post

Der Spam-Anteil im E-Mail-Traffic von Sicherheitssoftwareentwickler Kaspersky betrug im dritten Quartal 2015 durchschnittlich 54,2 %. Im Bereich Phishing wehrten die Lösungen von Kaspersky Lab im dritten Quartal mehr als 36 Millionen Versuche ab, auf eine Phishing-Website zu gelangen. Das ist ein um sechs Millionen höherer Wert als im vorangegangenen Quartal.

Das Thema Bekanntschaften und Dates ist typisch für Spam und die Firma Kaspersky hat ständig damit zu tun. Im dritten Quartal 2015 waren die E-Mails dieser Art jedoch besonders vielseitig und dreist. Im Folgenden wird deshalb Spam zum Thema Dates, saisonaler Spam und Phishing genauer unter die Lupe genommen.

Online-Bekanntschaften

Der analysierte Spam zum Thema Bekanntschaften und Dates lässt sich grob in drei Kategorien einteilen:

  1. Schnelle Bekanntheit von unbekannten Websites erreichen
  2. Irreführung und monetäre Absichten
  3. Betrügerische Absicht mit Schadsoftware

spam1-frauen-dates

1.) Schnelle Bekanntheit von unbekannten Websites erreichen

Der Sinn solcher Versendungen liegt üblicherweise in der Verbreitung von Werbung für erst kürzlich erstellte und noch nicht häufig angeklickte Kontakt-Websites. Die Inhaber solcher Sites wollen mit Hilfe von Spam ein möglichst grosses Publikum auf ihre Seite locken. Solche Mitteilungen wenden sich an bestimmte Zielgruppen, so wird beispielsweise für Kontaktwebsites für Senioren, Verheiratete oder Gläubige geworben.

Derartige E-E-Mails laden dazu ein, sich auf den entsprechenden Ressourcen zu registrieren. Ausserdem enthalten einen kurzen Text mit dem Versprechen, die ideale Lebensgefährtin zu finden, und einen Link, der auf die beworbene Website führt.

2.) Irreführung und monetäre Absichten

Dem Wesen nach ähnliche E-Mails können auch im Namen einer heiratswilligen Dame selbst verschickt werden. Diese Art von Spam ist nicht mehr weit von Betrug entfernt – das Schema erinnert stark an “nigerianisches” Spam. Die E-Mails werden im Namen eines Mädchens abgesendet, das kurz über sich selbst erzählt – ihr nicht einfaches Leben in der russischen Provinz und ihre Träume vom Märchenprinzen. Häufig ist ein Foto angehängt, auf der nicht unbedingt die Dame selbst abgebildet sein muss – das Foto kann auch von fremden Seiten aus Sozialen Netzwerken stammen und mitgeschickt werden, um der Mitteilung zu grösserer Glaubwürdigkeit zu verhelfen. Daher kann selbst in verschiedenen Nachrichten, die im Namen verschiedener Mädchen verschickt werden, immer ein und dasselbe Foto auftauchen. Der Text der E-Mails wird allerdings verändert: Um die Filter zu umgehen, verwenden die Spammer immer wieder Synonyme. Für die Kontaktaufnahme geben die Spammer in solchen Schreiben normalerweise eine E-Mail-Adresse an, die sich allerdings von Mail zu Mail ändert.

Antwortet der Nutzer an eine solche Adresse, so erhält er im besten Fall eine Benachrichtigung darüber, dass dieser E-Mail-Account nicht existiert. Im schlimmsten Fall gibt er damit seine Adresse für weitere Spam-Versendungen preis oder wird zum Opfer eines Betrugsschemas. Meist wird dabei der Empfänger aufgefordert Geld zu schicken, damit man sich treffen kann.

3.) Betrügerische Absicht mit Schadsoftware

Eine weitere Art von Spam-Versendungen, die Kaspersky im dritten Quartal aufdeckte, ist eindeutig der Kategorie Betrug zuzuordnen. Im Verlauf des Quartals wurden Versendungen entdeckt, deren Inhalt zum Ziel hatte, den Empfänger dazu zu bringen, eine SMS an die in der E-Mail angegebene Telefonnummer zu senden. Im Gegenzug versprach eine angebliche junge Frau, offenherzige Fotos von sich zu schicken. Der Text der Versendung wurde ständig geändert und verrauscht, ebenso wie die in der E-Mail angegebenen Telefonnummern. Bei einem Test stellte sich heraus, dass es sich nicht um kostenpflichtige Nummern handelte, wie man auf den ersten Blick hätte meinen können. Es wurde stattdessen ein SMS-Kontakt zu einer jungen Frau inszeniert. Bereits nach wenigen Antworten wird klar, dass es sich hier um einen Roboter handelt, der von der Notwendigkeit überzeugen will, eine gewisse App herunterzuladen, um weitere Chats und den Versand der versprochenen Fotos zu ermöglichen.

