Der Spam-Anteil im E-Mail-Traffic ist im Vergleich zum Oktober um 0,6 Prozentpunkt gesunken und betrug durchschnittlich 76,8 Prozent.
Der Anteil von Phishing-Mails lag bei 0,4 Prozent aller elektronischen Nachrichten, das sind 0,47 Prozentpunkte weniger als im Oktober.
Schädliche Dateien waren in 1,6 Prozent aller E-Mails enthalten, 0,13 Prozentpunkte mehr als im Vormonat.
Die wichtigsten Ereignisse des Monats
Kampf gegen Spam
Die vorausgegangenen Monate waren geprägt von Aufsehen erregenden Ereignissen in der Spam-Welt. So wurden zum Beispiel die Steuerungszentren der riesigen Botnetze Pushdo/Cutwail und Bredolab geschlossen. Außerdem stellte das Spam-Partnerprogramm SpamIt seinen Dienst ein und gegen Igor Gusev – den Spammer Nummer eins, wie viele meinen – wurden Ermittlungen eingeleitet.
Im November gab es leider keine derartigen Erfolge im Kampf gegen Spam, doch die Folgen der einige Monate oder länger zurückliegenden Ereignisse haben sich dennoch spürbar auf den Spam-Traffic im November ausgewirkt.
Die Erfolge in Zahlen
Im November sank der Spam-Anteil im E-Mail-Traffic erneut und nur auf den ersten Blick scheinen die Veränderungen unbedeutend zu sein. Denn die Schließung der Steuerungszentren von Bredolab hatten bereits Auswirkungen auf die Durchschnittswerte der vergangenen Herbstmonate. Nachdem dieses Botnetz seine Funktionsfähigkeit eingebüßt hatte, war der Spam-Anteil im elektronischen Postverkehr danach in den ersten Tagen erheblich niedrig und schwankte zwischen 70 und 71 Prozent. Vergleicht man den Spam-Anteil im Oktober und im November, ohne diese Tage dabei zu berücksichtigen, so ist der durchschnittliche Spam-Anteil im Oktober (78,6 %) um 1,1 Prozentpunkte höher als der entsprechende Durchschnittswert im November (77,5 %).
Der in diesem Herbst abnehmende Spam-Anteil im E-Mail-Traffic ist im Wesentlichen das Ergebnis des weltweiten Kampfes gegen Botnetze.
Auf den Kampf gegen Botnetze in den USA führen wir auch die Tatsache zurück, dass dieses Land erstmals seit Beginn unserer Beobachtungen nicht in den Top 20 der Spam-Herkunftsländer vertreten ist. Bereits im September sank der Anteil der aus den USA stammenden unerwünschten Nachrichten offensichtlich infolge der Schließung von Pushdo/Cutwail von 15,5 Prozent auf 6 Prozent. Im Oktober verringerte sich der Anteil von 6 Prozent auf 1,6 Prozent. Im November sank der Anteil der vom Gebiet der USA aus verbreiteten Spam-Menge nicht ganz so drastisch, doch gerade die Verringerung im November sorgte dafür, dass die Vereinigten Staaten von Amerika aus den Top 20 der Spam-Herkunftsländer flogen.
Viagra im Exil
Nicht zum ersten Mal zieht Spam mit Werbung für medizinische Präparate die Aufmerksamkeit auf sich. Und das ist auch nicht verwunderlich: Die Schließung von SpamIt und der Fall Igor Gusev, den viele mit dem Partnerprogramm GlavMed in Verbindung bringen, sind außergewöhnliche und bedeutende Ereignisse. Allem Anschein nach sind die Spammer, die vorher hauptsächlich auf dem Territorium der USA, Kanadas und in den westeuropäischen Ländern pharmazeutischen Spam verbreiteten, nach diesen Ereignissen zu dem Schluss gekommen, dass sie ihrer Tätigkeit nicht ewig ungestraft nachgehen können und haben sich daher anderen Partnerprogrammen angeschlossen. Für diese Annahme spricht auch der ungewöhnlich niedrige Anteil von pharmazeutischem Spam im Laufe des gesamten Novembers:
Anteil von pharmazeutischem Spam im Oktober/November 2010
Wie die Grafik zeigt, lag der Anteil von Spam mit Werbung für medizinische Präparate selbst ganz zu Beginn des Monats nur bei etwas mehr als 40 Prozent und zum Ende des Monats machte diese Art von Werbung weniger als ein Drittel des gesamten Spam-Aufkommens aus.
