Om zich te onderscheiden bieden telkens meer kleine hosters gratis subdomein registratie aan plus bijpassend (al dan niet gratis) hostingpakket. Spammers maken daar handig gebruik van, door zulke subdomeinen te registreren en deze websites te gebruiken om spam te versturen, waarschuwt SpamExperts.

Spammers hebben op basis hiervan een nieuwe tactiek ontwikkelt: het duurt langer voordat een spamfilter spam berichten herkent die vanaf een nieuwe geïnfecteerde website verstuurd worden, dan vanaf een bestaande site waarvandaan eveneens ‘goede’ mail wordt verstuurd. Dit laat het toe om miljarden spamberichten via een botnet uit te sturen en daar een fortuin mee te verdienen.

“De mogelijkheid om anoniem een subdomein te registreren zorgt er voor dat spammers door kunnen gaan met hun activiteiten zonder gepakt te worden”, stelt Nils Decker van anti-spam bedrijf SpamExperts. “Het is erg makkelijk om een subdomein te registreren en er spam mee te versturen. Zodra het subdomein is opgeheven, wordt er met een nieuwe verder gegaan.”

Het Amerikaanse internetbedrijf NeuStar heeft samen met verschillende internetproviders een groot spambotnet uit de lucht gehaald, meldt security.nl. Het zou gaan om het Lethic-botnet, dat verantwoordelijk was voor ongeveer 10% van de wereldwijde spam.

Sinds op 9 januari het netwerk onklaar gemaakt is, is de hoeveelheid spam ook afgenomen. Geïnfecteerde machines proberen nog wel contact te maken met de beheersmachines, maar deze zijn onbereikbaar. Wel proberen de bots nog op verschillende ip-adressen een verbinding te maken, maar vooralsnog lijkt het netwerk lam te liggen.

Het agressiever aanpakken van botnets is mogelijk een nieuwe trend. Vorig jaar november haalde beveiligingsbedrijf FireEye al het Mega-D botnet uit de lucht. Steeds meer onderzoekers zijn tegenwoordig betrokken bij de bestrijding van deze netwerken, maar toch kan de gemeenschap nog wat meer proactief worden. Het zou met name gaan om providers, die eerder moeten reageren op een take-down verzoek.

De Opta heeft vorig jaar twee boetes uitgedeeld aan Nederlandse spammers op internet. Ook zijn er tientallen waarschuwingen aan verdachte spambedrijven gegeven.

De telecomautoriteit deelde in juli vorig jaar onder meer een boete van 250.000 euro uit aan adverterenisgratis.nl. De Opta had veel klachten binnengekregen over deze site die naar schatting 21 miljoen spammails  heeft verstuurd. Adverterenisgratis.nl kreeg hiervoor in maart 2005 overigens al een waarschuwing.

Ook werd er een sanctie van 12.000 euro opgelegd aan een bedrijf dat spamberichten in de vorm van Hyves-krabbels verstuurde. Hierover zijn bij de Opta ongeveer 1300 klachten binnengekomen. Via automatisch aangemaakte Hyves-profielen werden zeker 3,2 miljoen ongevraagde krabbels verstuurd, zo laat de Opta desgevraagd weten.

Toch is het bedrag dat de telecomautoriteit aan boetes heeft uitgedeeld aanmerkelijk lager dan in 2008. Vorig jaar werden twee boetes van samen 262.000 euro uitgeschreven. Een jaar eerder werden er nog zeker drie boetes uitgedeeld met een totaalbedrag van 624.000 euro.

Nederland is weer ergens goed in. Echter deze keer is het geen topvermelding om trots op te zijn, met een 9e plek in de toplijst van landen waarvandaan spam verzonden wordt. Dat blijkt uit de nieuwste cijfers in de decembereditie van ‘State of spam’ van Symantec. Maarliefst 2% van de wereldwijde spam wordt vanaf Nederlandse bodem verzonden.

December is een maand waarin traditioneel veel spam wordt verzonden. Met de feestmaanden voor de deur geven mensen nu eenmaal aanzienlijk meer geld uit, ook online. Andere opvallende berichten zijn berichten om vaccins voor het H1N1-virus aan te prijzen, in Nederland ook wel bekend onder de Mexicaanse griep.

Naast Nederland komt enkel Polen als Europees land in de lijst naar boven. Het .nl-domein  komt niet in de lijst voor. De meeste advertenties proberen bezoekers naar .com-domeinen te klokken. Deze maand is dat 53%, tegenover 43% vorige maand. Het Chinese .cn domein daarentegen lijkt veiliger te worden. Vorige maand bevatte 47% van de spamberichten een link naar een .cn-domein, deze maand is dat met 15% afgenomen tot 32%.