Im Test erhielten die Kaspersky-Ingenieure von der “jungen Frau” mehrere SMS mit verschiedenen Kurzlinks, die auf einen Artikel einer bekannten amerikanischen Zeitung führten zum Thema nützliche mobile Apps. Während der Umleitung auf diesen Artikel wurde auf das Telefon des Nutzers ein Archiv mit mobiler Schadsoftware geladen.

Saisonaler Spam

flight-info-spam2

In den Sommermonaten nimmt die Spam-Menge mit saisonalen Themen traditionell zu. Das betrifft nicht nur unerwünschte Werbung, sondern auch schädlichen Spam. In der vergangenen Urlaubssaison war touristischer Spam am häufigsten: Betrüger setzten gefälschte Benachrichtigungen im Namen von Buchungsservices, Luftfahrgesellschaften und Hotels ein, um schädliche Programme in Umlauf zu bringen. Unter den gefälschten Mitteilungen im Namen grosser internationaler Fluggesellschaften und Buchungsdienste wie Air France oder Booking.com entdeckte Kaspersky auch trojanische Downloader (Trojan-Downloader.JS.Agent.hhy und Trojan-Downloader.Win32.Upatre).

PHISHING

Die Tricks der Spammer

In einer Standard-Phishing-E-Mail befindet sich der Mitteilungstext im E-Mail-Körper, und die persönlichen Informationen des Anwenders sollen auf einer Webseite eingegeben werden, auf die man nach einem Klick auf den im Text angegebenen betrügerischen Link gelangt, oder in die Felder einer HTML-Seite, die an den Brief angehängt ist. Oder man soll seine privaten Angaben in einer Antwort-E-Mail versenden. Letztgenannter Ansatz ist charakteristisch für E-Mails, in denen die Empfänger aufgefordert werden, ihre E-Mail-Adresse und ihr Passwort zu bestätigen.

Im dritten Quartal ersannen die Cybergangster eine neue Methode, Phishing-E-Mails zu platzieren und die Spam-Filter zu umgehen. Der Text der Phishing-E-Mail und der gefälschte Link waren in einem PDF-Dokument untergebracht, das an die E-Mail angehängt war. Beim Klick auf den Link öffnete sich eine gewöhnliche Phishing-Seite, auf der der Anwender seine persönlichen Informationen eingeben sollte. Die meisten der entdeckten E-Mails, in denen die neue Methode zum Einsatz kam, kopierten Benachrichtigungen von Banken. Der Körper solcher Mitteilungen enthielt zumeist einen absolut kurzen Text mit einer Beschreibung des Problems, manchmal fehlte der Text komplett.

spam3-phising-pdf-links

Im Text der entdeckten E-Mails benutzten die Spammer meistens bekannte Phrasen und Tricks:

  • Mitteilungen über die Blockierung des Accounts
  • Aufforderungen, Account-Daten zu bestätigen
  • Sicherheitserinnerungen
  • Benachrichtigungen über Ermittlungen in einem Phishing-Fall usw.

Die betrügerischen Links werden durch legitime Links und Textfragmente getarnt. Darüber hinaus wurde eine neue Variante von Phishing-E-Mails unter Verwendung von Mediabox-Objekten in PDF-Dateien, die an die E-Mail angehängt waren entdeckt.

Ziel der Phishing-Attacken und Alarmauslösung der heuristischen Komponente

Die Statistik zu den von Phishern angegriffenen Zielen wird auf Grundlage der Alarme der heuristischen Komponente des Systems Antiphishing auf den Computern der Teilnehmer des Kaspersky Security Network (KSN) erstellt. Die heuristische Komponente des Antiphishing-Systems schlägt dann Alarm, wenn der Anwender über einen Link auf eine Phishing-Seite gelangt, aber noch keine Informationen über diese Seite in den Datenbanken von Kaspersky Lab vorhanden sind. Dabei spielt es keine Rolle, auf welche Weise sich der Übergang auf diese Seite vollzieht: infolge eines Klicks auf einen Link in einer Phishing-E-Mail, in einer Mitteilung in einem Sozialen Netzwerk oder beispielsweise aufgrund der Aktivität eines Schadprogramms. Hat das Schutzsystem angeschlagen, so wird dem Nutzer im Browser eine Warnmitteilung über eine mögliche Bedrohung angezeigt.

