Das Jahr 2022 war geprägt von bedeutenden globalen Ereignissen, die auch die digitale Welt nicht unberührt ließen. Cyberkriminelle nutzten diese Umstände geschickt aus, um ihre Machenschaften zu intensivieren und neue Wege zu finden, ahnungslose Nutzer zu tätern. Der vorliegende Bericht von Kaspersky wirft ein Schlaglicht auf die komplexen und vielfältigen Taktiken, die im Bereich Spam und Phishing im Jahr 2022 zum Einsatz kamen. Von der Ausnutzung kultureller Ereignisse bis hin zur Ausnutzung wirtschaftlicher Instabilität – die Bandbreite der Betrugsmaschen war groß und zielte darauf ab, sowohl persönliche Daten als auch finanzielle Mittel der Nutzer zu erbeuten.
Phishing-Aktivitäten im Jahr 2022: Die Maschen der Cyberkriminellen
Im Jahr 2022 sahen wir eine anhaltende Kreativität von Cyberkriminellen bei der Ausnutzung aktueller Ereignisse und beliebter Inhalte für Phishing-Zwecke. Die ständige Suche nach neuen Wegen, Nutzer zu täuschen, führte zu einer fortlaufenden Weiterentwicklung der Taktiken.
Ausnutzung von Popkultur und Sportevents
Wie in jedem Jahr versuchten Cyberkriminelle auch 2022, von neuen Filmveröffentlichungen und Premieren zu profitieren. Beliebte und viel diskutierte Titel wie die neue Staffel von “Stranger Things”, der Batman-Film oder die Oscar-Nominierungen dienten als Köder. Kurzlebige Phishing-Websites versprachen oft, die Premieren vorab zugänglich zu machen. Wer nicht warten konnte, wurde nicht nur enttäuscht, sondern verlor auch Geld. Die Versprechen eines völlig kostenlosen Zugangs zu neuen Inhalten erwiesen sich als falsch. Durch das Anklicken eines scheinbar harmlosen Links erhielten die Nutzer oft nur den offiziellen Trailer oder ein Filmstudio-Logo zu sehen. Kurze Zeit später wurde der “Vorschau”-Stream unterbrochen und ein Angebot für ein kostengünstiges Abonnement auf der gefälschten Website unterbreitet. Wenn Liebhaber von Filmen ihre Bankkartendaten auf diesen Seiten eingaben, riskierten sie nicht nur, mehr als den angezeigten Betrag zu zahlen und für nicht existierende Inhalte zu bezahlen, sondern gaben ihre sensiblen Daten auch direkt an Betrüger weiter.
Ähnliche Maschen nutzten Betrüger auch bei Fußballfans, die auf kostenlose Übertragungen der FIFA-Weltmeisterschaft in Katar hofften. Die Vielfalt der für Fußballfans entwickelten Betrugsmaschen war jedoch breiter als die gegen Filmfans gerichteten. So tauchte während der Weltmeisterschaft ein brandneuer Betrug auf, der Nutzern anbot, ein neu erschienenes iPhone 14 zu gewinnen, indem sie Spielausgänge vorhersagten. Nach Beantwortung jeder Frage wurde dem Opfer mitgeteilt, dass es dem Ziel sehr nahe sei, jedoch noch eine kleine Gebühr zu zahlen sei, bevor es sein Gadget erhalten könne. Natürlich folgte auf die Zahlung keine Gewinnausschüttung.
Fans, die nach Merchandise suchten, riskierten die Kompromittierung ihrer Bankkarten oder einfach den Verlust von Geld. Betrüger erstellten Websites, die Souvenirs zu niedrigen Preisen anboten, darunter auch seltene Artikel, die in seriösen Online-Shops ausverkauft waren. Wer auf einer zweifelhaften Website Geld ausgab, riskierte, nie das zu erhalten, was er bestellt hatte.
Websites, die Tickets für die Endspiele anboten, stellten eine weitere Art von fußballbezogenem Köder dar. Betrüger setzten darauf, dass die Endspiele typischerweise die beliebtesten Phasen des Wettbewerbs sind, deren Tickets oft schwer zu bekommen sind. Im Gegensatz zu seriösen Ticketshops zeigten die gefälschten Wiederverkäufer verfügbare Plätze in jedem Sektor an, selbst wenn die Weltmeisterschaft bereits fast vorbei war. Die große Auswahl an verfügbaren Plätzen hätte die Besucher alarmieren sollen: Echte Tickets wären längst vergriffen gewesen.
Nach dem Ausbruch der Ukraine-Krise im Jahr 2022 tauchten gefälschte Spendenseiten auf, die vorgaben, Geld als Hilfe für die Ukraine anzunehmen. Diese Seiten verwiesen auf Persönlichkeiten des öffentlichen Lebens und humanitäre Gruppen und boten an, Bargeld in Kryptowährung anzunehmen, was an sich schon ein Warnsignal hätte sein müssen.
Die Pandemie und ihre Nachwirkungen
Obwohl das Thema COVID-19 bis Ende 2022 an Relevanz verlor, da die pandemiebedingten Beschränkungen in den meisten Ländern aufgehoben wurden, sahen wir zu Beginn des Jahres immer noch Phishing-Angriffe, die Infektions- und Präventionsthemen als Köder nutzten. Beispielsweise bot eine Website Nutzern an, ein COVID-Impfzertifikat zu erhalten, indem sie ihre Anmeldedaten für den britischen National Health Service (NHS) eingaben. Andere boten den begehrten Grünen Pass ohne Impfung an.
Betrüger missbrauchten legitime Umfragedienste, indem sie Umfragen im Namen verschiedener Organisationen erstellten, um von den persönlichen, einschließlich sensibler Daten der Opfer, zu profitieren. In einer anderen COVID-bezogenen Masche gaben sich die Betrüger als die Wohltätigkeitsorganisation Direct Relief aus, die sich für die Verbesserung der Lebensqualität und der Gesundheitsversorgung in ärmeren Regionen einsetzt. Den Besuchern wurde angeboten, ein Formular auszufüllen, um für 750 US-Dollar pro Woche für sechsundzwanzig Wochen Hilfe zu erhalten. Auf der Umfrageseite hieß es, die “Wohltätigkeitsorganisation” habe die Telefonnummer des Opfers aus einer Datenbank von COVID-19-Betroffenen gefunden. Diejenigen, die die “Hilfe” erhalten wollten, wurden aufgefordert, ihren vollständigen Namen, Kontaktdaten, Geburtsdatum, Sozialversicherungsnummer und Führerscheinnummer, Geschlecht und aktuellen Arbeitgeber anzugeben und eine gescannte Kopie ihres Führerscheins beizufügen. Um den Anschein von Authentizität zu erwecken und das Opfer zu motivieren, gültige Informationen einzugeben, warnten die Betrüger, dass das Opfer wegen der Angabe falscher Informationen strafrechtlich verfolgt werden könne. Die Masche zielte wahrscheinlich auf Identitätsdiebstahl ab: den illegalen Missbrauch persönlicher Daten anderer zur Gewinnerzielung. Die Cyberkriminellen könnten die Daten auch verwenden, um ihre Opfer später zu kontaktieren und einen überzeugenderen Betrug zu inszenieren.
