Spammers misbruiken zombies op nieuwe manier
Het aantal spamberichten dat direct via zogenaamde "zombie PCs" verstuurd wordt, mag dan zijn afgenomen, de hoeveelheid spam is nog altijd stijgende. Onderzoek van filterbedrijf MessageLabs op 1 oktober 2004, waarbij naar binnenkomende verbindingen op haar honeypot servers gekeken werd, liet zien dat 79% van de verbindingen van "open proxy" computers afkomstig was (meestal computers die door een worm of Trojaans paard besmet zijn). Dezelfde test in februari van dit jaar liet zien dat het percentagen naar 59% gedaald was. De hoeveelheid spam was echter van 72% in september 2004, naar 83% in januari 2005 gestegen. Dit zou moeten aantonen dat spammers hun tactiek veranderen om zo de verdediging van ISPs te omzeilen. "Sommige ISPs blokkeren nu standaard TCP poort 25 (SMTP), of stellen verplicht dat berichten via de e-mailserver van de ISP verstuurd worden, waardoor spammers nu nieuwe manieren gebruiken. Software, zoals Send-Safe, laat spammers via de "proxy lock" functie spam via de mailserver van de ISP van de zombie computer versturen, een aanpak die, als we naar de resultaten kijken, succesvol voor de spammers is." zo laat Paul Wood van MessageLabs weten.
Ik ontvang op een oud mailadres zo'n 10 tot 30 spams per
dag. Daarvan is nog steeds het grootste deel direct
afkomstig van PC's, waarvan de meeste onder APNIC vallen
(China, Korea, Taiwan etc). Dat deze direct afkomstig is van
een (mogelijk gekraakte) PC is vaak direct te zien aan de
eerste "externe" received header, nl. als ze tijdens de
SMTP-handshake (HELO/EHLO) als hostname het IP-adres op van
do ontvangende mailserver van mijn ISP opgeven. Geen enkele
zendende ISP mailserver doet zoiets achterlijks. Waarom
spammers dit doen snap ik ook niet, want het is makkelijk
filteren zo en spamhaters die serieus naar headers kijken
misleid je hier natuurlijk niet mee. Ook als ze dit niet
doen zijn daaropvolgende received headers vaak overduidelijk
gespoofed, met enige ervaring zie je dat zo.
Daarnaast zie ik weleen stijgende trend van spam die
direct vanaf mailservers van spammers zelf wordt
verzonden, verreweg de meeste in de USA, die kennelijk
proberen aan de daar geldende wettten te voldoen. Zij
spoofen dan ook geen afzender adressen en in sommige XXX
spam wordt in het subject zelfs "SEXUALLY-EXPLICIT"
vermeld. Typische hostnames zijn bijv. offerscentral.info,
advertisingbiz.us en marketsourcellc.net (typische IP-ranges
van de zendende mailservers zijn bijv. 66.154.96.0/19 en
65.217.54.0/27).
Op een paar 419-scams na heb ik het afgelopen jaar echter
zelden spam ontvangen die via een ISP mailserver was
verzonden, en zie daar ook zeker geen stijgende trend in.
Ik sluit niet uit dat SendSafe vooral wordt gebruikt bij
spamruns gericht op klanten van zeer grote ISP's (Hotmail,
Yahoo en dus ook bedrijven als Messaglabs). Maar ik sluit
ook niet uit dat het MessageLabs verhaal gewoon FUD is.
Erik
zombies die rechtstreeks naar de outbound mailserver stuurden. Gelukkig
werd ook UITgaande mail op spam gefilterd. Maar het is zeker een
verschijnsel in opkomst. Automatische scans EN direct afsluiten is het
enige wat echt helpt.
eg wel
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
