19-Monats-Hoch bei Grafik-Spam unterstreicht gestiegenes „Image-Bewusstsein“ der Spam-Szene; der G20-Gipfel als Aufhänger für Angriffe mit gezielten Trojanern

Cupertino, Calif., 29. April 2009 – Symantec (Nasdaq: SYMC) hat den neuen MessageLabs Intelligence Report für April 2009 veröffentlicht. Die aktuellen Erhebungen und Analysen ergeben für den Berichtsmonat insbesondere eine um fast 10 Prozentpunkte gestiegene Spam-Quote, die mit einem Wert von nunmehr 85,3 Prozent das höchste Belastungs-Niveau seit September 2007 erreichte. Im April sorgten der G20-Gipfel und dessen enorme mediale Präsenz ebenfalls für eine Zunahme von gezielten Malware-Attacken. Darüber hinaus setzte sich der deutliche Anstieg der Zahl heimtückischer Websites fort, pro Tag wurden im April durchschnittlich 3.561 solcher Internet-präsenzen abgefangen.

„Image-Spam war ein Phänomen, das seinen Höhepunkt im Jahr 2007 erlebt hat. Und jetzt werden wir Zeuge, wie Spammer ihre alten Techniken in der Hoffnung wiederverwenden, dass sich Geschichte wiederholen könnte“, betont Paul Wood als Senior Analyst für MessageLabs Intelligence bei Symantec und ergänzt: „Die Spammer haben jedoch Pech, dass ihre lauteren Widersacher diesmal bestens auf die nächste Grafik-Spam-Welle vorbereitet sind. Vor diesem Hintergrund werden Online-Kriminelle ihre Vorgehensweisen schon erheblich aufpolieren müssen, um ihren Gegnern eine sehenswerte Schlacht liefern zu können.“

In der Vergangenheit umfasste Grafik-Spam vor allem E-Mails mit angehängten Dateien beispielsweise im gif- oder jpg-Format, in die Spam-Inhalte eingebettet waren. Mittlerweile jedoch stellen die Urheber solcher Kampagnen derartige Bilddateien über eigentlich vertrauenswürdige Hosting-Seiten ins Netz und machen sich zugleich die Weiterleitungsfunktionen anderer seriöser Websites zunutze, um so den wahren Speicherort der Grafiken zu verschleiern. Mit dieser Technik hoffen Spammer, Filter zu umgehen, die bei der Prüfung von E-Mails auch die Internetadressen der enthaltenen Links untersuchen. Viele Tools zur Spam-Abwehr nutzen solche Verfahren, um das Wesen solcher Domains einzuschätzen und daraufhin Rückschlüsse auf die Wahrscheinlichkeit ziehen zu können, mit der es sich bei einer E-Mail um eine Spam-Nachricht handelt.

Um der Erkennung durch Spam-Filter zu entgegen, kommen auch weitere Techniken zum Einsatz. Zu nennen ist etwa die Verwendung von Standard-Textbausteinen in den verschickten E-Mails, die darauf abzielen, dass die Nachrichten seriös wirken und im Einklang mit Anti-Spam-Gesetzen wie dem „Can-Spam Act“ in den Vereinigten Staaten zu stehen scheinen. Dazu gehören beispielsweise Hinweise auf die Möglichkeit, sich aus einem E-Mail-Verteiler auszutragen, und Links zu Datenschutzbestimmungen. Häufig setzen Spammer auch auf den Versuch, Fingerprinting-Filter über E-Mail-Inhalte mit randomisierten Wörtern zu umschiffen und per Zufallsprinzip erzeugte Texte durch HTML-Style-Tags zu verbergen.

Der jüngste G20-Gipfel hat nicht nur weltweit ein enormes Medieninteresse gefunden, sondern in den vergangenen zwei Monaten auch eine schwunghafte Zunahme gezielter Malware-Attacken ausgelöst, die ihren Höhepunkt Anfang April erlebte. Hatte sich die pro Tag im Durchschnitt gemessene Zahl solcher Angriffe im Jahr 2008 noch auf 53 belaufen, so stieg sie schon im ersten Quartal 2009 auf 60. Im Vorfeld und in den Tagen nach dem G20-Gipfel, der am 2. April in London stattfand, legte sie dann auf rund 100 pro Tag zu.