Krypto-Phishing und Krypto-Betrügereien
Die ungebrochene Popularität von Kryptowährungen ließ das Interesse von Krypto-Betrügern an den Konten von Wallet-Besitzern wachsen, obwohl die Kurse das ganze Jahr über sanken. Cyberkriminelle machten Jagd auf Seed-Phrasen, die zur Wiederherstellung des Zugangs zu virtuellen Geldern verwendet werden. Durch den Erhalt der geheimen Phrase des Nutzers konnten Cyberkriminelle auf dessen Kryptowährungsbestand zugreifen.
In der typischen Manier von Internetbetrügereien boten Krypto-Betrugsseiten Besuchern an, schnell reich zu werden, indem sie eine kleine Gebühr zahlten. Im Gegensatz zu üblichen Leicht-Geld-Betrügereien verlangten diese Websites Zahlungen in Kryptowährung – die sie versprachen zu verschenken und die sie zu stehlen versuchten. Die “Verlosungen” wurden mit Ereignissen synchronisiert, die direkt oder indirekt mit Kryptowährungen verbunden waren. So versprach eine der gefälschten Seiten Preise anlässlich des 30-jährigen Firmenjubiläums von Nvidia (das Unternehmen ist ein wichtiger Anbieter von Grafikkarten, die manchmal für Krypto-Mining verwendet werden). Die Förderung der Nutzung von Kryptowährungen war ein weiterer Vorwand für die “Verlosungen”. Nutzern wurde angeboten, bis zu 100 Kryptowährungseinheiten zu hinterlegen, mit dem Versprechen, das Doppelte davon zurückzuerhalten, angeblich zur Beschleunigung der Einführung digitaler Währungen. In Wirklichkeit funktionierte die Masche wie jede andere Internetbetrügerei: Die selbsternannten Altruisten verschwanden vom Radar, sobald sie die Einzahlung erhalten hatten.
Betrügereien mit Entschädigungen, Boni und bezahlten Umfragen
Boni und Entschädigungen sind in Zeiten der Krise und Instabilität schwer abzulehnen, aber es ist ratsam zu bedenken, dass “finanzielle Unterstützung” häufig von Betrügern versprochen wird, um Sie um Ihr Geld zu bringen.
“Aktionskampagnen großer Banken” waren 2022 ein beliebter Köder. Besuchern einer betrügerischen Webseite wurde eine einmalige Zahlung oder die Teilnahme an einer Umfrage zur Servicequalität gegen eine Gebühr angeboten. Im Gegensatz zu den in den genannten Krypto-Maschen angebotenen Preisen waren diese Gebühren kleiner: ein Äquivalent von 30–40 US-Dollar. Die Cyberkriminellen nutzten eine Reihe von Techniken, um die Wachsamkeit der Opfer zu untergraben: Firmenlogos, Zusicherungen, dass die Kampagnen legitim seien, sowie detaillierte, lebensechte Beschreibungen des Angebots. Ähnliche “Kampagnen” wurden im Namen anderer Organisationstypen inszeniert, z. B. des polnischen Finanzministeriums.
Hilfeleistungen von verschiedenen staatlichen und nichtstaatlichen Organisationen blieben 2022 ein beliebtes Betrugsthema. So versprachen Betrüger in muslimischen Ländern, unter einem “Ramadan Relief”-Programm, das bedürftige Familien während der Ramadan-Fastenzeit unterstützen sollte, Hilfspakete zu senden. Die Fastenzeit bringt typischerweise höhere Preise für Lebensmittel und Haushaltsprodukte mit sich, während Beobachter mehr kaufen als sie normalerweise tun und möglicherweise mit Geldknappheit konfrontiert sind. Legitime Wohltätigkeitsorganisationen wie WF-AID führen Ramadan-Hilfsprogramme durch, und dem Screenshot unten zufolge gaben sich die Betrüger als diese Organisation aus. Ein auffälliges Bild des Organisationslogos und riesige Kartons wurden von einer Liste der im Hilfspaket enthaltenen Lebensmittel begleitet, unter der positive “Empfängerfeedbacks” gepostet waren. Das Opfer wurde gebeten, sicherzustellen, dass sein Name auf der Empfängerliste stand, um ein Paket zu erhalten. Dies erforderte die Angabe persönlicher Daten auf der Website und das Senden eines Links zur Betrugsseite an Sofortnachrichtenkontakte – nichts Ungewöhnliches für solche Betrügereien. Auf diese Weise füllen die Betrüger ihre Datenbanken auf und lassen die Opfer Links zu ihren bösartigen Ressourcen verbreiten. Darüber hinaus könnten sie das Opfer bitten, die “Versandkosten” zu decken.
Steigende Strompreise und ein Anstieg der Preise für natürliche Ressourcen haben mehrere Regierungen dazu veranlasst, Entschädigungen für die Bevölkerung zu diskutieren. Auszahlungsbescheide konnten per Post, E-Mail oder SMS eintreffen. Cyberkriminelle versuchten, die Situation auszunutzen, indem sie Webseiten erstellten, die Regierungswebsites imitierten und Bargeld für die Deckung von Stromzahlungen oder die Erstattung von Stromkosten versprachen. Besuchern wurden gelegentlich unter dem Vorwand, ihre Berechtigung zu prüfen, persönliche Details abverlangt oder einfach ein Fragebogen ausgefüllt. In Großbritannien versprachen Betrüger, die sich als Regierungsbehörde ausgaben, eine Entschädigung für Stromkosten. Die Beschreibung der einmaligen Auszahlung wurde von der offiziellen Website der Behörde kopiert, die die Art der Entschädigung tatsächlich anbot. Nach Abschluss des Fragebogens wurde das Opfer aufgefordert, den Stromanbieter, dessen Dienste es nutzte, anzugeben und die Details der mit seinem Konto beim Anbieter verknüpften Bankkarte einzugeben. Die Zusage von £400 sollte das Opfer dazu bringen, seine Wachsamkeit fallen zu lassen und seine persönlichen Daten preiszugeben.
In Singapur boten Betrüger eine Rückerstattung der Wasserversorgungskosten an, angeblich wegen doppelter Abrechnung. Eine Energie- oder Ressourcenkrise wurde in diesem speziellen Fall nicht als Vorwand genutzt, aber dennoch wurden Rückerstattungen im Namen der Wasserversorgungsbehörde angeboten.
Gefälschte Online-Shops und Phishing bei großen Anbietern
Gefälschte Websites, die große Online-Shops und Marktplätze imitieren, sehen wir Jahr für Jahr, und 2022 war keine Ausnahme. Phishing-Angriffe richteten sich sowohl gegen Kunden weltweit bekannte Einzelhändler als auch gegen regionale Akteure. Ein Angriff begann oft damit, dass das Opfer per E-Mail, über eine Sofortnachrichten-App oder in einem sozialen Netzwerk einen Link zu einem bestimmten Produkt erhielt, das angeblich zu einem attraktiven Preis angeboten wurde. Wer auf den Trick hereinfiel, konnte den Zugriff auf seine Konten verlieren, seine Bankkartendaten stehlen lassen oder das Geld verschwenden, das er für den spottbilligen Artikel ausgeben wollte.
