40 Jahre Spam-Mails: Spam ist nicht tot zu kriegen

Cyberkriminelle haben sich in den letzten Jahrzehnten weiterentwickelt. Bei vielen Angriffen kommen allerdings noch immer dieselben alten Tricks zum Einsatz. Wenn es um Malware geht, spielt Spam weiter ganz vorne mit.

Spam bleibt Webkriminalität Nummer eins
(Foto: Production Perig/Fotolia)

Auch 40 Jahre nach der ersten Spam-Mail ist Spam noch immer die häufigste Masche zur Verbreitung bösartiger URLs, für Betrugsversuche und Malware. Das zeigt eine Untersuchung von F-Secure und des im Juni von dem finnischen Sicherheitsspezialisten übernommenen Beratungsunternehmens MWR InfoSecurity. Die F-Secure-Tochter ist das Unternehmen hinter »phished«, einem Dienst zur Überwachung und verbesserten Aufklärung von Phishing und anderen Cyberattacken auf Unternehmen

Spam wird als Angriffstechnik demnach immer erfolgreicher. So sind die Klickraten seit der zweiten Jahreshälfte 2017 von 13,4 auf 14,2 Prozent angestiegen. »E-Mail-Spam erweist sich nach wie vor als die beliebteste Art und Weise, Malware zu verbreiten«, sagt Rüdiger Trost, ‎Head of Cyber Security Solutions bei F-Secure Deutschland. Von den Spam-Samples, die F-Secure und MWR InfoSecurity im Frühjahr dieses Jahres untersucht haben, waren 46 Prozent Dating-Spam, 23 Prozent E-Mails mit schadhaften Anhängen und 31 Prozent mit Links zu schädlichen Webseiten versehen. »In den letzten Jahren hat sich Spam mehr und mehr gegen andere Angriffsvektoren durchgesetzt, da die Systeme immer sicherer gegen Software-Exploits und Schwachstellen werden«, so Trost weiter.

Das Effektivitätsmodell von MWR hat zudem eine Reihe von Taktiken aufgedeckt, wie die Angreifer die psychologische Karte ausspielen, um ihren Spam wirksamer zu machen. So ist etwa die Wahrscheinlichkeit, dass der Empfänger eine E-Mail öffnet, um zwölf Prozent höher, wenn der vermeintliche Absender eine ihm bekannte Person ist. Eine fehlerfreie Betreffzeile erhöht die Spam-»Erfolgsrate« um 4,5 Prozent. Eine Phishing-Mail mit einer dringenden Handlungsempfehlung hat weniger Aufmerksamkeitswert als eine implizierte Dringlichkeit.

Übersicht