Kaspersky Labs jüngster Monatsstatistik der 20 im E-Mail-Verkehr am stärksten verbreiteten Schadprogramme zufolge kam es im April gegenüber den Vormonaten zu deutlichen Veränderungen. Die beiden Schädlinge "Net-Worm.Win32.Mytob.t" und "Email-Worm.Win32.Mydoom.m" konnten erst im März um neun beziehungsweise zehn Plätze nach vorn unter die ersten fünf der Top-20-Liste rücken. Doch die Höhenluft ist den beiden Würmern anscheinend nicht bekommen: Ersterer ist mittlerweile komplett aus dem Schädlings-Ranking verschwunden, Letzterer drastisch (auf Platz 15) abgestürzt.
Die Top-5-Schädlinge im April
An der Spitze des April-Listings behaupten sich nach wie vor die Veteranen unter den E-Mail-Würmern. Dabei ist der "Email-Worm.Win32.Netsky" offenbar besonders effektiv: In verschiedenen Varianten besetzt er nicht weniger als sieben Plätze im Kaspersky-Ranking und soll im vergangenen Monat nahezu 64 Prozent des gesamten schädlichen E-Mail-Verkehrs ausgemacht haben.
|
Schädlinge |
Anteil Malware-Aufkommen |
Veränderungen gegenüber Vormonat |
|
40,58 Prozent |
unverändert | |
|
8,18 Prozent |
+ 1 Platz | |
|
3. Email-Worm.Win32.NetSky.y |
7,62 Prozent |
+ 6 Plätze |
|
6,64 Prozent |
+ 3 Plätze | |
|
6,47 Prozent |
+1 Platz | |
|
Quelle: Kaspersky Lab |
Ein weiterer Trend, der sich Kaspersky Lab zufolge an der Malware-Front abzeichnet: Neuere Schadprogramme werden offenbar nicht mehr in Form von E-Mail-Attachments versendet. Diese veraltete - und bei der Erstversendung ressourcenintensive - Methode scheint nach den Beobachtungen der Experten mittlerweile den Veteranen der Zunft vorbehalten: den E-Mail-Würmern.
Spam: Storm schwächelt
Die E-Müll-Versender waren auch im April wieder unermüdlich am Werk: Nach den jüngsten Analysen von MessageLabs ist hierzulande die Spam-Quote im vergangenen Monat von 70,1 Prozent (März) auf 70,6 Prozent gestiegen und nähert sich damit dem internationalen Durchschnitt (73,5 Prozent) an.
Nicht nur an der Malware-, sondern auch an der Spam-Front kam es im April offenbar zu überraschenden Entwicklungen. Dem auf E-Mail-Security spezialisierten Dienstleister zufolge ist das bis vor kurzem noch mächtige Storm-Botnetz auf nur fünf Prozent seiner bisherigen Armee an ferngesteuerten Rechnern geschrumpft: Aktuell wird der Umfang des Botnetzes auf rund 100.000 Storm-infizierte PCs geschätzt, im Vergleich zu den unlängst noch zwei Millionen Rechnern der Zombie-Herde.
Darüber hinaus will MessageLabs eine neue Spam-Technik identifiziert haben, die eingesetzt wird, um authentisierten Werbemüll über Yahoos SMTP-Server zu verschicken. In der Regel werden Yahoo-Mails über die Webmail-Benutzeroberfläche versendet, Nutzer können aber auch SMTP einsetzen, um E-Mails über einen herkömmlichen E-Mail-Client - wie Microsoft Outlook Express oder Mozilla Thunderbird - zu versenden und zu empfangen. Bei der neuen Methode wird der E-Schrott mittels SMTP über Yahoo-Server versendet, wobei die Spammer sicherstellen, dass die Nachricht korrekt mit Yahoo DKIM (DomainKeys Identified Mail) signiert ist. Dabei handelt es sich um eine Authentisierungstechnik, die mit einer digitalen Signatur im Header arbeitet, um anzuzeigen, dass die Nachricht tatsächlich von Yahoo stammt und nicht etwa "gespooft" ist.
