McAfee Threat-Report: Erstes Quartal 2010

Transcription

McAfee Threat-Report: Erstes Quartal 2010
Bericht
McAfee Threat-Report:
Erstes Quartal 2010
McAfee Labs™
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Die Fakten
Durch die Verbreitung von Remote-Geräten wird es zunehmend schwerer, Unternehmensnetzwerke
abzusichern. Dieser Trend lässt sich nicht mehr rückgängig machen. Die IT-Mitarbeiter müssen überall
dort für Sicherheit sorgen, wo sich die von ihnen betreuten Benutzer aufhalten.
Aktuelle Tragödien sind für Betrüger auch weiterhin attraktiv. Erdbeben und andere Katastrophen sind
für Internetkriminelle wahre Goldgruben.
Nach einem Rückgang und kurzzeitigen Anstieg im Jahr 2009 sank das Spam-Gesamtaufkommen
wieder auf den Wert von Mitte 2008. Anhand von Daten unserer weltweiten Spam-Erfasser zeigen wir,
welche Spam-Themen in 34 Ländern am häufigsten anzutreffen sind.
Die Zunahme von Malware scheint sich in einigen Bereichen zu stabilisieren oder zurückzugehen, doch
insgesamt gesehen sind die Zahlen immer noch gigantisch. Wir erwarten für dieses Jahr mindestens das
gleiche Malware-Volumen wie im Jahr 2009.
Operation Aurora war einer der größten gezielten Angriffe in der Geschichte des Internets. Aufgrund
dieser Vorgehensweise kann Aurora erhebliche Auswirkungen auf die Wahrnehmung von Internet­
kriminalität haben, die auf Unternehmen ausgerichtet ist.
Der Frühling hat Einzug gehalten, die Zeit für Steuererklärungen rückt wieder heran, und im Schlepptau
folgen die unvermeidlichen betrügerischen Steuer-E-Mails. Einige schaffen es, legitime Banken und
nationale Steuerbehörden täuschend echt zu imitieren.
Durch die Manipulation von Suchergebnissen können Internetkriminelle mit gefälschter Sicherheits­
software Geld verdienen und Gewinne durch Klickbetrug erzielen.
Der Zeus-Trojaner ist nur eines der Werkzeuge von Internetkriminellen, die oft KennwortdiebstahlProgramme mit anderem illegalen Online-Material wie Pornografie und gefälschter Sicherheitssoftware
kombinieren. Das Hauptziel dieser Angriffe sind Facebook-Nutzer.
Beinahe alle URLs, die von der McAfee TrustedSource-Technologie als böswillig eingestuft wurden,
befinden sich in den USA. Die Malware-Verbreiter setzen mit Vorliebe Web 2.0-Funktionen ein, die hier
frei verfügbar sind.
Die bekanntesten Angriffe auf Clients – darunter auch Operation Aurora – hatten Microsoft Internet
Explorer und Adobe Acrobat bzw. Acrobat Reader zum Ziel.
Das Justizsystem machte etliche Internetkriminelle dingfest, wobei die Fälle vom Diebstahl von Kredit­karten­
nummern bis hin zum illegalen Kauf und Verkauf von Tickets für Konzerte und Sportereignisse reichten.
Eine der bekanntesten Arten von Internetkriminalität ist Scareware oder gefälschte Sicherheitssoftware.
Diese betrügerischen und unsichtbar installierten Programme versuchen Benutzer davon zu überzeugen,
dass ihre Systeme infiziert sind und sie umgehend ein Tool zum Entfernen erwerben müssen. ScarewareEntwickler nehmen ihren Opfern unglaublich viel Geld ab.
Politischer Hacktivismus ist weiterhin stark: Hacker legten Dienste lahm und verunstalteten die Webseiten
eines russischen Magazins, der lettischen Steuerbehörde und der australischen Regierung.
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Inhaltsverzeichnis
Die Fakten 2
Bedrohen Fortschritte bei der Technologieentwicklung die Netzwerke?
4
Unglücke bringen in Menschen das Schlimmste hervor
4
Spam-Gesamtaufkommen auf den Stand von Mitte 2008 gesunken
5
Weltweites Spam-Aufkommen
6
Weltweite Spam-Trends
6
Einige Überraschungen
10
Malware-Wachstum bleibt „gesund“
10
Operation Aurora
12
Steuern – Betrug, Phishing und gefälschte Webseiten
12
Suchmaschinenmanipulation wird komplexer
14
Kennwortdiebe und gefälschte Sicherheitssoftware machen sich
in sozialen Netzwerken breit
16
Zunahme böswilliger Domänen
17
Clients in der Schusslinie
18
Webseitenübergreifende Skripts öffnen die Tür
19
Die Justiz schlägt zurück
19
DarkMarket: Devilman und JiLsi plädieren auf „Schuldig“
19
Wiseguys-Botnet
20
Operation „Bottom Dollar“ 21
Mariposa-Botnet
21
Internetangriffe
21
Hacktivismus
23
Informationen zu den Autoren
24
Informationen zu McAfee Labs™ 24
Informationen zu McAfee, Inc.
24
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Bedrohen Fortschritte bei der Technologieentwicklung die Netzwerke?
Ist Ihnen schon aufgefallen, dass die Ankündigungen von High-Tech-Produkten häufig große Aufmerksamkeit
bekommen? Immer neue Geräte versprechen uns ein produktiveres Arbeitsleben und angenehmeres
Privatleben und kämpfen dabei um unsere Aufmerksamkeit und unser Geld. Wollen Sie mehr Arbeit in
weniger Zeit erledigen, mobil und stets mit dem Internet verbunden sein? Bei uns sind Sie richtig!
Die Grenzen des Unternehmensnetzwerks wurden mittlerweile weit über die Büros und Datenzentren
hinaus verschoben und werden nur noch von der geografischen Verbreitung der Mitarbeiter beschränkt.
Mit anderen Worten: Ihr Netzwerk befindet sich überall dort, wo sich Ihre Mitarbeiter befinden. Dank
der Fortschritte bei Technologien und Konnektivität erfolgt diese Erweiterung mit einer Geschwindigkeit,
die IT-Abteilungen häufig überrollt. Dabei versuchen sie verzweifelt, mit der Situation Schritt zu halten
und gleichzeitig wenigstens eine gewisse Kontrolle darüber zu behalten, wer sich mit ihrem Netzwerk
verbindet. Diese hohe Geschwindigkeit wird zu einem noch größeren Problem, wenn Manager die
neuesten und coolsten High-Tech-Geräte kaufen und sich dann bei den IT-Mitarbeitern beschweren,
wenn ihre neuen Spielsachen nicht mit dem Netzwerk kommunizieren wollen.
Mit jedem neuem Gerät, das von Mitarbeitern ins Unternehmen gebracht wird, öffnen sich Bedrohungen
von außen neue Wege ins Unternehmen. Umsichtige Unternehmen investieren in erheblichem Maße in
den Schutz vor externen Bedrohungen, sodass viele weit verbreitete Angriffe mit Leichtigkeit erkannt und
gestoppt werden, bevor sie sich zu einer Gefahr für das Unternehmen entwickeln können. Aufgrund dieser
Bollwerke suchen Internetkriminelle nach Möglichkeiten, von innen in Netzwerke einzudringen, da die
Schutzmaßnahmen dort weitaus weniger umfassend sind. In vielen Fällen greifen Hacker das schwächste
Glied der Kette an: den Benutzer. Operation Aurora geriet im Januar in die Schlagzeilen und ist immer
wieder in den Nachrichten, wenn weitere Unternehmen feststellen, dass auch sie Opfer Aurora-ähnlicher
Angriffe waren. Damit ist dieser berüchtigte Angriff ein perfektes Beispiel dafür, wie die Ausnutzung von
Benutzern zum Verlust wertvollen geistigen Eigentums führen kann.
IT-Geräte aller Größen und Formen werden häufig sowohl am Büroarbeitsplatz und im Heimnetzwerk
von Benutzern eingesetzt. Da die Sicherheitsmaßnahmen am Heimnetzwerk meist weitaus weniger
strikt sind, können dort eingeschleppte Infektionen auf den Arbeitsplatz übergreifen und die Sicherheit
des Unternehmensnetzwerks und seiner Daten bedrohen. Wenn Sie Ihren Mitarbeitern Zugang zu
Technologien gewähren, kann das ihre Produktivität und Zufriedenheit am Arbeitsplatz steigern.
Sie sollten sich jedoch bewusst sein, welche Risiken Ihrem Unternehmen entstehen, wenn Sie
Unternehmens­daten und ihre Bewegung im Netzwerk nicht mehr kontrollieren können.
Unglücke bringen in Menschen das Schlimmste hervor
Nichts stärkt den Zusammenhalt der Menschen besser als eine Katastrophe. In Krisenzeiten arbeiten
Menschen aus der ganzen Welt Hand in Hand, um Fremden zu helfen, die durch Erdbeben, Wirbel­
stürme, Überschwemmungen und andere Ereignisse alles verloren haben. Diese uneigennützige
Hilfsbereitschaft ist ein Zeichen für das Gute im Menschen.
Doch solche Unglücke wecken nicht nur Selbstlosigkeit in Menschen. In der Welt der Internetsicherheit
begegnen wir auch der hässlichen Seite der menschlichen Natur – vor allem dann, wenn Internet­
kriminelle angesichts solcher Tragödien die Hilfsbereitschaft anderer Menschen ausnutzen. Sie versuchen,
von der Großzügigkeit hilfsbereiter Spender zu profitieren und deren Geld und Identitäten durch
Phishing-Betrug zu stehlen. Diese betrügerischen Aktionen geben sich als legitime Hilfsprojekte aus,
die Notleidende unterstützen wollen.