“Insider-Infos” zu “Privatverkäufen” wurden ebenfalls als Köder genutzt. So versprach eine Webseite, die das Aussehen eines russischen Marktplatzes kopierte, Rabatte von bis zu 90 % auf alle dort gelisteten Artikel. Das Webseitendesign wirkte glaubwürdig, wobei die einzigen potenziellen Warnsignale wirklich niedrige Preise und eine URL in der Adressleiste waren, die nicht mit der offiziellen übereinstimmte.
Viele große Anbieter, insbesondere im Haushaltsgeräte-Segment, kündigten im Frühjahr ihren Rückzug aus Russland an, was zu einem Anstieg der Nachfrage führte. Dies spiegelte sich in der Bedrohungslandschaft wider, mit gefälschten Online-Shops, die Haushaltsgeräte im russischen Internetsegment (auch Runet genannt) anboten. Der Ausverkauf großer Einzelhändler in Kombination mit unglaublich niedrigen Preisen machte diese Angebote besonders attraktiv. Das mit einem Kauf verbundene Risiko bestand darin, erhebliche Geldbeträge zu verlieren und nie das zu erhalten, was bestellt wurde.
Übernahme von Social-Media-Konten
Nutzer sozialer Medien haben sich in letzter Zeit zunehmend auf den Datenschutz konzentriert. Dennoch ist die Neugier schwer zu zügeln: Menschen möchten sehen, wer ihnen folgt, aber ohne dass die andere Partei es weiß. Cyberkriminelle, die hinter ihren Kontodaten her waren, boten den Opfern an, “das Blaue vom Himmel herunter zu holen”, indem sie eine neue Funktion in sozialen Medien nutzten. Eine gefälschte Facebook Messenger-Seite versprach, ein Update zu installieren, das das Aussehen und die Stimme des Nutzers während Videoanrufen ändern und nachverfolgen könne, wer sein Profil ansehe. Um das “Update” zu erhalten, wurde das Opfer aufgefordert, seine Kontodaten einzugeben, die die Betrüger sofort übernahmen.
Viele Instagram-Nutzer träumen vom blauen Haken, der für verifizierte Konten steht und normalerweise großen Unternehmen oder Medienschaffenden vorbehalten ist. Cyberkriminelle nutzten diese Exklusivität aus und erstellten Phishing-Seiten, die Besuchern versicherten, ihr Verifizierungsstatus sei genehmigt worden und sie müssten nur noch ihre Anmeldedaten und Passwörter eingeben.
Russland blockierte im März 2022 den Zugang zu Facebook und Instagram, was zu einem sprunghaften Anstieg der Popularität russischer sozialer Netzwerke und Telegram führte. Diese erhöhte Nutzung bedeutete auch ein höheres Risiko für die Nutzer, persönliche Daten zu verlieren. “Wohlgesinnte”, die Betrugsseiten betrieben, boten an, zu prüfen, ob russische soziale Medien peinliche Materialien über das Opfer enthielten. Die Betreiber der Betrugsmasche teilten den Nutzern mit, dass es möglich sei, schädigende Informationen über jeden dritten Nutzer eines sozialen Netzwerks zu finden, indem man eine Suche durchführe. Wenn der Nutzer einer solchen Suche zustimmte, wurde ihm mitgeteilt, dass tatsächlich eine gewisse Menge an “schmutziger Wäsche” gefunden worden sei. In Wirklichkeit fand keine Suche statt – die Betrüger stahlen einfach die Zugangsdaten, die sie für die Überprüfung verlangten.
Ein zusätzliches Risiko des Phishings in sozialen Medien besteht darin, dass Betrüger sowohl auf das Social-Media-Konto selbst als auch auf damit verbundene Dienste zugreifen können.
Der Telegram Premium-Status bietet eine Reihe von Vorteilen, von einer werbefreien Erfahrung bis hin zur Möglichkeit, eingehende Sprachnachrichten zu blockieren, aber das Abonnement kostet Geld. Betrüger boten an, ein Premium-Abonnement kostenlos zu “testen” oder versprachen einfach, eines kostenlos zu geben, wenn das Opfer seinen Telegram-Benutzernamen und sein Passwort oder einen vom Dienst gesendeten Verifizierungscode eingab, was genau das war, wonach die Cyberkriminellen suchten.
Eine weitere Phishing-Kampagne, die sich an Telegram-Nutzer richtete, wurde mit den Neujahrsfeierlichkeiten zusammengelegt. Betrüger erstellten eine Seite auf der Blogging-Plattform telegra.ph, auf der eine Galerie von Kinderzeichnungen veröffentlicht wurde, die die Nutzer aufforderten, für ihre Favoriten zu stimmen. Betrüger schickten Links zu dieser Seite von gehackten Konten aus und baten die Nutzer, für die Werke der Kinder ihrer Freunde zu stimmen. Diejenigen, die darauf hereinfielen, wurden zu einer gefälschten Seite mit einem Anmeldeformular weitergeleitet. Die Cyberkriminellen setzten darauf, dass die Nutzer direkt zur Abstimmung gingen, ohne die Echtheit der Zeichnungen zu prüfen, die von verschiedenen Wettbewerbsseiten aus früheren Jahren kopiert worden waren, da Bitten um Abstimmungen für die Kinder von Freunden vor Feiertagen üblich sind.
Die Telegram-Auktionsplattform Fragment startete im Oktober 2022 und verkaufte einzigartige Benutzernamen. Man konnte Nutzer werden, indem man sein Telegram-Konto oder seine TON-Wallet verknüpfte. Betrüger, die es auf diese Kontodaten abgesehen hatten, versandten Links zu gefälschten Fragment-Seiten. Ein Besucher, der versuchte, einen Benutzernamen von der gefälschten Website zu kaufen, wurde aufgefordert, sich anzumelden. Wenn das Opfer seine Anmeldedaten eingab, ergriffen die Betreiber sofort die Kontrolle.
Spam im Jahr 2022: Globale Bedrohungen und lokale Ausprägungen
Auch im Bereich Spam zeigte sich im Jahr 2022 eine bemerkenswerte Kreativität und Anpassungsfähigkeit der Cyberkriminellen. Während einige Betrugsmuster global verbreitet waren, gab es auch spezifische Ausprägungen, die auf lokale Gegebenheiten und aktuelle Nachrichtenlagen zugeschnitten waren.