Zu den Adressaten dieser Attacken zählten Finanzinstitute, einschließlich ausgewählter Mitarbeiter der an den G20-Treffen beteiligten Zentralbanken. Die verschickten E-Mails enthielten einen Anhang im PDF-Format. Sobald jemand dieses Dokument öffnete, wurde auf dem betreffenden Rechner ein Trojaner-Downloader installiert und ausgeführt. Dieses Schadprogramm wiederum lud dann weitere Spyware-Komponenten auf den Zielcomputer herunter. Auffällig war, dass es sich bei einigen der im Rahmen des Angriffs verschickten Nachrichten um Antworten auf tatsächlich völlig harmlose E-Mails gehandelt hat. Das legt den Schluss nahe, dass der Rechner mindestens eines Empfängers bereits zuvor infiziert war.

„Die Wirtschaftskrise bestimmt derzeit die Gedanken vieler Menschen, und das gilt auch für die Szene der Online-Kriminellen“, unterstreicht Paul Wood. „Nachdem wir in diesem Jahr schon eine Menge an Spam-Kampagnen rund um die weltweite Rezession und zahlreiche Phishing-Attacken erlebt haben, war es nur eine Frage der Zeit, bis auch andere Trickbetrüger auf den Zug aufspringen würden. Private Verbraucher müssen in diesen schwierigen Zeiten einfach noch wachsamer sein, wenn sie mit ihren Computern online sind.“

Und schließlich ist auch die Zahl der gefährlichen Internetseiten weiter auf dem Vormarsch. So ergaben die Statistiken für den April eine Steigerung um 27,3 Prozent auf nunmehr 3.561 neue Websites, die pro Tag durchschnittlich zu stoppen waren, weil sie eine Malware enthielten. Zurückzuführen ist diese Zunahme auf eine ganze Reihe unterschiedlicher Arten von Angriffen. Dazu gehören unter anderem Trojaner, die sich nach dem Drive-by-Prinzip einfach beim Besuch einer Website installieren oder in PDF-Dateien versteckt sind. Verwendung fanden auch Schadprogramme, die ausführbare Dateien als vermeintliche Bilder im gif-Format tarnten, und IFRAME-HTML-Tags. Letztere resultieren häufig daraus, wenn ein Web-Server mit Hilfe einer SQL-Injection-Attacke manipuliert wurde. Dabei handelt es sich um eine Technik, auf die Internet-Kriminelle gerne zurückgreifen, um eigentlich vertrauenswürdige Domains ohne das Wissen von deren Besitzern für ihre Zwecke zu missbrauchen. Andere Täter wiederum setzten auf Software, die sich gegenüber den Adressaten als seriös wirkende Anwendungsprogramme ausgaben, zum Beispiel als angebliche Viren-Filter.

Weitere Report-Highlights:

Web-Sicherheit: Die Analyse der Web-Sicherheitsaktivitäten ergab, dass es sich bei 63,3 Prozent der via Internet verbreiteten Schadprogramme, die im April 2009 abgefangen wurden, um neue Angriffe gehandelt hat. Weiterhin hat MessageLabs Intelligence pro Tag durchschnittlich 3.561 neue Websites aufgespürt, auf denen Malware oder andere möglicherweise unerwünschte Programme etwa in Form von Spyware und Adware hinterlegt waren. Das bedeutet einen Anstieg um 27,3 Prozent im Vergleich zum März.

Spam: Weltweit belief sich der Anteil von Spam-Nachrichten am E-Mail-Verkehr aus neuen oder bisher nicht als bösartig bekannten Quellen im April 2009 auf 85,3 Prozent (bzw. eine von 1,17 E-Mails) − ein Plus von 9,6 Prozentpunkten gegenüber März.

Viren: 1 zu 304,9 (bzw. 0,28 Prozent) betrug im April 2009 der Anteil virenverseuchter Nachrichten am gesamten E-Mail-Verkehr, der von neuen oder bis dato nicht als gefährlich bekannten Absenderadressen stammte. Im Vergleich zum Vormonat ergibt sich daraus ein Rückgang um 0,08 Prozentpunkte. Insgesamt 13,3 Prozent der via E-Mail verbreiteten Schadprogramme enthielten im April 2009 einen Link zu gefährlichen Websites. Das waren 6,9 Prozentpunkte weniger als noch im März.

