Nederlanders hebben vorig jaar veel vaker over spam geklaagd dan in 2008. Vooral door de uitbreiding van de spamwetgeving naar zakelijke adressen is het aantal klachten explosief gegroeid.

De toezichthouder op de telecommarkt, OPTA, meldt dat in zijn jaarverslag over 2009 en de Marktmonitor die dinsdag zijn gepresenteerd. De uitbreiding van de spamwetgeving werd in oktober van kracht. Tot die tijd had de OPTA via spamklacht.nl ongeveer 12.000 klachten ontvangen. Na de uitbreiding van het spamverbod, leverde dit in drie maanden tijd nog eens 12.000 klachten op. De OPTA is hierop ‘diverse nieuwe onderzoeken gestart’.

In heel 2009 startte de OPTA 68 onderzoeken naar vermeende spammers. In 51 gevallen leidde dit tot een waarschuwing en in dertien gevallen bleek het onderzoek niets op te leveren. Verder werden er twee boetes en twee lasten onder dwangsom opgelegd.

Wat de oorsprong van spam betreft, is een flinke toename geconstateerd bij opkomende economieën als Vietnam, Brazilië en India. Uit China en de Verenigde Staten bleek juist veel minder spam te zijn gekomen.

Boetes
Overigens mag de OPTA, als het dit jaar boetes uitdeelt, niet meer bekendmaken welk bedrijf een boete heeft gehad en hoe hoog de boete was. Tenzij de hele beroepsprocedure achter de rug is. Het naming and shaming-principe waar de telecomautoriteit altijd gebruik van maakt, is onlangs door de rechter verboden. De OPTA vecht het verbod nog aan omdat ‘de consument het recht heeft om te weten welke bedrijven niet het beste voor hebben met hun klanten’.

Na een korte daling in het aantal spamberichten, heeft het spamvolume zich weer hersteld naar het niveau van medio 2008. De meeste spam in het eerste kwartaal van dit jaar had betrekking op pillen en penisvergroters: meer dan 71 procent van het spamverkeer.

Het aantal spamberichten is in het begin van dit jaar met ongeveer 5 procent gestegen ten opzichte van het vierde kwartaal van 2009. Tussen januari en maart van dit jaar werden er per dag gemiddeld 139 miljard spamberichten verstuurd, goed voor 89 procent van het wereldwijde e-mailverkeer. In het laatste kwartaal van 2009 werden er 133 miljard spamberichten per dag verzonden. Dat staat in het McAfee Threat Report van het eerste kwartaal 2010.

De meeste spamberichten bestaan uit zogeheten bezorgingsstatusberichten, ook wel DSN’s (Delivery Status Notification) of NDR’s (Non-Delivery Receipts) genoemd. In Nederland is dat beeld niet anders.

Deze DSN-berichten kunnen legitiem zijn, maar in veel gevallen gaat het om spamberichten die naar een vals afzenderadres worden teruggestuurd. Als het aandeel bezorgingsstatusberichten toeneemt, kan dit wijzen op grotere hoeveelheden afzonderlijk beheerde e-mailservers.

Aanvallen via SSL
“De problemen met clientbeveiliging blijven de lijst met belangrijke kwetsbaarheden dit kwartaal domineren. McAfee Labs heeft in het eerste kwartaal meerdere aanvallen via het SSL-communicatieprotocol geregistreerd die afkomstig waren uit het Pushdo-botnet. Daarnaast waren er pogingen tot het lanceren van gerichte DoS-aanvallen met behulp van SSL-aanvragen.

Verder blijkt uit het rapport dat it-afdelingen moeite hebben om de beveiliging binnen bedrijven bij te benen. “It-teams proberen uit alle macht de veranderingen bij te houden en tegelijkertijd enige controle uit te oefenen over wie of welk apparaat verbinding met het netwerk maakt”, constateren de experts van McAfee.

“Deze razendsnelle ontwikkelingen worden nog verder bemoeilijkt als leidinggevenden voortdurend de allernieuwste gadgets aanschaffen en de it-afdeling de schuld geven als hun nieuwe speelgoed niet met het netwerk wil communiceren. Elk nieuw apparaat dat werknemers meenemen, vormt een nieuw risico om van binnenuit toegang tot het netwerk te krijgen”, aldus het beveiligingsbedrijf.

Om zich te onderscheiden bieden telkens meer kleine hosters gratis subdomein registratie aan plus bijpassend (al dan niet gratis) hostingpakket. Spammers maken daar handig gebruik van, door zulke subdomeinen te registreren en deze websites te gebruiken om spam te versturen, waarschuwt SpamExperts.

Spammers hebben op basis hiervan een nieuwe tactiek ontwikkelt: het duurt langer voordat een spamfilter spam berichten herkent die vanaf een nieuwe geïnfecteerde website verstuurd worden, dan vanaf een bestaande site waarvandaan eveneens ‘goede’ mail wordt verstuurd. Dit laat het toe om miljarden spamberichten via een botnet uit te sturen en daar een fortuin mee te verdienen.

“De mogelijkheid om anoniem een subdomein te registreren zorgt er voor dat spammers door kunnen gaan met hun activiteiten zonder gepakt te worden”, stelt Nils Decker van anti-spam bedrijf SpamExperts. “Het is erg makkelijk om een subdomein te registreren en er spam mee te versturen. Zodra het subdomein is opgeheven, wordt er met een nieuwe verder gegaan.”

Het Amerikaanse internetbedrijf NeuStar heeft samen met verschillende internetproviders een groot spambotnet uit de lucht gehaald, meldt security.nl. Het zou gaan om het Lethic-botnet, dat verantwoordelijk was voor ongeveer 10% van de wereldwijde spam.

Sinds op 9 januari het netwerk onklaar gemaakt is, is de hoeveelheid spam ook afgenomen. Geïnfecteerde machines proberen nog wel contact te maken met de beheersmachines, maar deze zijn onbereikbaar. Wel proberen de bots nog op verschillende ip-adressen een verbinding te maken, maar vooralsnog lijkt het netwerk lam te liggen.

Het agressiever aanpakken van botnets is mogelijk een nieuwe trend. Vorig jaar november haalde beveiligingsbedrijf FireEye al het Mega-D botnet uit de lucht. Steeds meer onderzoekers zijn tegenwoordig betrokken bij de bestrijding van deze netwerken, maar toch kan de gemeenschap nog wat meer proactief worden. Het zou met name gaan om providers, die eerder moeten reageren op een take-down verzoek.

De Opta heeft vorig jaar twee boetes uitgedeeld aan Nederlandse spammers op internet. Ook zijn er tientallen waarschuwingen aan verdachte spambedrijven gegeven.

De telecomautoriteit deelde in juli vorig jaar onder meer een boete van 250.000 euro uit aan adverterenisgratis.nl. De Opta had veel klachten binnengekregen over deze site die naar schatting 21 miljoen spammails  heeft verstuurd. Adverterenisgratis.nl kreeg hiervoor in maart 2005 overigens al een waarschuwing.

Ook werd er een sanctie van 12.000 euro opgelegd aan een bedrijf dat spamberichten in de vorm van Hyves-krabbels verstuurde. Hierover zijn bij de Opta ongeveer 1300 klachten binnengekomen. Via automatisch aangemaakte Hyves-profielen werden zeker 3,2 miljoen ongevraagde krabbels verstuurd, zo laat de Opta desgevraagd weten.

Toch is het bedrag dat de telecomautoriteit aan boetes heeft uitgedeeld aanmerkelijk lager dan in 2008. Vorig jaar werden twee boetes van samen 262.000 euro uitgeschreven. Een jaar eerder werden er nog zeker drie boetes uitgedeeld met een totaalbedrag van 624.000 euro.

Nederland is weer ergens goed in. Echter deze keer is het geen topvermelding om trots op te zijn, met een 9e plek in de toplijst van landen waarvandaan spam verzonden wordt. Dat blijkt uit de nieuwste cijfers in de decembereditie van ‘State of spam’ van Symantec. Maarliefst 2% van de wereldwijde spam wordt vanaf Nederlandse bodem verzonden.

December is een maand waarin traditioneel veel spam wordt verzonden. Met de feestmaanden voor de deur geven mensen nu eenmaal aanzienlijk meer geld uit, ook online. Andere opvallende berichten zijn berichten om vaccins voor het H1N1-virus aan te prijzen, in Nederland ook wel bekend onder de Mexicaanse griep.

Naast Nederland komt enkel Polen als Europees land in de lijst naar boven. Het .nl-domein  komt niet in de lijst voor. De meeste advertenties proberen bezoekers naar .com-domeinen te klokken. Deze maand is dat 53%, tegenover 43% vorige maand. Het Chinese .cn domein daarentegen lijkt veiliger te worden. Vorige maand bevatte 47% van de spamberichten een link naar een .cn-domein, deze maand is dat met 15% afgenomen tot 32%.

Het spamverbod voor bedrijven is vanaf vandaag een feit. Dat de uitbreiding van het spamverbod er aan zat te komen, was te merken. De Nederlandse spammers stopten hun praktijken niet zonder eerst op gepaste wijze afscheid te nemen. De hoeveelheid spam is in de weken en vooral in de laatste dagen voor dat het spamverbod voor bedrijven in werking trad enorm toegenomen, zo weet Tweakers.net te melden.

Opvallender is ook op welke wijze spammers afscheid nemen. Alle Nederlandstalige spam die ik de afgelopen dagen binnen kreeg bevatte een verwijzing naar het spamverbod. Meestal met de mededeling hoe verschrikkelijk het wel niet is dat in het vervolg hun spam mij niet langer zal bereiken (zelf noemen ze het nieuwsbrief, update of aanbiedingen). De mooiste vond ik onderstaande. Vaarwel en tot nooit meer ziens!

