Update blogpost “Webshop is gehackt”

Afgelopen zaterdag maakte ik op dit blog melding van een gehackte webshop in Duitsland. Dat bericht behoeft enige correctie, want er is nieuws te melden.

Ook ik ontving spam voor het overstappen van ziektekostenverzekeraar, net als veel klanten van Mindfactory. Echter, ik ben geen klant van Mindfactory en het e-mail adres waarop ik de wervende boodschap kreeg eindigt op .NL. Met andere woorden de spamactie gaat breder en daarmee wordt het raadsel groter. Want hoe komt deze “verzekeringsmaatschappij” aan de adressen.

Het adres waarop ik de spam heb gekregen wordt door de provider gefilterd, dat de mail in mijn inbox belandde lijkt een indicatie dat de Nederlandse spamfilters het type bericht nog niet veel zijn tegengekomen.

Uiteraard ben ik zelf gaan spitten, want dit lijkt een omvangrijke zaak te zijn (Google: About 641,000 results in 0.22 seconds) . Omdat Mindfactory een computerboer is en mijn bespamde adres ook wordt gebruikt voor bestellingen bij de vanuit Duitsland opererende keten Alternate vermoedde ik dat dat de link zou zijn. Een aantal databases van computerwinkels achterover gedrukt – misschien in het datacenter waar deze partijen gehost worden, of bij een gemeenschappelijke logistieke partner – en dan maar spammen. Het adres gebruik ik bij nader inzien echter ook voor enkele andere “duitse” activiteiten, waaronder een Duitse reisboekingssite.

Verder struinend over het net heb ik inmiddels gevonden dat de spamrun afkomstig is vanuit Duitsland, de mailhoster in kwestie Aquatrix heeft veel weg van een blackhat. Dat is jargon voor spamvriendelijke hoster. De domeinnaam waarvoor wordt geworven is geregistreerd bij dezelfde provider, maar dan op locatie Belize. Ook een aantal in Nederland actieve spammers pretendeert daar te zijn gevestigd.

In Belize staat bij deze partij werkelijk een heel rits domeinnamen geregistreerd met daarin de letter PKV, wat de Duitse afkorting is voor particuliere ziektekostenverzekering. In de snelligheid kwam ik tot ruim 50 namen. Er is dus  overduidelijk sprake van een grootschalige voorbereide en opgezette actie.

De bedoeling van de spam actie is niet helemaal duidelijk. Op een forum las ik dat een Duitse gebruiker bestaande gegevens heeft ingevuld en hij ook daadwerkelijk is benaderd door een tussenpersoon met het voorstel de verzekering elders onder te brengen. De tussenpersoon was echter niet gediend van de sommatie binnen 48 uur schriftelijk de herkomst van de gegevens bekend te maken. Dus wellicht dat via die route nog na aangifte en dreiging met een rechtszaak iets kan worden gehaald. Ook tegen de spammende hoster Aquatrix lijkt actie te worden ondernomen, wegens het niet beantwoorden van abuse klachten. (Duits recht is duidelijk anders)[bron].

De spamactie kan trouwens ook nog twee andere doelen hebben: het massaal valideren van gestolen adressen en het verkrijgen van de achterliggende NAW. Dat laatste gebeurt dan omdat bij het fake verzekeringsoverstapformulier het nodige wordt gevraagd

Gelet op de omvang van de operatie en de “inzet” lijkt het me sterk dat dit onder de radar van toezichthouders en openbaar ministerie blijft. In Duitsland dan, want de kans dat OPTA iets met de klachten zal doen acht ik uitgesloten.

De mail ziet er trouwens zo uit (adres en codes gemunged):

From: Corinna Schulze
To: [ik-dus]@planet.nl
Subject: Re: Ihre Anfrage Nr. 270- – -07987
Message-Id: <20110211105126.2DFF3F32AFF@mail11.clayton-lawyers.com>
Date: Fri, 11 Feb 2011 11:51:26 +0100 (CET)
Return-Path: messaging1@clayton-lawyers.com
X-OriginalArrivalTime: 11 Feb 2011 10:52:41.0275 (UTC) FILETIME=[CE14D8B0:01CBC9D9]
X-RcptDomain: planet.nl
Guten Tag Mitglied 334698,
haben Sie es leid, jeden Monat viel Geld von Ihrem Gehalt für Ihre Kranke=
nkasse auszugeben? Hätten Sie gerne mehr netto – und das jeden Monat?
Sparen Sie ab jetzt mit unserem gratis Online Check mehr als 2400 Euro pro
Jahr und werden sie endlich auch zum Patienten der 1. Klasse.
Fordern Sie noch heute unseren gratis Tarifvergleich an, denn bereits ueber
10.000 Kunden wurden durch unsere Experten wirksam beraten.
Gratis Vergleich anfordern:=20
http://t.pkv-februar.net/M87- – – 68/47.html
Nutzen Sie alle Vorteile:
– bis zu 50% sparen
– Chefarzt nach Wunsch
– Medikamente ohne Zuzahlung
– Beitraege steuerlich absetzen
– Erstattung fuer Zahnersatz
Verlgeichen Sie kostenlos, auch wenn Sie bereits in der PKV versichert sind=
:
http://t.pkv-februar.net/M878- – -8/47.html
Viele Grüsse,=20

Corinna Schulze