Allerdings ist und bleibt pharmazeutischer Spam eine äußerst lukrative Einnahmequelle für Spammer und war daher bis vor kurzem im Netz auch noch überaus verbreitet. Nun versuchen die Spammer, die ihre Zusammenarbeit mit pharmazeutischen Partnerprogrammen aufgekündigt haben, einen in finanzieller Hinsicht gleichwertigen Ersatz zu finden. Das erwies sich offensichtlich als recht schwieriges Unterfangen, denn im Laufe des Oktobers und besonders auch des Novembers waren Zuwächse bei anderen Themen von Partner-Spam zu verzeichnen.
Veränderungen bei den Themen von Partner-Spam im Oktober/November 2010
Das deutlichste Auf und Ab zeigt diejenige Kurve für den Anteil von Spam-Mails, die Online-Kasinos bewerben. Anfang November überstieg sie die 30-Prozent-Marke und bereits zum Ende des Monats war sie wieder auf ein Niveau von nur wenigen Prozent abgesackt.
Der Anteil von Spam mit Werbung für Porno-Websites und Kontakt-Seiten nahm in der dritten Novemberwoche deutlich zu, während die Menge dieser Spam-Art noch zu Beginn des Monats gegen Null tendierte.
Die kyrillische Domain-Zone .РФ in Spam
In den Weiten des Internets wurde erstmals eine Domain-Zone zugelassen, deren Bezeichnung nicht in lateinischen Buchstaben eingegeben werden muss – die kyrillische Domain-Zone.рф. РФ (lateinische Umschrift: RF) ist die kyrillische Abkürzung für Russische Föderation. Noch vor Beginn der nicht prioritären Registrierung in dieser Zone sprachen wir die Vermutung aus, dass die Domain-Zone.рф innerhalb kürzester Zeit als Thema in Spam-Mails ausgeschlachtet werden würde. Diese Vorhersage hat sich bewahrheitet.
Spam und Cybersquatting
Die nicht prioritäre Registrierung für die kyrillische Domain-Zone .рф begann im November. Allerdings versuchten die Spammer bereits vorher, sich diesen Moment zunutze zu machen: Am 9. und 10. November erhielten die Anwender Mitteilungen, in denen ihnen angeboten wurde, noch vor dem offiziellen Registrierungsbeginn einen Antrag auf Registrierung der Domain-Zone .рф zu stellen. Dieser Service ist äußerst zweifelhaft, da die vorzeitige Antragstellung eine Verletzung der Nutzungsregeln der neuen Domain-Zone bedeutet hätte. Um die Anwender von ihrer zweifelhaften Dienstleistung zu überzeugen, spekulierten die Spam-Auftraggeber auf Cybersquatting, das heißt den Kauf von Domain-Namen, die die Namen verschiedener Organisationen enthalten, um diese dann weiterzuverkaufen oder damit Geld zu erpressen.
Gegen Ende November tauchte eine Versendung auf, die die Squatter offensichtlich selbst in Auftrag gegeben hatten. Es handelte sich dabei um eine enorme Flut von unerwünschten Nachrichten mit dem Angebot, an einer geschlossenen Versteigerung auf das Recht zum Erwerb verschiedener kyrillischer Domains der zweiten Ebene teilzunehmen. Die Versteigerung von Domain-Namen ist eine typische Squatter-Methode.
Spam: Links auf .рф
Zudem tauchten Domains mit kyrillischen Namen bereits in Spam-Mails als Links zu Spammer-Sites auf, die unter anderem Webseitenoptimierung und Eigenwerbung der Spammer zum Inhalt hatten.
Leider kann es mangels gebührender Kontrolle über den Inhalt der Seiten in der Domain-Zone .рф bald zu ihrer Verschmutzung kommen. Selbstverständlich werden Links auf Domains der kyrillischen Zone nicht häufig in Spam erscheinen, der sich an Anwender in den USA und Europa richtet: Für Personen, die der kyrillischen Schrift nicht mächtig sind, ergeben diese Links keinen Sinn und werden daher auch nicht dazu führen, dass sie sich auf die von den Spammern beworbenen Webseiten locken lassen.
