Crawl/harvesting

De  phisher  kan  zelf  op  zoek  gaan  naar  e‐mailadressen.  Dit  kan  door  middel  van  zogenaamde  harvesting  (oogst)  programma’s  (‘crawlers’).  Dit  soort  programma’s  zoekt het internet af naar e‐mailadressen en slaat deze op, zodat de phisher ze kan  gebruiken. Het verkrijgen van dit soort programma’s is relatief simpel. Men kan ze  kopen,  maar  via  fora,  nieuwsgroepen  en  chatboxen  zijn  allerlei  doe‐het‐zelf  pakketten  gratis  te  downloaden.  Harvesting¹⁰  is  op  zichzelf  niet  illegaal;  ook  internet  marketeers  bedienen  zich  van  deze  software.  Door  de  brede  keuze  in  harvesting  programma’s  is  het  fenomeen  dat  programmaschrijvers  met  dit  soort  software graag willen laten zien hoe goed ze kunnen programmeren, op zijn retour  (wat  overigens  niet  geldt  voor  andere  software  voor  illegale  doeleinden).  Het nut  van harvesting neemt ondertussen af. Internetgebruikers worden voorzichtiger met  het  achterlaten  van  hun  e‐mailadres.  Als  deze  tegenwoordig  al  worden  gepubliceerd  op  een  website,  gebeurt  dat  vermomd.  Bijvoorbeeld  door  het  e‐ mailadres  helemaal  uit  te  schrijven  (naam<at>organisatie.nl),  het  als  plaatje  te  publiceren  of  de  @  te  vervangen  door  een  ander  symbool  (naam*organisatie.nl).  De harvesting programma’s zijn dan in theorie niet langer in staat deze constructies  te  herkennen  als  e‐mailadres.  In  de  wedloop  tegen  dit  soort  beschermingsconstructies  zijn  door  de  cybercrimineel  ook  daarvoor  oplossingen  gevonden. Alleen kost het toepassen van die oplossing tijd. Een harvest programma  kan echter niet te lang bezig zijn met het ontcijferen van een e‐mailadres en stapt  dan door naar het volgende.     “Geharveste e‐mailadressen zullen in de loop van de tijd steeds meer gaan bestaan  uit adressen van het type argeloze internetgebruiker.”     “Crawlers gaan niet willekeurig maar op een bepaalde manier te werk die typerend  is voor de crawler. Daardoor zijn combinaties van adressen in spamruns mogelijk te  herleiden  tot  de  crawler  waaruit  diens  populariteit  blijkt.  Kwetsbaarheden  (vulnerabillities) in de crawlers kunnen mogelijk worden gebruikt voor de bestrijding  (hoewel crawlen op zichzelf niet illegaal is).”    “Theoretisch is een crawlerprogramma te detecteren op het moment dat het actief          10

  Harvesting  is  midden  jaren  negentig  van  de  vorige  eeuw  uitgewerkt  als  onderdeel  van  het  Open  Archives  Initiative  (OAI)  voor  het  uitwisselen  van  gestructureerde  data  (www.dare.uva.nl/document/99739) en voor disseminatie van wetenschappelijke publicaties).  

websites en nieuwsgroepen op het internet ‘afgraast’, om vervolgens vast te stellen  waar  de  oogst  naar  toe  gaat.  Dat  heeft  alleen  zin  als  men  het  zoekgedrag  van  dergelijke programma’s kent zodat onderscheid kan worden gemaakt ten opzichte  van  internet  zoekmachines  die  continue  internetpagina’s  nalopen  om  hun  indexen  te actualiseren.”  

“Het  downloaden  van  een  crawlingprogramma  is  op  zichzelf  niet  strafbaar  maar  kan wel een indicatie zijn (red flag¹¹) voor mogelijke onrechtmatigheden.”  

Iedereen die gebruik maakt van eenzelfde harvestprogramma heeft een grote kans  uit  te  komen  bij  dezelfde  e‐mailadressen.  Die  krijgen  vervolgens  een  grote  hoeveelheid  spam  te  verwerken  uit  verschillende  hoeken  wat  de  kans  op  het  nemen  van  maatregelen  aan  de  gebruikerszijde  weer  groter  maakt.  De  harvester  kan juist uit zijn op dit type adres, maar de adrespakketten kunnen ook te eenzijdig  samengesteld raken zodat hij voor een alternatief kiest. Vermoedelijk is het laatste  het geval en zal harvesten in zijn ambachtelijke vorm wel voor blijven komen, maar  steeds minder opleveren. Dat wordt versterkt door het sleets worden van adressen.   

