De alliantie van spammers, oplichters en virusmakers

Eerst het goede nieuws. Er was in 2005 een stuk minder Nederlandstalige spam dan in 2004. Dat is voor een belangrijk deel te danken aan het spamverbod dat in mei 2004 in Nederland van kracht werd. Sindsdien is het aantal Nederlandstalige spamruns fors afgenomen – een trend die in de tweede helft van 2004 al duidelijk zichtbaar was.

Het krachtdadige optreden van de OPTA heeft ervoor gezorgd dat Nederlandse spammers zich nu wel twee keer bedenken voor ze een spamrun de deur uitdoen. De toezichthouder deelt flinke boetes uit. Deze week nog werden Speko (het bedrijf achter de beruchte hypotheekspam van Akin Franks), Van Leerdam’s en Zmart voor in totaal 60.000 euro beboet.

Het beleid van de OPTA werpt duidelijk zijn vruchten af. Volgens Rejo Zenger (Spamvrij.nl) zijn er nu gemiddeld vijftien Nederlandstalige spamruns per maand. Een heel verschil met begin vorig jaar, toen er in één maand tien keer zoveel spamruns waren.

Een ander verschil is dat de meeste spamruns destijds waren gericht op consumenten. Spammers verstuurden hun mails aan iedereen van wie ze een e-mailadres hadden. Tegenwoordig richten Nederlandstalige spammers zich vooral op bedrijven: een doelgroep die op dit moment nog wel straffeloos mag worden gemaild.

Nog meer goed nieuws: over een tijdje mogen spammers ook geen berichten meer sturen naar Nederlandse bedrijven. Minister Laurens Jan Brinkhorst (Economische Zaken) wil ook bedrijven een wettelijke bescherming bieden tegen spam, zo kondigde hij eind 2004 aan. Vermoedelijk zal deze nieuwe regel in de tweede helft van 2006 van kracht worden.

Herkomst spam

Dan nu het slechte nieuws: de hoeveelheid spam is dit jaar wereldwijd niet noemenswaardig afgenomen. Het merendeel van alle verstuurde e-mail blijft spam. De laatste maanden is met name de spam voor ‘interessante aandelen’ weer in opmars.

Wel is er een verschuiving zichtbaar van de herkomst van de spam. Was begin 2004 volgens het beveiligingsbedrijf Sophos nog 57 procent van de spam afkomstig uit de Verenigde Staten, volgens de laatste meting is dit percentage gedaald naar 26 procent. Landen als Zuid-Korea (goed voor 20 procent van alle spam wereldwijd) en China (16 procent) zijn sterk in opmars als .

Spammers zoeken net als water het laagste punt op. Nu er in Europa en de Verenigde Staten antispamwetgeving van kracht is, zoeken zij steeds meer hun heil elders, waar de autoriteiten geen moeilijke vragen stellen en providers ‘bullet-proof’ hosting aanbieden.

Martijn Bevelander

Daarnaast nemen spammers steeds meer hun toevlucht tot het gebruik van open proxies – een trend die al jaren zichtbaar is, maar onverminderd doorgaat. Dankzij deze open proxies kunnen spammers hun identiteit verhullen. De computers die dienst doen als open proxies, zijn vaak besmet met virussen, zoals het Sober-virus (waarover zo meer), en/of Trojaanse paarden. Spammers versturen hun berichten via deze geïnfecteerde pc’s en blijven zo zelf buiten schot.

Hoewel spammers het de autoriteiten en spambestrijders moeilijk maken met het gebruik van open proxies, lukt het toch geregeld om spammers die op deze manier te werk gaan, te ontmaskeren. Dit gebeurt bijvoorbeeld door gebruik te maken van zogeheten proxypots (een samenvoeging van ‘open proxy’ en ‘honeypot’). Een proxypot is een computer die er van buiten uitziet als een open proxy, maar in feite in handen is van een spambestrijder. Doordat spammers proberen hun berichten via deze ‘open proxy’ te versturen, kan de eigenaar van de proxypot achterhalen wie er verantwoordelijk is voor een bepaalde spamrun. Op deze manier liep vorig jaar bijvoorbeeld het Nederlandse bedrijf Megaprovider van Martijn Bevelander tegen de lamp.

Eind mei laat de OPTA een inval doen bij Megaprovider, het internetbedrijf van Martijn Bevelander. Het is niet voor het eerst dat Bevelander in de problemen komt door zijn betrokkenheid bij spamactiviteiten. In maart 2004 werd hij al eens op de vingers getikt door de Amerikaanse Federal Trade Commission (FTC). De FTC legde Bevelander destijds een boete op van 25.000 dollar vanwege zijn betrokkenheid bij spampraktijken.

Uit een uitgebreid onderzoek dat Rejo Zenger eind juni publiceert, blijkt dat Megaprovider betrokken is geweest bij het op grote schaal versturen van spam. Het netwerk van Megaprovider blijkt verantwoordelijk voor tientallen spamruns voor zaken als Viagra, porno, dating en namaakhorloges.

Sober-virus

De werelden van spam, virussen en andere malware en oplichting beginnen steeds meer in elkaar over te lopen. Spam wordt steeds vaker ingezet door phishers: oplichters die naar persoonlijke gegevens van argeloze consumenten ‘vissen’. Bovendien worden spammers steeds afhankelijker van computers die zijn geïnfecteerd met virussen en Trojaanse paarden.

Een goed voorbeeld van de verwevenheid van spam en virussen is het Sober-virus. Dit virus, waarvan de eerste variant reeds in oktober 2003 opdook, zet bij besmette computers een achterdeurtje open, zodat spammers de machines kunnen misbruiken. Ook de virusmaker zelf maakt (hoogstwaarschijnlijk) misbruik van deze geïnfecteerde pc’s.

