De inval heeft eind mei plaatsgevonden in het kader van een spamonderzoek, zo heeft Webwereld van betrouwbare bronnen vernomen. Er zijn onder meer computers in beslaggenomen. Ook bij een datacenter waarvan Megaprovider gebruikmaakt, is een inval geweest.

De OPTA wil geen details verstrekken of de invallen bevestigen. “Wij geven nooit commentaar op lopende of vermeende lopende onderzoeken”, zegt Edwin van der Haar, woordvoerder van de telecomwaakhond. De OPTA is in Nederland belast met de handhaving van het spamverbod dat in mei vorig jaar van kracht werd.

Bij Megaprovider was woensdagochtend niemand bereikbaar voor commentaar.

Namaakhorloges

Uit een woensdag gepubliceerd onderzoek van de Nederlandse spambestrijder Rejo Zenger blijkt dat er het afgelopen jaar tientallen spamruns zijn geweest vanuit het netwerk van Megaprovider.

Op sommige dagen werden miljoenen spamberichten verstuurd vanaf de Haarlemse provider. De e-mails bevatten reclame voor zaken als Viagra, porno, dating en namaakhorloges.

Ook heeft Megaprovider in het afgelopen jaar diverse sites gehost die werden aangeprezen in spamberichten (zogeheten ‘spamvertized websites’). Het gaat daarbij om domeinen als Homepageshotties.com en Cheatinghousewifeservices.com.

Faciliteiten

Wat de precieze rol van Megaprovider is bij het versturen van de spam, is moeilijk te zeggen. Ruwweg zijn er drie mogelijkheden. De eerste is dat Megaprovider zelf verantwoordelijk is voor de spamruns.

Een tweede optie – volgens Zenger de meest waarschijnlijke – is dat spammers de berichten versturen met medeweten van Megaprovider. “Ik vermoed – met de nadruk op vermoed – dat Megaprovider vooral de faciliteiten aanbood waardoor anderen in de gelegenheid waren om zonder al te veel problemen spam te versturen”, stelt Zenger. “Megaprovider heeft de servers, de racks, de bandbreedte en mogelijkerwijs ook de applicaties die nodig zijn voor de verzending van de spam.”

De laatste mogelijkheid is dat spammers misbruik maken van het netwerk van Megaprovider, zonder dat het bedrijf daarvoor toestemming heeft gegeven. Dat kan bijvoorbeeld doordat de spammers gebruikmaken van gehackte computers van klanten van Megaprovider. In dat geval is de provider uiterst laks geweest met het behandelen van de talloze klachten die er ongetwijfeld over de spamruns zijn binnengekomen.

Paris Hilton

In maart 2004 werd Megaprovider ook al in verband gebracht met een spamrun (voor Paris Hilton-video’s). Toen luidde het verweer van Megaprovider dat een spammer misbruik had gemaakt van gehackte computers van twee dsl-klanten.

“Dat is de range voor dsl-gebruikers”, verklaarde Martijn Bevelander tegenover Webwereld toen hij vorig jaar werd geconfronteerd met de ip-adressen waarvandaan de Hilton-spam was gestuurd.

Diverse deskundigen plaatsten destijds hun vraagtekens bij de lezing van Megaprovider. Zij betwijfelden of de ip-adressen waar de spam vandaan kwam, daadwerkelijk werden gebruikt door dsl-abonnees.

Dirty range

Zenger kan zich niet voorstellen dat een spammer een jaar lang misbruik zou hebben gemaakt van de gehackte computers van dsl-klanten van Megaprovider. Hij wijst erop dat de spam elke keer wordt verstuurd vanaf een bepaalde serie (range) ip-adressen van Megaprovider. “Als dat al een dsl-range is, waarom wordt deze range dan zo zwaar getroffen door hacks, terwijl hun andere (lees: echte) dsl-range buiten schot blijft?”