Statistik
Spam-Anteil im E-Mail-Traffic
Der Spam-Anteil im E-Mail-Traffic ist im Vergleich zum Oktober um 0,6 Prozentpunkte gesunken und betrug durchschnittlich 76,8 Prozent. Der niedrigste Wert des Monats wurde mit 71 Prozent am ersten November registriert. Während der ersten drei Tage des Monats beobachteten wir einen Rückgang des Spam-Traffics, der mit der Schließung der Steuerungszentralen des Botnetzes Bredolab Ende Oktober zusammenhängt. Die meisten unerwünschten Nachrichten fanden die Anwender mit 85,6 Prozent am 7. November in ihren Postfächern.
Spam-Anteil im E-Mail-Traffic im November 2010
Spam-Herkunftsländer
Im November stieg die aus Indien stammende Spam-Menge um 2 Prozentpunkte, was dieses Land zum absoluten Spitzenreiter im Rating der Spam-Herkunftsländer machte.
Spam-Herkunftsländer im November 2010
Auf Platz zwei positionierte sich mit Vietnam ein anderes asiatisches Land. Dessen Spam-Anteil stieg um 5,8 Prozentpunkte. Um das Zweifache gestiegen ist der vom Gebiet Indonesiens verbreitete Spam-Anteil. Doch ungeachtet des Anstiegs der aus dem asiatischen Raum stammenden Spam-Menge wurde ein großer Teil des weltweiten Spam-Aufkommens (über 45 %) von Europa aus in Umlauf gebracht.
Auch die aus Großbritannien und Italien stammenden Spammengen sind angestiegen, der Anteil des Spams russischer und ukrainischer Herkunft ist hingegen gesunken. Ein recht großer Teil des europäischen Spams (20 %) stammte aus Osteuropa.
Wie bereits oben erwähnt waren die USA zum ersten Mal seit Beginn unserer Untersuchungen nicht in den Top 20 der Spam-Herkunftsländer vertreten.
Schädliche Anhänge und Links
Im November enthielten 1,6 Prozent aller elektronischen Mitteilungen schädliche Dateien, das sind 0,13 Prozentpunkte mehr als im Vormonat.
Die USA waren in den letzen zwei Monaten noch absoluter Spitzenreiter nach der Anzahl der erhaltenen schädlichen Spam-Mails, traten ihren Platz aber an Russland ab. Der Anteil von schädlichem Spam mit dem Ziel USA nahm um 4 Prozentpunkte ab. Dagegen stieg der Anteil von Mails mit schädlichen Anhängen für russische Anwender um das Vierfache und betrug damit mehr als 8 Prozent. Auch die asiatischen Länder Indien und Vietnam haben die USA eingeholt. Die User in diesen Ländern erhielten doppelt so viel Spam als noch im Vormonat.
Wir nehmen an, dass die Zunahme der an die User in den oben aufgezählten Ländern gerichteten Spam-Mails mit dem Versuch zusammenhängt, dort neue große Botnetze aufzubauen. Solche Versuche unternehmen Cyberkriminelle in Regionen, in denen der Kampf gegen das kriminelle IT-Business entweder noch nicht auf hohem Niveau geführt wird oder bisher noch erfolglos verlief. Die Industrienationen wie die USA, Deutschland und Großbritannien sind in unserem Ranking merklich abgerutscht und Japan ist gleich ganz aus den Top 10 verschwunden.
Alarme des Mail-Antivirus-Programms von Kaspersky Lab nach Ländern im November 2010
Тop 10 der im E-Mail-Traffic verbreiteten Schadprogramme im November 2010
Der Schädling Trojan-Spy.HTML.Fraud.gen konnte auch im November seine Spitzenposition behaupten und führt unser Rating der im E-Mail-Traffic am weitesten verbreiteten Schadprogramme nach wie vor mit großem Abstand an. Zur Erinnerung: Anwendern, die diesen Schädling erhalten haben, wird die gefälschte Website einer bekannten Bank oder eines Bezahlsystems angezeigt, auf der sie aufgefordert werden, ihren Benutzernamen und ihr Passwort einzugeben. Das bedeutet, dass es sich bei den Mails mit Trojan-Spy.HTML.Fraud.gen im Grunde um Phishing-Mails handelt.
