zwar ein recht alter Trick, doch die Spammer ersinnen immer neue Spielarten und scheinen davon auch in Zukunft keinen Abstand nehmen zu wollen.

Der Spam-Anteil im E-Mail-Traffic stieg gegenüber dem Vorjahr um 3,03 Prozentpunkte auf 58,31 Prozent. Das ist der erste Zuwachs seit dem Jahr 2009, der sich teilweise auf den rasanten Anstieg von Schadspam zurückführen lässt.

Nicht zum ersten Mal beobachten wir, dass die Zahl der Betrugsschemata zunimmt, die sich gegen Kunden von Finanzorganisationen richten, und diese Tendenz wird sich auch weiter fortsetzen. Die Attacken selbst werden immer universeller: Die gefälschten Seiten werden auf den Nutzer zugeschnitten und die Informationen werden in seiner eigenen Sprache geliefert.

Die Methoden zur Verbreitung der betrügerischen Seiten gingen weit über das Medium E-Mail hinaus. Die Online-Kriminellen nutzten vielmehr alle verfügbaren Mittel, um mit ihren potenziellen Opfern in Kontakt zu treten: SMS, Werbung und Soziale Netzwerke. Letztgenannte sind dabei nicht nur ein guter Kommunikationskanal, sondern gleichzeitig auch eine Ressource, mit deren Hilfe Informationen gesammelt werden können, die dann bei effektiveren Attacken auf die Nutzer verwendet werden.