“Adresdatabases  zijn  te  onderscheiden  naar  het  soort  adressen  waaruit  ze  zijn  samengesteld,  hun  herkomst,  de  foute  (niet  werkzame)  adressen  etc.  Uit  oogpunt  van bestrijding is het interessant om na te gaan of uit verschillende spam aanvallen  een soort vingerafdruk is te destilleren van het gebruikte adressenbestand, zodat de  spam aanvallen mogelijk kunnen worden herleid tot eenzelfde bronbestand.”   

Daardoor  ontstaat  wellicht  ook  zicht  op  evoluties  die  in  adressenbestanden  zijn  waar te nemen. Dat inzicht heeft bijvoorbeeld waarde voor preventie: houders van  kwetsbare  e‐mailadressen  kunnen  worden  gewaarschuwd,  bestanden  kunnen  beter  worden  beveiligd,  eventuele  insiders  die  adresbestanden  kopiëren  en  verkopen kunnen mogelijk worden gedetecteerd. Bovendien kunnen de kwetsbare  adressen gericht in de gaten worden gehouden om mogelijk terug te slaan richting  phisher en/of adressenleverancier die er gebruik van maakt/maken. 

De  professionele  spammer  of  phisher  van  deze  tijd  harvest  niet  meer  zelf.  De  moeite die het kost, weegt niet op tegen het gemak waarmee pakketten adressen         

11

  Een  ‘red  flag’  is  een  aanwijzing  (irregulariteit)  die  op  zichzelf  onvoldoende  indiceert  voor  een  bepaalde onrechtmatigheid of crimineel gedrag  maar die wel extra aandacht verdient.  Een  combinatie  van meerdere red flags kan wel indiceren voor onrechtmatig of crimineel gedrag. Meestal duidt een red  flag zoals gebruikt in dit onderzoek op een atypische vorm van internetgedrag. 

tegen relatief lage kosten te verkrijgen zijn uit bronnen die zich op het verzamelen  van adressen hebben toegelegd. Bijvoorbeeld door het toepassen van de varianten  uit  de  volgende  paragrafen.  Vooral  spearphishing  is  gebaat  bij  specifieke  niet‐ willekeurig verzamelde adressen. 

“Voor zowel adresverkopers als phishers is het belangrijk om te weten of aan een  bepaalde  doelgroep  te  relateren  adressen  actief  zijn.  Dat  kunnen  ze  achterhalen  door ze tegen een inlogpagina aan te houden en de responsetijd te meten. Bij een  actief adres zal de responsetijd iets langer zijn dan bij een niet actief adres. Dit type  matching  kan  worden  gedetecteerd  in  logfiles  en  is  een  directe  indicatie  voor  op  handen zijnde phishing activiteiten.” 

2.6.2 Server hacking

Een  andere  optie  om  aan  e‐mailadressen  te  komen  is  door  in  te  breken  op  een  mailserver en  hier adressen uit te halen. Hiervoor is meer kennis nodig, dan voor  het toepassen van een harvesting programma en het risico om gepakt te worden is  groter. Het heeft wel een aantal voordelen: 

 de kans dat de adressen nog geldig zijn is groter; 

 de  phisher  kan  zelf  een  combinatie  van  doelwit  en  e‐mailadressen  maken,  waardoor de kans dat slachtoffers positief reageren, groter is. 

Een  variant  op  deze  vorm  is  inside  hacking.  De  phisher  zorgt  dan  dat  hij  een  persoon  binnen  een  organisatie  betaalt  of  dwingt  om  e‐mailadressen  van  personeelsleden of klanten aan hem te geven. 

Hack mailserver

Dader: 33 jarige systeembeheerder

“De dader had ontdekt dat de mailserver van bedrijf A draaide onder een oude PHP-versie met bekende kwetsbaarheden. Gebruikmakend van die kwetsbaarheid is hij binnen gegaan op de vaste plaats waar de passwords werden uitgelezen. Vervolgens heeft hij daarmee de directory-structuur van de hele server gelezen, waaronder een backup-directory. Deze backup werd gedownload. Daarin stond een bestand met alle e-mail accounts en wachtwoorden. Het bleef overigens niet bij deze hack; het werd een compleet uitgevoerde phishing. Via webmail is de dader vervolgens ingelogd op een bepaald account. In diens ‘verzonden berichten’ stond een link met een inlogcode en wachtwoord voor datgene waar het uiteindelijk om ging: toegang tot een nieuwe game.”

