Cyber-Kriminalität: Gefahrenzone World Wide Web

Viren-Autoren und Spam-Urheber agieren mit enormer krimineller Energie, so der Sicherheitsspezialist Message Labs in seinem Security Report für das Jahr 2009. Der Bericht zeigt, dass Botnets zwar Rückschläge erlitten, doch durch Überlebenskünstler-Qualitäten leider wieder schnell auf die Beine gekommen sind. 

Die Spam-Aktivität hat sich dem Bericht zufolge im Laufe des Jahres 2009 turbulent entwickelt: Während sich die Spam-Quote im Durchschnitt auf 87,7 % belief, waren ein Rekordwert von 90,4 % im Mai und ein Tiefststand von 73,3 % im Februar zu verzeichnen. Für den Versand von 83,4 % der insgesamt 107 Mrd Spam-Nachrichten, die durchschnittlich pro Tag verbreitet wurden, waren manipulierte Computer verantwortlich.

Vor diesem Hintergrund war die Abschaltung von McColo gegen Ende des Jahres 2008, von Real Host im August 2009 und sowie von weiteren des Hostings von Botnets bezichtigten ISPs offenbar der Anlass für die Hintermänner dieser Netzwerke, ihre Command-and-Control-Strategien zu überdenken und verfeinern. Die getroffenen Maßnahmen bewirkten, dass sich Botnets von solchen Rückschlägen nun binnen weniger Stunden völlig erholen können, anstatt wie noch in der Vergangenheit mehrere Wochen oder Monate für die Regeneration zu benötigen.

Für das Jahr 2010 gehen die Prognosen davon aus, dass Botnets eine Art autonome Intelligenz entwickeln werden. Das hieße, dass jeder einzelne gekaperte Rechner über eine eingebaute, autarke Programmierung verfügt, um sein eigenes Fortleben als Netzwerk-Knoten innerhalb des betreffenden Botnets zu koordinieren und zu verlängern.

Botnets haben auch im Jahr 2009 weiterhin die Bedrohungssituation in der Welt des Internet bestimmt. Allein die zehn wichtigsten Schwergewichte unter diesen Netzwerken, darunter Cutwail, Rustock und Mega-D – kontrollieren heute mindestens 5 Mio manipulierte Computer. Cutwail hat 2009 als dominierende Kraft die Verbreitung von Spam und Malware gleichermaßen beherrscht und zeichnete im Zeitraum von April bis November des Berichtsjahres für den Versand von 29 % aller Spam-Mails verantwortlich.

So nutzte Cutwail seine Größe und Macht auch, um massenweise E-Mails zu verbreiten, die den Trojaner-Dropper Bredolab enthielten. Getarnt war dieses Schadprogramm, das 2009 eine der massivsten Bedrohungen für Unternehmen und Computerbesitzer darstellte, dabei jeweils als angehängte zip-Datei. Der Bredolab-Trojaner ist darauf ausgerichtet, dem Absender vollständige Kontrolle über den Rechner des Empfängers zu verleihen. Das macht es möglich, auf dem Zielcomputer weitere Malware, Adware und Spyware für das jeweilge Botnet zu installieren und zu betreiben. Der Anteil der Spam-Mails, die der Verbreitung des Trojaner-Droppers Bredolab dienten, ist in der zweiten Hälfte des Jahres 2009 stetig gestiegen. Ihren Spitzenwert erreichte die Belastung im Oktober 2009, als Schätzungen zufolge rund 3,6 Mrd E-Mails mit diesem Schadprogramm im Umlauf waren.

In der ersten Hälfte des Jahres 2009 entstanden infolge der Wirtschaftskrise zahlreiche neue Angriffe, die Finanzthemen als Aufhänger benutzten. Spammer und andere Online-Kriminelle versuchten also Kapital aus der allgemeinen Verunsicherung zu ziehen, die den weltweiten Konjunkturabschwung umgab. Im Februar entfiel ein erheblicher Teil des frühen Rezessions-Spams auf E-Mails, die mittels eingebetteter Links auf eine Reihe der großen, bestens bekannten Suchmaschinen verwiesen.

Über das gesamte Jahr 2009 betrachtet fand sich in 90,6 % aller Spam-Nachrichten eine Webadresse. Getragen wurde diese Entwicklung vorwiegend durch eine in der zweiten Jahreshälfte massiv gestiegene Verwendung von URL-Abkürzungsdiensten. Diese Technik dient Angreifern dazu, die wahren Zielseiten zu verschleiern, auf die sie ihre Opfer locken wollen, was wiederum herkömmlichen Spam-Filtern die eindeutige Identifikation solcher E-Mails als Spam erschwert. Besonders häufig wurden abgekürzte URLs auch für Spam auf Social-Networking-Portalen und Micro-Blogging-Seiten genutzt, der sich deshalb so großer Beliebtheit unter Online-Kriminellen erfreut, weil zwischen den registrierten Nutzern solcher Websites in der Regel ungewöhnliche Vertrauensbeziehungen bestehen.
Die wichtigsten Trends im Überblick
Web-Sicherheit: 2009 stieg die Zahl der im Durchschnitt pro Tag zu sperrenden Websites, auf denen Schadprogramme wie etwa Viren hinterlegt waren, im Vergleich zu 2008 um 7,6 % auf 2.465. Insgesamt betrafen die unterbundenen Zugriffe, die MessageLabs Intelligence für das Surfen im Internet veranlasst hat, 30.000 unterschiedliche Domains. Bei 80 % dieser Web-Adressen handelte es sich um eigentlich seriöse, rechtmäßig registrierte Websites, die jedoch manipuliert worden waren. Die restlichen 20 % entfielen auf Internetpräsenzen, die einzig und allein zur Verbreitung gefährlicher Inhalte neu eingerichtet wurden.

Spam: Die Spam-Quote für das Jahr 2009 betrug 87,7 %. Das sind 6,5 Prozentpunkte mehr als im Vorjahr. Im April war ein vorübergehender, sprunghafter Anstieg der Belastung mit Grafik-Spam zu verzeichnen: Am 5. April entfielen auf diese Art von Werbe-Mails 56,4 % des gesamten Spam-Aufkommens, während sich dieser Anteil im Jahresdurchschnitt auf 28,2 % belief.

Viren: Im Jahr 2009 war im Durchschnitt 1 zu 286 E-Mails mit einem Schadprogramm verseucht. Das ergibt einen Anteil von 0,35 %. Die Belastung fiel damit um 0,35 Prozentpunkte geringer aus als im Jahr 2008.

Phishing: 2009 verbarg sich hinter 1 von 325 E-Mails (0,31 % des gesamten E-Mail-Aufkommens) der Versuch, persönliche Authentisierungsdaten auszuspionieren. Im Jahr zuvor hatte die Phishing-Quote noch 1 zu 244,9 (0,41 %) betragen. Hochgerechnet auf das gesamte Berichtsjahr waren 2009 mehr als 161 Mrd Phishing-Angriffe im Umlauf.