Laut MessageLabs erschwert es die jüngste Spamming-Methode Anti-Spam-Lösungen, die nach Quell-IP-Adressen filtern, eine auf diese Weise generierte Mail zu erkennen. So erwecke die Schadpost den Eindruck, als sei sie über echte Yahoo-Mail-Server versendet worden. Nach Angaben der Experten werden die Spam-Nachrichten in den meisten Fällen über "Yahoo-Plus"-Premium-Server geroutet, die in den Einstellungen von Yahoos Webmail-Benutzerführung nicht aufgeführt sind.
Im April haben sich die Spammer in Deutschland offenbar den Produktionsbereich als Schwerpunkt vorgeknöpft - an entsprechende Adressen war mit 81,5 Prozent der Löwenanteil des E-Schrotts gerichtet. Aber auch Gastronomie und Hotels (80,2 Prozent) gehörten zu den bevorzugten Zielscheiben der Werbenachrichtenversender, dicht gefolgt von Bildungswesen (79 Prozent), Großhandel (77,7 Prozent) sowie gemeinnützigen Organisationen (76 Prozent).
Phishing - neuer Wein in alten Schläuchen
Online-Datendiebe haben sich im April offenbar eine weitere Pause gegönnt - oder andere lukrative Einnahmequellen aufgetan: Nach den jüngsten Statistiken von Retarus ist der Anteil an Phishing-Mails am gesamten Schad-Mail-Aufkommen in Westeuropa im vergangenen Monat um mehr als 20 Prozent zurückgegangen und hat sich bei 67,84 Prozent eingependelt (März: 90,93 Prozent).
Foto: Retarus
Nach aktuellen Analysen der SophosLabs steht mittlerweile nicht mehr nur das Plündern von Bankkonten im Fokus der Online-Datendiebe: Den Sophos-Experten zufolge verbreiten sich seit Mitte April vermehrt Phishing-Mails in englischer Sprache, die als Nachrichten von international renommierten Finanzdienstleistern getarnt sind. Die Mails enthalten unter anderem Verweise auf angeblich neue Websites der betroffenen Unternehmen und versprechen ihren Empfängern aktuelle Finanzinformationen. In Wirklichkeit jedoch sollen Anwender auf diese Weise auf gefälschte, jedoch an das Corporate Design der jeweiligen Firmen angepasste Internetsites gelockt werden, wo sie ihre persönlichen Zugangsdaten auf den Online-Portalen der Unternehmen eingeben sollen.
Anders als bei "klassischen" Phishing-Attacken, bei denen Cyberkriminelle direkt versuchten, fremde PIN- und TAN-Nummern zu ergaunern und per Online-Banking Geld zu stehlen, gehe es ihnen im aktuellen Fall um den Zugang zu Informationen wie persönlichen Finanzdaten und Anlagestrategien, so die Experten. Diese könnten die Datendiebe dann beispielsweise für personalisierte Pump-and-Dump- oder gezielte Spam-Attacken gegen die Kunden der betroffenen Firmen nutzen.
"Wir verzeichneten beispielsweise an nur einem Werktag im April mehr als 8000 Phishing-Kampagnen, die unter dem Namen international führender Finanzdienstleister versendet wurden - das sind fast 100 Mal mehr als bei anderen Phishing-Attacken", weiß Christoph Hardy, Security Consultant bei Sophos, zu berichten. Da es die Online-Kriminellen nicht auf TAN und PIN abgesehen haben, sondern "nur" Zugangsdaten abfragen, sieht er die Gefahr, dass die Empfänger der Mails zunächst keinen Verdacht schöpfen und sorglos auf die Links klicken. Nach Angaben von Hardy handelt es sich bei den betroffenen Unternehmen größtenteils um global agierende Firmen und Investment-Banken mit Millionen von Geschäfts- und Privatkunden. Sophos empfiehlt Unternehmen und E-Mail-Nutzern daher, die Websites stets über die manuelle Eingabe im Browser aufzurufen und nie auf verdächtige Links in E-Mails von unbekannten oder nicht eindeutig identifizierbaren Absendern zu klicken. (Computerwoche/mzu)