Na Altrivo is er weer een grote spam- en malwarehoster offline: McColo. Dit gebeurde nadat een onderzoeksjournalist van The Washinton Post na 4 maanden speurwerk zijn bevindingen bekend maakte aan de uplink providers. Deze besloot hierop McColo af te sluiten. Spambestrijders zeggen veel te merken van het afsluiten van deze provider. Zij hebben de hoeveelheid binnenkomende spam tot 75% zien afnemen.

Volgens diverse security-experts was McColo thuishaven van diverse botnets, waaronder Rustock, Mega-D, Srizbi, Pushdo, en Warezov, dagelijks verantwoordelijk voor veel spam. Het bleef echter niet alleen bij spam. Ook voor het hosten van malware en kinderporno kon je bij McColo terecht.

Het is afwachten of de hoster terug komt als die een nieuw stekje gevonden heeft. Nadat Altrivo eerder offline gehaald werd kwam een van onderdelen hiervan, het dubieuze Estdomains, terug bij de Nederlandse hoster Ecatel. De netwerkbeheerder verklaarde destijds op de hoogte te zijn gesteld maar geen directe actie zonder klachten te kunnen ondernemen. Nederlandse providers waren hier niet blij mee, zo viel ook te lezen op de NLnog mailinglijst. Inmiddels staat Estdomains gehost bij Velcom in Canada.

Het is nog even afwachten wanneer en waar McColo terug zal komen. Voor Nederlandse providers is het raadzaam extra alert te zijn op offerte-aanvragen.

Ongewenste e-mail kost elke werknemer gemiddeld 1.200 minuten per jaar. Omgerekend gaan er dus 20 uren per werknemer per jaar verloren aan spam. Bij een uurtarief van 35 euro een kostenpost van 1400 euro per jaar. Dat becijfert het Duitse Onderzoeksinstituut IZA in samenwerking met de universiteiten van Hamburg en Keulen.

Het onderzoek is bijna vier jaar geleden gestart, maar wordt nu pas gepubliceerd. IZA bestudeerde in totaal duizend gebruikers, van wie er 527 een spamfilter hadden en 473 niet. Gemiddeld besteden beide groepen 4,87 minuten per dag aan spam. Daar zit zowel het verwijderen van berichten in als het controleren op foutief gemarkeerde mails. Ook de tijd die een IT’er per werknemer besteedt om een spamfilter te configureren is meegeteld.

Het effect van een spamfilter hangt volgens onderzoekers echter sterk af van de gebruiker. Zo is een filter alleen effectief bij mensen die veel ongewenste e-mail ontvangen. Ook is het effectief bij mensen die niet echt weten wat spam is of er weinig tegen ondernemen. Bij meer ervaren gebruikers zijn handmatige inspecties efficiënter, omdat een filter de algemene kosten voor het bedrijf verhoogt.

Het onderzoek concludeert dat dat het effect van een spamfilter per geval bekeken moet worden. Zo kan het tot 35 procent aan tijdwinst opleveren, maar dit is wel afhankelijk van de hoeveelheid spam en de kennis ervan. Bovendien is het niet duidelijk wat de langetermijngevolgen van spam op de werkvloer zijn.

Vorige week schreef ik over de spamorganisatie van Herbal King en Arnout pikte eerder Altrivo al op, dat langzaam veranderde in een LAN-netwerk. Twee grote spammers die verantwoordelijk waren voor het versturen van miljarden ongewenste e-mailberichten. De website security.nl heeft onderzoek gedaan naar de impakt van de eerstgenoemde. Grote filterpartijen geven echter aan weinig te merken van het stoppen van deze spambendes.

