Die wichtigsten Ereignisse des Quartals
Trojaner vom Lieferdienst
Zu Beginn des zweiten Quartals registrierten wir eine Welle von Schadversendungen, innerhalb derer die E-Mails als Mitteilungen bekannter Speditionen getarnt waren. Die trojanischen Ladeprogramme wurden in ZIP-Archiven verschickt und nach ihrem Start wurden weitere Schädlinge geladen – Backdoor.Win32.Androm und Trojan.Win32.Kovter. Um den Empfänger dazu zu bringen, den Anhang zu öffnen, griffen die Cyberkriminellen auf bereits bewährte Methoden zurück und gaben den gefährlichen Inhalt als wichtige Information über die Lieferung aus. Die schädlichen Versendungen richteten sich gegen Nutzer in verschiedenen Ländern und waren in unterschiedlichen Sprachen abgefasst.
In den gefälschten Benachrichtigungen der Logistikunternehmen platzierten die Angreifer auch schädliche Links, um so den Computer des Opfers zu infizieren und persönliche Daten zu stehlen. Der schädliche Link verbarg sich unter der Tracking-Nummer der nicht existierenden Versendung und hatte die folgende Form:
http://Domain/Name des Lieferunternehmens__com__WebTracking__tracknum__4MH38630431475701
Die Domain und die Buchstaben- und Ziffernfolge am Ende variierten innerhalb einer Versendung.
Mit einem Klick auf den Link wurde ein Trojaner aus der Familie Js.Downloader geladen, der seinerseits den Banktrojaner Emotet lud. Dieser Schädling wurde erstmals im Juni 2014 entdeckt und wird nach wie vor zum Diebstahl persönlicher Finanzinformationen und Zugangsdaten zu anderen Services, zum Spamversand und anderem eingesetzt.
WannaCry im Spam
Im Mai 2017 wurden hunderttausende Computer weltweit mit dem Verschlüsselungsschädling WannaCry infiziert. Im Gegensatz zu den meisten Erpresserprogrammen dieser Art, die so aufgebaut sind, dass der Nutzer auf irgendeine Weise aktiv werden muss, damit die Infektion ausgelöst wird, kann sich der Computer mit WannaCry infizieren, ohne dass der Anwender dafür irgendetwas tun muss. Der Schädling greift sein Ziel mit Hilfe eines Exploits für Windows an und infiziert daraufhin alle Computer innerhalb des lokalen Netzwerks. Wie andere Schädlinge dieser Art verschlüsselt auch WannaCry die Dateien auf dem Computer des Opfers und verlangt ein Lösegeld für die Dechiffrierung. Die verschlüsselten Dateien erhalten die Erweiterung .wcry und sind fortan unlesbar.
Auf die Aufregung in den Medien um den neuen Verschlüsselungsschädling reagierten die Spammer wie gewohnt: Sie nutzten sie zu ihren Zwecken aus. So fanden sich im Junk-Traffic zahlreiche E-Mails, in denen die Betrüger ihre Dienste im Kampf gegen den neuen Schädling anboten beziehungsweise Maßnahmen zur Verhinderung einer Infektion, die Durchführung von Weiterbildungsseminaren und Kurse für Computernutzer und so weiter. Auch die Cyberverbrecher, die an betrügerischen Versendungen verdienen wollten, ließen nicht auf sich warten.
Sie versendeten gefälschte Benachrichtigungen im Namen bekannter Softwarehersteller, in denen sie mitteilten, dass der Computer des Empfängers mit dem Erpresserschädling infiziert sei und daher unbedingt ein Update aufgespielt werden müsse. Der Link auf dieses Update führte selbstverständlich auf eine Phishing-Seite. In den von uns entdeckten Beispielen hatten die Betrüger keine großen Mühen auf das Verfassen der E-Mail verwendet – vermutlich in der Hoffnung, dass das Opfer in seiner Panik nicht auf die offensichtlichen Fehler aufmerksam wird (Absenderadresse, Linkadressen und so weiter).
