G Data Security Update

+++ Zombies sind abgewandert und Spammer lieben alte Themen +++

14. Juli 2008

G Data Security Update zu Zombies und Spam mit den Zahlen der letzten sechs Monate.

+++ Zombie-Land Nummer eins: Brasilien

Weltweit versuchen Kriminelle PCs von Privatanwendern und Unternehmen in sog. Zombies zu verwandeln und in ihre Botnetze einzubinden. Die gekaperten Rechner werden für den Versand von Spam oder für DDoS-Attacken vermietet. Deutschland und Italien haben in den vergangen Monaten ihre unrühmliche Zombie-Poleposition an Brasilien abgegeben. Dort waren in den vergangnen sechs Monaten die meisten PCs für Kriminelle im Einsatz. 

++ Analysen der G Data Security Labs

+ Top Five der Zombie-Länder

Brasilien 10,2%

Deutschland 9,3%

Italien 8,9%

Türkei 8,3 %

China 6,6 %

+ Anzahl der aktiven Zombies: Täglich sind zwischen 5 und 10 Millionen Zombies am

Spamversand beteiligt.

+ Anzahl der Neuinfektionen: zwischen 200.000 und 500.000 (Durchschnitt: 360.000)

+++++++++++++++++++++++++++

+++ Spam weiterhin mit Frühlings-Gefühlen +++

Die gewohnten Geschäftsfelder haben sich auch in den vergangenen Monaten nicht sonderlich verändert, weiterhin auf Nummer eins: Spam für angebliche sexuelle Leistungssteigerung. Fast alle Spam-Mails dieser Kategorien zielten dabei primär auf männliche Empfänger ab.

+ Die häufigsten Themen von Spam:

Sexuelle Leistungssteigerung 30 %

Medikamente 22 %

Replicas 21 %

Akademische Titel 5 %

Viele Empfänger schätzen den Anteil von pornografischen Spam-Mails immens hoch ein – Analysen der G Data Security Labs konnten hierfür jedoch keinen Nachweis erbringen. 

Der Anteil von pornografischen Spam betrug in den letzen sechs Monaten durchschnittlich bei nur 3 Prozent. 

+ Aktuelle Preise für Spam-Versand: Der Preis für 20 Millionen Spam ist leist gesunken und war bereits für umgerechnet gut 290,- Euro (450,- USD) zu haben. Noch Anfang des Jahres betrug der Preis dieser kriminellen Dienstleistung noch umgerechnet 350,- Euro.

+ Umleitungsfunktionen bei Spammern beliebt

Um die Spamfilter zu überlisten, greifen Spammer auf bekannte und vertrauenswürdige Seiten zurück. Dabei nutzen Sie z.B. die Umleitungsfunktionen von Google, Yahoo und anderen Seiten. Nutzer und Spamfilter wird so vorgegaukelt, dass ein vertrauenswürdige Seite aufgerufen wird.

Ein ähnlicher Ansatz wird auch bei Bildern und Webseiten verfolgt. Sie werden in beliebten

Portalen wie Flickr oder Blogspot gehostet. Reputationsbasierte Erkennungstechnologien

werden so überlistet.

+++++++++++++++++++++++++++

+++ G Data Security-Warnung: Cybergangster setzen weiterhin auf Google +++

Mit einer neuen Masche versuchen derzeit Internetkriminelle die Trefferquote für die Verbreitung Ihrer Schadsoftware zu erhöhen.

Unter dem Vorwand, eine Abbuchung zur Bezahlung von Anzeigen-Einblendungen sei fehlgeschlagen, sollen potenzielle Opfer auf eine gefälschte Login-Seite gelockt werden. Hier werden Sie aufgefortdert Ihre Zugangsdaten für das Google AdWords-System eingeben. Gehostet wird die Betrugsseite wieder in China.

Mit den erbeuteten Zugangsdaten können die Cybergangster auf Kosten der Opfer Anzeigen bei Google AdWords schalten, die bei Eingabe bestimmter Schlüsselwörter an prominenter Stelle neben den Suchergebnissen erscheinen.

Diese Anzeigen würden dann auf Webseiten verweisen, die per sog. Drive-by-Download (Infektion des Rechners "im Vorbeigehen") weitere Opferrechner infizieren könnten.

Durch geschickte Auswahl populärer Suchbegriffe erhalten die Angreifer somit eine attraktive Möglichkeit zur weitläufigen anonymisierten Streuung Ihrer Schadsoftware.

Das aktuelle Beispiel zeigt deutlich, dass es Cyberkriminelle nicht mehr nur auf Banking- und Kreditkartendaten abgesehen haben, sondern mittlerweile fast jegliche Form persönlicher Zugangsdaten unterschiedlichster Art abfangen.

Anwender sollten beim Erhalt von E-Mails, die zur Eingabe von Zugangsdaten auffordern, besondere Vorsicht walten lassen. Darüber hinaus sollte beim Surfen immer ein HTTP-Filter aktiv sein, wodurch die frühzeitige Erkennung sowohl von Phishing-Seiten als auch von sprichwörtlichen Malware-Schleudern ermöglicht wird.

Text einer abgefangenen Phishing-Mail:

Betreff: Account Reactivation

Dear Advertiser,

We were unable to process your payment.

Your ads will be suspended soon unless we can process your payment.

To prevent your ads from being suspended, please update your payment information.

Please sign in

to your account at http://adwords.google.com/XXXXXXXXXXXXX

and update your payment information.

(Link von G Data verändert.)

We look forward to providing you with the most effective advertising available.

Thank you for advertising with Google AdWords.

----------------------------------

The Google AdWords Team ----------------------------------------