In mei is dat goed te zien als computers die zijn geïnfecteerd met een Sober-variant, opeens op commando grote hoeveelheden Duitstalige, nationalistisch getoonzette spam beginnen uit te braken. De berichten hebben onderwerpen als ‘Auslaender bevorzugt’, ‘Graeberschaendung auf bundesdeutsche Anordnung’ en ‘Volk wird nur zum zahlen gebraucht!’.

De maker van de Sober-virussen, die zichzelf ‘Odin’ (naar de Germaanse god) noemt, komt waarschijnlijk uit Duitsland. Nieuwe Sober-varianten slaan vaak als eerste toe in Duitsland. Ook zijn de mails waarmee het Sober-virus wordt verspreid, vaak zowel in het Engels als in het Duits.

In november slaat er een nieuwe Sober-variant toe. Sober.Z is het meest verspreide Sober-virus ooit. Het wachten is op een nieuwe spamactie die met behulp van de door Sober.Z besmette computers kan worden uitgevoerd. Volgens deskundigen die het virus hebben geanalyseerd, zal het startschot voor deze nieuwe spamgolf worden gegeven op 5 januari 2006, niet geheel toevallig ook de dag waarop ooit Hitlers NSDAP werd opgericht.

Mass-mailers

Sober is dit jaar één van de weinige grote zogeheten mass-mailers. Dit type virus, dat zichzelf op grote schaal via e-mail verspreidt, is nog niet verdwenen, maar zorgt wel voor minder overlast dan een paar jaar geleden, toen wormen als het ‘I Love You’-virus met de regelmaat van de klok de inboxen overspoelden en mailservers platlegden.

Veel van de andere mass-mailers die dit jaar hoog ‘scoren’ in de toptien van veel voorkomende virussen, dateren nog van vorig jaar. Het gaat daarbij bijvoorbeeld om een variant van het Netsky-virus uit 2004 van de al lang gearresteerde (en dit jaar veroordeelde) Duitse tiener Sven Jaschan.

Voor de afname van de mass-mailers zijn twee oorzaken aan te wijzen. De verspreiding van mass-mailers is vaak (maar lang niet altijd) het werk van middelbare scholieren die vaak niet al te goed nadenken over de gevolgen van hun acties. Over een eventuele straf hoefden zij zich vaak ook niet al te veel zorgen te maken. Zo ging de maker van het ‘I Love You’-virus in 2000 nog vrijuit, omdat er op de Filippijnen (waar hij vandaan kwam) geen wet tegen het verspreiden van virussen bestond.

In de afgelopen jaren zijn echter diverse virusmakers opgepakt en veroordeeld. De straffen lijken een afschrikkende werking te hebben. Virusmakers die ‘voor de lol’ een virus de wereld insturen, lijken af te haken.

Professionalisering

Tegelijkertijd is er sprake van professionalisering in de viruswereld: steeds meer makers van malware (virussen, Trojaanse paarden, spyware) doen het voor het geld. Ze creëren bijvoorbeeld netwerken van computers die ze met hun virussen hebben besmet. Dergelijke botnets ‘verkopen’ ze vervolgens door.

Behalve bij spammers zijn botnets ook in trek bij criminelen die proberen sites af te persen door te dreigen met grootschalige internetaanvallen. Ook fraude bij zogeheten affiliate-programma’s (waarbij internetters betaald krijgen voor het aanbrengen van klanten of gebruikers) is mogelijk met botnets.

De professionele malware-makers kiezen minder snel voor de verspreiding van mass-mailers, omdat dergelijke virussen veel publiciteit krijgen. Liever kiezen ze voor Trojaanse paarden, waarmee ze zich op een (relatief) kleine groep internetgebruikers richten. Dergelijke acties trekken minder aandacht, maar kunnen de cybercriminelen toch in staat stellen te doen wat ze willen: persoonlijke informatie (zoals bankgegevens) stelen van een gecompromitteerde pc bijvoorbeeld.

Een lucratieve business, zo blijkt als de Braziliaanse politie in maart de oplichter Valdir Paulo de Almeida arresteert. De Almeida heeft naar verluidt 37 miljoen buitgemaakt met het plunderen van bankrekeningen. Computers die waren geïnfecteerd met een trojan van De Almeida, stuurden automatisch wachtwoorden en dergelijke door op het moment dat de gebruiker een financiële site bezocht.

Lieve Postbank-klant

Een andere trend die dit jaar doorzet, is phishing. Nederlandse internetgebruikers krijgen in 2005 enkele malen te maken met phishing-berichten die zijn gericht op Postbank-klanten. De mails, die standaard beginnen met de aanhef ‘Lieve Postbank-klant’, bevatten een link die op het eerste gezicht van de Postbank is, maar de gebruiker in feite naar een – doorgaans Russische – pagina voert.

Of de Postbank-phishers net zoveel succes hebben met hun acties als De Almeida, valt te bezien. De Postbank doet de nodige moeite om zijn klanten te behoeden voor de phishers. Via berichten op internet, brieven en krantenadvertenties waarschuwt de bank klanten om vooral niet in te gaan om verzoeken per e-mail om persoonlijke gegevens te verstrekken.

Webcams

Tot slot een vermelding voor de origineelste malware-maker die in 2005 tegen de lamp liep. De Spanjaard, van wie alleen de initialen J.A.S. bekend zijn, verspreidde een Trojaans paard dat hem in staat stelde om de webcams die zijn aangesloten op geïnfecteerde computers, te bedienen. Bij de inval van de Spaanse politie, in januari, wordt de Madrileen op heterdaad betrapt: op zijn scherm zijn de webcams van nietsvermoedende internetters te zien.