Die Pandemie und “Nigerianische” Betrügereien
Im Gegensatz zum Phishing war Spam mit COVID-Themen weiterhin ein Thema. Der Großteil davon waren “nigerianische” Betrügereien: Millionäre, die an COVID starben und ihr Geld für Behandlungs- und Präventionszwecke sowie zur Verbesserung des Lebens von Genesenen vermachten, oder Mark Zuckerberg, der eine spezielle COVID-Lotterie veranstaltete, bei der man eine Million Euro gewinnen konnte, auch wenn man kein Facebook-Nutzer war. Die Empfänger wurden darüber informiert, dass sie möglicherweise IMF-Geld beanspruchen könnten, das wegen der Pandemie unallokiert geblieben sei. Andere wurden mit beträchtlichen Summen im Rahmen eines Anti-Rezessions-Hilfsprogramms bedacht.
Die Menge an Spam, die auf irgendeine Weise das Coronavirus-Thema ausnutzte, nahm im Jahr 2022 merklich ab: Zu Beginn des Jahres blockierten wir eine Million solcher E-Mails pro Monat, aber diese Zahl hatte sich bis zum Jahresende verdreifacht.
Spam über Kontaktformulare
Im Jahr 2022 nutzten Cyberkriminelle verstärkt Kontaktformulare für Spam-Zwecke. Bei einer typischen Masche dieser Art finden Betrüger Websites, die Registrierungs-, Kontakt- oder Supportanfrageformulare anbieten, die keine Anmeldung des Nutzers erfordern und die eingegebenen Daten nicht überprüfen. In einigen Fällen fügten sie eine Betrugsnachricht mit einem Hyperlink in die Anmelde- oder Namensfelder ein, in anderen Fällen fügten sie längeren Text mit Bildern in das Nachrichtenfeld ein. Dann fügen die Angreifer die E-Mail-Adressen der Opfer in die Kontaktfelder ein und übermitteln das Formular. Wenn eine Nachricht über ein Registrierungs- oder Kontaktformular eingeht, antworten die meisten Websites der E-Mail-Adresse des Nutzers, dass seine Anfrage eingegangen und bearbeitet wird, sein Konto erstellt wurde, etc. Infolgedessen erhält die Person eine automatisierte Antwort von einer offiziellen Adresse einer legitimen Organisation, die unerwünschte Werbung oder einen Betrugslink enthält.
Die meisten Betrugsnachrichten bieten dem Empfänger eine Entschädigung oder einen Preis an. Beispielsweise versprach eine Spam-E-Mail, die sich an russische Nutzer richtete, eine Mehrwertsteuerrückerstattung im Wert von 190–4200 US-Dollar. Um das Geld zu erhalten, wurde dem Opfer angeboten, den Link in der Nachricht zu öffnen. Diese Masche ist ein Klassiker: Eine verlinkte Webseite verlangt die Zahlung einer Provision von unter einem Dutzend Dollar, was im Vergleich zur versprochenen Rückerstattung unerheblich ist. Wir beobachteten viele Varianten von Kontaktformular-Geld-Betrügereien: von Tankgutscheinen bis hin zu Angeboten, mit einer Online-Plattform Geld zu verdienen.
Betrüger nutzten weltweit Formulare auf legitimen Websites aus. Während Spam-E-Mails in russischer Sprache typischerweise auf “Preise” oder “Geldverdienen” abzielten, ermutigten Nachrichten in anderen Sprachen, zusätzlich zu “Preisen”, Nutzer zum Besuch von “Dating-Seiten” – tatsächlich bevölkert von Bots –, wo die Opfer zweifellos zur Zahlung für ein Premium-Konto aufgefordert würden.
Wir blockierten 2022 über eine Million Spam-E-Mails, die über legitime Formulare versendet wurden.
Erpressung im Namen von Strafverfolgungsbehörden
Erpressungs-Spam ist nichts Neues. In solchen E-Mails behaupten die Angreifer in der Regel, dass der Empfänger ein Gesetz gebrochen hat, und fordern Geld. Im Jahr 2022 setzten sich diese Mailings nicht nur fort, sondern entwickelten sich auch weiter. Zum Beispiel gab es praktisch keinen Text in den Nachrichten: Der Nutzer wurde entweder aufgefordert, eine angehängte PDF-Datei zu öffnen, um mehr zu erfahren, oder er erhielt Drohungen in Form eines Bildes mit Text. Darüber hinaus erweiterte sich 2022 die Geografie der Mailings.
Die Essenz der Nachricht war, wie bei ähnlichen früher versendeten E-Mails, dass gegen den Empfänger ein Strafverfahren eingeleitet werde, da er angeblich Seiten mit kinderpornografischem Material besucht habe.
Um ernsthafte Konsequenzen zu vermeiden, drängten die Angreifer das Opfer, so schnell wie möglich auf den Absender zu antworten und die “Angelegenheit zu regeln”. Höchstwahrscheinlich würden die Betrüger in weiterer Korrespondenz einen bestimmten Geldbetrag verlangen, der zu zahlen sei, damit der Name des Opfers aus dem “Strafverfahren” gestrichen werde. Im Jahr 2022 blockierten wir über 100.000 Erpressungs-E-Mails in verschiedenen Ländern und Sprachen, darunter Französisch, Spanisch, Englisch, Deutsch, Russisch und Serbisch.
Ausnutzung der Nachrichtenlage
Spammer nutzen ständig wichtige Weltereignisse in ihren betrügerischen Machenschaften. Die geopolitische Krise von 2022 war keine Ausnahme. Das ganze Jahr über sahen wir Mailings, die sich an englischsprachige Nutzer richteten und die Überweisung von Geld, meist an eine Bitcoin-Wallet, vorschlugen, um den Opfern des Konflikts in der Ukraine zu helfen. Betrüger fordern oft die Überweisung von Geld an Bitcoin-Wallets, da es schwieriger ist, den Empfänger durch Kryptowährungstransaktionen als durch Banktransaktionen zurückzuverfolgen. Erpressungen, die Zahlungen in Kryptowährung verlangten, waren früher im Spam vorherrschend. Jetzt beginnen Angreifer, Bitcoin für wohltätige Zwecke zu sammeln.
Die Nachrichtenlage wurde auch in anderen Spam-Mailings genutzt. So blockierten unsere Lösungen Anfang Juli 300.000 E-Mails, in denen Betrüger im Namen eines russischen Millionärs um Hilfe baten, der angeblich Geld investieren und Sanktionen umgehen wollte. Eine weitere Mailing besagte, dass die Europäische Kommission beschlossen habe, einen von russischen Oligarchen geschaffenen Fonds zu verschenken, und der E-Mail-Empfänger könnte Glück haben, ein Stück von diesem Kuchen zu bekommen.
Immer mehr “Geschäftsangebote” tauchen unter den Spam-Mailings auf, und sie nutzen die aktuelle Informationslage aus. Aufgrund von Wirtschaftssanktionen im Jahr 2022 boten unternehmungsfreudige Geschäftsleute Ersatz für Waren und Dienstleistungen von Lieferanten an, die den russischen Markt verlassen hatten. So bewarben Spammer aktiv die Dienstleistungen eines Unternehmens, das Menschen nach Russland transportierte. Der E-Mail-Text betonte die Tatsache, dass viele Transportunternehmen sich weigerten, solche Dienstleistungen anzubieten.