Het spamverbod voor bedrijven is vanaf vandaag een feit. Dat de uitbreiding van het spamverbod er aan zat te komen, was te merken. De Nederlandse spammers stopten hun praktijken niet zonder eerst op gepaste wijze afscheid te nemen. De hoeveelheid spam is in de weken en vooral in de laatste dagen voor dat het spamverbod voor bedrijven in werking trad enorm toegenomen, zo weet Tweakers.net te melden.

Opvallender is ook op welke wijze spammers afscheid nemen. Alle Nederlandstalige spam die ik de afgelopen dagen binnen kreeg bevatte een verwijzing naar het spamverbod. Meestal met de mededeling hoe verschrikkelijk het wel niet is dat in het vervolg hun spam mij niet langer zal bereiken (zelf noemen ze het nieuwsbrief, update of aanbiedingen). De mooiste vond ik onderstaande. Vaarwel en tot nooit meer ziens!

Wie vanaf vandaag nog spam binnen krijgt van een Nederlandse afzender, kan hier een klacht bij OPTA indienen. Al is dat op dit moment tijdelijk niet mogelijk: “Het klachtformulier op de website spamklacht.nl is tijdelijk niet beschikbaar.”.

Cybercriminelen hebben een nieuwe manier ontdekt te hebben om kwaadaardige programma’s op pc’s van nietsvermoedende gebruikers geïnstalleerd te krijgen. Ze gebruiken hiervoor sinds kort massaal spammailtjes die eruit zien als echte foutmeldingen.

Beveiligingsexperts van PandaLabs waarschuwen dat maar liefst één op de vijf spamberichten wereldwijd gebruik maakt van de techniek van een nep-bounce bericht die je normaal ontvangt als het mailadres niet bestaat of als de mailbox van de ontvanger vol is. Volgens PandaLabs is het gebruik van dit soort mailtjes in de maand augustus met 2000 procent toegenomen vergeleken met de maanden ervoor.

Deskundigen zijn het er niet over eens of deze methode een manier is om spamfilters te omzeilen of dat het een nieuwe manier is om ‘dictionary attacks‘ uit te voeren.

Gewone non-delivery reports (NDR) worden automatisch verstuurd vanaf een mailserver. “Aangezien de meeste foutmeldingen authentiek zijn, is het voor beveiligingsexperts lastig om dergelijke nep-berichten eruit te filteren”, verklaart Luis Corrons, technisch directeur bij PandaLabs.

Het kwaadaardige programma wordt meegestuurd in een bijlage bij de nep-melding. Omdat gebruikers in de meeste gevallen verbaasd zullen zijn door de foutmelding, is de kans groot dat ze de bijlage openen, aldus PandaLabs.

Hoewel de maand nog niet helemaal is afgelopen, is augustus nu al een opmerkelijke maand wat de bestrijding van cybercriminaliteit betreft. Met het afsluiten van een Oost-Europese hostingprovider hebben beveiligingsexperts deze maand de hoeveelheid spam drastisch omlaag gebracht.

Dit staat in het maandelijkse MessageLabs Intelligence Report (pdf) van Symantec. Op 1 augustus werd de provider Real Host uit Letland door uplinkprovider Junik afgesloten omdat deze in verband werd gebracht met één van de hoofdservers van de botnet Cutwail en de Zeus-botnet. Cutwail is volgens experts één van de grootste botnets ter wereld. Met het platleggen van Real Host daalde de wereldwijde hoeveelheid spam met 38 procent gedurende de eerste twee dagen.

Zelfs vandaag nog wordt de botnet Cutwail verantwoordelijk geacht voor 15 tot 20 procent van de spamberichten. Toch hebben spammers last gehad van de actie tegen Real Host. Volgens het rapport liep de activiteit van Cutwail tijdelijk met 90 procent terug.

Overigens is het niet voor het eerst dat een hostingprovider is afgesloten vanwege kwaadaardige activiteiten. In de afgelopen twaalf maanden werden zeker drie Amerikaanse isp’s offline gehaald door de Amerikaanse handelsautoriteit FTC.

Andere botnets
Ondanks de succesvolle actie tegen botnet Cutwail, is het aantal spamberichten over de hele maand augustus met 88,5 procent vrijwel gelijk gebleven in vergelijking met andere maanden. Dit is vooral te verklaren door de grote activiteit van de botnets Rustock, Mega-D en Donbot. Spammers hebben gretig misbruik gemaakt de uitbraak van Mexicaanse griep en de populariteit van verkorte url’s.