We maken onderscheid tussen twee vormen van inbraak: Inbraak op een exchange  server  en  inbraak  in  een  klantenbestand.  Inbraak  op  een  exchange  server  wil  zeggen  dat  de  hacker  de  mailserver  van  een  bedrijf  binnengaat  en  daar  het  adresboek van het bedrijf of van alle medewerkers kopieert. Op dezelfde wijze als  de  phisher  dit  soort  servers  met  bepaalde kwetsbaarheden  kan  opsporen,  kan de  bestrijding dat ook doen. Inbraak in een klantenbestand behelst bijvoorbeeld een  inbraak  bij  BOL.com,  Ebay  of  Amazon,  waarbij  de  gegevens  van  klanten  uit  de  databases worden gekopieerd. Deze manier geeft meteen de mogelijkheid tot het  harvesten  op  een  specifieke  doelgroep.  Dat  maakt  het  adressenbestand  waardevoller en daarmee veel duurder. 

Buying addresses 

Er  zijn  bedrijven  die  handelen  in  post‐  en  e‐mailadressen.  De  Gouden  Gids  is  daarvan een voorbeeld, maar ook de Kamer van Koophandel. Nu zijn er ook andere,  obscure, leveranciers die geen eisen stellen aan het gebruik van de adressen. Het  kopen van hun adressen brengt minder risico met zich mee dan het hacken van een  mailserver en neemt minder tijd in beslag. De phisher krijgt daarnaast de garantie  dat de adressen geldig zijn en kan zelfs van tevoren een doelgroep van slachtoffers  kiezen. Nadeel is dat het kopen van adressen geld kost en dus ten koste gaat van de  opbrengst van de phishing aanval. Bovendien levert de aankoop weer een internet‐  en een geldspoor op.    

“Sommige  actoren  die  phishingrollen  vervullen,  zullen  tijdens  voorbereidende  activiteiten  minder  actief  hun  handelingen  afschermen  omdat  ze  op  zichzelf  nog  niet crimineel bezig zijn en hun aandacht vooral zal uitgaan naar het camoufleren  van  de  uiteindelijke  aanval  zelf.  Detectie  van  deze  activiteiten  biedt  mogelijk  aanknopingspunten  voor  het  vaststellen  van  de  identiteit  van  actoren  in  daderrollen.”  

“Als de veronderstelling klopt dat het kopen van e‐mailadressen populairder is dan  het  zelf  harvesten,  dan  zullen  er  in  de  spam  en  phishing  praktijk  veel  dezelfde  adressen te zien zijn.”  

2.6.3 Malware

Onder de term malware gaat een scala aan programmaatjes schuil die zonder dat  de  gebruiker  het  weet  op  diens  computer  worden  geïnstalleerd,  om  vervolgens  allerlei informatie over de gebruiker te verzamelen, ongevraagd reclame te tonen  (pop‐ups)  of  delen  van  de  besturing  van  de  computer  over  te  nemen.  Wordt  dit 

soort  malware  (malicious  code)  gebruikt  om  gegevens  van  de  gebruiker  en  diens  computer te verzamelen dan spreken we van spyware. Binnen de MO van phishing  is spyware een aantrekkelijke vorm voor:   het verkrijgen van persoonlijke gegevens, zoals e‐mailadressen, welke sites zijn  bezocht, wachtwoorden (via keyloggers) etc.;   het beïnvloeden van de computer van de gebruiker zodat die boodschappen te  zien krijgt, de startpagina wordt aangepast, wordt doorgestuurd naar bepaalde  sites  of  dat  banners  die  op  het  scherm  verschijnen  een  andere  inhoud  meekrijgen (browser hijacking); 

 het  overnemen  van  de  computer  zodat  die  kan  worden  ingezet  voor  de  phishing activiteiten. In dit geval is de computer een ‘bot’ geworden en maakt  ze met vele andere geïnfecteerde computers deel uit van een ‘botnet’. Botnets  worden  o.a.  gebruikt  voor  het  verwerven  van  e‐mailadressen  van  specifieke  doelgroepen.  Hierbij  wordt  via  het  botnet  een  stukje  malware  verspreid  dat  van  iedere  bot  de  browser  log  leest  en  op  basis  hiervan  bepaalt  welke  gebruikers welke sites bezoeken.  

