Managed hosting door True

Anatomie van een spamaanval

Wat er achter de schermen werkelijk gebeurt

 

Wat zit er nu eigenlijk achter een spamoperatie, bijvoorbeeld een waarbij miljoenen mensen mail ontvangen over pillen die de mannelijke prestaties moeten verbeteren? Beveiligingsbedrijf Ironport volgde het spoor terug en kwam terecht in de achterbuurten van Toronto en Mumbai.

Analisten van het onderzoekscentrum van security-bedrijf Ironport besloten om een spamoperatie eens geheel bloot te leggen. Stap voor stap volgde men het spoor terug naar de organisatie die via spam probeert geld te verdienen aan – in dit geval – de verkoop van nagemaakte Viagra-pillen.

Uit gegevens die beschikbaar zijn via de Senderbase-database van Ironport blijkt dat het in dit geval om een redelijk massale aanval ging. Er werden meer dan 1,5 miljard mailtjes verstuurd, waarbij gebruik werd gemaakt van circa honderdduizend mail verzendende systemen in 119 landen. In feite gaat het om geïnfecteerde pc’s die als ‘zombie’ dienst deden als mailserver. Interessant is bovendien dat op eerste gezicht het niet zozeer om één geconcentreerde aanval leek te gaan, maar om een aantal los van elkaar plaatsvindende spamuitbarstingen. Door de enorme aantallen spamberichten die werden afgevangen te analyseren, ontdekte men echter een aantal gemeenschappelijke kenmerken waaruit bleek dat het om één aanval ging. De spammers bleken zo’n tweeduizend verschillende berichten te hebben verzonden. Iedere variant was bedoeld om gebruik te maken van een ander security-probleem of lacune die spamfilters open laten. Opmerkelijk is dat in de spamberichten weblinks naar maar liefst vijftienhonderd verschillende domeinen bleken te zijn opgenomen. Al met al bleken de spammers gekozen te hebben voor een aanpak waarbij zij iedere twaalf minuten de inhoud van de te verzenden berichten op een of andere manier aanpasten, waarmee zij snel reagerende spamfilters voor probeerden te blijven.

Vijftien websites

Onderzoekers van Ironport bestelden via My Canadian Pharmacy Viagra-pillen om de door de spammers gebruikte operatie bloot te leggen.

En met succes, want een aanzienlijk aantal spamberichten bereikten hun doel waardoor talloze eindgebruikers naar een van vijftien websites werden gelokt. Ook dit was een massale operatie: er werden ruim honderd webservers ingezet. Alle vijftien sites bleken overigens wel hetzelfde betalingsmechanisme te gebruiken.

Spamaanvallen op deze schaal komen sinds vorig jaar regelmatig voor. Vaak blijken hier goed georganiseerde criminele organisaties achter te zitten. Dat bleek ook bij deze aanval het geval te zijn. Bovendien was de kwaliteit van de operatie verrassend goed. Via het wat groezelige spambericht werden bezoekers gelokt naar websites als weergegeven in de afbeeldingen bij dit artikel: Pharma Shop en My Canadian Pharmacy. De professionaliteit blijkt onder andere doordat aan de laatste site uitgebreide informatie was toegevoegd over de twee oprichters. Dat zouden twee Canadese artsen zijn die gefrustreerd waren over het restrictieve beleid van de Amerikaanse overheid ten aanzien van farmaceutische producten. Zij wilden dat ook Amerikaanse burgers goedkope medicijnen kunnen aanschaffen en waren daarom vanuit Canada – waar deze producten wel legaal mogen worden verkocht – deze website begonnen.

Bovendien stonden op de site keurig naw-gegevens (naam, adres, woonplaats) vermeld. Het bedrijf van de twee artsen was gevestigd in Toronto. Toen onderzoekers van Ironport dit adres bezochten, kwamen zij uit bij een achterbuurt in Toronto waar een argeloze bezoeker zijn leven niet zeker is. Bovendien bleek het bewuste bedrijfspand leeg te staan.

Geoliede machine

De webserver waar My Canadian Pharmacy werd gehost, bleek in Californië te staan en was eigenaar van een bedrijf waarvan alleen een postbusadres bleek te achterhalen. Daarop besloten de onderzoekers een bestelling bij deze farma-site te plaatsen. Enige tijd ging voorbij, waarna een met de hand geadresseerd pakketje arriveerde. Hierin bleek een plastic zakje te zitten met pillen die een grote gelijkenis vertoonden met echte Viagra-pillen. Tot verbazing van de onderzoekers bleek er een adres van de afzender op het pakketje te staan: in Mumbai, India. Het adres leidde echter niet naar een moderne fabriek op een nieuw industrieterrein, maar naar een flatgebouw. De pillen bleken geen werkende substantie te bevatten, maar uitsluitend wat wel genoemd wordt ‘inert pill binder’. Dat is een stof die uitsluitend bedoeld is om een tablet zijn ronde vorm te geven.

Dit voorbeeld staat niet op zichzelf, menen de onderzoekers van Ironport. Steeds vaker blijkt achter spam een zeer professionele en geoliede machine schuil te gaan met nauwe banden met de onderwereld. Het geeft bovendien aan hoe gewerkt wordt met combinaties van http- en mailtechnologie. Dit betekent dat hier bij de verdedigingsmaatregelen terdege rekening zal moeten worden gehouden. Simpelweg spamfilters installeren is niet voldoende. Al is het maar omdat deze vaak uitsluitend naar het inkomende verkeer kijken. Minstens zo belangrijk is het filteren van het uitgaande smtp-verkeer. Bij security-maatregelen blijven de smtp-servers echter nog altijd buiten beeld.


Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2108274). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Interessant artikel, met name omdat het gaat om de grootste criminele scammers van de laatste jaren, het gaat veel verder dan enkel wat onschuldige namaakpillen versturen. De groep hierachter heet Yambe financials, meer info op spamhaus, spamtrackers, spamwiki en

http://www.viagra-online.be/scamsites/Oplichting-met-spam-voor-Viagra

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×