Phishing: Hinter einer von 404,7 E-Mails (bzw. 0,25 Prozent des gesamten Mail-Aufkommens) verbarg sich im April 2009 irgendeine Art von Phishing-Versuch. Das bedeutet einen Rückgang derartiger Attacken um 0,10 Prozentpunke gegenüber März. Der Anteil von Phishing-Nachrichten an allen abgefangenen, per E-Mail verbreiteten Malware-Gefahren wie beispielsweise Viren und Trojanern sank im April um 9,2 Prozentpunkte auf 89,7 Prozent.

Geographische Trends:

• Mit einem Anstieg der Spam-Quote um 25,6 Prozentpunkte auf nunmehr 94 Prozent war Großbritannien im April das Land, das weltweit unter der höchsten Spam-Belastung zu leiden hatte.
  
• In den USA stieg die Spam-Quote auf 79,4 Prozent, in Kanada belief sie sich auf 77,4 Prozent und in Hongkong auf 89,9 Prozent. In Deutschland erreichte sie einen Wert von 83,3 Prozent und in den Niederlanden von 78,0 Prozent. In Australien entfielen 87,8 Prozent des E-Mail-Verkehrs auf Spam, in China waren es 90,3 Prozent und in Japan 86,4 Prozent.
  
• In Deutschland stieg der Anteil schadprogrammverseuchter E-Mails im April um 0,07 Prozentpunkte auf 1 zu 164,8. Mit dieser Quote übernahm das Land den ersten Platz im weltweiten Viren-Ranking.
  
• In den Vereinigten Staaten betrug der Anteil virenbelasteter E-Mails 1 zu 512,1, in Kanada waren es 1 zu 269,0 und in Australien 1 zu 908,8. In Großbritannien belief sich das entsprechende Verhältnis auf 1 zu 229,3, in Hongkong auf 1 zu 370,8 und in Japan auf 1 zu 1883,2.
  
  

Branchentrends:

• Mit einer Spam-Quote von 82,9 Prozent stand der Einzelhandel im April stärker unter Beschuss von Spam-Mails als jede andere Branche.
  
• Der Bildungssektor erreichte eine Spam-Quote von 81,1 Prozent und die Chemie- und Pharma-Industrie von 77,3 Prozent. Bei Behörden belief sich dieser Wert auf 76,1 Prozent und in der Finanzindustrie auf 78,2 Prozent.
  
• Die Viren-Quote des Bildungssektors sank im April um 0,19 Prozentpunkte auf einen Anteil von nunmehr 1 zu 118,1 E-Mails. Dennoch verteidigte er seinen ersten Platz im Ranking der Branchen, die sich mit dem höchsten Anteil verseuchter E-Mails konfrontiert sahen.
  
• Bei IT-Dienstleistern belief sich die Viren-Quote auf 1 zu 367,3, bei Einzelhandelsunternehmen auf 1 zu 506,1 und bei Finanzdienstleistern auf 1 zu 446,9.
  
  

Der MessageLabs Intelligence Report für April 2009 liefert noch genauere Daten und Analysen zu allen oben erläuterten Trends und Zahlen sowie detaillierte Informationen bezüglich geographischen und Branchentrends. Der vollständige Report ist unter www.messagelabs.com/Threat_Watch/Intelligence_Reports verfügbar.

Symantecs MessageLabs Intelligence ist eine anerkannte Quelle von Daten und Analysen für die Messaging-Sicherheit, Trends und Statistiken. MessageLabs Intelligence bietet eine Vielzahl an Informationen über globale Sicherheitsrisiken basierend auf Live-Daten, ermittelt von unseren Kontrollzentren in aller Welt, die pro Woche mehrere Milliarden Mails überprüfen.

Über Symantec
Symantec ist ein weltweit führender Anbieter für Sicherheits-, Storage- und System-Management-Lösungen, mit denen sich Privatpersonen und Unternehmen ihre vernetzte Welt absichern und verwalten können. Unsere Software und Services schützen umfassender und effizienter gegen zahlreiche Risiken an mehreren Endpunkten und sorgen für Vertrauen überall wo Informationen angewendet und gespeichert werden. Mehr Informationen sind unter www.symantec.com verfügbar.

Hinweis für Redakteure: Wenn Sie mehr über Symantec Corporation und seine Produkte erfahren möchten, dann besuchen Sie den Symantec News Room unter Alle genannten Preise sind in US-Dollar und gelten nur für die Vereinigten Staaten. Symantec und das Symantec Logo sind Warenzeichen oder eingetragene Warenzeichen der Symantec Corporation oder ihrer Tochtergesellschaften in den USA und anderen Ländern. Andere Namen sind Warenzeichen der jeweiligen Eigentümer.