Filteraar IronPort telde maandag, de dag voorafgaand aan het bevel tegen Herbal King, 183,5 miljard spamberichten. Donderdag werden er 176,6 miljard spamberichten verstuurd, een kleine maar inconsistente daling van 91% naar 88% van alle e-mailberichten op het internet. Ook de Britse beveiliger Sophos zag geen noemenswaardige daling. Dit zou mogelijk komen omdat de spammers die voor Herbal King werkten, nu voor andere partijen actief zijn. Filterbedrijf MessageLabs bevestigt de kleine dip en voegt eraan toe dat het oprollen van boeven ISP Atrivo een groter effect had, ware het maar tijdelijk.

Particulieren en bedrijven die ooit een domeinnaam via een KPN-dochter hebben geregistreerd en deze later hebben verhuisd naar een ander hostingbedrijf lopen het risico dat e-mail die vanaf het KPN-netwerk wordt verzonden in het niets verdwijnt, zo waarschuwt het Nederlandse anti-spambedrijf SpamExperts BV.

Dreas van Donselaar namens SpamExperts BV:

Wij ontvingen met regelmaat vragen van internetproviders die gebruik maken van onze SpamExperts Domain anti-spamdienst, over e-mail die niet aankwam bij de ontvanger. Bij navraag bleek het in alle gevallen te gaan om domeinnamen die in het verleden door een KPN-dochter zijn beheerd. Na telefonisch contact met KPN, werd door de technische afdeling het probleem bevestigd en voor de opgegeven domeinnamen binnen twee werkdagen verholpen. Ondanks dat we dit enkele maanden geleden al aan KPN hebben gemeld, met het verzoek om hier intern goed naar te kijken, is er tot op heden geen merkbare oplossing voor gevonden. Het is onduidelijk hoeveel e-mail, dagelijks verzonden uit het KPN-netwerk, in dit gat verdwijnt.

Dit is zeer zorgwekkend, vooral omdat je als ADSL abonnee van KPN verplicht bent om de mailservers van KPN te gebruiken door dat poort 25 geblokkeerd, in theorie kan er ook een alternatieve poort voor SMTP worden gebruikt (poort 587), maar het nadeel daarvan is dat sommige spam-blacklists de policy van KPN hebben ingebouwd en je daarmee van de regen in de drup raakt. Het feit dat KPN 44 procent van de Nederlandse breedbandmarkt in handen heeft (OPTA marktmonitor 2007) maakt dit probleem alleen maar ernstiger.

Het is daarom belangrijk dat dit probleem ook bekend is bij andere internetproviders zodat het bij KPN gemeld kan worden om op die manier tot een oplossing te komen. SpamExperts BV raadt KPN-gebruikers aan er op bedacht te zijn dat niet altijd een waarschuwing wordt teruggestuurd wanneer uitgaande email niet aankomt.

Fortis is eergisteren het slachtoffer worden van aandelenspam ook wel bekend als “pump and dump” spam, met tot gevolg dat Fortis 20 procent van haar beurswaarde verloor, meldt Webwereld.

Dreas van Donselaar, CIO van SpamExperts legt uit hoe aandelenspam werkt:

Aandelenspam komt vooral voor met betrekking tot “penny stocks”. Eerst kopen de spammers zelf een groot deel van de (zeer goedkope) aandelen op om kunstmatig de koers omhoog te krijgen. Vervolgens sturen ze spam uit waarin ze “voorspellen” dat de koers van de aandelen gaat stijgen, wat door de grafieken ook daadwerkelijk wordt bevestigd. De mensen die op dat moment kopen, beseffen echter niet dat ze de aandelen van de spammers terugkomen voor de kunstmatig opgehoogde prijs. Het aandeel zal daarom ook altijd weer enige tijd na de spamrun in waarde dalen omdat de vraag volledig afneemt.

De aandelenspam werkte in het geval van Fortis als volgt: Spammers hadden het nieuws verspreid dat Fortis nieuwe aandelen zouden gaan uitgeven, waardoor de huidige aandelen minder waard zouden worden. Ondanks dat dit een hoax was reageerde de beurs heftig op het nieuws!