Schädlinge in passwortgeschützten Archiven und der Unternehmenssektor
Im zweiten Quartal 2017 beobachteten wir neue Versendungen von E-Mails, die schädliche Anhänge in einem passwortgeschützten Archiv enthielten. Die Zielgruppe dieser Versendungen lag dabei ganz eindeutig im Unternehmenssektor.
Eine Versendung mit passwortgeschützten Archiven verfolgt, wie wir uns erinnern, gleich zwei Ziele: Erstens handelt es sich um Social Engineering – in ihrer E-Mail betonen die Betrüger, dass vertrauliche Daten (wie etwa Rechnungen) zusätzlich mit einem Passwort geschützt werden. Zweitens können die Dateien nicht vollwertig mit einem Antivirenprogramm gescannt werden, solange sie nicht entpackt werden.
Diese Archive enthielten ein Schadprogramm der Familie Pony/FareIT. Dieser Schädling ist bestimmt für den Diebstahl von im Browser gespeicherten Zugangsdaten zu Webservices sowie URL-Adressen, auf denen diese eingegeben wurden; des Weiteren für Authentifikationsdaten für FTP-Server, für Dateimanager, E-Mail-Clients, Synchronisierungs-Apps sowie für den Diebstahl von Wallets mit Kryptowährungen.
Das Archiv enthielt das Schadprogramm Trojan-Downloader.MSWord.Agent.bkt, bei dem es sich um eine passwortgeschützte Word-Datei handelt. Das Dokument enthält ein schädliches Skript, das andere Malware auf den Computer des Nutzers lädt, die wiederum zum Diebstahl von Bankdaten vorgesehen ist.
Die Tendenz, Schadversendungen als Geschäftskorrespondenz zu tarnen, hat im Übrigen zugenommen. Die Spammer kopieren nun nicht nur einfach den Stil von geschäftlicher Korrespondenz, sondern übernehmen auch reale Daten existierender Unternehmen, kopieren ihre Signaturen und Logos, und sogar der Betreff hat unter Umständen etwas mit dem Tätigkeitsbereich des Unternehmens zu tun. Den Domain-Adressen im Adressfeld und den Inhalten der E-Mails nach zu urteilen ist die Zielgruppe dieser Versendungen ebenfalls der B2B-Sektor.
Im Archiv befand sich ein Schadprogramm der Familie Loki Bot, das ausgerichtet ist auf den Diebstahl von Passwörtern zu FTP-Servern, E-Mail-Clients und im Browser gespeicherten Passwörtern, aber auch von Wallets mit Kryptowährungen.
Im Archiv befand sich das Schadprogramm Exploit.Win32.BypassUAC.bwc, das für den Diebstahl von Passwörtern von Netzressourcen und E-Mail-Clients vorgesehen ist. Um die Privilegien zu erhöhen, benutzt der Schädling ein Exploit, das den Schutz der UAC-Komponente in Windows umgeht. Die Malware setzt legale Tools zur Wiederherstellung der Passwörter ein.
Das Archiv enthielt eine XLS-Datei mit Makros, mit Hilfe dessen der HawkEye-Keylogger auf den Computer des Opfers geladen wird. Dieses Schadprogramm, geschrieben in .NET, protokolliert die Tastatureingaben und sammelt zudem Informationen über das System, auf dem es läuft: die interne und externe IP-Adresse, die Betriebssystemversion sowie den Namen der Schutzlösung und der Firewall.
Im Archiv befanden sich gleich zwei schädliche Dateien: eine EXE-Datei, die als PDF ausgegeben wurde (detektiert als Trojan.Win32.VBKrypt.xdps), und ein MS-Word-Dokument mit einem Exploit, das die Sicherheitslücke CVE-2017-0199 ausnutzt. Beide Schadprogramme laden letztlich eine Modifikation des trojanischen Spionageprogramms Zeus auf den Computer des Opfers.