Die Erdbeben von Haiti sind ein aktuelles Beispiel für solches Verhalten. Kurz nachdem das erste
verheerende Beben die verarmte Inselbevölkerung traf, liefen Hilfsmaßnahmen an. Zugleich begann
eine Welle von betrügerischen Aktionen. Betrügerische E-Mails wurden an nichts ahnende Opfer
geschickt, um zu Spenden aufzurufen.
4
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Abbildung 1: Dieser Spendenaufruf war typisch für betrügerische E-Mails, die nach den Erdbeben von Haiti im Umlauf waren.
Auf den ersten Blick scheinen diese Aufrufe die Interessen der Haitianer im Sinn zu haben. Die über
diese „Dienste“ eingezahlten Spenden kamen jedoch niemals am eigentlichen Bestimmungsort
an. In Abbildung 1 sehen Sie, dass vor allem um Spenden von mehr als 1.000 Britischen Pfund
(ca. 1.160 Euro) gebeten wird, die direkt über Geldüberweisungsdienste getätigt werden sollen.
Natürlich sind nicht alle Hilfsdienste betrügerisch. Viele legitime Dienste garantieren, dass Ihr Geld
sinnvoll eingesetzt wird und den Opfern direkt zugutekommt. Informieren Sie sich daher, und arbeiten
Sie nur mit den Hilfsdiensten zusammen, von denen bekannt ist, dass sie Spenden zweckgebunden
einsetzen. Seien Sie vorsichtig, wenn Sie auf Spendenaufrufe per E-Mail reagieren, und achten Sie
darauf, Ihre Identität online zu schützen.
Spam-Gesamtaufkommen auf den Stand von Mitte 2008 gesunken
Das Spam-Gesamtaufkommen blieb zwischen dem vierten Quartal 2009 und dem aktuellen Quartal
relativ unverändert, d. h. es stieg nur um etwa 5 Prozent. Von Januar bis März betrug das SpamAufkommen durchschnittlich 139 Milliarden Nachrichten pro Tag bzw. 89 Prozent des gesamten E-MailVerkehrs. Im vorherigen Quartal betrug die Zahl von Spam-Nachrichten 133 Milliarden E-Mails pro Tag.
Wie wir im McAfee Threat-Report: Viertes Quartal 2009 vorhersagten, war der Rückgang des SpamAufkommens von 24 Prozent Ende des letzten Jahres nur von kurzer Dauer.1 Nach einem Rekordhoch
Mitte 2009, bei dem das Spam-Aufkommen im Durchschnitt 175 Milliarden E-Mails pro Tag erreichte,
ist das Aufkommen auf die Werte von Mitte 2008 gesunken, die vor der Stilllegung des Spam-Hosters
McColo im November 2008 herrschten.
Spam-E-Mails zu Arzneimitteln und Potenzmitteln waren in diesem Quartal am häufigsten vertreten und
machten 71 Prozent des Spam-Aufkommens aus. E-Mails mit generischen Angeboten folgten mit nur
10 Prozent weit abgeschlagen auf dem zweiten Platz. Spam-E-Mails, in denen für Weiterbildung oder
Abschlüsse geworben wird, sowie persönliche Werbung machten jeweils 2 Prozent aus.
1. Der McAfee Threat-Report ist in neun Sprachen verfügbar. http://www.mcafee.com/us/threat_center/white_paper.html
5
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Weltweites Spam-Aufkommen
200
100 %
180
90 %
160
80 %
140
70 %
120
60 %
100
50 %
80
40 %
60
30 %
40
20 %
20
10 %
0
0%
1. Q.
2007
2. Q.
2007
3. Q.
2007
4. Q.
2007
1. Q.
2008
2. Q.
2008
3. Q.
2008
4. Q.
2008
1. Q.
2009
2. Q.
2009
3. Q.
2009
4. Q.
2009
1. Q.
2010
Mrd. Spam-Nachrichten pro Tag
% des Spam-Aufkommens
Abbildung 2: Globales Spam-Aufkommen und Spam als Anteil am gesamten E-Mail-Aufkommen.
Weltweite Spam-Trends
Zahlreiche weltweit verteilte Knoten von McAfee erfassen E-Mail-Verkehrsdaten, mit denen Spam-Trends
untersucht werden. Durch die genaue Analyse dieser Daten werden die Ursprungsländer für bestimmte
Spam-Typen ermittelt. Es ist zwar schwierig, diese Rohdaten aus unterschiedlichen Regionen der Welt
genau zu vergleichen. Sie bieten jedoch eine gute Übersicht über die Arten von Spam-E-Mails, die häufig
aus einem bestimmten Land versendet werden. Der Betreff von Spam bezieht sich häufig auf Themen,
die für Menschen in diesen Ländern interessant sind.
In diesem Abschnitt finden Sie einige Kreisdiagramme, die die häufigsten Spam-Typen aus 34 Ländern
zeigen. Die in den Diagrammen genannten Spam-Typen werden in Kategorien gegliedert und weiter
erläutert. Diese Aufstellung ist nicht vollständig, sondern zeigt nur die häufigsten Spam-Typen auf.
Gemessen am Gesamtaufkommen machen die aufgeführten E-Mails zwischen 40 und 70 Prozent aller in
der Region erfassten Daten aus. Persönliche Nachrichten, allgemeine Kommunikation und geringvolumige
Spam-Kampagnen wurden aus der Aufstellung ausgeschlossen. Die Ergebnisse sind repräsentativ, stellen
jedoch keine vollständige Übersicht über die E-Mail-Typen dar, die aus den einzelnen Ländern stammen.
Wir entschieden uns für 20 allgemeine Kategorien für die Klassifizierung dieser Spam-E-Mails.
Im Folgenden sind sie mit einer kurzen Erklärung aufgeführt:
Aktien: Diese E-Mails sind Teil des Pump-and-Dump-Aktienbetrugs. Dabei kaufen Unbekannte
Kleinaktien und verschicken dann massenhaft Spam-E-Mails, mit denen eine falsche Nachfrage erzeugt
wird und die den Betrügern die Möglichkeit gibt, die Aktien mit Gewinn zu verkaufen.
Armbanduhren: Diese unverwechselbaren E-Mails sind die häufigste Form von Produkt-Spam.
Arzneimittel: Zu dieser Kategorie gehören Spam-E-Mails zu gefälschten kanadischen Arzneimitteln,
die meist ihren Ursprung in China haben, sowie angebliche Mittel für Gewichtsreduzierung, usw.
Diese E-Mails werden häufig mit Botnet-Aktivitäten in Verbindung gebracht, können ihren Ursprung
aber auch in gehosteten Webfarmen haben, die E-Mails in andere Länder senden.
Benachrichtigung über den Zustellstatus (Delivery Status Notification, DSN): Diese E-Mails können zwar legitim
sein, meist handelt es sich jedoch um Spam, der von einer gefälschten Absenderadresse zurückgesendet wird.
Eine große Anzahl von DSN-Nachrichten kann auf zahlreiche einzeln betriebene E-Mail-Server hindeuten.
Casinos: Diese E-Mails machen Werbung für Casinos. Sie werden häufig Botnet-Aktivitäten zugeordnet,
und ihre Opfer müssen für die Teilnahme an diesen Spielen Software herunterladen und installieren.
Diplome und Abschlüsse: Hier wird auf Webseiten verwiesen, auf denen Kunden gefälschte Dokumente
und Diplome kaufen können, die als „Nachweis“ für den Abschluss an einer bestimmten Lehreinrichtung
dienen sollen. Es handelt sich dabei jedoch nicht um legitime akademische Einrichtungen und folglich nicht
um anerkannte Abschlüsse. Diplom-Scam wird häufig mit Botnet-Aktivitäten in Verbindung gebracht.
6
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Drittanbieter: Diese E-Mails liegen zwischen Marketing und Produkt-Spam. Das Unternehmen an einem Ende
der Spam-Kette ist legitim, und die Empfänger haben wahrscheinlich unbeabsichtigt zugestimmt, E-Mails
von Werbepartnern zu erhalten. E-Mail-Listen können auch bei Firmen gekauft werden, die ihr Geschäft
aufgeben oder in einigen Fällen ihre Datenschutzrichtlinien so gestaltet haben, dass die E-Mail-Adressen der
Kunden verkauft werden können. Typische Beispiele sind Versicherungen, medizinische Geräte und kostenlose
T-Shirts. Diese Spam-E-Mails werden häufig über Hosts im Ausland versendet, wodurch die Möglichkeiten zur
Beschwerde verringert werden. Auf diese Weise halten sich die Spammer an den genauen Wortlaut des USamerikanischen Spam-Schutzgesetzes (CAN-SPAM Act), unterlaufen jedoch seine Absicht, indem sie anonyme
Domänen, fehlerhafte oder falsch geschriebene Wörter und eingebettete verborgene Textblöcke verwenden.
Einsame Frauen: Häufig eine Form von Vertrauensbetrug. Die Kriminellen (wahrscheinlich Männer, die
sich als Frauen ausgeben) versuchen, von ihren Opfern Geld für Flugtickets, Visa, Verpflegung, Reiseoder andere Kosten zu erhalten, das diese gern zahlen, um ihre „Angebetete“ endlich in den Armen
halten zu können. In den meisten Fällen geht es um russische Bräute.
Jobs: Bei vielen dieser Scam-E-Mails handelt es sich um Formen von Nigeria- oder Vertrauensbetrug.
Dabei zielen die Betrüger auf Arbeitslose oder Menschen in Niedriglohnjobs ab, denen sie mittels Scheck­
betrug Geld abnehmen oder die sie zu Geldwäsche verleiten bzw. zu anderen illegalen Aktivitäten anstiften.
Listen: Angebote für Kontaktlisten, zum Beispiel von Allgemeinmedizinern und Zahnärzten in der Umgebung.