Es gab auch Spam-Mailings, bei denen verschiedene Unternehmen anboten, beliebte internationale Software durch russische Äquivalente oder in Drittländern entwickelte Lösungen zu ersetzen. Darüber hinaus gab es Spam-Angebote für Vermittlungsdienste zur Eröffnung eines Unternehmens oder Bankkontos in Nachbarländern wie Armenien sowie Angebote zur Unterstützung bei der Annahme von Zahlungen von ausländischen Partnern.
Der Mangel an Druckerpapier in Russland im März und April 2022 löste eine Welle damit verbundener Anzeigen aus, die Papier zu günstigen Preisen anboten.
Spammer vermarkteten 2022 auch aktiv ihre Werbeversanddienste als alternative Werbung zu nicht verfügbaren Werbemöglichkeiten über Plattformen wie Instagram. So blockierten wir im April rund eine Million solcher Mailings.
Vor dem Hintergrund von Sanktionen und der damit verbundenen Störung von Lieferketten gab es einen Anstieg von Spam, der Waren und Dienstleistungen von chinesischen Lieferanten anbot. Im Jahr 2022 blockierten unsere Filter mehr als 3,5 Millionen E-Mails mit solchen Angeboten, und ihre Zahl stieg von rund 700.000 im ersten Quartal auf über eine Million im vierten Quartal.
Spam mit schädlichen Anhängen
Die Verlagerung der Mitarbeiter ins Homeoffice während der Pandemie und die damit verbundene Zunahme der Online-Kommunikation beflügelten die aktive Entwicklung verschiedener Bereiche des Phishings, sowohl massenhaft als auch gezielt. Angreifer wurden aktiver in der Nachahmung von Geschäftskorrespondenz und richteten sich nicht nur an HR-Spezialisten und Buchhalter wie vor der Pandemie, sondern auch an Mitarbeiter anderer Abteilungen. Im Jahr 2022 sahen wir eine Weiterentwicklung schädlicher E-Mails, die sich als Geschäftskorrespondenz ausgaben. Angreifer nutzten aktiv Social-Engineering-Techniken in ihren E-Mails, fügten Signaturen mit Logos und Informationen von bestimmten Organisationen hinzu, schufen einen dem Unternehmensprofil entsprechenden Kontext und verwendeten eine Geschäftssprache. Sie nutzten auch aktiv die aktuelle Nachrichtenlage aus und erwähnten echte Mitarbeiter des Unternehmens, die angeblich die E-Mails versendeten. Spammer fälschten ihre Nachrichten als interne Unternehmenskorrespondenz, geschäftliche Korrespondenz zwischen verschiedenen Organisationen und sogar als Benachrichtigungen von Regierungsbehörden.
Die Maskierung schädlicher E-Mails als Geschäftskorrespondenz wurde 2022 zu einem Haupttrend im schädlichen Spam. Angreifer versuchten, den Empfänger davon zu überzeugen, dass es sich um eine legitime E-Mail handelte, z. B. um ein kommerzielles Angebot, eine Anfrage zur Lieferung von Geräten oder eine Rechnung für die Zahlung von Waren. So stießen wir das ganze Jahr über auf folgendes Schema. Angreifer erlangten Zugang zu echter Geschäftskorrespondenz (höchstwahrscheinlich durch Diebstahl von Korrespondenz von zuvor infizierten Computern) und sendeten schädliche Dateien oder Links an alle Teilnehmer als Antwort auf die vorherige E-Mail. Dieser Trick erschwert die Nachverfolgung schädlicher E-Mails, und das Opfer fällt eher darauf herein.
In den meisten Fällen wurde entweder der Qbot-Trojaner oder Emotet geladen, wenn das schädliche Dokument geöffnet wurde. Beide können verwendet werden, um Benutzerdaten zu stehlen, Informationen über das Unternehmensnetzwerk zu sammeln und zusätzliche Malware wie Ransomware zu verbreiten. Qbot ermöglicht auch den Zugriff auf E-Mails und deren Diebstahl für weitere Angriffe.
Mailings, die Benachrichtigungen von verschiedenen Ministerien und anderen Regierungsbehörden imitieren, wurden im Runet häufiger. E-Mails waren oft so gestaltet, dass sie die spezifischen Aktivitäten der Organisationen berücksichtigten, die sie vorzutäuschen vorgaben. Die Absenderadressen kopierten die Logik von E-Mail-Adressen relevanter Behörden, und der schädliche Anhang wurde als spezialisiertes Dokument getarnt, wie z. B. “Schwerpunkte des Treffens”. So wurde beispielsweise in einem dieser Mailings schädlicher Code gefunden, der eine Schwachstelle im Equation Editor-Modul, dem Formel-Editor in Microsoft Office, ausnutzte.
Die Täter ignorierten die Nachrichtenlage nicht. Insbesondere wurde die Malware unter dem Deckmantel eines Aufrufs “im Rahmen einer Teilmobilisierung” oder als “neue Lösung” zum Schutz vor möglichen Bedrohungen im Internet “verursacht durch feindliche Organisationen” verbreitet.
Im letzteren Fall handelte es sich bei dem auf dem Computer des Opfers installierten Programm tatsächlich um einen Krypto-Ransomware-Trojaner.
Zweistufiges Spear-Phishing mit einem bekannten Phishing-Kit
Im Jahr 2022 verzeichneten wir eine Zunahme von Spear-Phishing-Angriffen (gezielt), die sich gegen Unternehmen weltweit richteten. Zusätzlich zu typischen einstufigen Kampagnen gab es Angriffe in mehreren Stufen. In der ersten E-Mail fragten Betrüger im Namen eines potenziellen Kunden nach Informationen über dessen Produkte und Dienstleistungen. Nachdem das Opfer auf diese E-Mail antwortete, starteten die Angreifer einen Phishing-Angriff.
Wichtige Fakten:
- Angreifer nutzen gefälschte Dropbox-Seiten, die mit einem bekannten Phishing-Kit erstellt wurden.
- Die Kampagne richtet sich an die Vertriebsabteilungen von Herstellern und Lieferanten von Waren und Dienstleistungen.
- Angreifer nutzen SMTP-IP-Adressen und From-Domains, die von Microsoft Corporation und Google LLC (Gmail) bereitgestellt werden.
Statistik
Die Kampagne begann im April 2022, erreichte im Mai ihren Höhepunkt und endete im Juni.
Anzahl der E-Mails im Zusammenhang mit einer zweistufigen gezielten Kampagne, die von Kaspersky-Lösungen erkannt wurden (Download)
Wie eine Phishing-Kampagne abläuft
Angreifer senden eine E-Mail im Namen einer echten Handelsorganisation mit der Bitte um weitere Informationen über die Produkte des Zielunternehmens. Der E-Mail-Text wirkt plausibel und enthält keine verdächtigen Elemente wie Phishing-Links oder Anhänge. Eine Absender-E-Mail-Adresse von einer kostenlosen Domain wie gmail.com kann Zweifel aufwerfen. Die E-Mail im folgenden Screenshot stammt von einer Adresse in dieser Domain, und der Firmenname im From-Feld unterscheidet sich von seinem Namen in der Signatur.