Derartige zielgerichtete Attacken können unterschiedliche Ziele verfolgen. Im Fall der Verschlüsselungsschädlinge ist es offensichtlich, dass das intellektuelle Eigentum eines Unternehmens als deutlich wertvoller eingeschätzt werden kann als die Informationen auf einem privaten Computer, und dass das potenzielle Opfer mit großer Wahrscheinlichkeit bereit sein wird, die geforderten Bitcoins im Austausch gegen seine Daten zu zahlen. Im Fall der Spionageprogramme, die auf den Diebstahl von Finanzinformationen spezialisiert sind, können die Cybergangster ebenfalls potenziell fette Beute machen, wenn sie sich Zugriff auf das Konto des Unternehmens verschaffen.
Spionage-Programme im B2B-Sektor können auch in komplexeren Finanzbetrug-Schemata eingesetzt werden, unter anderem bei MITM-Attacken während der Durchführung von Finanzgeschäften. Ein derartiges Modell, das unsere Kollegen vom Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) aufgedeckt haben, ist hier detailliert beschrieben.
Interessant ist, dass die auf die Computer geladenen „Payloads“ sich zwar teilweise stark voneinander unterscheiden, ihre Hauptfunktion aber immer dieselbe ist, und zwar der Diebstahl von Authentifizierungsdaten. Das heißt also, dass die Mehrheit der Angriffe auf den Unternehmenssektor finanzielle Ziele verfolgen.
Man sollte aber nicht die Gefahr vergessen, die entsteht, wenn Cyberkriminelle die Kontrolle über die industrielle Ausrüstung eines Betriebes übernehmen, auf die sie sich Zugriff verschaffen könnten, nachdem sie in das Netzwerk der Organisation eingedrungen sind.
Insgesamt hat die Menge an Schadspam im E-Mail-Traffic gegenüber dem vorangegangenen Quartal leicht zugenommen. Die Zahl der Alarme von Kaspersky Anti-Virus stieg im zweiten Quartal im Vergleich zum ersten um 17 Prozent.
Zahl der Alarme von Kaspersky Anti-Virus, erstes und zweites Quartal 2017
Necurs noch immer aktiv
Das Botnetz Necurs ist nach wie vor aktiv, doch der Umfang der von diesem Zombienetzwerk ausgehenden Versendungen ist wesentlich geringer als noch im Jahr 2016. Die Arbeit dieses Botnets zeichnet sich durch einen Wechsel von Perioden des Stillstands und solcher höchster Aktivität aus, in denen wir bis zu zwei Millionen E-Mails pro Tag registrieren, die den Kunden von Kaspersky Lab zugesandt werden. Neben Schadversendungen verschickt Necurs auch aktiv Aktien- (Pump and Dump) und Dating-Spam.
Vom Botnet Necurs versendete schädliche E-Mails sind inhaltlich äußerst kurz gehalten und enthalten Dateien der Formate DOC, PDF und andere. Anstelle eines Anhangs enthalten die E-Mails manchmal auch Links auf Cloud-Speicher wie etwa Dropbox, von wo aus die schädlichen Dateien geladen werden.
Ausnutzung legaler Dienste zum Spamversand
Im vergangenen Quartal haben wir darüber berichtet, dass Spammer zur Umgehung der Filter häufig legale Services nutzen, um ihre E-Mails zu versenden. Das können zum Beispiel die Felder „Freunde einladen“ in verschiedenen Sozialen Netzwerken und Kommentare sein, über die die Nutzer via E-Mail informiert werden, aber auch ganz allgemein jedes beliebige Formular auf verschiedensten Webseiten, das es ermöglicht, einer Liste von Nutzern E-Mails zu schicken. Diese Art von Spam ist aufgrund seines legalen Ursprungs nicht nur schwieriger zu detektieren, sie ist aus Sicht der Spammer auch deshalb nützlich, weil sie je nach Art der ausgenutzten Ressource auch gleich eine bestimmte Zielgruppe ins Visier nehmen können. Auf diese Weise nutzen Verbrecher beispielsweise auch Webseiten mit Stellenangeboten aus, um entweder schnell verdientes Geld oder Finanzbetrug anzupreisen:
Betrügereien mit Domains
Im vergangenen Quartal entdeckten wir gleich mehrere Versendungen, in denen der Betrug mit den Domains der Organisationen der Empfänger in Verbindung stand.