Dit toont duidelijk de kracht van aandelenspam die gecombineerd met de juiste omstandigheden, in dit geval de instabiele beurs en financiele markten, voor grote schommelingen op de beurs kan zorgen en spammers snel rijkt maakt en goedgelovige beleggers veel geld afhandig kan maken. Bij aandelen die in grote volumes verhandeld worden zoals Fortis, is het ook vrijwel onmogelijk om te kijken wie er nou net een grote aandelen transactie heeft uitgevoerd, waardoor de spammers vrijwel ontraceerbaar zijn.

Op vrijwel elk denkbaar e-mail adres komt spam binnen, dat in de meeste gevallen uit de stroom met legitieme e-mail gefilterd wordt. Sommige mensen lijken echter meer spam te krijgen dan anderen en dat wordt vaak toegeschreven aan het later “slingeren” van je e-mail adres op internet. Echter uit een onderzoek (PDF) van Professor Richard Clayton van de Universiteit van Cambridge blijkt er ook een correlatie te bestaan tussen de hoeveelheid spam en de eerste letter van het e-mail adres waar de spam op binnen komt.

Voor zijn onderzoek had Clayton de beschikking over 8 weken aan log files (1 februari tot 27 maart 2008) van de mailservers van de Britse ISP Demon (Thus PLC) die in die periode totaal  550.596.270 e-mails ontvingen (zo’n 8.94 miljoen per dag) en waarvan 56.0 procent spam is, het percentage spam is mogelijk nog hoger gezien geblackliste IP-adressen aan de poort geweigerd werden en hun e-mail sowieso niet konden afleveren.

Uit het onderzoek van Clayton blijkt dat alle e-mail die geadresseerd was aan een e-mail adres dat begint met een A totaal 50,2 procent spam is, terwijl dat bij alle e-mail adressen die beginnen met een Z zelfs 74,3 procent spam is. Echter als er gekeken wordt naar e-mail adressen die ook echt bestaan en waarbij de e-mail ook daadwerkelijk aankomt (tenzij er uiteraard een catch-all e-mail adres bestaat) zijn de rollen omgedraaid. Totaal is zo’n 30 procent van alle e-mail die binnenkomt op e-mail adressen met een A spam en ‘maar’ zo’n 20 procent van alle e-mail die binnenkomt op e-mail adressen met een Z spam.

Een mogelijke verklaring voor dit verschijnsel ziet Clayton in het feit dat spammers het deel voor de @ van werkende e-mail adressen combineren met andere domeinnamen en dat dergelijke lijsten die door spammers worden gebruikt in alfabetische volgorde worden gesorteerd. Al lukte het Clayton niet om dit met behulp van zijn onderzoek te onderbouwen.

Wel concludeert Clayton dat er een grote slag kan worden gemaakt wanneer spamfilter bewust zijn van welke e-mail adressen echt bestaan en welke niet, omdat ruim de helft van de e-mails die de Demon mailservers bereikten niet voor een bestaande e-mail adres bestemd waren.

Een phisher die AOL-abonnees jarenlang heeft bestookt met elektronische wenskaarten spam, is veroordeeld tot 7 jaar gevangenisstraf plus nog 3 jaar toezicht na zijn vrijlating. De phisher werkte als volgt: Zodra de slachtoffers op de link klikte waarmee de wenskaart kon worden opgehaald kregen ze geen wenskaart in beeld, maar werd er malware geïnstalleerd.

De malware zorgde er voor dat zodra de abonnees bij AOL probeerden in te loggen ze werden doorgestuurd naar een nagemaakte AOL-website van de phisher. Hier werden allerlei gegevens gevraagd zoals credit card nummers en persoonlijke informatie. Slachtoffers die weigerden de gegevens in te vullen konden niet meer inloggen bij AOL.

De bewuste phisher, Michael Dolan, amper 24 jaar oud, heeft in de vier jaar tijd (2002 tot 2006), dat hij zich met dezphishing praktijken bezig heeft gehouden van enkele honderden slachtoffers ruim 400.000 dollar weten te stelen.

