Third-Party Phishing verdrängt Spam

Auch bei sinkenden Pegelständen der Spam-Flut steigt die Bedrohungslage im Web. Kriminelle entwickeln stetig neue und ausgefeiltere Attacken.

Neue und kreative Phishing-Methoden sowie immer bessere Exploit-Kits sorgen dafür, dass Cyberkriminelle nach wie vor erfolgreich sind, wie die Sicherheitsexperten von M86 in einer frisch veröffentlichten Studie festhalten.

Die M86 Security Labs untersuchten die Trends bei den Cyber-Bedrohungen in der zweiten Hälfte 2010. Hierzu wurden Spam , Phishing und Malware-Aktivitäten analysiert und die Tendenzen der globalen Internet-Sicherheit verfolgt. Millionen von Email-Nachrichten, infizierten Webseiten und Malware-Beispielen wurden geprüft und mit den Resultaten der eigenen Nachforschungen der Labs in Bezug auf Web-Exploits und Sicherheitslücken korreliert.

“Besonders bemerkenswert an unseren Erkenntnissen ist, dass auch Schwachstellen, für die bereits Patches existieren, nach wie vor mit Erfolg für böswillige Zwecke genutzt werden. Unternehmen und Privatpersonen müssen deshalb vermehrt darauf achten, ihre Applikationen mit Updates zu versehen, um den Attacken auf ihre Geräte und Netzwerke einen Schritt voraus zu bleiben”, erklärt Bradley Anstis, Vice President of Technical Strategy bei M86 Security.

Die entscheidenden Erkenntnisse der M86 Security Labs im zweiten Halbjahr 2010 sind:

Third-Party Phishing im Aufwind: Die gute Nachricht in Sachen Phishing ist, dass dies im Zusammenhang mit E-Mail drastisch abnimmt, da die Anwender nicht mehr so leicht auf angeblich von Banken stammende Emails hereinfallen. Die schlechte Nachricht aber lautet: Die Diebe im Cyberspace haben inzwischen effektivere Möglichkeiten gefunden, um sich die Bankdaten von Benutzern anzueignen, die legitime Bank-Websites besuchen. Malware, darunter Trojaner wie SpyEye und ZeuS, werden von Kriminellen zunehmend genutzt, um sich mit personenbezogenen und finanzrelevanten Informationen aus dem Staub zu machen. Zusätzlich gibt es Attacken, bei denen sich die Urheber beispielsweise als Vertreter der Steuerbehörde ausgeben, um sich die Kontodaten des Adressaten unter dem Vorwand zu erschleichen, eine Steuerrückzahlung müsse überwiesen werden. Für die Datendiebe wird es einfacher, Informationen von arglosen Usern zu bekommen, wenn sie dem Phishing-Opfer mehrere Optionen bieten, eine Bank seiner Wahl anzugeben. Damit entfällt das übliche Rätselraten, über welche Bank der Anwender seine Finanzgeschäfte abwickelt.

Steigende Tendenz bei Exploit Kits mit Virenscannern und Attacken auf soziale Netzwerke: Als neuester Trend bieten immer mehr Kits ihren Kunden Dienste an und bekommen damit zunehmend den Charakter eines ‘One-Stop Shops’. Das Scanning-Modul im Siberia Exploit Kit und das neue Malware-as-a-Service-Angebot von Neosploit sind nur zwei Beispiele, an denen der Wandel hinsichtlich der Fähigkeiten der Exploit-Kits deutlich wird. Während die Tendenz bei den traditionellen Spamming-Arten nach unten zeigt, ist es bei Spam-Techniken auf der Basis von sozialen Netzwerken wie Twitter, Facebook oder LinkedIn genau umgekehrt. Die LinkedIn-Masche etwa nutzt eine Webseite mit einem vollkommen legitimen Erscheinungsbild und fordert den Anwender auf, sich mit den anderen Usern in diesem ‘Netzwerk’ zu verbinden. Daraufhin erfolgt jedoch die Weiterleitung zur Phoenix Exploit Kit Infection Page. Diese versucht, den Rechner des Opfers über verschiedene Sicherheitslücken zu infizieren.

Email-Spam ist auf dem Rückzug- jedoch noch lange nicht ausgestorben: Das Spam-Aufkommen hat sich erheblich verringert und betrug am Jahresende nur noch ein Drittel des Standes vom Juni 2010. Der M86 Security Labs Spam Volume Index dokumentiert die Veränderungen des von repräsentativen Domains empfangenen Spam-Volumens: Die Recherche zeigt, dass die Spam-Reduzierung mit der Zerschlagung von Botnetzen und der Einstellung eines populären Werbepartner-Programms zusammenhängt. Dies ist der niedrigste Stand seit November 2008, als der zwielichtige Hosting-Provider McColo vom Netz genommen wurde.

Die Zahl von Spam-Mails nimmt ab. Quelle: M86
Die Zahl von Spam-Mails nimmt ab. Quelle: M86

Zerschlagung von Botnets und Schließung von Spamit.com: Ende September 2010 wurde mit Spamit.com ein im Untergrund arbeitendes Affiliate-Programm geschlossen, das mit Glavmed und den unter der Marke ‘Canadian Pharmacy’ firmierenden betrügerischen Online-Apotheken im Zusammenhang stand. Am meisten war hiervon das Botnetz ‘Rustock’ betroffen, dessen Spam-Ausstoß sich drastisch reduzierte. Allerdings wurde dessen Platz umgehend von mehreren anderen Botnetzen eingenommen, so dass die Trends in dieser Bedrohungs-Kategorie weiter auf Veränderungen hin überwacht werden. Weitere Spamming-Kategorien in den Top Four betreffen Kopien von Markenuhren, Billiguhren und gefälschte Diplome. Im August 2010 wurde das berüchtigte Spammer und Botnetz Pushdo/Cutwail vom Netz genommen. Dies hatte dank des koordinierten Vorgehens von Sicherheitsforschern einen beträchtlichen Rückgang des Spam-Aufkommens zur Folge. Laut Anstis sind derartige Initiativen jedoch eher kurzlebig, da die Botnetze schon bald wieder ihre normale Aktivität aufnehmen. Mega-D wurde seit 2008 bereits mehrfach vom Netz genommen, nur um immer wieder zurückzukehren. Das FBI ermittelte im November 2010 den Russen Oleg Nikolajenko als Drahtzieher dieses Botnetzes, das seitdem weniger als 5 Prozent des Spam-Aufkommens (nach Volumen gerechnet) generierte. Die Analysten der M86 Labs verweisen auf die ständige Notwendigkeit, Botnetz-Betreiber zu verfolgen und zu belangen, um Spam-Aktivitäten und das Spam-Aufkommen nachhaltiger einzudämmen.

Java-basierte Attacken haben derzeit Hochkonjunktur. Quelle: M86
Java-basierte Attacken haben derzeit Hochkonjunktur. Quelle: M86