Eine davon wurde im Namen eines großen Unternehmens verschickt, das Domainnamen registriert. In der Versendung, die an die Administratoren der registrierten Domains gerichtet war, hieß es, dass die Domains unbedingt aktiviert werden müssten, um den Administratorenstatus des Empfängers zu bestätigen und es ihm weiterhin zu ermöglichen, die Domain zu verwalten. Diese Maßnahmen würden angeblich gemäß den Korrekturen ergriffen, die an den ICANN-Richtlinien vorgenommen wurden (Internet Corporation for Assigned Names and Numbers).
Zu diesem Zweck wurde der Administrator aufgefordert, innerhalb einer festgelegten Frist im Root-Verzeichnis der Webseite eine PHP-Datei mit bestimmtem Inhalt zu erstellen. Würden diese Bedingungen nicht erfüllt – so wurde in der E-Mail deutlich gemacht –, dann könnte die Bestätigungsprozedur nicht durchgeführt werden und die Domain würde nicht länger zugänglich sein.
Wird ein solches Skript auf der Webseite des Opfers gestartet, so können Cyberkriminelle die Kontrolle über die Seite erlangen, mit der Möglichkeit, beliebigen Code auszuführen. Darüber hinaus macht das Skript es möglich, alle Nutzerdaten zu sammeln, die auf der Webseite eingegeben werden, auf der es festgeschrieben ist und ausgeführt wird. Wenn man bedenkt, dass nicht wenige gefälschte E-Mails dieser Art an die Adressen von Banken gesendet wurden, so ist anzunehmen, dass die Betrüger sich Zugriff auf die auf der Webseite der Bank eingegeben Daten verschaffen wollten, unter anderem auf Zugangsdaten zum Online-Banking.
Eine weitere Betrugsart mit Domains, die wir aufgedeckt haben, richtete sich ebenfalls gegen Administratoren. An die Admin-Adressen von Organisationen wurden E-Mails mit der Empfehlung verschickt, Domains in Suchsystemen zu registrieren, um potenziellen Kunden die Suche nach dem Unternehmen zu erleichtern. Diese Mitteilungen stammten von Adressen, die auf kostenlosen Hosting-Plattformen generiert worden waren.
Diese Dienstleistung wurde auf kostenpflichtiger Basis angeboten. Um eine Preisliste und eine Aufstellung der verschiedenen Angebote zu erhalten, wurde der Empfänger aufgefordert, auf einen in der E-Mail enthaltenen Link zu klicken, der auf einer legalen Seite „gehostet“ wurde. Hatte sich der Empfänger einen passenden Tarif ausgewählt, so musste er ein spezielles Bestätigungsformular ausfüllen und absenden, in dem die Betrüger ihn aufforderten, detaillierte persönliche Daten anzugeben, unter anderem Kreditkartendaten.
Statistik
Spam-Anteil im E-Mail-Traffic
Spam-Anteil im weltweiten E-Mail-Traffic, erstes und zweites Quartal 2017
Innerhalb des zweiten Quartals 2017 wurde der größte Spam-Anteil im E-Mail-Traffic mit 57,99 Prozent im April registriert. Der durchschnittliche Spam-Anteil betrug im zweiten Quartal 56,97 Prozent, das ist ein um 1,07 Prozentpunkte höherer Durchschnittswert als im vorangegangenen Quartal.
Spam-Herkunftsländer
Spam-Herkunftsländer weltweit, zweites Quartal 2017
Im zweiten Quartal 2017 gab es in dem Führungstrio der Spam-Herkunftsländer die folgenden Veränderungen: Den ersten Platz nach ausgehender Spam-Menge belegte Vietnam, dessen Wert 12,37 Prozent betrug. Es folgt der Spitzenreiter des vorangegangenen Quartals, die USA, wo der Anteil der versendeten Spam-Menge um 8,65 Prozentpunkte auf 10,1 Prozent zurückging. Den dritten Platz belegt nach wie vor China. Der Wert dieses Landes ist innerhalb des Quartals um 1,19 Prozentpunkte gestiegen und beträgt damit 8,96 Prozent.
