Symantec Message Labs Intelligence Report Juli 2010: Spam-Mails mit URL-Abkürzungen verdoppeln Anteil

Symantec hat den neuen Message Labs Intelligence Report für Juli 2010 vorgelegt. Die aktuellen Analysen zur weltweiten Online-Sicherheit ergaben, dass der Anteil von Spam-Meldungen mit abgekürzten Links im Laufe der vergangenen zwölf Monate erheblich zugenommen hat. Seinen diesjährigen Höchststand erreichte er am 30. April 2010 mit 18 Prozent oder 23,4 Milliarden Spam-E-Mails an einem einzigen Tag. Das bedeutet eine Verdopplung gegenüber der Rekordmarke des zurückliegenden Jahres, die am 28. Juli 2009 gemessen wurde, als 9,3 Prozent aller Spam-Nachrichten und damit knapp über zehn Milliarden E-Mails einen solchen Kurz-Link enthielten.

Neben gestiegenen Spitzenwerten weisen aber auch höhere durchschnittliche Anteile pro Tag darauf hin, dass der Rückgriff auf diese Taktik signifikant zugenommen hat. Hatte es im zweiten Quartal 2009 nur einen einzigen Tag gegeben, an dem abgekürzte URLs in mehr als einer von 200 Spam-Nachrichten eine Rolle spielten, so war dies im zweiten Quartal 2010 bereits an 43 Tagen der Fall und an zehn Tagen wurde sogar die 5-Prozent-Marke übertroffen.

„Im Hinblick auf Spammer ist und bleibt festzuhalten, dass sie generell jede taktische Maßnahme ausschlachten, die es schwerer macht, die Zustellung ihrer Werbe-Mails zu unterbinden“, so Paul Wood, Message Labs Intelligence Senior Analyst, Symantec Hosted Services. „Wenn Spammer eine über entsprechende Online-Services abgekürzte URL in ihre Nachrichten einbetten, so enthalten diese Kurz-Links jeweils namhafte, seriöse Web-Adressen. Entsprechend schwer fällt es herkömmlichen Spam-Filtern, solche E-Mails mit Hilfe einer Reputationsanalyse der gefundenen Domains als Spam einzustufen.“

Eine weitergehende Untersuchung der Spam-Nachrichten, in denen sich abgekürzte URLs fanden, ergab, dass das Botnet Storm für das größte Aufkommen an Botnet-Spam mit Kurz-Links verantwortlich zeichnet. Insgesamt 11,8 Prozent aller derartigen Werbe-Mails entfallen auf dieses Netzwerk aus ferngesteuerten Rechnern, das sich im Mai 2010 als Bedrohung für die Online-Sicherheit zurückgemeldet hat. In diesem Quartal stammt ein erheblicher Teil des Kurz-Link-Spams aber auch aus anderen Quellen, zu denen unter anderem nicht identifizierte Botnets gehören.

Message Labs Intelligence hat ermittelt, dass im Durchschnitt pro 74.000 Spam-E-Mails, die einen abgekürzten URL-Link enthalten, ein tatsächlicher Website-Besuch erfolgt. Die häufigsten angeklickten Kurz-Links aus Spam-Nachrichten kamen so auf mehr als 63.000 Website-Aufrufe.

Vor kurzem hatte Message Labs Intelligence bereits gemeldet, dass die Gefahr durch Web-basierende Malware-Attacken gestiegen ist. 2010 lag die Zahl der Angriffe, die pro Monat und Kunde durch Message Labs Hosted Web Security unterbunden wurden, um mehr als 20 Prozent über dem Vergleichswert des Vorjahres. Eine Analyse der Domains, auf die der Zugriff aus Sicherheitsgründen unterbunden wurde, ergab, dass es sich in 90 Prozent um eigentlich seriöse Websites handelt, die ohne Wissen ihrer Besitzer durch Malware manipuliert wurden.

Zusätzlich wurde eine gefährliche Phishing-Attacke aufgespürt, die Updates für einen PDF-Reader als Aufhänger nutzt. Bis Anfang Juli konnten mehr als 26.000 solcher Angriffe abgefangen werden, die es jeweils darauf abgesehen hatten, Kreditkarteninformationen der angesprochenen Opfer auszukundschaften.

Schließlich konnte Message Labs Intelligence im Juli eine mehrstufige, gezielte Malware-Attacke aufdecken, bei der sich die Angreifer zunächst unbefugt Zugriff auf eine Website eines Unternehmens verschafften und dann eine getürkte Einstiegsseite mit verschleierten Javascript-Inhalten hochluden, die ihrerseits Malware-Code umfassten. In einem nächsten Schritt verschickten die Hintermänner der Aktion dann unaufgefordert E-Mails, die vorgeblich von einem Webmail-Account stammten, an ausgewählte Empfänger einer zweiten Organisation. Diese Nachrichten enthielten jeweils einen Link, der auf die gefälschte, schadprogrammverseuchte Landing-Page verwies, die zuvor in die Website des ersten Unternehmens eingeschmuggelt worden war.