Tot slot merken de onderzoekers op dat de afgelopen maand één op de 612 e-mails in Nederland een virus bevatte. Hiermee scoort Nederland goed, want gemiddeld is één op de 296 mailtjes besmet een virus of Trojaans paard.

Comcast, de grootste (kabel)provider in de VS maakt zich schuldig aan DNS hijacking: Wanneer een klant een niet bestaand domein bezoekt, krijgt deze geen errorpagina meer maar wordt een pagina vol met reclamebanners voorgeschoteld. Hiermee genereert de provider extra inkomsten, tot ergenis van klanten.

Eerder al tracteerde provider Bell in Canada een dergergelijke reclamepagina’s aan haar klanten. Via een cookie-hack kon deze omzeild worden. Klanten van Comcast hebben een ietwat makkelijkere manier: op basis van het MAC-adres in het modem kan gefilterd worden. Op de reclamepagina staat dan ook een (verstopte) link waarop klanten naar een opt-out pagina gaan om deze DNS hijacking uit te zetten zijn.

Spam die afkomstig is van spambots is relatief eenvoudig te herkennen, hebben onderzoekers van het Georgia Institute for Technology ontdekt. Op basis hiervan hebben de onderzoekers een nieuwe techniek ontwikkeld genaamd  SNARE (Spatio-temporal Network-level Automatic Reputation Engine) dat niet naar de inhoud van de e-mail kijkt, maar naar de mailserver waar de e-mail vandaan komt.

Het onderzoek werd uitgevoerd op basis van 25 miljoen e-mails die waren verzameld door TrustedSource.org, een initiatief van McAfee om gegevens over malware en spam te verzamelen. Op basis van deze gegevens vonden de onderzoekers verschillende karakteristieken van spam(bots). Spambots hebben vaak maar één poort open staan, namelijk die van de mailserver, terwijl legitieme servers vaak een hele reeks aan poorten hebben open staan. Daarnaast is de fysieke afstand tussen de netwerken van de verzender en de ontvanger vaak velen malen groter bij spam dan bij legitieme e-mail. Als laatste wordt de meeste spam uit een klein percentage van alle netwerken wereldwijd (ASN’s) verstuurd.

Op basis van de criteria die SNARE gebruikt zou 70% van alle spam aan de poort kunnen worden gestopt, zonder dat er een spamfilter aan te pas komt, terwijl maar in 0,3% van de gevallen een legitieme e-mail ten onrechte voor spam wordt aangezien. Dat is vergelijkbaar met de percentages die spamfilters halen. Het voordeel is wel dat de 70% spam die aan de poort wordt geblokkeerd, niet hoeft te worden verwerkt door een mailserver of spamfilter. Dit scheelt aanzienlijke hoeveelheden servercapaciteit.

Ondanks het feit dat de nieuwe techniek veelbelovend is, zijn er ook redenen om sceptisch te zijn. Allereerst is de techniek nu enkel nog maar in een researchlab getest en zal het zich nog moeten bewijzen in de praktijk. Daarnaast hebben spammers keer op keer laten zien zeer innovatief te zijn. Dus Ookal zou de techniek ook al in de praktijk goed werken, dan is de kans groot dat spammers ook oplossingen zullen vinden om deze techniek te omzeilen.

De nieuwe techniek kan wellicht goed worden gecombineerd met greylisting, waarbij elke e-mail van een (nog) onbekende mailserver wordt geweigerd. Een legitieme mailserver zal dan op een later moment proberen de e-mail opnieuw te versturen. Wanneer greylisting wordt gecombineerd met SNARE, dan zouden mailservers die een hoge SNARE-score hebben meteen worden toegelaten in plaats van eerst te worden geweigerd.

Rusland is niet langer de spam-grootmacht die het ooit was. In het dozijn grootste spamhaarden neemt Rusland de negende plaats in, nog maar 3,2% van alle spam komt uit Rusland. De eerste plaats is voor de Verenigde Staten, dat met 15,3% de grootste spam verspreider is, op korte afstand gevolgd door Brazilië met 11,1% en de derde plaatst wordt ingenomen door Turkije met 5,2%, zo blijkt uit onderzoek van Sophos.

“Barack Obama heeft recent in een speech over cybersecurity de nadruk gelegd op criminelen aan de andere kant van de oceaan en vijandelijke staten, maar deze cijfers wijzen op een significant probleem in zijn eigen achtertuin.”, aldus Graham Cluley, senior technology consultant van Sophos, “Als de VS zijn gekaapte PC’s zou kunnen opruimen, dan zou dat een groot voordeel opleveren voor iedereen in de wereld die het internet gebruikt”.