Auf dem vierten Platz befindet sich Indien (+3,61 Prozentpunkte) mit einem Wert von 8,77 Prozent; mit einem Anteil von 5,06 Prozent belegt Deutschland (-0,31 Prozentpunkte) den fünften Platz.
Rang sechs belegt Russland, dessen Anteil an versandtem Spam nach den Quartalsergebnissen 4,99 Prozent betrug, das ist ein um 0,06 Prozentpunkte geringerer Wert als im vorangegangenen Berichtszeitraum.
In den Top 10 vertreten sind außerdem Brasilien (4,47 %), Frankreich (4,35 %) und Iran (2,49 %). Das Schlusslicht bilden die Niederlande mit einem Spam-Anteil von 1,96 Prozent.
Größen der Spam-Mails
Größen der Spam-Mails, erstes und zweites Quartal 2017
Nach den Ergebnissen des zweiten Quartals 2017 hat sich der Anteil der sehr kleinen E-Mails (bis zwei KB) im Spam-Traffic nur unwesentlich verändert und betrug durchschnittlich 37,41 Prozent, das ist ein um 1,9 Prozentpunkte höherer Wert als im vorangegangenen Quartal. Der Anteil der E-Mails mit einer Größe zwischen zwei und fünf KB hat sich nicht geändert und beträgt nach wie vor 4,54 Prozent. Der Anteil der E-Mails mit einer Größe zwischen fünf und zehn KB ging um 1,36 Prozentpunkte auf 5,94 Prozent zurück.
Der Anteil der E-Mails mit einer Größe zwischen zehn und 20 KB betrug 18,31 Prozent, der mit einer Größe zwischen 20 und 50 KB betrug 27,16 Prozent, und der mit einer Größe von 50 bis 100 KB 4,16 Prozent. Etwas mehr als zwei Prozent entfielen auf unerwünschte E-Mails mit einer Größe von 100 KB und mehr.
Schädliche Anhänge: Malware-Familien
Тop 10 der Malware-Familien
Top 10 der Schadprogramm-Familien, zweites Quartal 2017
Nach den Ergebnissen des zweiten Quartals 2017 war die im E-Mail-Traffic am weitesten verbreitete Schadprogramm-Familie Trojan-Downloader.JS.SLoad (8,73 %), gefolgt von der Familie Trojan-Downloader.MSWord.Agent (3,31 %). Auf Platz drei befindet sich nach wie vor Trojan-PSW.Win32.Fareit (3,29 %).
Position vier belegt die Malware-Familie Trojan-Downloader.JS.Agent (3,05 %). Abgeschlossen werden die Top 5 von der Familie Worm.Win32.WBVB (2,59 %).
Auch zwei Neueinsteiger sind in der Hitliste vertreten, und zwar die Familien Backdoor.Java.QRat (1,91 %) und Trojan.PDF.Phish (1,66 %) auf Platz sieben respektive neun.
Bei Backdoor.Java.QRat handelt es sich um eine Plattform übergreifende multifunktionale Backdoor in Java, die im Darknet als „Malware as a Service“ (MaaS) angeboten wird. In der Regel werden die Schädlinge aus dieser Familie in Form von JAR-Anhängen verbreitet.
Trojan.PDF.Phish kommt als PDF-Dokument daher, in dem sich ein Link befindet, der auf eine Phishing-Webseite führt, wo der Nutzer aufgefordert wird, seine Zugangsdaten für diverse Webdienste einzugeben.
Zielländer der Schadversendungen
Verteilung der Alarme von Kaspersky Anti-Virus nach Ländern, zweites Quartal 2017
Der größte Anteil der Alarme von Kaspersky Anti-Virus entfiel im zweiten Quartal 2017 auf Deutschland (12,71 %). Es folgt der Spitzenreiter des vorangegangenen Quartals, China (12,09 %). Platz drei belegt wie gehabt Großbritannien (9,11 %).
