Categories
Social Links

Spam verslag ultimo 2011

Hoeveel spam er per jaar ondanks het blokkeren van ip-ranges en preventief filteren op verdachte landen en begrippen uiteindelijk in een van mijn mailboxen belandt is niet bekend. Het aantal is op zich ook niet interessant, veel zinniger is het namelijk om de trends, de beweging nauwkeurig te volgen.

Net als miljoenen internetters merk ik echt wel wanneer een groot botnet is neergehaald, het aantal ellende neemt dan snel af. Bij botnets lijkt het vaak te gaan om één soort e-mail overlast, het wegvallen van pillenspam of spam met trojans valt dan snel op. Ondanks de bovengenoemde maatregelen, want 100% dichttimmeren van mailboxen is een illusie, er sijpelt altijd wat door.

Wat afgelopen jaar is opgevallen, is een toename van het aantal mails dat weer verwijst naar besmette websites waar trojans, virussen en andere ellende wacht om als bestand te worden gedownload. Het is op het eerste gezicht een slimme aanpak, de berichten wekken de indruk dat met enige spoed een factuur moet worden betaald of een creditnota moet worden bekeken. De mails zijn overigens opgesteld in het Nederlands, niet foutloos en vooral aan de datum opmaak valt te zien dat er oorsprong een andere taal moet zijn geweest. Dat bestand zelf wordt niet meegestuurd, de meeste AV scanners zouden de besmetting dan direct elimineren. Wat de bedoeling is, is dat de argeloze maillezer een link aanklikt die default verwijst naar gehackte websites. Daar bevindt zich enkele lagen diep in de directory structuur een ingepakt bestand met voorspelbare namen als invoice, factuur, nota, tegoed.

Binnenhalen en openen van dat bestand is natuurlijk het begin van veel ellende voor de mailer. Maar wat deze aanpak zo opmerkelijk maakt is dat het aantal besmette websites beperkt blijkt te zijn tot maar enkele grotere hosters: register.it, mclink.eu, lunarpages.com, godaddy zijn namen die meer dan 75% van besmette sites hosten. Dat hint op twee mogelijkheden: Of de klanten van deze bedrijven zijn minder slim dan die van andere hosters en hebben niet door besmette sites te exploiteren. Of de hosters zelfs zijn dom, want besmet door onoplettendheid of erger gedrag.

Dat de adressen, ip reeksen van waaruit deze spamruns, die inmiddels al weer twee maanden duurt, voornamelijk komen uit de bekende vuile landen zal geen verbazing wekken. De sterke opkomst van India als spamnest wordt er ook door bevestigd. Maar dat via het netwerk van Comcast business een ip adres al maanden spam kan blijven spuiten, dat roept toch de nodige vragen op. Is deze spamrun dan echt zo slim in elkaar gezet dat de gekaapte mailservers keer op keer weer kunnen worden overgenomen?

Return-Path:
 Received: from helios1.orcutt-schools.net ([72.55.11.27])
 by mxdrop237.xs4all.nl (8.13.8/8.13.8) with ESMTP id pBJCDisH070090;
 Mon, 19 Dec 2011 13:13:46 +0100 (CET)
 (envelope-from mizoly@midcoast.com)
 Received: from [10.9.211.1] by helios1.orcutt-schools.net id kkoyPT0mdkNh with SMTP; Mon, 19 Dec 2011 03:59:42 -0800
 Date: Mon, 19 Dec 2011 03:59:42 -0800
 From: "CFX Group."
 X-Mailer: The Bat! (v4.7.81.2) Educational
 X-Priority: 3 (Normal)
 Message-ID:
 To:
 Subject: Factuur 682830-155588.
 MIME-Version: 1.0
 Content-Type: text/plain;
 charset="windows-1252"
 Content-Transfer-Encoding: 8bit
 X-XS4ALL-DNSBL-Checked: mxdrop237.xs4all.nl checked 72.55.11.27 against DNS blacklists
 X-CNFS-Analysis: v=1.1 cv=BV6iOS6O7aV3pd42iKzuhu9AXfb4rD1J2pLXhYW4ImA= c=1
 sm=0 p=76LBO7OwAAAA:8 a=cDDE9NoihckA:10 a=N659UExz7-8A:10
 a=uA1vKmRIfkVXBH0uhG458w==:17 a=MoAiMJiWFkhMIebOR3cA:9
 a=pILNOxqGKmIA:10 a=C_0oZ18eZWAA:10 a=EGvyxxx8gKkA:10
 a=uA1vKmRIfkVXBH0uhG458w==:117
 […..]
 Envelope-To: *
Goedendag, ***.
 U heeft uitgegeven factuur #275498-604001 van 11/30/2011.
 Het moet worden betaald voor 01.21.2011 17:00

http://gehacktewebsitenaam/docdown/Account.zip?idinvoice=6708549Firma=*@***.nl

(het kan natuurlijk ook dat Comcast respectievelijk orcutt-schools weigert op spammeldingen te reageren. Maar ergens klinkt dat onlogisch)

Comments are closed.