Beispiel der ersten E-Mail
Es ist anzumerken, dass die Verwendung von kostenlosen Domains für Spear-Phishing im Namen von Organisationen nicht typisch ist, da solche Domains selten im Geschäftsleben verwendet werden. Meistens verwenden Angreifer bei gezielten Angriffen Spoofing der legitimen Domain der Organisation, die sie vorzutäuschen versuchen, oder registrieren Domains, die der Originaldomain ähneln. Darüber hinaus sind Google und Microsoft ziemlich schnell darin, E-Mail-Adressen zu blockieren, die Spam versenden. Dies ist der wahrscheinlichste Grund, warum Angreifer unterschiedliche Adressen im From-Header (woher die E-Mail kam) und im Reply-to-Header (wohin die Antwort gesendet wird, wenn auf “Antworten” geklickt wird) verwendeten. Das bedeutet, dass das Opfer an eine andere Adresse antwortet, die sich möglicherweise in einer anderen kostenlosen Domain befindet, z. B. outlook.com. Die Adresse im Reply-to-Header wird nicht für Spam verwendet, und die Korrespondenz damit wird vom Opfer initiiert, so dass sie weniger wahrscheinlich schnell blockiert wird.
Nachdem die Opfer auf eine erste E-Mail geantwortet haben, senden die Angreifer eine neue Nachricht und bitten sie, eine Dateifreigabeseite aufzurufen und eine PDF-Datei mit einer abgeschlossenen Bestellung einzusehen, die über den Link zu finden ist.
Eine E-Mail mit einem Phishing-Link
Eine E-Mail mit einem Phishing-Link
Durch das Anklicken des Links gelangt der Nutzer zu einer gefälschten Seite, die mit einem bekannten Phishing-Kit generiert wurde. Dies ist ein recht einfaches Werkzeug, das Phishing-Seiten generiert, um Anmeldedaten von bestimmten Ressourcen zu stehlen. Unsere Lösungen blockierten gefälschte WeTransfer- und Dropbox-Seiten, die mit diesem Kit erstellt wurden.
Eine gefälschte WeTransfer-Seite, erstellt mit demselben Phishing-Kit wie die Zielkampagnen-Websites
Eine gefälschte WeTransfer-Seite, erstellt mit demselben Phishing-Kit wie die Zielkampagnen-Websites
In der oben beschriebenen Phishing-Kampagne ahmt die Phishing-Seite eine Dropbox-Seite mit statischen Dateibildern und einem Download-Button nach. Nach dem Anklicken eines beliebigen Elements der Benutzeroberfläche gelangt der Nutzer zu einer gefälschten Dropbox-Anmeldeseite, die gültige Unternehmensanmeldedaten verlangt.
Eine gefälschte Dropbox-SeiteEine gefälschte Dropbox-Seite
Anmeldeseite mit einem Phishing-Formular
Anmeldeseite mit einem Phishing-Formular
Wenn Opfer versuchen, sich anzumelden, werden ihre Benutzernamen und Passwörter an https://pbkvklqksxtdrfqkbkhszgkfjntdrf[.]herokuapp[.]com/send-mail gesendet.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | |
|---|---|
HTML-Darstellung eines Phishing-Formulars
Opfer
Wir haben Ziele für diese Kampagne weltweit identifiziert, darunter die folgenden Länder: Russland, Bosnien und Herzegowina, Singapur, USA, Deutschland, Ägypten, Thailand, Türkei, Serbien, Niederlande, Jordanien, Iran, Kasachstan, Portugal und Malaysia.
Statistik: Spam
Anteil von Spam am Mailverkehr
Im Jahr 2022 waren durchschnittlich 48,63 % der E-Mails weltweit Spam, was einem Anstieg von 3,07 Prozentpunkten gegenüber 2021 entspricht. Im Laufe des Jahres ging der Anteil von Spam im globalen E-Mail-Verkehr jedoch allmählich zurück, von 51,02 % im ersten Quartal auf 46,16 % im vierten Quartal.
Anteil von Spam am globalen E-Mail-Verkehr, 2022 (Download)
Der aktivste Monat in Bezug auf Spam war Februar 2022, mit Junk-Traffic, der 52,78 % der gesamten E-Mail-Korrespondenz ausmachte. Der Juni belegte den zweiten Platz (51,66 %). Der Dezember war der ruhigeste Monat, nur 45,20 % der E-Mails in diesem Monat waren Spam.
Im Runet ist der Anteil von Spam am E-Mail-Verkehr generell höher als weltweit. Im Jahr 2022 waren durchschnittlich 52,44 % der E-Mails Junk-Mailings. Gleichzeitig ist auch hier ein allmählicher Trend zur Verlagerung des Verhältnisses zugunsten legitimer Korrespondenz zu beobachten. Den höchsten Spam-Anteil sahen wir im Runet im ersten Quartal mit 54,72 % aller E-Mails, und bis zum vierten Quartal war dieser auf 49,20 % gesunken.
Anteil von Spam am E-Mail-Verkehr im Runet, 2022 (Download)
Auch wenn das zweite Quartal (53,96 %) im Hinblick auf Spam ruhiger war als das erste, war der aktivste Monat im russischen Internetsegment der Juni (60,16 %). Höchstwahrscheinlich wurde der Spam-Anteil im Juni, sowohl in Russland als auch weltweit, durch den Anstieg der Mailings mit Angeboten chinesischer Fabriken beeinflusst, den wir in diesem Monat beobachteten. Und der ruhigeste Monat im Runet war der Dezember (47,18 %), derselbe wie weltweit.
Länder und Gebiete – Quellen von Spam
Im Jahr 2022 stieg der Anteil von Spam aus Russland weiter an, von 24,77 % auf 29,82 %. Deutschland (5,19 %) tauschte seinen Platz mit Festlandchina (14,00 %) tauschte, dessen Anteil um 5,27 Prozentpunkte stieg. Den dritten Platz belegen weiterhin die Vereinigten Staaten (10,71 %).
TOP 20 Länder und Gebiete – Quellen von Spam, 2022 (Download)
Die Niederlande blieben auf dem fünften Platz (3,70 %), ihr Anteil verringerte sich im Vergleich zu 2021. Den sechsten und siebten Platz belegten Japan (3,25 %) und Brasilien (3,18 %), deren Anteile um 0,89 bzw. 3,77 Prozentpunkte stiegen. Danach folgen das Vereinigte Königreich (2,44 %), Frankreich (2,27 %) und Indien (1,82 %).
Schädliche E-Mail-Anhänge
Im Jahr 2022 erkannte unser Mail Anti-Virus 166.187.118 schädliche E-Mail-Anhänge. Das sind 18 Millionen mehr als im Vorjahr. Diese Komponente verursachte die meisten Auslösungen im März, Mai und Juni 2022.