Auf Platz vier befindet sich Japan (5,87 %). Russland belegt mit einem Wert von 5,67 Prozent den fünften Platz. Es folgen Brasilien (4,99 %), Italien (3,96 %), Vietnam (3,06 %) und Frankreich (2,81 %).
Abgeschlossen werdend die Top 10 von den USA mit einem Anteil von 2,31 Prozent.
Phishing
Im zweiten Quartal 2017 vereitelte das „Antiphishing“-System von Kaspersky Lab 46.557.343 Versuche der Nutzer von Kaspersky-Produkten, eine Phishing-Seite zu besuchen. Insgesamt wurden im Laufe des Quartals weltweit 8,26 Prozent der individuellen Anwender der Produkte von Kaspersky Lab von Phishern angegriffen.
Geografie der Attacken
Das Land mit dem größten Anteil der von Phishern angegriffenen Nutzer war im zweiten Quartal Brasilien (18,09 %), das ein Minus von 1,07 Prozentpunkten zu verzeichnen hatte.
Geografie der Phishing-Attacken*, zweites Quartal 2017
* Anteil der Anwender, auf deren Computern das Antiphishing-System Alarm geschlagen hat, an allen Anwendern von Kaspersky-Lab-Produkten im jeweiligen Land.
Chinas Anteil (12,85 %) ging gegenüber dem vorangegangenen Quartal um 7,24 Prozentpunkte zurück und das Land belegt damit den zweiten Platz im Rating. Australien (12,69 %) positionierte sich mit einem Zuwachs von 1,96 Prozentpunkten auf Rang drei. Der prozentuale Anteil der angegriffenen Nutzer in Neuseeland ist auf 12,06 Prozent angestiegen (+0,12 Prozentpunkte). Das Land landete damit auf Platz vier, gefolgt von Aserbaidschan (11,48 %) auf Position fünf. Die Schlusslichter der Тop 10 bilden Südafrika (9,38 %), Argentinien (9,35 %) und Großbritannien (9,29 %).
Russland (8,74 %) ist nach den Ergebnissen des zweiten Quartals nicht unter den ersten zehn Ländern, in denen die meisten Nutzer von Phishern angegriffen wurden, und belegt in diesem Rating den 18. Platz.
| Brasilien | 18,09 % |
| China | 12.85 % |
| Australien | 12,69 % |
| Neuseeland | 12,06 % |
| Aserbaidschan | 11,48 % |
| Kanada | 11,28 % |
| Katar | 10, 68 % |
| Venezuela | 10,56 % |
| Südafrika | 9,38 % |
| Argentinien | 9,35 % |
| Großbritannien | 9,29 % |
Top 10 der Länder nach Anteil der angegriffenen Anwender
Ziele der Phishing-Attacken
Kategorien-Rating der von Phishern angegriffenen Organisationen
Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link in einer E-Mail oder im Internet auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.
Im zweiten Quartal 2017 entfiel mehr als die Hälfte (51,47 %) der Alarme der heuristischen Komponente des Systems „Antiphishing“ auf Phishing-Seiten, die Bezug nahmen auf Marken und Organisationen der Kategorien „Banken“ (23,49 %, minus 2,33 Prozentpunkte), „Bezahlsysteme“ (18,40 %, plus 4,8 Prozentpunkte) und „Online-Shops“ (9,58 %, minus 1,31 Prozentpunkte).
Verteilung der von Phishern angegriffenen Organisationen nach Kategorien, zweites Quartal 2017
Top-Themen des Quartals
Flugtickets
Im zweiten Quartal wurde Facebook teilweise überschwemmt von Postings glücklicher Nutzer, die sich über den Gewinn zweier Flugtickets bei einer Aktion freuten, die von großen Fluggesellschaften auf der ganzen Welt durchgeführt wurde. Selbstverständlich hat es nie irgendwelche Aktionen gegeben, bei denen es Tickets zu gewinnen gab: Cyberkriminelle hatten einfach eine Reihe von Webseiten erstellt, auf denen dem Nutzer zum Gewinn gratuliert und er aufgefordert wird, gewisse Schritte zu unternehmen, um den Preis entgegennehmen zu können. Zu diesen Bedingungen gehörte auch, dass man auf seiner Facebook-Seite über den Gewinn berichtet. Nachdem der Nutzer alle Bedingungen erfüllt hatte, wurde er auf eine der Ressourcen weitergeleitet, die die Cybergangster erstellt hatten. Der Inhalt dieser Seiten konnte unterschiedlich sein: von harmloser Werbung bis hin zu Schadsoftware.