Wie vanaf vandaag nog spam binnen krijgt van een Nederlandse afzender, kan hier een klacht bij OPTA indienen. Al is dat op dit moment tijdelijk niet mogelijk: “Het klachtformulier op de website spamklacht.nl is tijdelijk niet beschikbaar.”.

Cybercriminelen hebben een nieuwe manier ontdekt te hebben om kwaadaardige programma’s op pc’s van nietsvermoedende gebruikers geïnstalleerd te krijgen. Ze gebruiken hiervoor sinds kort massaal spammailtjes die eruit zien als echte foutmeldingen.

Beveiligingsexperts van PandaLabs waarschuwen dat maar liefst één op de vijf spamberichten wereldwijd gebruik maakt van de techniek van een nep-bounce bericht die je normaal ontvangt als het mailadres niet bestaat of als de mailbox van de ontvanger vol is. Volgens PandaLabs is het gebruik van dit soort mailtjes in de maand augustus met 2000 procent toegenomen vergeleken met de maanden ervoor.

Deskundigen zijn het er niet over eens of deze methode een manier is om spamfilters te omzeilen of dat het een nieuwe manier is om ‘dictionary attacks‘ uit te voeren.

Gewone non-delivery reports (NDR) worden automatisch verstuurd vanaf een mailserver. “Aangezien de meeste foutmeldingen authentiek zijn, is het voor beveiligingsexperts lastig om dergelijke nep-berichten eruit te filteren”, verklaart Luis Corrons, technisch directeur bij PandaLabs.

Het kwaadaardige programma wordt meegestuurd in een bijlage bij de nep-melding. Omdat gebruikers in de meeste gevallen verbaasd zullen zijn door de foutmelding, is de kans groot dat ze de bijlage openen, aldus PandaLabs.

Hoewel de maand nog niet helemaal is afgelopen, is augustus nu al een opmerkelijke maand wat de bestrijding van cybercriminaliteit betreft. Met het afsluiten van een Oost-Europese hostingprovider hebben beveiligingsexperts deze maand de hoeveelheid spam drastisch omlaag gebracht.

Dit staat in het maandelijkse MessageLabs Intelligence Report (pdf) van Symantec. Op 1 augustus werd de provider Real Host uit Letland door uplinkprovider Junik afgesloten omdat deze in verband werd gebracht met één van de hoofdservers van de botnet Cutwail en de Zeus-botnet. Cutwail is volgens experts één van de grootste botnets ter wereld. Met het platleggen van Real Host daalde de wereldwijde hoeveelheid spam met 38 procent gedurende de eerste twee dagen.

Zelfs vandaag nog wordt de botnet Cutwail verantwoordelijk geacht voor 15 tot 20 procent van de spamberichten. Toch hebben spammers last gehad van de actie tegen Real Host. Volgens het rapport liep de activiteit van Cutwail tijdelijk met 90 procent terug.

Overigens is het niet voor het eerst dat een hostingprovider is afgesloten vanwege kwaadaardige activiteiten. In de afgelopen twaalf maanden werden zeker drie Amerikaanse isp’s offline gehaald door de Amerikaanse handelsautoriteit FTC.

Andere botnets
Ondanks de succesvolle actie tegen botnet Cutwail, is het aantal spamberichten over de hele maand augustus met 88,5 procent vrijwel gelijk gebleven in vergelijking met andere maanden. Dit is vooral te verklaren door de grote activiteit van de botnets Rustock, Mega-D en Donbot. Spammers hebben gretig misbruik gemaakt de uitbraak van Mexicaanse griep en de populariteit van verkorte url’s.

Tot slot merken de onderzoekers op dat de afgelopen maand één op de 612 e-mails in Nederland een virus bevatte. Hiermee scoort Nederland goed, want gemiddeld is één op de 296 mailtjes besmet een virus of Trojaans paard.

Comcast, de grootste (kabel)provider in de VS maakt zich schuldig aan DNS hijacking: Wanneer een klant een niet bestaand domein bezoekt, krijgt deze geen errorpagina meer maar wordt een pagina vol met reclamebanners voorgeschoteld. Hiermee genereert de provider extra inkomsten, tot ergenis van klanten.

Eerder al tracteerde provider Bell in Canada een dergergelijke reclamepagina’s aan haar klanten. Via een cookie-hack kon deze omzeild worden. Klanten van Comcast hebben een ietwat makkelijkere manier: op basis van het MAC-adres in het modem kan gefilterd worden. Op de reclamepagina staat dan ook een (verstopte) link waarop klanten naar een opt-out pagina gaan om deze DNS hijacking uit te zetten zijn.