Anzahl der Mail Anti-Virus-Treffer, Januar – Dezember 2022 (Download)
Die häufigsten schädlichen E-Mail-Anhänge im Jahr 2022 waren, wie auch 2021, Trojaner-Diebe vom Typ Agensla (7,14 %), deren Anteil leicht zurückging. Noon Spyware (4,89 %) stieg auf den zweiten Platz auf, und Badun Trojaner (4,61 %), die als archivierte elektronische Dokumente verbreitet wurden, fielen auf den dritten Platz zurück. Die viert häufigste Malware waren Schwachstellen-Exploits CVE-2018-0802 (4,33 %) im Microsoft Equation Editor. Im Jahr 2022 nutzten Angreifer diese deutlich häufiger als CVE-2017-11882-Exploits in derselben Komponente (1,80 %). Diese Schwachstelle war 2021 weiter verbreitet und ist nun auf den zehnten Platz gefallen.
TOP 10 Malware-Familien, verbreitet per E-Mail-Anhänge im Jahr 2022 (Download)
ISO Trojaner (3,27 %), versendet in Form von Disk-Images, rückten auf Platz fünf vor, und die sechst häufigste war die Guloader-Downloader-Familie (2,65 %), die ferngesteuerte Malware auf die Geräte der Opfer lädt. Dicht gefolgt von der Badur-Familie (2,60 %), PDF-Dateien mit Links zu Webressourcen mit fragwürdigem Inhalt, und auf Platz acht liegt das berüchtigte Emotet-Botnetz (2,52 %). Strafverfolgungsbehörden schalteten dieses Anfang 2021 aus, aber bis zum Herbst hatten Angreifer die Infrastruktur wiederhergestellt und verbreiteten sie 2022 aktiv. In jüngerer Zeit wurde Emotet verwendet, um andere Malware auf die Geräte der Opfer zu übertragen, insbesondere Ransomware. Die neunte häufigste Familie war Taskun (2,10 %), die bösartige Aufgaben im Task-Scheduler erstellt.
TOP 10 Arten von Malware, verbreitet per E-Mail-Anhänge im Jahr 2022 (Download)
Die Liste der häufigsten Malware, die per E-Mail versendet wird, entspricht in der Regel der Liste der Familien. Wie 2021 verbreiteten Angreifer meist dieselben Instanzen aus den TOP 10-Familien.
Länder und Gebiete, die von schädlichen Mailings betroffen sind
Spanien bleibt mit 8,78 % der blockierten schädlichen Anhänge im Jahr 2022 führend, ein leichter Rückgang im Vergleich zu 2021 (9,32 %). Der Anteil Russlands (7,29 %) stieg dagegen leicht an. Den dritten Platz belegte Mexiko (6,73 %), und den vierten Platz Brasilien (4,81 %), dessen Anteil gegenüber dem Vorjahreszeitraum praktisch unverändert blieb.
TOP 20 Länder und Gebiete, die von schädlichen Mailings betroffen sind, 2022 (Download)
In Italien wurden 2022 4,76 % aller erkannten schädlichen Anhänge blockiert. Das Land wird von Vietnam (4,43 %) und der Türkei (4,31 %) gefolgt. Der Anteil der Mail Anti-Virus-Erkennungen auf Computern von Nutzern aus Deutschland (3,85 %) ging weiter zurück. Der Anteil in den Vereinigten Arabischen Emiraten (3,41 %) nahm ebenfalls leicht ab und fiel auf den neunten Platz, während Malaysia (2,98 %) auf dem zehnten Platz blieb.
Statistik: Phishing
Im Jahr 2022 nahm die Zahl der Phishing-Angriffe deutlich zu. Unser Anti-Phishing-System verhinderte 507.851.735 Versuche, auf einen Phishing-Link zuzugreifen, was ungefähr eine Verdopplung gegenüber 2021 darstellt.
Phishing-Angriffskarte
Im Jahr 2022 änderte sich die Geografie der Phishing-Angriffe drastisch. Versuche, auf Phishing-Links zuzugreifen, wurden am häufigsten auf Geräten aus Vietnam (17,03 %) blockiert. Im Jahr 2021 war dieses Land nicht unter den TOP 10 der meistangegriffenen Länder und Gebiete. Macau belegt den zweiten Platz (13,88 %), ebenfalls nicht in der Rangliste des Vorjahres enthalten. Madagaskar liegt auf dem dritten Platz (12,04 %), was 2021 der siebte Platz war. Zusätzlich zu Vietnam und Macau tauchten Algerien (11,05 %), Malawi (10,91 %) und Marokko (10,43 %) an der Spitze der meistangegriffenen Länder und Gebiete auf. Ecuador (11,05 %) kletterte auf den fünften Platz, während Brunei (10,59 %) einen Platz auf den siebten zurückfiel. Brasilien (10,57 %) und Portugal (10,33 %) rutschten von den ersten und dritten Plätzen auf die achten und zehnten Plätze ab, und Frankreich, das 2021 auf dem zweiten Platz lag, fiel aus den TOP 10 heraus.
TOP 10 Länder und Gebiete nach Anteil der angegriffenen Nutzer:
| Land/Gebiet | Anteil der angegriffenen Nutzer* |
|---|---|
| Vietnam | 17,03 % |
| Macau | 13,88 % |
| Madagaskar | 12,04 % |
| Algerien | 11,05 % |
| Ecuador | 11,05 % |
| Malawi | 10,91 % |
| Brunei | 10,59 % |
| Brasilien | 10,57 % |
| Marokko | 10,43 % |
| Portugal | 10,33 % |
** Anteil der Nutzer, die Phishing ausgesetzt waren, an der Gesamtzahl der Kaspersky-Nutzer in diesem Land/Gebiet, 2022*
Top-Level-Domains
Wie in den Vorjahren waren die meisten Phishing-Seiten in der COM-Domainzone gehostet, aber ihr Anteil halbierte sich fast von 31,55 % auf 17,69 %. Die XYZ-Zone blieb auf dem zweiten Platz (8,79 %), deren Anteil ebenfalls zurückging. Die drittbeliebteste Domain bei Angreifern war FUN (7,85 %), die bisher keine Beachtung fand. Die Domain wird mit Unterhaltungsinhalten in Verbindung gebracht, was Betrüger möglicherweise angezogen hat.
Häufigste Top-Level-Domains für Phishing-Seiten im Jahr 2022 (Download)
Die Domains ORG (3,89 %) und TOP (1,80 %) tauschten im Vergleich zu 2021 die Plätze, blieben aber auf dem vierten und fünften Platz. Zusätzlich zu diesen waren die Top-Ten-Domainzonen, die bei Cyberkriminellen am gefragtesten waren: RU (1,52 %), COM.BR (1,13 %), DE (0,98 %), CO.UK (0,98 %) und SE (0,92 %).