Lotterien: „Ihre E-Mail-Adresse wurde zufällig aus unserer Datenbank ausgewählt, und Sie bekommen
jetzt bergeweise Geld. Sie müssen uns lediglich 2.500 Euro für Bearbeitungsgebühren überweisen.“
Hierbei handelt es sich um eine weitere Form von Vertrauensbetrug.
Malware: Hierzu werden alle E-Mails gezählt, die mit einem Virus oder Trojaner als Anlage versendet
werden oder Sie zum Besuch einer infizierten Webseite auffordern. „UPS-Sendungsverfolgung“ und
„Conficker.B-Infektionswarnung“ gehören zu den häufigsten Varianten.
Marketing: Hierzu zählt die Werbung für oder der Verkauf von Produkten an Empfänger, die ihre
Zustimmung für den Empfang von E-Mails gegeben haben. Ein Beispiel dafür sind Fluglinien oder
Reiseagenturen, die den Empfängern eine Angebotsliste zusenden. Bei diesen E-Mails handelt es sich
um Erstanbieter-Werbung, d. h. die Empfänger wissen normalerweise, warum sie die E-Mail erhalten.
Darin unterscheiden sie sich von der Werbung durch Drittanbieter, die weiter unten aufgeführt ist.
Newsletter: Eine Informations-E-Mail, für deren Empfang sich die Empfänger registrieren müssen. Bei
Newslettern wird meist nicht direkt versucht, Produkte zu verkaufen. Stattdessen wird jedoch durch geschickte
Wortwahl und reißerische Texte die Aufmerksamkeit der Empfänger erregt. Beispiele dafür sind eine HinweisE-Mail einer Nachrichtenagentur oder E-Mails von Diskussionsforen mit Informationen über neue Beiträge.
Nigeria-Scam: Dabei handelt es sich um einen Vorschussbetrug, bei dem versucht wird, die Opfer mit
einer tragischen Geschichte oder dem Versprechen einer Belohnung zur Zahlung von Geld zu bewegen.
Üblicherweise werden dabei auch offiziell aussehende Schriftstücke verwendet. Diese E-Mails stammen
häufig von Hosts, die kostenlose E-Mail-Konten anbieten. Wir stellen jedoch fest, dass diese Nachrichten
zunehmend von infizierten Hosts stammen.
Phishing: Hierunter fallen alle E-Mails, die mit dem Ziel verschickt wurden, dem Opfer persönliche
Informationen zu entlocken. Eines der am häufigsten vertretenen Beispiele sind vorgebliche Warn­
meldungen von Banken, die Benutzername und Kennwort anfordern.
Produkte: Alle unerwünschten Spam-E-Mails, mit denen versucht wird, Produkte zu verkaufen.
Meist handelt es sich dabei um Repliken von Handtaschen oder Schmuck. Diese E-Mails stammen
nicht von legitimen Unternehmen und werden häufig mit Botnet-Aktivitäten in Verbindung gebracht.
Produkte für Erwachsene: Spam-E-Mails mit Werbung für Pornografie, meist Filme auf DVDs oder über
Download-Webseiten. Gemessen am Gesamtaufkommen ist Porno-Spam nicht so stark vertreten,
wie landläufig angenommen wird. Der Effekt auf den Empfänger ist bei einer Porno-E-Mail jedoch erheblich
größer als bei anderen Spam-Typen, und die Wahrscheinlichkeit von Beschwerden ist noch größer.
Social-Networking-Webseiten: Diese E-Mails werden von Social-Networking-Webseiten generiert und
an die Abonnenten geschickt. Diese Webseiten senden oft unerwünschte E-Mails an das gesamte
Adressbuch von Benutzern, meist ohne diese darüber zu informieren. Obwohl derartiges Spam-ähnliches
Verhalten unerwünscht ist, wird kein Unterschied zwischen erwünschten und unerwünschten E-Mails
von Social-Networking-Webseiten gemacht.
Software: Hier wird versucht, OEM-Lizenzen (Großlizenzen für Computerhersteller und größere
Unternehmen) als Einzellizenzen oder gehackte bzw. gecrackte Softwareversionen zu äußerst günstigen
Konditionen zu verkaufen.
7
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Australien
Argentinien
Kanada
Brasilien
Übermittlungsstatus
Malware
Malware
Übermittlungsstatus
Übermittlungsstatus
Arzneimittel
Phishing
Produkte
Übermittlungsstatus
Nigeria-Scam
Marketing
Produkte
Produkte
Arzneimittel
Phishing
Newsletter
Casinos
Nigeria-Scam
Arzneimittel
Newsletter
Casinos
Einsame Frauen
Drittanbieter
Einsame Frauen
Marketing
Produkte
Drittanbieter
Newsletter
Marketing
Phishing
Listen
Aktien
Casinos
Armbanduhren
Armbanduhren
Malware
Drittanbieter
Social Networking
Produkte für Erwachsene
Drittanbieter
Kolumbien
China
Chile
Diplome
Nigeria-Scam
Newsletter
Einsame Frauen
Phishing
Produkte
Malware
Phishing
Arzneimittel
Marketing
Marketing
Produkte für Erwachsene
Produkte
Arzneimittel
Armbanduhren
Newsletter
Einsame Frauen
Malware
Nigeria-Scam
Armbanduhren
Übermittlungsstatus
Armbanduhren
Übermittlungsstatus
Übermittlungsstatus
Phishing
Drittanbieter
Produkte
Diplome
Newsletter
Nigeria-Scam
Einsame Frauen
Malware
Arzneimittel
Arzneimittel
Übermittlungsstatus
Produkte
Drittanbieter
Casinos
Produkte für Erwachsene
Marketing
Marketing
Drittanbieter
Frankreich
Spanien
Deutschland
Tschechische Republik
Nigeria-Scam
Malware
Großbritannien
Übermittlungsstatus
Übermittlungsstatus
Übermittlungsstatus
Produkte
Produkte
Newsletter
Nigeria-Scam
Malware
Newsletter
Marketing
Produkte
Einsame Frauen
Drittanbieter
Newsletter
Phishing
Arzneimittel
Casinos
Drittanbieter
Lotterien
Malware
Arzneimittel
Casinos
Drittanbieter
Drittanbieter
Nigeria-Scam
Phishing
Newsletter
Casinos
Einsame Frauen
Armbanduhren
Software
Marketing
Phishing
Übermittlungsstatus
Malware
Produkte
Arzneimittel
Malware
Nigeria-Scam
Nigeria-Scam
Casinos
Arzneimittel
Marketing
Diplome
Hongkong
Übermittlungsstatus
Malware
Nigeria-Scam
Arzneimittel
Newsletter
Übermittlungsstatus
Produkte
Einsame Frauen
Marketing
Phishing
Einsame Frauen
Nigeria-Scam
Drittanbieter
Casinos
Phishing
Armbanduhren
Malware
Produkte
Jobs
Produkte für Erwachsene
Italien
Produkte
Nigeria-Scam
Arzneimittel
Diplome
Phishing
Produkte
Malware
Phishing
Nigeria-Scam
Casinos
Arzneimittel
Marketing
Drittanbieter
Arzneimittel
Übermittlungsstatus
Nigeria-Scam
Malware
Produkte
Produkte
Armbanduhren
Casinos
Phishing
Arzneimittel
Einsame Frauen
Nigeria-Scam
Übermittlungsstatus
Phishing
Produkte für Erwachsene
Marketing
Kasachstan
Übermittlungsstatus
Malware
Einsame Frauen
Malware
Marketing
Südkorea
Japan
Übermittlungsstatus
Indien
Irland
Indonesien
Jobs
Casinos
Marketing
Einsame Frauen
Diplome
Arzneimittel
Nigeria-Scam
Nigeria-Scam
Produkte
Übermittlungsstatus
Einsame Frauen
Produkte
Malware
Phishing
Casinos
Malware
Übermittlungsstatus
Einsame Frauen
Phishing
Marketing
Arzneimittel
Jobs
Lotterien
8
Bericht
Mexiko
McAfee Threat-Report: Erstes Quartal 2010
Niederlande
Malaysia
Philippinen
Malware
Übermittlungsstatus
Nigeria-Scam
Nigeria-Scam
Übermittlungsstatus
Übermittlungsstatus
Malware
Produkte
Armbanduhren
Übermittlungsstatus
Drittanbieter
Phishing
Einsame Frauen
Nigeria-Scam
Arzneimittel
Phishing
Arzneimittel
Produkte
Arzneimittel
Einsame Frauen
Produkte für Erwachsene
Produkte
Malware
Marketing
Armbanduhren
Casinos
Einsame Frauen
Marketing
Marketing
Casinos
Newsletter
Newsletter
Nigeria-Scam
Malware
Armbanduhren
Einsame Frauen
Phishing
Produkte
Arzneimittel
Marketing
Produkte für Erwachsene
Drittanbieter
Drittanbieter
Newsletter
Polen
Rumänien
Singapur
Russland
Produkte
Arzneimittel
Malware
Übermittlungsstatus
Arzneimittel
Übermittlungsstatus
Nigeria-Scam
Drittanbieter
Armbanduhren
Newsletter
Casinos
Newsletter
Phishing
Einsame Frauen
Phishing
Lotterien
Nigeria-Scam
Drittanbieter
Übermittlungsstatus
Phishing
Malware
Nigeria-Scam
Arzneimittel
Marketing
Produkte
Phishing
Produkte
Nigeria-Scam
Übermittlungsstatus
Malware
Einsame Frauen
Malware
Einsame Frauen
Jobs
Diplome
Software
Marketing
Thailand
Ukraine
Taiwan
Türkei
Arzneimittel
Produkte
Übermittlungsstatus
Übermittlungsstatus
Übermittlungsstatus
Malware
Nigeria-Scam
Nigeria-Scam
Malware
Produkte
Einsame Frauen
Newsletter
Casinos
Einsame Frauen
Arzneimittel
Arzneimittel
Marketing
Marketing
Newsletter
Casinos
Armbanduhren
Phishing
Malware
Casinos
Armbanduhren
Drittanbieter
Nigeria-Scam
Produkte
Einsame Frauen
Jobs
Marketing
USA
Arzneimittel
Übermittlungsstatus
Nigeria-Scam
Produkte
Malware
Phishing
Einsame Frauen
Armbanduhren
Vietnam
Übermittlungsstatus
Produkte
Newsletter
Nigeria-Scam
Marketing
Social Networking
Drittanbieter
Diplome
Arzneimittel
Armbanduhren
Software
Produkte
Übermittlungsstatus
Phishing
Phishing
Abbildung 3: In den einzelnen Ländern werden bei Spam höchst unterschiedliche Themen angesprochen. In diesen Diagrammen werden unterschiedliche Anteile
der häufigsten Themenbereiche in den jeweiligen Ländern gezeigt. Dabei erstreckt sich die Aufstellung jedoch nicht auf das gesamte Spam-Volumen, sondern nur
auf die ersten Plätze.
