image

Beveiligingsbedrijf ontdekt wereldwijd scamnetwerk

zondag 5 januari 2014, 13:13 door Redactie, 6 reacties

Bij het onderzoek naar een verdachte domeinnaam heeft beveiligingsbedrijf Blue Coat een wereldwijd scamnetwerk ontdekt, zo laat het zelf weten. Het onderzoek begon met de domeinnaam seamaster.pw, dat voornamelijk bezoekers krijgt die afkomstig zijn van advertenties op Yahoo.

Het domein seamaster.pw stuurt bezoekers weer door naar het domein sebcotrk.com. Dit blijkt een soort van knooppunt voor internationale scamsites te zijn. Bezoekers worden via dit domein naar allerlei verschillende scamsites doorgestuurd, waar er op allerlei manieren geprobeerd wordt gegevens te verzamelen. Zo is er een Indiase website die mensen laat geloven dat ze rijk kunnen worden door thuis te werken.

Een Amerikaanse website geeft zogenaamd advies over het aanvragen van een faillissement en vraagt hiervoor allerlei informatie, zoals inkomen, e-mailadres, telefoonnummer en adresgegevens. Ook zijn er verschillende Chinese, Portugese en Poolse websites waar bezoekers zogenaamd iPhones en iPads kunnen winnen door aan een quiz mee te doen of bepaalde gegevens in te vullen.

Deze gegevens kunnen vervolgens weer worden gebruikt voor spam of andere doeleinden. Aangezien veel domeinnamen eindigend op .pw betrokken zijn bij spam, had Bluecoat vorig jaar al geadviseerd om dit top level domein geheel te blokkeren.

Reacties (6)
05-01-2014, 13:28 door Anoniem
De PW registrar zorgt er wel degelijk voor dat slechte domeinen snel verdwijnen als je ze rapporteert.

Ook in Nederland wordt er geadverteerd met wedstrijden om een gratis iPhones of andere hebbedingetje te "winnen". Daar zitten een aantal bedrijven achter, waaronder Aldaniti en Webbdone/Cerberoos. Ze vragen om een 06-nummer of om een email adres. In de kleine lettertjes staat dat het 06-nummer een (veel te duur) abonnement aangaat, en bij de email gaat het om het delen van dat adres met een groep andere bedrijven, waaronder Consomeo, Afillinet GmbH, Heine, en via hen de Staatsloterij, Wehkamp, ANWB en goede doelen. Vooral dat laatste is een slechte zaak, want als je aan een goed doel geeft, wil je niet dat er een gewetenloze marketing partij daar een flinke commissie vanaf haalt.
05-01-2014, 15:19 door Anoniem
"De PW registrar zorgt er wel degelijk voor dat slechte domeinen snel verdwijnen als je ze rapporteert."

Ik heb ook weinig probleem met het uit de lucht halen van dit soort domeinen, via het abuse proces. Hebben deze onderzoekers dat ook geprobeerd ?
05-01-2014, 16:33 door Anoniem
First, we're seeing a *lot* of ".PW" domains involved in spam these days. In fact, unless you've got customers in Palau, you should probably consider blocking anything on their TLD (top-level domain).
http://bluecoat.com/security-blog/2013-05-07/health-and-finance-spam-version-death-and-taxes

1) Voor spam dreigingen hoef je toch geen hele Country code top-level domains te gaan blokkeren?
Want als je online niets invult, hoe worden de spamlijsten dan aangemaakt?

Aangezien veel domeinnamen eindigend op .pw betrokken zijn bij spam, had Bluecoat vorig jaar al geadviseerd om dit top level domein geheel te blokkeren.

2) Niet voor spam denk ik dus, Interessanter in geval van veel gehoste malware onder sommige landen domeinen.

Maar Hoe Blokkeer je een Heel Country Top Level Domein ?
(zonder alle ip reeksen die onder dat domein vallen te blokkeren)

Het is mij nooit gelukt om op basis van de country domein extensies een complete firewall rule aan te maken.
Wel een simpele truc bedacht om jezelf enigszins te kunnen beschermen tegen sommige country domeinen die relatief veel malware hosten.
Op een twijfelachtig domein zit je voordat je er erg in hebt, ook al let je op.

Simpel en ik denk behoorlijk doeltreffend
https://www.security.nl/posting/373906#posting373936
(zie punt 5e punt : "Malware domains 5)"
05-01-2014, 18:00 door Briolet - Bijgewerkt: 05-01-2014, 18:04
Door Anoniem:Want als je online niets invult, hoe worden de spamlijsten dan aangemaakt?

Dat gaat lang niet alleen door handmatig aangeven.
- Als een zendend IP een hoog percentages van bounced mail heeft, kan hij ook op een spamlijst terecht komen.
- Een andere techniek is het zorgen dat fake mail-adressen in de lijst van spammers terechtkomen. Vervolgens weet je dat elk mailtje naar zo'n adres van een spammer is. Als een spammer duizenden mailtjes verstuurt, kan hij niet makkelijk ontdekken welk mail adres zo'n trapadres is en dat adres kan kan lang in zijn bestand blijven omdat het ook altijd netjes afgeleverd wordt.