Dolan is geen lieverdje, gezien hij al eerder tot 9 maanden voorwaardelijke celstraf was veroordeeld vanwege computervredebreuk en die straf toch moest uitzitten omdat de rechter ontdekte dat hij het land uit was gereisd. Gezien zijn voorgeschiedenis, is Dolan veroordeeld tot de maximale straf van 7 jaar op water en brood. Na zijn celstraf staat Dolan nog 3 jaar onder toezicht, wat betekent dat hij de komende 10 jaar geen computer meer mag aanraken!

Een nieuw soort spam bevat links naar gehackte websites met daarop één en de zelfde niet bestaande PornoTube video, waarbij een waarschuwing wordt gegeven dat een bepaalde ActiveX video component moet worden geïnstalleerd om de bewuste video te kunnen bekijken. Wat de internetter installeert is natuurlijk geen video component maar een trojan, die zodra geïnstalleerd er voor zorgt dat de geïnfecteerde machine zelf ook de bewuste spam gaat rondsturen.

Tot nu toe heeft F-Secure maar liefst 74 gehackte websites geïdentificeerd die de trojan verspreiden. Daarnaast bedient de spam zich ook van een legio aan onderwerpen al: “London rocked by gas attack, army on high alert?”, “Eiffel Tower suffers structural damage, collapse possible?”, Britney found hanged in locker room?, Paris Hilton found to be gay!? en nog meer.

Deze aanval laat maar weer eens zien dat spammers hun tactieken telkens verder ontwikkelen, wat valt mij opvalt aan deze nieuwe aanval en tactiek van de spammers is dat de spammers:

• 74 websites hebben gehackt (en dat zijn er vast nog veel meer);
• verschillende e-mail onderwerpen gebruiken om te verleiden om de spam te openen;
• de betrouwbaarheid van een populaire website misbruiken om geloofwaardig te lijken;
• populaire content (porno) in het vooruitzicht stellen om een trojan te laten installeren;
• de nieuw geïnfecteerde machines misbruiken om nog meer spam te verspreiden;
• door de werkwijze een sneeuwbal effect veroorzaken, waardoor de aanval door blijft gaan.

In de afgelopen maand mei is de hoeveelheid spam weer toegenomen tot het hoogst niveau in 15 maanden. De belangrijkste oorzaak van de toename is het feit dat spammers misbruik maken van gratis e-mail diensten als Gmail, Hotmail en Yahoo! om hun spam te versturen, stelt het MessageLabs Intelligence mei 2008 (PDF). Doordat spammers CAPTCHA’s weten te kraken, geautomatiseerd of geoutsourced naar sweathouses in India, kunnen spammers duizenden e-mail accounts aanmaken en spam versturen via betrouwbare mailservers.

Daarnaast misbruiken spammers tegenwoordig ook gratis hosting services, de kalender toepassing in Google Apps wordt misbruikt voor het sturen van spam met een ‘invite.ics’ bestand dat automatisch wordt toegevoegd aan de agenda van de ontvanger en op het ingestelde moment wordt de ontvanger er aan herinnerd dat hij een afspraak heeft. Ook worden diensten als Google Docs en PasteBin websites misbruikt om het daadwerkelijke spam bericht op te plaatsen en enkel een link daar naar in de spam zelf op te nemen.

Twee Nederlandse spammers en hun bedrijven Abodata V.O.F. en H.P.T. Development B.V. hebben van telecomwaakhond OPTA boetes gekregen van totaal 510.000 euro. De spammers stuurden berichten waarin thuiswerk baantjes werden aangenomen, om te solliciteren moest met een duur 0900-nummer worden gebeld. Bellers werden tientallen minuten in de wacht gezet of zo lang mogelijk aan de lijn gehouden, om zo de winst te maximaliseren.

Lees verder »