Gefakte Sperrung
Praktisch alle gängigen Browser verfügen über integrierte Lösungen zum Schutz vor Web-Bedrohungen. Bei dem Versuch, auf eine schädliche Seite oder Phishing-Seite zu gelangen, warnen sie den Nutzer häufig vor einer möglichen Gefahr und empfehlen ihm, von einem Besuch dieser Seite abzusehen.
Betrüger nutzen diesen Schutz zu ihren Zwecken aus und lullen das Opfer mit grellen Warnungen vor irgendwelchen Gefahren ein, um es zu erschrecken und seine Aufmerksamkeit abzulenken. Beispielsweise kopieren sie die Sperrseite des Browsers Chrome. Der Nutzer, der schon einmal eine solche Warnung erhalten hat, hält diese Seite mit großer Wahrscheinlichkeit für vertrauenswürdig und leistet den Ratschlägen der Verbrecher Folge.
Die Hauptgefahr solcher Seiten besteht darin, dass eine sorgfältige Untersuchung der Adressleiste hier nicht weiterhilft – denn eine solche Warnung des Browsers erscheint ja gerade auf nicht vertrauenswürdigen Webressourcen.
Allerdings kann sie auch bei dem Versuch erscheinen, auf eine Domain zu gelangen, die Unternehmen gehört, die die Rolle des Hosters übernehmen. In diesem Fall ist das Vertrauen des Nutzers gegenüber solchen Warnungen noch größer:
Ruft das Opfer die angegebene Nummer an, geben sich die Betrüger normalerweise als technischer Support aus und nehmen ihm Geld für angeblich notwendige Dienstleistungen ab.
Punycode-Kodierung
Ein genauer Blick auf die Adresszeile hilft auch dann nicht unbedingt weiter, wenn die Phisher Zeichen verwenden, die nicht aus dem lateinischen Alphabet stammen, den lateinischen Buchstaben aber überaus ähnlich sind, und damit Domainnamen erstellen, die aussehen wie die Namen bekannter Webressourcen. Webbrowser verwenden nämlich die Punycode-Kodierung zur Darstellung von Unicode-Symbolen in URL. Doch wenn alle Zeichen eines Domainnamens zu der Zeichenauswahl einer Sprache gehören, dann stellt der Browser sie nicht im Punycode-Format, sondern in der entsprechenden Sprache dar.
Der untenstehende Screenshot einer Phishing-Seite zeigt ein anschauliches Beispiel für diesen Fall.
In einigen Fällen kann man bei eingehender Betrachtung geringfügige Nichtübereinstimmungen erkennen – wie in diesem Fall den Punkt unter dem „e“.
Auf dem folgenden Screenshot ist das Mitteilungsfenster von Kaspersky Lab, dargestellt, in dem darüber informiert wird, dass der Zugriff auf die Seite gesperrt ist und die URL, die im Browser zu sehen ist, in der Punycode-Kodierung dargestellt wird. Es handelt sich dabei keinesfalls um eine Domain, die zu einem bekannten Unternehmen gehört.
Technisch gesehen unterscheidet sie sich komplett vom Original. Insbesondere deshalb, weil die Phisher hier unterschiedliche Kodierungen bei der Benennung der Seiten verwendet haben. Doch für den Laien kann es durchaus ein Problem sein, diese Art von Phishing als solches zu erkennen.