Weitere Ergebnisse:

  • Im Juli 2010 betrug der weltweite Anteil von Spam-Nachrichten am E-Mail-Verkehr aus neuen oder bisher nicht als bösartig bekannten Quellen 88,9 Prozent (bzw. eine von 1,12 E-Mails). Das waren 0,4 Prozentpunkte weniger als im Juni.
  • Viren: Auf 1 zu 306,1 (bzw. 0,327 Prozent) belief sich im Juli der Anteil Viren-verseuchter Nachrichten am E-Mail-Verkehr, der von neuen oder bis dato als nicht gefährlich bekannten Absenderadressen stammte. Im Vergleich zum Vormonat bedeutet dies einen Rückgang um 0,04 Prozentpunkte. Insgesamt 17,1 Prozent der via E-Mail verbreiteten Schadprogramme enthielten im Juli einen Link zu gefährlichen Websites – ein Plus von 0,4 Prozentpunkten gegenüber Juni.
  • Endpoint-Sicherheit: Malware kann auf unterschiedliche Weise in die IT-Infrastrukturen von Unternehmen und Behörden eindringen. Zu den vielen denkbaren Angriffswegen zählen unter anderem Driveby-Attacken über manipulierte Websites ebenso wie Trojanische Pferde und Würmer, die sich zu ihrer Verbreitung selbsttätig auf Wechseldatenträger kopieren. „Sality.AE“ stellte die gängigste Malware dar. Dieser Virus breitet sich aus, indem er Programmdateien infiziert und den Versuch unternimmt, möglicherweise gefährliche Dateien aus dem Internet herunterzuladen.
  • Phishing: Hinter einer von 557,5 E-Mails (entspricht 0,179 Prozent) verbarg sich im Juli ein Phishing-Versuch. Die Belastung nahm im Vergleich zum Juni um 0,02 Prozentpunkte zu. Der Anteil von Phishing-Nachrichten an allen abgefangenen, per E-Mail verbreiteten Malware-Gefahren sank im Juli um 3,2 Prozentpunkte auf 60,2 Prozent.
  • Web-Sicherheit: Im Juli waren 30,5 Prozent der wegen Malware-Gefahr zu sperrenden Domains neu – eine Steigerung um 0,2 Prozentpunkte seit Juni. Im Juli handelte es sich bei 13,0 Prozent der über das Surfen im Internet verbreiteten und abgefangenen Malware um neue Schadprogramme (plus 0,5 Prozent). Pro Tag wurden durchschnittlich 4.425 neue Websites aufgespürt, über die Malware oder unerwünschte Programme – z.B. Spyware und Adware – ins Netz gestellt wurden (plus 176,9 Prozent).

Wichtigste Ländertrends:

  • Nach einem Anstieg der Spam-Quote um 2,4 Prozentpunkte auf 93,5 Prozent präsentierte sich Luxemburg im Juli als das Land, das weltweit am meisten unter unerwünschten Werbe-Mails zu leiden hatte.
  • In den USA belief sich die Spam-Quote auf 89,8 Prozent, in Kanada auf 88,1 Prozent, in Großbritannien auf 87,8 Prozent, in den Niederlanden auf 90,4 Prozent, in Australien auf 88,6 Prozent, in Deutschland auf 89,5 Prozent, in Dänemark auf 91,8 Prozent, in Hongkong auf 90,6 Prozent, in Singapur auf 86,7 Prozent, in Japan auf 86,2 Prozent und in China auf 92,1 Prozent.
  • In Taiwan war im Juli eine von 50,0 E-Mails (entspricht 2 Prozent) mit Malware verseucht. Taiwan hält damit hinsichtlich der Belastung mit per E-Mail verbeiteten Schadprogrammen weiterhin den ersten Platz im weltweiten Viren-Ranking.
  • In den USA belief sich der Anteil Malware-belasteter E-Mails auf 1 zu 520,1, in Kanada auf 1 zu 430,8, in Deutschland auf 1 zu 487,8, in den Niederlanden auf 1 zu 767,7, in Australien auf 1 zu 516,3, in Hongkong auf 1 zu 398,9, in Japan auf 1 zu 874,5 und in Singapur auf 1 zu 696,1.
  • Mit einer Phishing-Quote von 1 zu 111,2 setzte sich Neuseeland im Juli an die Spitze jener Länder, die weltweit am stärksten unter E-Mail-Attacken zum Auskundschaften von Authentisierungsdaten zu leiden hatten.

Wichtigste Branchentrends:

  • Maschinenbauunternehmen sahen sich im Juli mit einer Spam-Quote von 92,6 Prozent konfrontiert und standen damit unter allen Branchen am stärksten unter Beschuss.
  • Der Bildungssektor verzeichnete eine Spam-Quote von 89,1 Prozent, die Chemie- und Pharma-Industrie von 89,0 Prozent, IT-Dienstleister von 89,6 Prozent, der Einzelhandel von 89,9 Prozent, Behörden von 87,3 Prozent und die Finanzindustrie von 87,4 Prozent.
  • Bei Maschinenbauunternehmen wurde im Juli im Durchschnitt eine von 112,0 E-Mails zurückgewiesen, weil sie eine Malware enthielt. Diese Branche wies die höchste Belastung an verseuchten E-Mails auf.
  • In der Chemie- und Pharma-Industrie belief sich die Viren-Quote auf 1 zu 449,0, bei IT-Dienstleistern auf 1 zu 377,5, bei Einzelhandelsunternehmen auf 1 zu 706,1, im Bildungswesen auf 1 zu 227,3 und bei Finanzinstituten auf 1 zu 256,2.

(Quelle: Symantec (Deutschland) GmbH/GST)