Top 3 der angegriffenen Organisationen

Die Betrüger konzentrieren ihre Kräfte weiterhin auf die populärsten Marken, gegen die sich der grösste Teil des zielgerichteten Phishings richtet. Auf diese Weise erhoffen Sie sich grössere Erfolgschancen ihrer Phishing-Attacken. Mehr als die Hälfte aller Alarme der heuristischen Komponente des Kaspersky “Antiphishing”-Systems entfällt auf Phishing-Seiten, die sich unter den Namen von weniger als 30 bekannten Unternehmen verbergen. Auf die Top 3 der von Phishern angegriffenen Organisationen entfielen im dritten Quartal 26,39 Prozent aller Alarme der heuristischen Komponente.

  1. Yahoo! 15,4%
  2. VKontakte 9,4%
  3. Facebook 9%

Angriffe auf Benutzerdaten populärer Cloud-Dienste

Immer mehr User nutzen die Technologie der Cloud-Datenspeicher. Das wissen Betrüger ebenfalls. Gestohlene Informationen werden von Cyberkriminellen genutzt, um deren Besitzer zu erpressen, zielgerichtete Attacken zu organisieren oder sie werden an Dritte verkauft. Häufig wird diese Art von Phishing-Schreiben via E-Mail oder über Soziale Netzwerke in Form von Mitteilungen mit der Aufforderung verbreitet, irgendein Dokument herunterzuladen, das angeblich bei einem populären Cloud-Service hinterlegt wurde. Die Mitteilungen können von einem kompromittierten Account aus der Freundesliste stammen oder – im Fall von E-Mails – im Namen der Administration des Cloud-Dienstes verschickt werden.

Über Phishing-Seiten, die die Websites bekannter Cloud-Speicher imitieren, werden auch verschiedene Schadprogramme verbreitet. In solchen Fällen lädt der Anwender mit einem Klick auf die Seite selbstständig Malware auf seinen Computer. Nachfolgend ist ein Beispiel für eine Attacke dargestellt, bei der der Nutzer aufgefordert wird, ein wichtiges PDF-Dokument zu laden. Der Link aus der E-Mail führt auf eine Phishing-Seite, die der Aufmachung des populären Dienstes Dropbox nachempfunden ist.

spam-phishing-clouddienste-dropbox-pdf-dokument

Ein weiteres Beispiel einer Phishing-Attacke mit iCloud: Die Betrüger versuchen in diesem Fall die Apple ID des Nutzers und das Passwort für den Cloud-Datenspeicher iCloud abzugreifen. Während das Design und Loginfenster praktisch identisch kopiert wurden, ist das Logo im Browsertab, die URL und das Sicherheitszertifikat (https-Verbindung) unterschiedlich bzw. nicht vorhanden.

phising-daten-apple-icloud

 

Wie kann ich einen Schaden verhindern?

Seien Sie vorsichtig und agieren Sie mit einem gesunden Misstrauen beim Öffnen von E-Mailanhängen und Internetlinks. Weitere Tipps und Tricks finden Sie in diesem Beitrag.

Weitere Details zum Report finden Sie hier: Kaspersky Lab – Quartalsreport 2015 – Q3

Kaspersky Lab

Kaspersky Lab ist ein russisches Softwareunternehmen, das 1997 gegründet wurde. Das auf die Entwicklung von Sicherheitssoftware spezialisierte Unternehmen hat seinen Hauptsitz in Moskau mit nationalen Vertrieben auf der ganzen Welt. Die DACH-Region wird von einem deutschen Tochterunternehmen in Ingolstadt betreut. Das Unternehmen wurde durch hohe Erkennungsleistung seiner Virenscanner bekannt und hierfür mehrfach preisgekrönt. Die von Kaspersky Lab entwickelten Technologien werden von einigen anderen Unternehmen lizenziert und als Engine (Kerneinheit) in ihren Antivirenprogrammen eingesetzt.