Immer mehr in deutschen Unternehmen* eingehender Spam stammt auch von Absendern in Deutschland: Dies geht aus dem eleven E-Mail Security Report April 2010 hervor, den der führende deutsche E-Mail-Sicherheitsspezialist eleven heute vorstellte. So lag Deutschland im März mit 16,2 Prozent aller versandten Spam-E-Mails nur knapp hinter Brasilien (16,5 Prozent) auf dem zweiten Platz der Spam-Herkunftsländer. Die Malwareverbreitung konzentrierte sich auf kurze, aber massive Wellen, die vor allem am Monatsanfang auftraten. Das Spam-Aufkommen bleibt trotz eines leichten Rückgangs von 12,6 Prozent aufgrund der vollständigen oder teilweisen Abschaltung dreier großer Botnets (Waledac, Mariposa, Zeus) mit einem Anteil von 96,2 Prozent am gesamten E-Mail-Volumen auf hohem Niveau.
Die wichtigsten Trends im Überblick:
- Deutschland hat unter den Spam-Versendern gemeinsam mit Brasilien den Spitzenplatz eingenommen. Im Vormonat lag Deutschland noch auf Platz 3. Der bisherige Spitzenreiter USA fiel auf den dritten Platz zurück.
- Die Verbreitung von Malware per E-Mail konzentrierte sich im Februar und März auf kurze Wellen, die vor allem in den ersten fünf Tagen des jeweiligen Monats auftraten.
- Spam-E-Mails machten im März durchschnittlich 96,2 Prozent des gesamten E-Mail-Verkehrs aus.
- In Folge der Botnet-Abschaltungen kamen die Casino-Spam-Wellen nahezu vollständig zum Erliegen. Es dominierten mehrere Pharma-Spam-Kampagnen.
- Event-bezogener Spam erlebte im Februar und März einen deutlichen Aufschwung. Dabei überwogen neben Feiertags-Spam (vor allem Valentinstag und St. Patrick’s Day) aktuelle Ereignisse wie die Erdbeben in Haiti und Chile sowie die Einführung des iPad
Die Ergebnisse des eleven E-Mail Security Reports April 2010 im Detail
Spam-Entwicklung*
Der Spam-Anteil am gesamten deutschen E-Mail-Aufkommen lag im März 2010 bei durchschnittlich 96,2 Prozent. „Saubere“ E-Mails machten 2,4 Prozent, erwünschte Massenmailings (Newsletter) 0,9 Prozent aus. E-Mails, die Malware transportieren, lagen bei etwa 0,2 Prozent. Das gesamte Spam-Volumen lag im März leicht (etwa 10 Prozent) unter dem Wert vom Februar 2010. Die Gründe für den leichten Rückgang lagen im Ausbleiben großer Spam-Spitzen, die vor allem von Casino-Wellen verursacht
wurden. Casino-Spam kam im März 2010 aufgrund der vollständigen oder teilweisen Abschaltung dreier führender Botnets nahezu vollständig zum Erliegen.
Herkunftsländer
Bei den Herkunftsländern von Spam-E-Mails war im Februar und März 2010 ein deutlicher Anstieg von deutschen IP-Adressen versandter E-Mails zu verzeichnen. So kamen im März 2010 16,2 Prozent aller in Deutschland empfangenen Spam-E-Mails aus Deutschland, das damit knapp den zweiten Platz hinter dem neuen Spitzenreiter Brasilien (16,5 Prozent) belegte. Die USA, die noch im Januar Spam-Versender Nummer 1 waren, fielen mit 14,0 Prozent auf Platz 3 zurück.
Spam-Kampagnen
Aufgrund des Ausbleibens von Casino-Spam-Wellen baute Pharma-Spam seine Spitzenposition deutlich aus: Im März 2010 bewarben 66 Prozent aller Spam-EMails pharmazeutische Produkte. Dabei erlebte der Canadian-Pharmacy-Spam, der vor allem im 2. Halbjahr 2009 die Spam-Landschaft dominierte, ein Comeback. Mit einem Anteil von 13,64 Prozent am gesamten Spam-Aufkommen belegte Canadian Pharmacy Platz 1 bei den Spam-Mailings, gefolgt von zwei neuen Kampagnen, die Potenz-Mittel bewarben. Die Verbreitung aller drei Mailings erfolgte relativ gleichmäßig, ohne größere Spitzen. Ebenfalls immer noch beliebt ist die Verwendung sogenannter Linkverkürzer (z. B. www.bit.ly), mit dem Ziel, Reputationsprüfungen zu umgehen.
Event-Spam
Im Februar und März 2010 kam es zu einer Reihe von Spam- und Phishing-Wellen zu aktuellen Themen und Ereignissen. So wurde mit Bezug auf die Erdbeben in Haiti und Chile versucht, Kontodaten auszuspionieren. Zum Valentinstag und zum St. Patrick’s Day war erneut der Versuch zu beobachten, über ausführbare Anhänge, die beispielsweise als E-Cards getarnt waren, Rechner* mit Malware, insbesondere Trojanern, zu infizieren. Auch zum Start des Apple iPad. verzeichnete eleven vereinzelte Spam-Mailings mit den Keywords Apple, iPad und iPhone.
Phishing
Im Phishing-Bereich waren neben Facebook und anderen sozialen Netzwerken verstärkt wieder Banken Ziele von Angriffen. Das eleven Research Team analysierte eine exemplarische Kampagne, die sich auf eine international tätige britische Bank bezog. Die entsprechenden E-Mails enthielten Aufforderungen zur Eingabe persönlicher Daten wie Kontonummer und PIN bzw. TAN sowie Links zu entsprechend präparierten Internetseiten. Diese waren auf der Domain eines deutschen Sportvereins „geparkt“, in den dessen Account die Phisher eingedrungen waren und der problemlos alle Reputationsprüfungen von Webfiltern besteht. Bei dieser Art des unfreiwilligen Hostings werden meist Sicherheitslücken von populärer Open-Source-Server-Software* oder Content Management Systemen ausgenutzt. Innerhalb kurzer Zeit gelang es durch einen Hinweis an den Hoster der Domain, den kompromittierten Account zu schließen.
Malware
Im Bereich der Malware-E-Mails setzte sich der Trend zu sehr kurzen, aber äußerst heftigen Wellen fort. Dabei war sowohl im Februar als auch im März auffällig, dass diese fast ausschließlich zu Monatsbeginn, insbesondere zwischen dem 1. und 5. des jeweiligen Monats, auftraten. Dabei ist zu vermuten, dass zu Beginn des Monats versucht wird, die Botnets „aufzuladen“ und mögliche Lücken, die durch Abschaltungen einzelner Netze oder ISPs gerissen wurden, aufzufüllen. Daher dominierten auch erneut Trojaner, Dropper und Würmer, die vor allem diesen Zwecken dienen. Die Spitzenplätze belegten dabei WORM/NetSky.P, HIDDENEXT/Worm.Gen und TR/Dropper.Gen. Im Februar war der Backdoor-Trojaner TR/Crypt.XPACK.Gen besonders aktiv.