Organisationen im Visier von Phishing-Angriffen
Die Rangliste der von Phishern ins Visier genommenen Organisationen basiert auf der Auslösung der deterministischen Komponente im Anti-Phishing-System auf Benutzercomputern. Die Komponente erkennt alle Seiten mit Phishing-Inhalten, die der Nutzer durch Anklicken eines Links in einer E-Mail oder im Web aufzurufen versucht hat, sofern Links zu diesen Seiten in der Kaspersky-Datenbank vorhanden sind.
Im Jahr 2022 hatten Seiten, die Lieferdienste nachahmten, den höchsten Anteil an Klicks auf Phishing-Links, die von unseren Lösungen blockiert wurden (27,38 %). Online-Shops (15,56 %), die während der Pandemie bei Angreifern beliebt waren, belegten den zweiten Platz. Zahlungssysteme (10,39 %) und Banken (10,39 %) belegten den dritten und vierten Platz.
Verteilung der von Phishern ins Visier genommenen Organisationen nach Kategorien, 2022 (Download)
Der Anteil globaler Internetportale (8,97 %) halbierte sich nahezu, wobei fast ebenso viele Phishing-Ressourcen Nutzer kleinerer Webdienste ins Visier nahmen (8,24 %). Soziale Netzwerke (6,83 %), Online-Spiele (2,84 %), Messenger (2,02 %) und Finanzdienstleistungen (1,94 %) vervollständigen die TOP 10 der für Kriminelle interessanten Kategorien von Websites.
Übernahme von Telegram-Konten
Im Jahr 2022 stoppten unsere Lösungen 378.496 Phishing-Links, die auf die Übernahme von Telegram-Konten abzielten. Abgesehen von einem Spitzenwert bei der Phishing-Aktivität im Juni, als die Zahl der blockierten Links 37.000 überstieg, waren die ersten drei Quartale relativ ruhig. Bis zum Ende des Jahres nahm die Zahl der Phishing-Angriffe auf die Nutzer des Messengers jedoch dramatisch zu auf 44.700 im Oktober, 83.100 im November und 125.000 im Dezember. Dieser Anstieg ist höchstwahrscheinlich auf mehrere groß angelegte Kampagnen zur Übernahme von Telegram-Konten zurückzuführen, die wir Ende 2022 beobachtet haben (Artikel auf Russisch).
Anzahl der Klicks auf Phishing-Links zur Übernahme eines Telegram-Kontos weltweit und spezifisch in Russland, Januar – Dezember 2022 (Download)
Es ist bemerkenswert, dass die Mehrheit der Phishing-Angriffe auf Nutzer aus Russland abzielte. Während in den ersten Monaten des Jahres 2022 ihr Anteil etwa die Hälfte der weltweiten Angriffe ausmachte, stammten seit März 70–90 % aller Versuche, auf Phishing-Links von Telegram-Nutzern zuzugreifen, von russischen Nutzern.
Phishing in Messengern
Statistiken über Messenger-basiertes Phishing basieren auf anonymisierten Daten der Safe Messaging-Komponente von Kaspersky Internet Security for Android, die freiwillig von Nutzern dieser Lösung bereitgestellt werden. Safe Messaging scannt eingehende Nachrichten und blockiert Versuche, auf Phishing- oder anderweitig bösartige Links zuzugreifen.
Im Jahr 2022 blockierte unsere mobile Lösung 360.185 Versuche, auf Phishing-Links aus Messengern zuzugreifen. Davon stammten 82,71 % von WhatsApp, 14,12 % von Telegram und weitere 3,17 % von Viber.
Verteilung der von der Safe Messaging-Komponente blockierten Links nach Messenger, 2022 (Download)
Die Phishing-Aktivität auf WhatsApp ist seit 2021 leicht zurückgegangen. Im Durchschnitt blockierte die Safe Messaging-Komponente 816 Klicks auf betrügerische Links pro Tag. Die erste Jahreshälfte war die turbulenteste, und im dritten Quartal ging die Phishing-Aktivität im Messenger stark zurück.
Dynamik der Phishing-Aktivität auf WhatsApp im Jahr 2022 (wöchentliche Anzahl erkannter Links angezeigt)
Die größte Anzahl von Phishing-Versuchen auf WhatsApp, etwa 76.000, wurde in Brasilien verzeichnet. Russland belegt den zweiten Platz, wo die Chat Protection-Komponente im Laufe des Jahres 69.000 Versuche verhinderte, von dem Messenger aus auf betrügerische Ressourcen zuzugreifen.
TOP 7 Länder und Gebiete, in denen Nutzer am häufigsten auf Phishing-Links in WhatsApp geklickt haben (Download)
Im Gegensatz zu WhatsApp hat sich die Zahl der Phishing-Angriffe auf Telegram im Jahr 2022 im Vergleich zum Vorjahreszeitraum fast verdreifacht. Im Durchschnitt blockierten unsere Lösungen 140 Versuche, auf Phishing-Links in diesem Messenger zuzugreifen, pro Tag. Der Höhepunkt der Aktivität kam Ende Juni und Anfang Juli, als die Anzahl der blockierten Klicks über 1.500 pro Woche betragen haben könnte. Die Phishing-Aktivität auf Telegram nahm auch Ende des Jahres stark zu.
Dynamik der Phishing-Aktivität auf Telegram im Jahr 2022 (wöchentliche Anzahl erkannter Links angezeigt)Dynamik der Phishing-Aktivität auf Telegram im Jahr 2022 (wöchentliche Anzahl erkannter Links angezeigt)
In Russland verzeichneten wir die höchste Anzahl (21.000) von Versuchen, auf einen Link zu betrügerischen Ressourcen von Telegram aus zu klicken. Den zweiten Platz belegte Brasilien, wo 3.800 Klicks blockiert wurden.
TOP 7 Länder und Gebiete, in denen Nutzer am häufigsten auf Phishing-Links von Telegram geklickt haben (Download)
Fazit
Krisenzeiten schaffen die Voraussetzungen für das Gedeihen von Kriminalität, auch online. Betrügereien, die Entschädigungen und Auszahlungen von Regierungsbehörden, Großunternehmen und Banken versprechen, werden voraussichtlich auch im nächsten Jahr beliebt bei Cyberkriminellen bleiben. Die Unvorhersehbarkeit des Devisenmarktes und der Rückzug einzelner Unternehmen aus den Märkten bestimmter Länder werden sich voraussichtlich auf die Anzahl der Betrügereien im Zusammenhang mit Online-Shopping auswirken. Gleichzeitig wird das von Cyberkriminellen 2020 und 2021 beliebte, aber 2022 bereits nachlassende COVID-19-Thema endgültig an Relevanz verlieren und durch dringendere globale Themen ersetzt werden.
In letzter Zeit haben wir eine Zunahme gezielter Phishing-Angriffe beobachtet, bei denen Betrüger nicht sofort zum Phishing-Angriff übergehen, sondern erst nach mehreren einführenden E-Mails mit aktiver Korrespondenz mit dem Opfer. Dieser Trend wird sich voraussichtlich fortsetzen. Neue Tricks werden voraussichtlich auch im Unternehmenssektor im Jahr 2023 auftauchen, wobei Angriffe erhebliche Gewinne für Angreifer generieren werden.