9
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Einige Überraschungen
Das überraschendste Ergebnis dieser Analyse ist der hohe Anteil von Diplom-Spam aus China, Südkorea
und Vietnam. Diplom-Spam wirbt für gefälschte Dokumente, mit denen man Qualifikation für Berufe
oder andere Aktionen vortäuschen kann.
Singapur, Hongkong und Japan wiesen jeweils eine überdurchschnittlich hohe Anzahl von E-MailSendefehler-Spam (Delivery Status Notifications, DSN) auf. Diese Zahlen könnten auf Probleme bei
der E-Mail-Filterung hindeuten, weshalb Spam nicht rechtzeitig abgefangen und die Erzeugung dieser
Benachrichtigungen an die gefälschte Absenderadresse nicht verhindert wird.
In Thailand, Rumänien, Indien, Indonesien, Kolumbien, Chile, Brasilien und auf den Philippinen
wurde die Entwicklung des Internets in den letzten fünf Jahren zügig vorangetrieben. Dieses schnelle
Wachstum und der Fokus auf Internetzugang statt Internetsicherheit führten zu einer höheren Zahl
von Malware-Infektionen und Spam.
Malware-Wachstum bleibt „gesund“
Im Jahr 2009 katalogisierte McAfee Labs mehr als 16 Millionen Malware-Exemplare und bot Schutz vor
diesen Malware-Varianten, während es im Jahr 2008 noch etwas mehr als 10 Millionen waren. Bis Ende
März 2010 identifizierten wir bereits mehr als 3 Millionen Exemplare und schützten vor diesen Varianten.
Die Ergebnisse des ersten Quartals weisen darauf hin, dass sich das Gesamtwachstum normalisiert hat.
Für das Jahr 2010 erwarten wir jedoch mindestens das gleiche Malware-Aufkommen wie im Jahr zuvor.
Wachstum von Malware (2008–2010)
4.500.000
4.000.000
Malware-Anzahl
3.500.000
3.000.000
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
1. Q. 2008
1. Q. 2009
1. Q. 2010
Abbildung 4: Ein Vergleich des Malware-Wachstums des ersten Quartals der letzten drei Jahre zeigt einen leichten
Rückgang in den ersten drei Monaten des Jahres 2010.
In anderen großen Malware-Bereichen ist ebenfalls ein Trend zur Stabilisierung erkennbar. Bedenken
Sie jedoch, dass diese Zahlen inkrementell sind, d. h. sie umfassen nur die neue Malware, die in jedem
Quartal erfasst wurde. Daher ist es auch weiterhin notwendig, gut geschützt und wachsam zu bleiben,
denn in jedem Fall sind drei Millionen Exemplare (oder 40.000 pro Tag) immer noch sehr viel Malware.
10
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Entdeckte einzelne Koobface-Varianten
30.000
25.000
20.000
15.000
10.000
5.000
0
Jan
09
Feb
09
Mrz
09
Apr
09
Mai
09
Jun
09
Jul
09
Aug Sep
09
09
Okt
09
Nov Dez
09
09
Jan
10
Feb
10
Mrz
10
Abbildung 5: Die Anzahl neuer Koobface-Varianten ging seit einem Anstieg im Dezember zurück.
Diese Malware plagt jedoch auch weiterhin die Facebook-Nutzer.
Entdeckte einzelne Kennwortdieb-Varianten
400.000
350.000
300.000
250.000
200.000
150.000
100.000
50.000
0
Jan
09
Feb
09
Mrz Apr
09 09
Mai
09
Jun
09
Jul
09
Aug Sep
09 09
Okt Nov Dez
09 09 09
Jan
10
Feb
10
Mrz
10
Abbildung 6: Kennwort stehlende Trojaner haben es hauptsächlich auf die Bankdaten der Opfer abgesehen.
Entdeckte einzelne Autostart-Varianten
160.000
140.000
120.000
100.000
80.000
60.000
40.000
20.000
0
Jan
09
Feb
09
Mrz
09
Apr
09
Mai
09
Jun
09
Jul
09
Aug Sep
09
09
Okt
09
Nov Dez
09
09
Jan
10
Feb
10
Mrz
10
Abbildung 7: Eine der aktivsten Malware-Kategorien in diesem Quartal waren Autostart-Würmer (Malware auf
Wechselmedien, vor allem USB-Laufwerken). Aufgrund der weltweit großen Verbreitung von USB-Laufwerken
bei Konsumenten und in Unternehmen ist dieser Infektionsweg auch weiterhin eines der Hauptärgernisse.
11
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Im Folgenden werden die fünf weltweit am meisten verbreiteten Malware-Typen bei Konsumenten
genannt. (Die Liste variiert häufig in den verschiedenen Teilen der Welt, in diesem Quartal waren
die häufigsten Bedrohungen jedoch in allen erfassten Ländern gleich stark vertreten.)
Top-5-Malware weltweit
1.
2.
3.
4.
5.
Generic! Atr: Generische Malware für Wechseldatenträger
Generic.dx: Generische Downloader und Trojaner
W32/Conficker.worm!inf: Conficker-Wurmsignatur für Wechseldatenträger
Generisches PUP: Unspezifische potenziell unerwünschte Programme
GameVance: Online-Spielesoftware, die Spielestatistiken anonym erfasst
Diese Top 5 unterscheidet sich kaum von denen der vorherigen Quartale. Bei zwei Formen handelt es
sich um Autostart-Malware (davon einer mit Conficker). Die anderen Formen gehören zur Kategorie der
Kennwortdiebstahl-Trojaner. In vielen Fällen werden gefälschte Sicherheitsprodukte allgemein als PUPs
erkannt. Das beliebteste Ziel von Internetkriminellen ist weiterhin Internet Explorer. Damit wären wir
beim Thema Operation Aurora.
Operation Aurora
Operation Aurora gehörte in diesem Quartal zu den Angriffen, die die Öffentlichkeit am stärksten
beschäftigt haben. Obwohl der Angriff erst Ende 2009 stattfand, zählt Operation Aurora mittlerweile zu
den bedeutendsten gezielten Angriffen in der Geschichte des Internets. Bei diesem Angriff wurden eine
Zero-Day-Schwachstelle und ein Exploit in Internet Explorer von einer hochspezialisierten und sehr gut
getarnten Malware ausgenutzt und mehr als 30 Unternehmen und deren Daten gezielt kompromittiert.
Aufgrund dieser Vorgehensweise kann Aurora erhebliche Auswirkungen auf die Wahrnehmung von
Internetkriminalität haben, die auf Unternehmen ausgerichtet ist.
Eine detaillierte Analyse des Angriffs finden Sie in den folgenden McAfee-Blogs:
http://siblog.mcafee.com/cto/source-code-repositories-targeted-in-operation-aurora/
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/
http://www.avertlabs.com/research/blog/index.php/2010/01/14/more-details-on-operation-aurora/
http://www.avertlabs.com/research/blog/index.php/2010/01/15/operation-aurora-leading-to-other-threats/
http://www.avertlabs.com/research/blog/index.php/2010/01/18/an-insight-into-the-auroracommunication-protocol/
In diesem hervorragenden Whitepaper beschreiben wir die Lektionen aus Aurora sowie Möglichkeiten,
ähnliche Angriffe in Zukunft zu verhindern:
http://resources.mcafee.com/forms/Aurora_VDTRG_WP
Steuern – Betrug, Phishing und gefälschte Webseiten
E-Mails zum Thema Steuern sind bei Internetkriminellen sehr beliebt und werden vor den Abgabeterminen
für die jährliche Steuererklärung massenhaft verbreitet. In diesem Jahr begann der Spaß sehr früh: Obwohl
der Abgabetermin in den USA erst Mitte April ist, beobachteten wir bereits Ende Januar Scam-E-Mails,
Phishing-Angriffe und gefälschte Webseiten zu diesem Themenbereich. In diesem Jahr werden erstmals
auch viele Finanzbehörden außerhalb der USA für betrügerische Aktionen und Phishing missbraucht.
12
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Abbildung 8: Die britische Steuerbehörde HM Revenue & Customs ist in letzter Zeit bei Betrügern sehr beliebt.
Ahnungslose Benutzer bekommen die üblichen Methoden zu sehen. Die konkreten Angebote sind
jedoch an die aktuelle Situation angepasst: ihnen werden Steuerrückzahlungen in Aussicht gestellt,
wenn sie die entsprechenden Online-Formulare ausfüllen. Dabei handelt es sich natürlich nur um
einen Trick, um an die Identität und das Geld der Opfer zu gelangen.
Abbildung 9: Viele der erfassten Betrugs- und Spam-E-Mails gaben vor, von der Bank of India zu stammen.
13
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Das gleiche gilt für gefälschte Webseiten der US-Finanzbehörde (Internal Revenue Service):
Abbildung 10: Diese Webseite wurde auf einem brasilianischen Server gehostet, es gibt aber weltweit Fälschungen.
Mitte Februar beobachteten wir einen Höchstwert bei diesen Webseitentypen. Auf solchen Webseiten
werden angeblich Steuerformulare und Anwendungen bereitgestellt, die bei der Einreichung der
Steuererklärung helfen sollen. Alle diese Webseiten sind gefälscht und enthalten Schadcode.
Suchmaschinenmanipulation wird komplexer
McAfee Labs beobachtete im Jahr 2009 eine erhebliche Zunahme bei Suchmaschinenmanipulationen.
Angreifer überlisteten die Seiten-Ranking-Logik der Suchanbieter, um Links zu böswilligen Webseiten
bei Suchabfragen möglichst weit oben in der Liste anzeigen zu lassen. Wie üblich interessierten
sich Internetkriminelle für die heißesten Themen des Tages, um möglichst viele Opfer einzufangen.
Im ersten Quartal 2010 wurden die folgenden Themen am häufigsten ausgenutzt:
• Erdbeben
in Haiti
in Chile/Tsunami-Warnung für Hawaii
• Rückrufaktion bei Toyota
• Apple iPad
• Ende der NCAA-Basketball-Saison 2010 in den USA (genannt „March Madness“)
• Entschuldigung von Tiger Woods
• Tödlicher Orca-Angriff in SeaWorld Florida
• Erdbeben
14
Bericht
McAfee Threat-Report: Erstes Quartal 2010
• Rennschlitten-Tragödie
bei der Winterolympiade
Day (US-Feiertag)
• US-Gesundheitsreform
• Groundhog
Angreifer verknüpfen ihre Webseiten mit beliebten Suchbegriffen aus RSS-Feeds wie Google Trends.
Nach dem Klick auf einen böswilligen Link kann häufig folgende Manipulation beobachtet werden:
Anstelle des erwarteten Inhalts wird eine Seite angezeigt, die nur ein paar Textschnipsel und unzählige
Links enthält. Seit kurzem speichern Angreifer ihre Inhalte in PDF-Dokumenten, um ihre Opfer zu täuschen.
Die schädlichen PDF-Dokumente werden von Google erfasst, indexiert und in QuickView konvertiert.
Damit wird böswilligen Inhalten Tür und Tor geöffnet. Das Ziel dieser Angriffe besteht oft darin,
Benutzer zu einer Webseite mit gefälschter Virenschutzsoftware zu leiten und sie dazu zu verleiten,
diese Software zu kaufen.
Abbildung 11: Sobald der „Scan“ abgeschlossen ist, meldet das gefälschte Produkt entdeckte Malware und ermuntert
die Opfer zum Kauf der wirkungslosen Sicherheitssoftware, mit der die „Infektionen“ angeblich entfernt werden.
Kürzlich beobachtete McAfee Labs Suchmaschinenmanipulationen, die zu verschiedenen Formen
von Klickbetrug sowie Netzwerkmissbrauch führten. In einem der Fälle in diesem Quartal wurde die
Beliebtheit von Digg für den Angriff ausgenutzt. Wenn die nichts ahnenden Benutzer dem Link auf
Digg folgten, wurde das Video aus Abbildung 12 angezeigt.
Abbildung 12: In diesem Beispiel von Google-Klickbetrug wurde Digg zum Anlocken der Opfer missbraucht.
15
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Hinter den Kulissen dieses „brandheißen Videos“ (engl.: Hot Video) steckten JavaScript und GoogleWerbung, die den Betrügern Geld aus Werbeeinnahmen einbrachten, sobald die Opfer auf eine
beliebige Stelle der Seite klickten. Bei anderen Aktionen gehen die Betrüger offensichtlicher vor:
Browser werden auf andere Suchergebnisseiten umgeleitet, die den echten Seiten zwar ähnlich sind,
den Angreifern aber Werbeeinnahmen einbringen.
Die Manipulation von Suchergebnissen erreicht längst noch nicht das Ausmaß von E-Mail-Spam,
der etwa 90 Prozent des gesamten E-Mail-Aufkommens ausmacht. Die Zunahme der Manipulation
gibt aber dennoch Anlass zur Sorge.
Kennwortdiebe und gefälschte Sicherheitssoftware machen sich in sozialen Netzwerken breit
In den Bedrohungsprognosen für 2010 von Dezember 2009 sagten wir voraus, dass Angriffe auf soziale
Netzwerke durch Kennwortdiebstahl-Trojaner und andere Malware im Jahr 2010 zunehmen würden.2
In diesem Quartal beobachteten wir mehrere Beispiele dafür, dass wir mit dieser Vorhersage richtig lagen.
Die Malware-Varianten der Zeus-Familie, die meist als PWS-Zbot und Spy-Agent.bw im Umlauf sind,
sind die am weitesten verbreiteten Kennwort stehlenden Trojaner und haben sich auf die Erfassung von
Bankdaten spezialisiert. Die Zeus-Trojaner sind nur eines der Werkzeuge von Internetkriminellen, die oft
Kennwortdiebstahlprogramme mit anderem illegalen Online-Material koppeln. Beispielsweise wird
Zeus auf den gleichen Servern wie Kinderpornografie gehostet oder zusammen mit anderen TrojanerFamilien wie gefälschter Sicherheitssoftware (auch als Falschalarm- oder gefälschte Virenschutz­software
bezeichnet) installiert.
In diesem Quartal wurden im Gefolge von Zeus verschiedenste Zusatzprogramme installiert.
Diese Angriffe richteten sich vor allem auf ein Ziel: Facebook-Benutzer.
Die Angriffe folgen meist diesem Muster:
• Die
Angreifer starten eine große Betrugskampagne. In den meisten von uns beobachteten Fällen wurden
Opfer mit einer gefälschten Aufforderung zum Zurücksetzen des Kennworts geködert. Ein Beispiel:
»»„Im Rahmen der Maßnahmen zum Schutz unserer Kunden wurde Ihr Kennwort geändert.
Ihr neues Kennwort finden Sie im angefügten Dokument.“
• Das angefügte Dokument enthält meist eine Variante des Bredolab- oder Pushdo-Trojaners.
• Das Bredolab/Pushdo-Netzwerk fungiert als Installationsprogramm für die Zeus-Familie und erfordert
keine Aktionen seitens des Benutzers. Das ist aber noch nicht alles: Da Bredolab/Pushdo beim Öffnen
der Anlage installiert wird, kann es Zeus installieren und verwalten sowie zusätzlich jeden beliebigen
Trojaner installieren, den die Angreifer als hilfreich erachten.
• In den meisten von uns in diesem Quartal beobachteten Fällen handelte es sich um TrojanerInstallationen gefälschter Sicherheitssoftware.
Warum Virenschutzprodukte fälschen? Damit können sowohl die Malware-Entwickler als auch deren
Distributoren Geld verdienen. Die meisten Falschalarm-Trojaner werden über ein Partnerprogramm
betrieben, wobei ein Mittelsmann für jede Installation der Software eine kleine Provision erhält.
Facebook-Benutzer litten nicht nur unter Zeus und Angriffen gefälschter Sicherheitssoftware, sondern auch
unter neuen Varianten des W32/Koobface-Wurms. Im März wurden mehr als 150 Webseiten entdeckt,
auf denen im Ordner „.sys“, der auf Unix-Systemen versteckt ist, böswillige Dateien gehostet wurden.
Einige Beispiele für diese Webseiten:
brand[entfernt]b.dk/.sys/?getexe=p.exe
brand[entfernt]b.dk/.sys/?getexe=v2captcha21.exe
brand[entfernt]b.dk/.sys/?getexe=go.exe
alv[entfernt]n.dk/.sys/?getexe=pp.14.exe
alv[entfernt]n.dk/.sys/?getexe=v2prx.exe
car[entfernt]ort.com.au/.sys/?getexe=pp.14.exe
car[entfernt]ort.com.au/.sys/?getexe=fb.101.exe
2. Der Bericht ist in neun Sprachen verfügbar. http://www.mcafee.com/us/threat_center/white_paper.html
16
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Bei den Dateien auf diesen kompromittierten Hosts handelt es sich meist um Koobface-MalwareVarianten, jedoch auch um generische Downloader, Host-Datei-Modifizierer, Kennwortdiebe und andere
Malware-Formen.
Zunahme böswilliger Domänen
Webbedrohungen waren in diesem Quartal sehr aktiv. Dabei wurden von McAfee Labs mehrere Trends
beobachtet: von sehr gezielten Angriffen mit Server-Unterstützung bis zu den üblichen Koobface-, Zeusund Phishing-Versuchen mithilfe von EC-Karten, Romantik-Maschen, Steuerformularen und den üblichen
Kontodaten. Außerdem gab es eine erhebliche Zunahme bei Unternehmen, die als Spyware- oder
Adware-Anbieter eingestuft werden, dieser Einstufung jedoch widersprechen.
Neue gefährliche URLs
17.500
15.000
12.500
10.000
7.500
5.000
2.500
26. MRZ
19. MRZ
12. MRZ
5. MRZ
26. FEB
19. FEB
12. FEB
5. FEB
29. JAN
22. JAN
15. JAN
8. JAN
1. JAN
0
Abbildung 13: Neue Webseiten, die als böswillig eingestuft und täglich von der McAfee TrustedSecure-Technologie
gemeldet werden. In diesem Quartal gab es wieder mehr Registrierungen böswilliger Domänen, mit einem Rekord
von mehr als 15.000 neuen gefährlichen Webseiten an nur einem Tag.
In Abbildung 13 werden die Muster der von uns beobachteten böswilligen Aktivitäten aufgezeigt.
Immer wenn ein neues Exploit in den Umlauf gebracht oder ein neues Botnet aufgebaut wurde,
nahm die Anzahl der als böswillig eingestuften Webseiten erheblich zu. Innerhalb von ein bis zwei
Tagen fiel die Anzahl der neuen gefährlichen Webseiten jedoch wieder auf das übliche Maß. McAfee
Labs beobachtete zudem einen deutlichen Anstieg bei Kommunikation, die von und an böswillige
Server gesendet wird, die Botnets steuern. Die überwiegende Mehrheit dieser Server zeigt bestimmte
Verhaltensweisen, die mit unserer Bedrohungsvektor-Kreuzkorrelation identifiziert werden können.
Dem sprunghaften Anstieg bei gefährlichen URLs am 2. März ging beispielsweise ein deutlicher Anstieg
bei Bedrohungs-E-Mails am 14. Februar voraus.
Asien-Pazifik-Raum
Asien-Pazifik-Raum
17 %
Europa, Naher Osten, Afrika
Lateinamerika
Nordamerika
44 %
Nordamerika
Europa,
Naher Osten,
Afrika
29 %
Lateinamerika
10 %
Abbildung 14: Wie üblich befinden sich die meisten Server für böswillige Webinhalte in den USA.
17
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Die Tatsache, dass so viele Server in den USA stehen, ist besonders interessant bei der Betrachtung
anderer Quellen böswilliger URLs. Da die Internetdienste, die für Web 2.0 notwendig sind und
massenweise von Malware-Verbreitern missbraucht werden, hauptsächlich in den USA verfügbar
sind, werden 98 Prozent der böswilligen URLs in den USA gehostet. Von den verbleibenden 2 Prozent
entfallen 61 Prozent auf China und 34 Prozent auf Kanada.
Eine der stärksten Zunahmen bei böswilligen URLs und Webseiten steht mit der sich schnell ausbreitenden
Zeus-Familie im Zusammenhang. Aufgrund der einfachen Bedienbarkeit von Zeus und der Verbreitung unter
Internetkriminellen gab es in diesem Quartal deutliche Verschiebungen zu wirklich böswilligen Servern,
die automatisierte Domänenregistrierungen und schnell wechselnde IP-Adressen einsetzten. Sobald ein
mit Zeus infizierter Computer ausgeschaltet wurde, finden sich schnell Dutzende weitere. Ein von uns
identifizierter Zeus-Befehlsserver verwies auf weitere 160 böswillige Domänen, die ein breites Spektrum von
Themen abdeckten – von Social-Networking- und Medienaustauschinfektionen bis zu Phishing-Angriffen
auf Finanzbehörden und andere Organisationen, über die sich persönliche Daten abfragen lassen.
Standort von Zeus-URLs
Lettland
2%
Andere Länder
16 %
Italien
2%
Frankreich
2%
USA
38 %
Großbritannien
2%
Ukraine
3%
Niederlande
5%
China
7%
Deutschland
9%
Russland
14 %
Abbildung 15: Die meisten Zeus-URLs befinden sich in den USA. Insgesamt sind etwa 40 Prozent in ganz Europa verteilt.
Clients in der Schusslinie
Client-Sicherheitsprobleme führen in diesem Quartal weiterhin die Liste der bekanntesten Schwachstellen
an. Unsere Sensoren verzeichneten mehrere Angriffe über das SSL-Kommunikationsprotokoll
(Secure Sockets Layer), die über das Pushdo-Botnet erfolgten. Außerdem wurden mit SSL-Abfragen
gezielte DoS‑Angriffe (Denial of Service) gestartet.
McAfee Labs beobachtete in diesem Quartal mehrere Zero-Day-Angriffe. Einige der größten Angriffe
betrafen Microsoft Internet Explorer sowie Adobe Acrobat und Reader.
• „Operation
Aurora“ – MS10-002: HTML Object Memory Corruption Vulnerability
(Sicherheitsanfälligkeit durch Speicherbeschädigung bei HTML-Objekten) – CVE-2010-0249:
Am 13. Januar 13 entdeckte McAfee Labs eine gezielte Zero-Day-Ausnutzung einer bis dato
unbekannten Schwachstelle in Internet Explorer und benachrichtigte Microsoft. Microsoft bestätigte
das Problem und veröffentlichte am nächsten Tag einen Sicherheitshinweis.3 Metasploit veröffentlichte
einen Tag später ein funktionsfähiges Exploit. Aufgrund der anschließenden intensiven Ausnutzung
dieser Schwachstelle veröffentlichte Microsoft am 21. Januar einen außerplanmäßigen Patch.
Unsere Live-Sensoren beobachten weiterhin Versuche, dieses Problem auszunutzen.
• Internet Explorer Dynamic OBJECT tag and URLMON sniffing vulnerabilities (Schwachstelle in Internet
Explorer bei dynamischen OBJECT-Tags und URLMON-Sniffing) – CVE-2010-0255: Am 3. Februar
präsentierte eine Forschergruppe auf der Konferenz Black Hat 2010 in Washington, DC zwei
Schwachstellen in Internet Explorer. Die Probleme wurden auf der Core Security-Webseite weiter
diskutiert. Die Schwachstellen führten zu Datenkompromittierung zwischen Domänen, wodurch
Angreifer Zugriff auf vertrauliche Dateien erhalten, die später für gezielte Angriffe genutzt werden
können. Diese Probleme wurden bis zum Verfassen dieses Berichts nicht behoben.
3. http://www.microsoft.com/technet/security/advisory/979352.mspx
18
Bericht
McAfee Threat-Report: Erstes Quartal 2010
• Adobe
Acrobat and Reader Remote Code Execution Vulnerability (RemotecodeausführungsSchwachstelle in Adobe Acrobat und Reader) – CVE-2010-0188: Am 16. Februar veröffentlichte
Adobe einen Patch für eine kritische Schwachstelle in Reader, die Remotecodeausführung erlaubt.
McAfee Labs wurden Malware-Beispiele zugesandt, die dieses Problem aktiv ausnutzen. Acrobatund Reader-Benutzer sollten diese Patches installieren.4
• Uninitialized Memory Corruption Vulnerability (Sicherheitsanfälligkeit bezüglich Speicherbeschädigung
aufgrund von Nichtinitialisierung) – CVE-2010-0806: Am 9. März berichtete Microsoft, dass eine
bisher unbekannte Schwachstelle in den Versionen 5, 6 und 7 von Internet Explorer ausgenutzt
wurde. (Internet Explorer 8 ist nicht betroffen.) Internet Explorer-Benutzern wird empfohlen, den
außerplanmäßigen Patch zu installieren, der am 30. März veröffentlicht wurde.5
Webseitenübergreifende Skripts öffnen die Tür
Unsere Live-Sensoren erfassten in diesem Quartal mehrere Skripteinschleusungsversuche. Die Daten
zu den über HTTP erfassten Angriffen wurden in einige allgemeine Kategorien gegliedert.
Angriffe mit Skripteinschleusung
URI-Pfad
POST-Daten
HTTP-Header
Cookie-Diebstahl
URI mit Ereignishandlern
Abbildung 16: Angriffe mit webseitenübergreifenden Skripts über HTTP (nach Kategorie).
Die Justiz schlägt zurück
DarkMarket: Devilman und JiLsi plädieren auf „Schuldig“
Von 2006 bis 2008 war DarkMarket eines der aktivsten Untergrundforen für Kreditkartenbetrug. Auf dieser
Plattform wurden gestohlene Kredit- und Geldkartendaten verkauft. Obwohl neue Mitglieder nur über eine
Einladung Zugang zu DarkMarket bekamen, hatte das Forum mehr als 2.000 registrierte Benutzer.
Das Forum wurde vom FBI unterwandert und im Oktober 2008 geschlossen. Dank der Hilfe anderer
Polizeibehörden konnte das FBI mehr als 50 Personen in den USA, in Großbritannien, Deutschland und
der Türkei verhaften. Zu den Verhafteten gehörten Cagatay Evyapan (alias Chao, Türkei), Mert Ortac
(Kier, Türkei) und Markus Kellerer (Matrix001, Deutschland).
In diesem Quartal bekannten sich zwei wichtige DarkMarket-Mitglieder vor dem Blackfriars Crown Court
(britischer Strafgerichtshof) in London für schuldig. Ihnen droht eine Höchststrafe von 10 Jahren.
Der erste Angeklagte war Renukanth Subramaniam, auch bekannt als „JiLsi“. Der 33 Jahre alte Mann aus
Sri Lanka war Webseitenadministrator und eines der ersten Forenmitglieder.6 Der zweite Angeklagte, John
McHugh (69 Jahre), mit dem Pseudonym „Devilman“, war als Prüfer tätig. Zu seinen Aufgaben gehörte die
Überprüfung der gestohlenen Kreditkartendaten, die neue potenzielle Forummitglieder vorlegen mussten.7
4. http://www.adobe.com/support/security/bulletins/apsb10-07.html
5. http://www.microsoft.com/technet/security/Bulletin/MS10-018.mspx
6.„Pizza delivery man cops to life in DarkMarket“ (Pizzalieferant erwartet hohe Haftstrafe für DarkMarket), The Register.
http://www.theregister.co.uk/2010/01/14/darkmarket_fraudster_guilty_plea/
7. „OAP internet fraud expert“ (OAP-Internetbetrugsexperte), The Star. http://www.thestar.co.uk/doncaster/OAP-internet-fraud-expert.5985536.jp
19
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Wiseguys-Botnet
Es ist häufig davon die Rede, dass Betrüger die CAPTCHA-Abfrage (Completely Automated Public
Turing test to tell Computers and Humans Apart, Sicherheitsabfrage zur Blockierung von Bot-Aktionen)
umgehen. Mithilfe von Bot-infizierten Computern können sie eine große Anzahl zufälliger E-Mail-Konten
erstellen und zur Spam-Verbreitung einsetzen.
Im Februar wurde bei einem Gerichtsverfahren in Newark, New Jersey, der bis dato letzte Einsatz eines Botnetbasierten CAPTCHA-Knackers nachgewiesen. In diesem Fall wurden die von den Angeklagten infizierten
Computer zum Kauf teurer Eintrittskarten für Konzerte und Sportereignisse von legitimen Ticketverkaufsstellen
missbraucht. Die Botnet-Betreiber verkauften die Tickets später online zu überhöhten Preisen.
Laut Anklage wurde die verwendete Software von Programmierern in Bulgarien entwickelt.
Die Anwendung umging Sicherheitsmaßnahmen, mit denen die Anzahl der Tickets pro Einkauf
beschränkt werden sollte, und sicherte sich die besten Plätze. Im Gegensatz zu den üblichen Botnets
wurde diese Software auf speziell dafür abgestellten Computern installiert. Mit diesem Netzwerk
wurden im Zeitraum von Ende 2002 bis Januar 2009 mehr als 1,5 Millionen Premium-Tickets gekauft.
Der Gewinn belief sich dabei auf rund 28,9 Millionen US-Dollar.
Die Mitarbeiter, Vertragspartner und Angeklagten hinter dieser Abzocke waren als „Wiseguys“
bekannt, benannt nach dem von ihnen gegründeten Unternehmen in Nevada (Wiseguy Tickets, Inc.).
Das Wiseguys-Botnet war ein US-weit agierendes Computernetzwerk, mit dem jede Minute tausende
Tickets gekauft wurden. Das Netzwerk bot umfangreiche Funktionen an:
• Überwachung
der Ticketanbieter-Webseite auf den genauen Verkaufsstart der Tickets für beliebte Ereignisse
tausender Verbindungen in dem Moment, wenn der Verkauf begann
• Umgehung der CAPTCHA-Abfrage innerhalb von Sekundenbruchteilen (Menschen benötigen fünf bis
zehn Sekunden), sodass ehrliche Käufer keine Chance hatten
• Praktisch sofortige Vorbereitung einer Liste mit hunderten der besten Tickets (mit Überwachung durch
Wiseguys-Mitarbeiter)
• Ausfüllung aller für den Kauf erforderlichen Felder, einschließlich Kundenkreditkartendaten und
gefälschter E-Mail-Adresse
• Öffnung
Abbildung 17: Betrügerisches Online-Angebot von Wiseguy Tickets. (Quelle: McAfee)
In der Anklageschrift wird beschrieben, wie Wiseguys viele beliebte Ereignisse ausnutzte, darunter das
BCS Football Championship Game (BCS-Fußballmeisterschaftsspiel in den USA), ein Barbara StreisandKonzert in Chicago, Hannah Montana-Konzerte in New Jersey und die Bruce Springsteen-Tour von
2008.8 Zu diesem letzten Ereignis wurden über das Botnet etwa 11.800 Tickets gekauft.
Einer ihrer letzten Betrugsfälle ereignete sich im Januar 2009, als das Botnet 1.000 Ticketkäufer für das
NFL-Playoff-Spiel der New York Giants gegen Philadelphia Eagles im Giants-Stadion in East Rutherford,
New Jersey, fingierte.
8.„United States of America v. Kenneth Lowson et al.“ (USA gegen Kenneth Lowson u. a.), US-Bezirksgericht, Distrikt von New Jersey.
http://media.nj.com/ledgerupdates_impact/other/Wiseguys%20Indictment%20-%20Filed.pdf
20
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Operation „Bottom Dollar“
In diesem Quartal erhob die US-amerikanische Bundeshandelskommission FTC (Federal Trade
Commission) in sieben Fällen Anklage gegen Betrüger, die Heimarbeit und Arbeitsstellen anboten.9
In den im Februar veröffentlichten Anklageschriften wurden sieben Institutionen genannt. Damit ist
die Zahl der Anklagen der Behörde in den letzten zwölf Monaten auf 11 gestiegen.
Laut FTC-Anklage schädigte Real Wealth Inc., eines der angeklagten Unternehmen, mehr als
100.000 Personen durch den Verkauf von Broschüren, in denen beschrieben wurde, wie durch die
Beantragung von staatlichen Zuschüssen und das Versenden von Postkarten und Briefen von Zuhause
aus viel Geld verdient werden könnte. Bei diesen Direktmail-Kampagnen, die häufig auf ältere und
behinderte Menschen abzielten, warb Real Wealth mit Sprüchen wie „Verdienen Sie bis zu 9.250 USD
mit meinem einfachen 3-Minuten-Formular“ oder „Ich muss nur 30 Postkarten am Tag verschicken,
und verdiene 350 USD pro Woche dazu!“. Real Wealth behauptete außerdem, dass die Kunden „pro
Woche 1.500 US-Dollar und mehr“ einnehmen könnten, wenn sie die „Geheimnisse“ hinter dem
700 Mrd. US‑Dollar-Bankenrettungspaket kennen würden.
Laut einer weiteren Anklage behauptete Darling Angel Pin Creations in Internetwerbungen, dass
Kunden durch den Kauf eines Starterpakets mit dem Anfertigen von Ansteckern bis zu 500 US-Dollar
pro Woche verdienen könnten.
Mariposa-Botnet
Im Februar verhaftete die spanische Guardia Civil mehrere Mitglieder einer kriminellen Vereinigung, die
das Mariposa-Botnet betrieb. Die Malware wurde über das im Mai 2009 erstmals in Erscheinung getretene
Botnet verbreitet und infizierte mehr als 13 Millionen Computer in 190 Ländern.10 Das im Dezember 2009
stillgelegte Botnet war auf den Diebstahl von Kreditkartendaten, Onlinebanking-Kennwörtern, Kontodaten
für Social Networking-Webseiten und andere vertrauliche Informationen spezialisiert. Dabei erfolgte die
Verbreitung über Peer-to-Peer-Netzwerke, infizierte USB-Laufwerke und MSN-Links, die Benutzer auf
infizierte Webseiten weiterleiteten. Sobald ein neues Opfer gefunden wurde, installierte der Mariposa-BotClient verschiedene Malware (darunter raffinierte Keylogger, Bank-Trojaner wie Zeus und RemotezugriffsTrojaner), um die infizierten Systeme besser kontrollieren zu können.
Die Kriminellen nannten ihre Gruppe „DDP Team“ (für días de pesadilla, Albtraumtage). Diese Information
fanden wir bei einigen WHOIS-Abfragen, die auf Webseiten verwiesen, mit denen die Kriminellen ihre
Malware verbreitet hatten.
Internetangriffe
Im März warnte McAfee, dass Betrug durch Scareware (gefälschte Sicherheits- bzw. Virenschutzsoftware)
im Jahr 2010 den größten Schaden verursachen und erhebliche finanzielle Verluste und Schäden an
Computern zur Folge haben würde.11 In diesem Abschnitt finden Sie einige Details und Hintergrund­
informationen zu den damals veröffentlichten Zahlen.
Bei McAfee werden diese Trojaner als Falschalarm-Malware eingestuft. Hierzu gehören unter anderem
Scareware und gefälschte Virenschutzprogramme. Abbildung 18 zeigt, dass diese Malware-Kategorie
im Jahr 2009 explosionsartig zugenommen hat. In diesem Quartal wurden allein vom 1. bis 10. März
45.000 neue Exemplare in der Malware-Datenbank erfasst. (Dazu gehörten alle Malware-Typen, die zu
Scareware gerechnet werden: Downloader, Dropper, Skripts, Installer und viele Dateien, die zum
Bestandteil dieser Programme gehören.)
9.„FTC Cracks Down on Con Artists Who Target Jobless Americans“ (FTC geht gegen Trickbetrüger vor, die es auf arbeitslose Amerikaner
abgesehen haben), US-amerikanische Bundeshandelskommission (Federal Trade Commission). http://www.ftc.gov/opa/2010/02/bottomdollar.shtm
10. „
How FBI, Police Busted Massive Botnet“ (So sprengten FBI und Polizei ein gewaltiges Botnet), Hacking Expose.
http://hackingexpose.blogspot.com/2010/03/how-fbi-police-busted-massive-botnet.html
11. „
McAfee, Inc. Unveils New Consumer Threat Alert Program: A Warning for Consumers about the Most Dangerous Online Threats“
(McAfee, Inc. enthüllte neues Consumer Threat Alert-Programm: Eine Warnung für Kunden vor den gefährlichsten Online-Bedrohungen),
McAfee. http://newsroom.mcafee.com/article_display.cfm?article_id=3631
21
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Entdeckte einzelne Falschalarm-Varianten
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
1. Q.
2008
2. Q.
2008
3. Q.
2008
4. Q.
2008
1. Q.
2009
2. Q.
2009
3. Q.
2009
4. Q.
2009
1. Q.
2010
Abbildung 18: Im dritten Quartal 209 gab es ein Rekordhoch bei neuen Varianten gefälschter Sicherheitssoftware.
Trotz eines Rückgangs ist diese lukrative Form der Internetkriminalität auch weiterhin stark verbreitet.
Von Januar 2004 bis Dezember 2009 erfasste McAfee Labs mehr als 3.000 Scareware-Produkte,
wobei viele nur sehr kurz (Wochen bis Monate) im Umlauf waren. Andere, die bereits 2004 erstellt
wurden, sind immer noch im Internet zu finden. Bei etwa der Hälfte ist uns das Erscheinungsjahr
bekannt. Mehr als 170 kamen allein in diesem Quartal hinzu.
Bei vielen Produkten ändert sich nur der Name. Durch diesen Trick steigen die Chancen, Opfer zu finden.
Gleichzeitig sinkt der Aufwand für die Entwickler. Die Scareware-Firmen stellen zahlreiche Webseiten ins
Internet, bei denen ein einziges gefälschtes Angebot unter verschiedenen Namen verkauft wird.
Abbildung 19: Falschalarm-Software unterscheidet sich häufig nur im Produktnamen, um die Opfer zu täuschen.
22
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Trotz der tausenden Falschalarm-Produkte konnte McAfee Labs bislang nur sehr wenige (30 bis 50)
Scareware-Anbieter ausmachen. Die Entwickler gründen zahlreiche Ableger und arbeiten mit Partnern
zusammen, um ihre Spuren zu verwischen und die Umsätze zu erhöhen. Bei einer Analyse von
2.000 Produkten konnten die Anbieter in allen Fällen ermittelt werden.
Häufig arbeiten Scareware-Anbieter vollkommen öffentlich. Einige sind sogar dreist genug, um Profile
bei LinkedIn zu erstellen. Wenn der Druck zu groß wird, machen sie einfach eine „neue“ Firma auf.
Um die Umsätze zu steigern, werben die Scareware-Anbieter Partner an und versprechen ihnen hohe
Kommissionen mit bis zu 75 Prozent des Verkaufspreises.
Ein Kollege aus der Sicherheitsbranche beobachtete sechs Monate lang die Produktionsserver eines der
größten Scareware-Anbieter. In nur 10 Tagen verzeichnete er 4 Millionen Downloads (d. h. 4 Millionen
Scareware-Infektionen). Dabei handelte es sich nur um ein Unternehmen, und einige Opfer könnten
auch auf andere Anbieter hereingefallen sein. Hochgerechnet lassen diese Zahlen den Schluss zu,
dass weltweit täglich möglicherweise etwa 1 Million Menschen Opfer von Scareware-Betrug werden.12
Diese Downloads erfolgen nicht immer absichtlich. Dennoch erhielt der Scareware-Anbieter innerhalb von
11 Monaten mehr als 4,5 Millionen echte Bestellungen von Benutzern. Angesichts dieser Zahlen können
wir davon ausgehen, dass der Jahresumsatz dieser Firma bei mehr als 180 Millionen US-Dollar liegt.
Dabei verkaufen diese Firmen sogar noch mehr als Scareware. Sie bieten viele andere gefälschte Produkte
an (Multimedia-Software, Fitness-Software, Familien-Software u. a.) und verbreiten Pornografie.
Der tatsächliche Umsatz liegt also noch weitaus höher.
Hacktivismus
Neben Internetkriminalität verzeichneten wir politisch motivierte Angriffe. Im Januar wurde die
weißrussische Menschenrechtsvereinigung Charter97 erneut angegriffen. Diese Nachrichten-Webseite
der Opposition musste in den vergangenen Monaten schon viele DDoS-Kampagnen hinnehmen.13
Im Januar wurde die Webseite der russischen Zeitung Nowaja Gaseta durch den dauerhaften Angriff
von Hackern eine Woche lang lahmgelegt.14 „Das waren keine Amateure oder Hooligans, die das getan
haben“, sagte Andrej Lipsky von der Nowaja Gaseta. „Das war eine gezielte Aktion. Wir können nur
Vermutungen darüber anstellen, wer dahinter steht.“
Im Februar knackte ein Hacker die Datenbank des elektronischen Steuererklärungssystems der lettischen
Steuerbehörde.15 Eine Gruppe, die sich selbst als 4ATA (Volksarmee des Vierten Erwachens) bezeichnet,
griff auf mehr als sieben Millionen Dokumente der Steuerbehörde zu. „Die Aufgabe der Gruppe ist die
Entlarvung derjenigen, die das Land ausgeplündert haben“, so ein angeblicher Hacker mit dem Alias
Neo gegenüber Produzenten der lettischen Polit-Talkshow Kas Notiek Latvija in einem Interview auf der
Webseite der Talkshow. Eine weltweite Gruppe von Hackern mit der Bezeichnung „Anonymous“ wurde
vor allem durch ihr „Project Chanology“ bekannt, eine seit 2008 bis heute andauernde Kampagne gegen
die Scientology-Sekte.16 Im Februar startete die Gruppe DoS-Angriffe gegen Webseiten der australischen
Regierung. In ihrer als „Operation Titstorm“ bekannten Aktion drückten sie ihren Protest gegen die
beabsichtigte Filterung von Internetinhalten und die Zugangssperrung zu Webseiten mit eindeutigen
sexuellen Inhalten. Zu den Zielen gehörten das australische Kommunikationsministerium, das die
kontrovers diskutierten Pläne in einem Pilotprojekt umsetzte, sowie die Homepage von Premierminister
Kevin Rudd, die mit Pornografie verunstaltet wurde.17 Die Hacker griffen außerdem eine Webseite der
australischen Regulierungsbehörde für Kommunikation und Medien (Australian Communications and
Media Authority) an.
12. „
Panorama de la cybercriminalité—Année 2009“ (Übersicht über Internetkriminalität 2009), Club de la Sécurité de l’Information Français.
http://www.clusif.asso.fr/fr/infos/event/#conf100113
13. „DDoS attack on charter97.org“ (DDoS-Angriff auf charter97.org), Charter97. http://ww.charter97.org/en/news/2010/1/29/25857/?1
14. „
Russia’s Novaya Gazeta Web Site Hacked, Paralyzed“ (Webseite der russischen Nowaja Gaseta gehackt und lahm gelegt), NBC4i.
http://www2.nbc4i.com/cmh/news/local/article/russias_novaya_gazeta_web_site_hacked_paralyzed/31084/
15. „
Massive security breach suspected at Latvian tax office“ (Wahrscheinlich massive Sicherheitsverletzung bei lettischer Steuerbehörde),
Monsters and Critics News.
http://www.monstersandcritics.com/news/europe/news/article_1533738.php/Massive-security-breach-suspected-at-Latvian-tax-office
16. „
The Assclown Offensive: How to Enrage the Church of Scientology“ (Die Assclown-Offensive: Wie die Scientology-Sekte gereizt werden
kann), Wired. http://www.wired.com/culture/culturereviews/magazine/17-10/mf_chanology
17. M
arks, Kathy: „Operation Titstorm—Hackers Declare War on Aussie (Operation Titstorm – Hacker erklären australischer Regierung
den Krieg), The New Zealand Herald. http://www.nzherald.co.nz/compute/news/article.cfm?c_id=1501832&objectid=10625493
23
Bericht
McAfee Threat-Report: Erstes Quartal 2010
Abbildung 20: Hacker verbreiteten diesen Aufruf, um Teilnehmer für eine Aktion gegen Internetzensur zu rekrutieren.
Informationen zu den Autoren
Dieser Bericht wurde von Pedro Bueno, Paula Greve, Rahul Kashyap, David Marcus, Sam Masiello,
François Paget, Craig Schmugar und Adam Wosotowsky von McAfee Labs geschrieben.
Informationen zu McAfee Labs™
McAfee Labs ist das globale Forschungsteam von McAfee, Inc. Hierbei handelt es sich um die einzige
Forschungsorganisation, die sich mit allen Bedrohungsbereichen befasst: Malware, Internet, E-Mails,
Netzwerk und Schwachstellen. McAfee Labs erfasst Daten mithilfe von Millionen Sensoren und
cloudbasierter Bewertungstechnologien wie Artemis und TrustedSource. Die 350 multidisziplinären
Forscher, die in 30 Ländern für McAfee Labs arbeiten, überwachen permanent das gesamte Bedrohungs­
spektrum, identifizieren Anwendungsschwachstellen, analysieren und korrelieren Risiken und arbeiten
an Fehlerbehebungsmaßnahmen, um Unternehmen und Privatpersonen zu schützen.
Informationen zu McAfee, Inc.
McAfee (NYSE: MFE) ist der weltweit größte dedizierte Spezialist für IT-Sicherheit. Das Unternehmen
mit Hauptsitz im kalifornischen Santa Clara hat sich der Beantwortung anspruchsvollster Sicherheits­
herausforderungen verschrieben. Seinen Kunden liefert McAfee präventive, praxiserprobte Lösungen
und Dienstleistungen, die Computer und ITK-Netze auf der ganzen Welt vor Angriffen schützen und
es den Anwendern ermöglichen, gefahrlos Verbindung mit dem Internet aufzunehmen und sich im
World Wide Web zu bewegen. Unterstützt von einer preisgekrönten Forschungsabteilung, entwickelt
McAfee innovative Produkte, die Privatnutzern, Firmen und Behörden helfen, ihre Daten zu schützen,
einschlägige Gesetze einzuhalten, Störungen zu verhindern, Schwachstellen zu ermitteln und die
Sicherheit ihrer Systeme laufend zu überwachen und zu verbessern. Weitere Informationen über
McAfee finden Sie unter www.mcafee.com/de.
McAfee GmbH
Ohmstr. 1
85716 Unterschleißheim
Deutschland
+49 (0)89 37 07-0
www.mcafee.com/de
Die hier enthaltenen Informationen werden McAfee-Kunden ausschließlich für Fort- und Weiterbildungszwecke bereitgestellt. Die hier enthaltenen
Informationen können sich jederzeit ohne vorherige Ankündigung ändern und werden wie besehen zur Verfügung gestellt, ohne Garantie oder
Gewährleistung auf die Richtigkeit oder Anwendbarkeit der Informationen zu einem bestimmten Zweck oder für eine bestimmte Situation.
McAfee, das McAfee-Logo, McAfee Labs und TrustedSource sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochter­
unternehmen in den USA und/oder anderen Ländern. Alle Marken sind Eigentum der jeweiligen Besitzer. © 2010 McAfee, Inc. Alle Rechte vorbehalten.
9395rpt_quarterly-threat-q1_0410_ETMG