Bij beide methodes kun je volautomatisch IP adressen in een spam bloklist zetten.
05-01-2014, 18:52 door Anoniem
"Het is mij nooit gelukt om op basis van de country domein extensies een complete firewall rule aan te maken."

Dan zit je op het verkeerde level te werken. Je moet natuurlijk niet op netwerknivo werken want dan kun je alleen
rules maken op IP adres nivo zoals je al zegt.
Maar zit je op level 7 dan kun je bijvoorbeeld URLs blokkeren of DNS requests die vanuit je netwerk komen.
Heb je bijvoorbeeld een proxy server (dus level 7) ertussen dan kun je daar simpel toplevel domains in blokkeren.

Wel is het altijd een beetje link. Bijvoorbeeld vanwege de rotzooi zou je graag .ms blokkeren maar een tijdje geleden
is Microsoft dat domein ineens voor eigen doelen gaan misbruiken en als je .ms blokkeert dan werkt je outlook mail
of office365 ineens niet goed meer.
Zo iets zou ook met .pw kunnen gebeuren.
06-01-2014, 14:40 door Anoniem
@ 18:52 door Anoniem
Dank voor de info!
Aardig als dat in het advies erbij vermeld was geweest, want dan was duidelijk geweest dat dit geen eenvoudige-doe-het-zelf-even optie is voor een gemiddelde computer gebruiker, namelijk; het bezitten / in gebruik nemen / kunnen configureren van een (proxy) server.
Servers zijn vaak niet aanwezig in kleine gebruiksomgevingen of bij gewone thuisgebruikers.

Ik heb eens gekeken welke software voor firewall Level 7 beheer nodig is, ik zie onder andere "AppArmor" (voor OS X) voorbij komen in de zoektocht.
Ironie is wel weer dat voor meer informatie rondom het gebruik daarvan ik zoekresultaten krijg op onder meer de domenen .ru, .biz, .ee (estonia?) . Domeinen juist waarvoor ik de rule zou willen instellen (ha!).
Vooralsnog is (ook voor mij) eerst een netwerk opzetten met gebruik van een (proxy) server een veel grotere hobbel en daarmee een (overigens interessant) middel dat erger (zwaarder) is dan de kwaal.

De professionele oplossing en aanpak met het blokkeren op het Level 7 niveau hebben dan concreet twee nadelen (lastigheidjes) ;
- hoge graad van IT vaardigheden vereist
- (soms) te rigide, omdat natuurlijk niet alle websites onder deze domeinen spamhosters zijn of besmet met malware hoeven te zijn, of er zelfs functionele benodigde adressen tussen kunnen zitten (exceptionrules/websites instellen dan?).

Alternatief, in dat geval is de verzonnen huis tuin en keuken oplossing (onder gegeven link) misschien het proberen waard (al dan niet met wat creatieve variatie).
Het is erg laagdrempelig (ook voor thuisgebruikers), je blokkeert een country toplevel domein niet totaal, maar filtert de content op een (denk ik) vrij effectieve manier door de functionaliteit van de webpagina flink te beperken. Dat geeft je dan de mogelijkheid om met wat minder risico de basis content te beoordelen op basis van de in simpel-layout weergegeven tekst informatie.
Wanneer je dit doet in combinatie met bijvoorbeeld NoScript (en eventueel nog wat maatregelen neemt) denk ik dat je risico op rottigheid flink naar beneden hebt gebracht. *

Met gegeven oplossing heb je ook geen last van de .ms hobbel, tenzij je tekstverwerkingsproces binnen het browser proces zou plaatsvinden, wat weer niet het geval is.

* Met de mogelijke uitzondering op het Spam verhaal, want daar heb ik nog vragen over:
@18:00, is wat je beschrijft niet een oplossing voor het reeds ontstane probleem, namelijk als je dan spam ontvangt of het voorkomen van spam door een fake adres in te vullen?

Ik vroeg (en vraag mij nog steeds) af of je op een spam lijst terecht kan komen, simpel en alleen door een website bezocht te hebben.
Zouden spam mailadressen effectief gecreëerd kunnen worden op basis van bijvoorbeeld je ip-adres informatie?
Kan er een werkend email adres gegenereerd worden op basis van bijvoorbeeld de reverse dns naam die bij je ip adres hoort (mits je niet aan het browsen bent via een proxy service natuurlijk).
Dat is namelijk nog informatie die je over jezelf achterlaat ook als je geen informatie invult op een webformulier (waarbij ik ervan uitga dat je de webform-autofill functie op basis van je lokale adres boek is uitgeschakeld, want dat is misschien ook een route die via 'slim webdesign' nog effectief bewandeld zou kunnen worden.

Kortom, is (en op welke manieren) het mogelijk voor een website beheerder om spam adressen te genereren zonder dat de gebruiker actief informatie invult op een websiteformulier?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.