Angriffe auf Uber-Nutzer
Zu den aufsehenerregenden Nachrichten des Quartals gehörten auch die Angriffe auf Nutzer, die die Dienste des Unternehmens Uber in Anspruch nehmen. Phishing-Seiten wurden mittels Spam-Versendungen verbreitet, in denen den Nutzern gewaltige Rabatte versprochen wurden, wenn sie sich registrieren ließen. Bei dieser „Registrierung“ sollte der Nutzer neben persönlichen Daten auch die Daten seiner Bankkarte angeben. Nachdem der User das Formular ausgefüllt hatte, wurde er auf die echte Webseite des Unternehmens weitergeleitet.
Da Uber häufig Aktionen durchführt und Rabatte anbietet, ist es verständlich, dass die Nutzer nicht zwangsläufig Zweifel an der Echtheit des Angebotes hatten.
Тop 3 der von Phishern angegriffenen Organisationen
Am häufigsten waren populäre Marken massenhaften Phishing-Attacken ausgesetzt: Mehr als die Hälfte der Alarme des „Antiphishing“-Systems entfielen auf Phishing-Seiten, die sich hinter den Namen von insgesamt 15 bekannten Unternehmen verstecken.
| Organisation | Prozentualer Anteil an allen Alarmen |
| 8,33 | |
| Microsoft Corporation | 8,22 |
| Yahoo! | 8,01 |
Bereits das dritte Quartal in Folge ist die Zusammensetzung der Тop 3 unverändert. Im vorangegangenen Quartal wurde das Unternehmen Yahoo! nach Anteil der Verweise von Phishern auf die Marke Spitzenreiter in diesem Rating, doch schon im zweiten Quartal sackte es auf den dritten Platz ab und überließ die Führungsposition mit den meisten Phishing-Verweisen Facebook (8,33 %). Microsoft (8,22 %) belegt den zweiten Platz.
Ein Trick der Phisher besteht darin, dass sie gefälschte Seiten populärer Organisationen auf Domains platzieren, die anderen populären Organisationen gehören. Auch wenn der Link in dem unten dargestellten Beispiel auf einen kostenlosen Hosting-Service verweist, wissen das nicht alle Nutzer, und der Hinweis auf Google lässt die ganze Sache noch vertrauenswürdiger erscheinen.
Das Formular zur Dateneingabe selbst befindet sich gewöhnlich auf einer anderen Domain, auf die nach einem Klick auf die Schaltfläche umgeleitet wird.
Fazit
Im zweiten Quartal 2017 ist der durchschnittliche Spam-Anteil im E-Mail-Traffic gegenüber dem ersten Quartal nur geringfügig – und zwar um 1,07 Prozentpunkte – gestiegen und betrug damit 56,97 Prozent. Eins der einprägsamsten Ereignisse dieses Quartals, die WannaCry-Epidemie, ist auch an den Spammern nicht spurlos vorbeigezogen: In zahlreichen Versendungen fanden sich Hilfsangebote im Kampf gegen den Erpresserschädling sowie Werbung für Seminare und Kurse für Computernutzer.
Der Schadspam enthielt im zweiten Quartal am häufigsten Vertreter der Familie von Skript-Ladeprorammen JS.SLoad (8,73 %). Position zwei belegt mit einem Anteil von 3,31 Prozent ein weiteres schädliches Ladeprogramm, MSWord.Agent, gefolgt von der Trojaner Familie Fareit (3,29 %) auf Platz drei.
Innerhalb des Berichtszeitraums vereitelte das System „Antiphishing“ von Kaspersky Lab 46,5 Millionen Versuche der Anwender, auf Phishing-Seiten zu gelangen. Innerhalb des Quartals wurden 8,26 Prozent der Nutzer von Kaspersky-Lab-Produkten weltweit von Phishern angegriffen. Allerdings setzten solche Angriffe früher auf die Unaufmerksamkeit der Nutzer oder auch auf deren geringe Internet-Kompetenz. Heute jedoch, da die Internet-User in puncto Sicherheit immer aufgeklärter werden, sehen die Phisher sich gezwungen, neue Fallstricke zu ersinnen, indem sie beispielsweise Phishing-Seiten auf Domains platzieren, die bekannten Organisationen gehören.
Von denselben Autoren
In derselben Kategorie
Spam und Phishing im zweiten Quartal 2017