De ip-adressen die zijn toegewezen aan Megaprovider staan vermeld op de Spamhaus Block List (SBL). De SBL is een toonaangevende zwarte lijst van spamadressen. De lijst wordt gebruikt door zogeheten backbones (netwerken die enorme hoeveelheden internetverkeer afhandelen) en internetaanbieders van over de hele wereld. Als je ip-adres op deze lijst staat, is de kans groot dat je e-mail niet aankomt bij de geadresseerde.

“Een normale beheerder zou zich al lang hebben afgevraagd waarom zijn ip-adressen op die lijst staan en het probleem hebben opgelost”, meent Zenger. Megaprovider heeft daarentegen niets met de spamklachten gedaan. “Er zijn genoeg aanwijzingen die er op duiden dat Megaprovider heel goed weet waar ze mee bezig is. De range die nu in beeld is, is een ‘dirty range’.”

FTC

In maart vorig jaar betaalde Martijn Bevelander, één van de drijvende krachten achter Megaprovider, 25.000 dollar aan de Amerikaanse Federal Trade Commission (FTC) vanwege zijn betrokkenheid bij spampraktijken.

Een woordvoerder van de FTC kan desgevraagd geen antwoord geven op de vraag of de handelswaakhond nu opnieuw onderzoek doet naar Bevelander of Megaprovider. “Ik kan geen commentaar geven op de vraag of de FTC op dit moment een onderzoek doet.”

“Ik kan wel zeggen, zonder commentaar te geven op een specifiek onderzoek, dat de FTC heeft samengewerkt en samenwerkt met de Nederlandse autoriteiten, waaronder de OPTA”, aldus de zegsman.

De FTC kwam Bevelander in 2003 op het spoor tijdens een onderzoek naar de Amerikaanse spammer Brian Westby. Westby moest uiteindelijk 87.500 dollar betalen aan de Amerikaanse handelswaakhond. Als onderdeel van de schikking met de FTC moesten Bevelander en Westby vorig jaar beloven dat zij zich nooit meer schuldig zouden maken aan het versturen van spamberichten met misleidende onderwerpen of vervalste afzendadressen (‘spoofing’).

Proxypot

Het ‘spoofen’ van de afzendadressen gebeurt doorgaans door de spam te versturen via zogeheten open proxies (in veel gevallen gehackte of besmette pc’s van internetgebruikers met een breedbandverbinding). Dat is ook gebeurd bij de spam die afkomstig is van het Megaprovider-netwerk.

De ontvanger van een spambericht dat via een open proxy is verstuurd, ziet alleen het ip-adres van de open proxy. Het is op basis van zo’n bericht onmogelijk om uit te vinden vanaf welk ip-adres een spammer zijn mails heeft aangeleverd bij de open proxy.

De spamactiviteiten vanaf Megaprovider zijn daarom achterhaald met zogeheten proxypots. Een proxypot is een valstrik voor spammers. ‘Van de buitenkant’ lijkt een proxypot op een open proxy. Op die manier worden spammers – die nu eenmaal graag gebruikmaken van open proxies om hun identiteit te verhullen – in de val gelokt. Ze sturen hun spam naar deze proxypot. Het verschil met een echte open proxy is echter dat de mail niet wordt doorgestuurd via een proxypot.

Miljoen geadresseerden

De eigenaar van de proxypot kan vervolgens de mail analyseren en zien waarvandaan de berichten zijn verstuurd. Ook valt er met behulp van dergelijke proxypots iets te zeggen over de omvang van een spamrun.

In het geval van de spamruns vanaf Megaprovider ging het om flinke hoeveelheden spam, zo blijkt. “Via een van de proxypots werd gedurende een viertal aaneengesloten dagen een poging gedaan om spam aan meer dan miljoen geadresseerden te sturen”, schrijft Zenger.

Aangezien de spammer waarschijnlijk heeft gebruikgemaakt van een groot aantal open proxies, zal de werkelijke hoeveelheid verstuurde spam een veelvoud daarvan bedragen. “Een beetje spammer gebruikt vele honderden, zoniet duizenden open proxies tegelijkertijd.”