Platz zwei belegt Trojan-Spy.Win32.Zbot.assl. Dieses trojanische Programm ist auf den Diebstahl von vertraulichen Anwenderdaten spezialisiert. Anfang November gab es eine erneute aktive Versendung von Zbot via E-Mail in Großbritannien und den USA. Noch in unserer Oktober-Analyse hatten wir davon berichtet, dass die Versendung von Zbot in E-Mails dort fast vollständig eingestellt wurde.
Trojaner der Familie Oficla werden ebenfalls weiterhin aktiv per E-Mail in Umlauf gebracht. Programme dieser Familie laden andere Schad- oder Werbeprogramme beziehungsweise die dazugehörigen Updates aus dem Netz und führen sie auf dem Computer des Users aus.
Bei weniger als 5 Prozent der im November via E-Mail verbreiteten Schädlinge handelte es sich um vorher noch unbekannte Bedrohungen.
Phishing
Der Anteil von Phishing-Mails am gesamten E-Mail-Traffic betrug 0,4 Prozent, das sind 0,47 Prozentpunkte weniger als im Oktober.
Тop 10 der Organisationen, deren Kunden im November 2010 am häufigsten von Phishern attackiert wurden
Im Rating der am häufigsten von Phishern angegriffenen Organisationen fällt besonders der Rückgang der Attacken auf Kunden des Bezahlsystem PayPal um 27,1 Prozentpunkte auf. Dagegen hat Facebook, der „Verfolger“ von PayPal im Rating seinen Wert im November verdoppelt und liegt nun bei knapp 17 Prozent. Noch im Oktober betrug dessen Anteil 8,4 Prozent aller Phishing-Attacken. Der Anteil des Internet-Auktionshauses eBay hat sich im Vergleich zum Oktober verdreifacht.
All das sowie der wachsende Anteil von Attacken auf Organisationen, die nicht in den Top 10 vertreten sind, veranlasst uns zu der Aussage, dass die Phisher ihre Attacken im Gegensatz zum Vormonat ausgeweitet haben. Häufig wurden Besitzer von MasterCard- und Visa-Kreditkarten angegriffen. Aufgefrischt wurden auch die Angriffe auf Inhaber von Bonuskarten von Delta Air Lines.
Conclusiones
A pesar de que noviembre no han abundado los grandes sucesos en el campo de la lucha internacional contra el spam, los resultados de las acciones efectuadas en septiembre y octubre han dejado una huella perceptible, tanto en el cambio de la cantidad de spam, como en las fluctuaciones de sus temáticas.
La lucha contra los botnets ha dado frutos: la cantidad de spam ha comenzado a reducirse poco a poco. Todo parece indicar que esta tendencia se conservará los próximos meses. Los EEUU, que eran el líder en el envío de spam, gracias a la activa lucha que los órganos del estado han realizado contra las botnets, han desaparecido del TOP20 de países-fuentes de spam. Los delincuentes se han dedicado a enviar spam desde las botnets ubicadas sobre todo en Asia y Europa. Todo parece indicar que son justo sus intentos de expandir estas botnets los que han provocado el incremento del spam malicioso recibido en noviembre por los usuarios de Rusia, India y Vietnam.
El ruido levantado por los sistemas de afiliados dedicados al spam farmacéutico ha conducido a una notable redistribución de las temáticas del spam. Los spammers que han decidido dejar de enviar spam farmacéutico están tratando de colaborar con diferentes programas de afiliados en busca del ansiado lucro.
Es difícil pronosticar qué harán los spammers en esta situación. Es probable que con el tiempo la sed de lucro se imponga a la prudencia y los delincuentes vuelvan a los envíos masivos de “fármacos”. Sin embargo, es precisamente en diciembre que los spammers tienen un objetivo concreto al que dedicar sus esfuerzos: ya en este momento está creciendo la publicidad de bienes y servicios populares en las vísperas de la Navidad y el Año Nuevo. En particular, se están intensificando los programas de afiliados que tratan de vender regalos de navidad.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt