Über 92% aller digitalen Nachrichten, die im vergangenen Quartal in Unternehmens-Postfächern eingegangen sind, waren Spam-Mails. Zusätzlich enthielten durchschnittlich 2% bereits ein Malware-Exemplar. Diese Zahlen gehen aus dem aktuellen Spam-Quartalsbericht hervor, den Commtouch und Panda Security gemeinsam veröffentlicht haben. Experten der beiden Unternehmen melden, dass allein im dritten Quartal 2008 weltweit 330.000 neue Zombie-Rechner pro Tag für den massenhaften Spam-Versand aktiviert wurden. In Deutschland haben Zombie-Rechner die kürzeste Lebensdauer und sind somit am schwersten zu identifizieren.
Weniger als 6% aller Emails legitim
Laut Panda Security waren im vergangenen Quartal weniger als sechs Prozent der eingehenden Unternehmens-Mails relevant. Der Sicherheitsanbieter überprüfte von Juli bis September mehr als 123 Millionen E-Mails mit seinem professionellen E-Mail-Dienst
„TrustLayer Mail“. Nahezu 92% aller Nachrichten enthielten keine unternehmens-relevanten Themen, sondern lästige, kommerzielle (Werbe-)Inhalte, die direkt in den Spam-Ordner verschoben werden konnten. Spam hinterlässt zwar meistens Schäden auf dem Betriebssystem, beeinträchtigt durch zeitraubende Lösch-Aktionen aber massiv die Produktivität der Mitarbeiter.
Zudem enthielten zwei weitere Prozent von Spam-Mails sogar noch ein Malware-Muster, mit dem sie den Computer direkt infizierten. Der Wurm Netsky.P und die Trojaner SpamtaLoad.Do sowie SpamtaLoad.CZ gehörten hierbei zu den meist verbreiteten Exemplaren. Für den Direktor der Panda Security Sicherheitslabore, Luis Corrons, bedeuten die aktuellen Zahlen ernstzunehmende Tendenzen: „Nicht nur die Anzahl der Spam-Mails verzeichnet seit Beginn des Jahres einen Anstieg um 1,2 %. Erschreckend ist auch der Zuwachs der infizierten Mails, der sich nach einem erfreulichen Rückgang Ende des ersten Quartals – von 3% im März auf ca.1% von April bis August – im September mit fast 2,4 % schlagartig wieder verdoppelte“.
330.000 neue Zombie-Rechner pro Tag:
Commtouch zufolge wurde ein Großteil der Spam-Mails von Zombie-Computern versendet. Zombies sind Rechner, die mit so genannten Bots infiziert sind. Diese Malware-Art ermöglicht es Cyber-Kriminellen, die attackierten PCs an Botnetze, also ganze Gruppen von mehreren, miteinander verbundenen Bots, anzuschließen und beispielsweise für den Versand von Werbemüll zu missbrauchen. Der Hauptunterschied zu klassischer Malware ist, dass erst dieser Zusammenschluss der einzelnen Systeme zu einem kriminellen Netzwerk die eigentliche Gefahr darstellt.
Die Auswertungen der Commtouch Sicherheitslabore ergaben, dass allein in den vergangenen drei Monaten jeden Tag 330.000 neue Zombie-Computer für den massenhaften Spam-Versand aktiviert wurden. Mit einem Anteil von 23% waren Emails, die sexuelle Inhalte andeuten, am meisten verbreitet. Doch auch Verweise auf Pharmazeutika- (19%) und Kreditangebote (12%), Nachahmungen originaler Werbung (10%) oder Pornographie (8%) bewährten sich im dritten Quartal 2008 als vielversprechende Betreffzeilen.
Um ihre Existenz vor den Blacklists zu verbergen, ändern Zombie-Rechner kontinuierlich ihre IP-Adresse, mit der man sie identifizieren kann. Von Juli bis September betrug die durchschnittliche Lebensdauer der IP von über 55% aller Zombies weltweit einen einzigen Tag. In Deutschland veränderten sogar knapp 80% aller Zombie-Rechner in weniger als 24 Stunden ihre IP.
Neue Spam-Methoden
Der Einsatz von .swf (Flash) Dateien ist eine Strategie, die im vergangenen Quartal dieses Jahres vermehrt eingesetzt wurde, um Anti-Spam-Filter zu umgehen. Social Engineering Techniken sollen die Empfänger mit verlockenden Inhalten animieren, swf-Dateien zu öffnen. Normalerweise werden sie auf einer legitimen Webseite gehosted und führen automatisch zu einer Werbeseite. In den meisten Fällen sind dies gefälschte Online-Apotheken.
In den vergangenen Monaten wurde „Vertical Writing“ ebenfalls immer beliebter. Um inhalt-basierte Anti-Spam-Engines auszutricksen, werden dabei viele Mails nicht in der normalen, horizontalen Schreibweise verfasst, sondern vertikal. Wenn der Anwender die Mail öffnet, wird er noch eine zweite erhalten, die als „Hidden Character“ durch weiße Schrift bis dahin verborgen wurde.
Eine andere neue Methode, nicht von einer Anti-Spam-Engine gefiltert zu werden, ist der Rückgriff auf die ASCII-Art, die in Emails und SMS gebräuchliche Bild-Darstellung anhand von (Satz-)Zeichen (http://www.flickr.com/photos/panda_security/2941246088/).