Zowel  de  zelfstandige  spammer  als  de  phisher  heeft  profijt  van  spyware.  Beiden  gaat  het  om  het  verwerven  van  e‐mailadressen  en  uiteindelijk  om  het  genereren  van  zoveel  mogelijk  traffic  naar  een  bepaalde  website.  Voor  de  traditionele  spammer is dat een website met een bepaald product of een type dienstverlening;  voor  de  klassieke  phisher  is  dat  zijn  spoof  site.  Gratis  gebruik  van  software  gaat  vaak  gepaard  met  het  moeten  dulden  van  reclameboodschappen  (waarmee  de  gebruiker  zich  overigens  meestal  akkoord  verklaard  door  het  aanvinken  van  een  license  agreement).  Hieraan  kan  ook  gemakkelijk  een  meer  schadelijke  code  zijn  gekoppeld.  Ook  programma’s  als  Microsoft  updates  maken  gebruik  van  miniprogramma’s  (ActiveX  controls)  waarmee  toegang  kan  worden  verkregen  tot  het besturingssysteem van een gebruiker. Zoals zo vaak, is spyware als legale vorm  van  informatieverzameling  gestart  en  bestaat  het  in  deze  vorm  nog  steeds  volop.  Internetshops  als  amazon.com  sturen  gebruikers  tips  op  basis  van  het  aankoopgedrag en in de vorm van cookies parkeren zij informatie op de computer  van de gebruiker waaraan deze bij een volgend sitebezoek kan worden herinnerd.    

“Phishers  maken  van  ActiveX  controls  en  (third  party)  cookies  gebruik  voor  het  gericht verzamelen van gegevens met vooral als doel om targetgroepen samen te  stellen en deze te verleiden tot het bezoeken van bepaalde sites.” 

Een  vorm  van  malware  die  niet  per  se  op  de  computer  van  de  gebruiker  is  genesteld, maar die zich op de bezochte website bevindt, heet cross‐site scripting 

(XSS).  Bij  deze  vorm  van  malware  wordt  op  de  website  een  stukje  code  geplaatst  dat  bij  de  websitebezoeker  toegang  zoekt  tot  cookies,  website  inhoud  en  andere  informatie  die  de  browser  nodig  heeft  om  het  internet  toegankelijk  te  maken.  Er  worden grofweg twee vormen van cross‐site scripting onderscheiden: onderbroken  en ononderbroken. De onderbroken variant komt verreweg het meeste voor, vaak  bij http zoekvariabelen en in HTML‐formulieren. Bij deze vorm wordt de code van  de pagina zo aangepast dat de pagina een foutje maakt bij het antwoorden naar de  browser.  De  gebruiker  ziet  het  niet  of  krijgt  een  minimale  foutmelding.  Door  het  foutje  van  de  pagina  is  de  aanvaller  echter  in  staat  om  verborgen  frames  te  activeren of de browser naar vreemde URL’s te sturen. In deze vorm is de aanvaller  actief betrokken bij elke aanval. 

De  ononderbroken  vorm  is  gevaarlijker  en  ook  ingrijpender.  Hierbij  maakt  de  aanvaller gebruik van foutjes in websites om data te uploaden naar de host server  van die website. Die data wordt door de server opgenomen in de code die gebruikt  wordt  om  pagina’s  te  genereren  voor  normale  bezoekers.  Deze  geïnfecteerde  pagina’s  proberen  op  hun  beurt  toegang  te  krijgen  tot  browsergegevens  van  de  normale gebruikers. Deze vorm komt veel voor binnen nieuwsgroepen en op fora,  waar berichten in HTML‐code geplaatst kunnen worden.¹² 

Een  variant  op  cross‐site  scripting  is  frame  injection.  Hierbij  wordt  een  lek  in  de  Internet Explorer browser gebruikt. De browser controleert niet of het doel van een  frame  bonafide  of  malafide  is,  met  als  resultaat  dat  malafide  frames  geladen  kunnen worden bij het bezoek aan bonafide websites.¹³ 

2.7 Stap 3c Acquire facilities

  Om een phishing aanval succesvol te kunnen uitvoeren, zijn in het geval malware  gebruikt wordt bepaalde faciliteiten noodzakelijk om de distributie van de malware  uit te voeren.     Packers  Bij de distributie van malware kan onderscheid gemaakt worden tussen een ‘push’  en een ‘pull’ benadering. Een voorbeeld van het eerste is het versturen van e‐mail  met daarin een besmette (malware) bijlage. De nieuwste generatie virusscanners is          12  www.en.wikipedia.org/wiki/Cross‐site_scripting, laatst geraadpleegd 21 december 2009.  13  www.secunia.com/advisories/11966/, laatst geraadpleegd 21 december 2009. 

niet alleen in staat om bekende virussen aan de hand van hun digitale vingerafdruk  te herkennen, maar kunnen met behulp van zogenaamde ‘heuristieken’ ook nieuwe  virussen  op  basis  van  gemeenschappelijke  kenmerken  met  hun  voorgangers  als  zodanig  identificeren.  De  gedachte  achter  een  ‘packer’  is  nu  dat  door  middel  van  compressietechnieken de  vingerafdruk  van  de  malware  zodanig  wordt  verhaspeld  dat de virusscanners het niet herkennen.  

Wanneer  een  pull  benadering  voor  de  distributie  gebruikt  wordt,  worden  stukjes  malafide  code  toegevoegd  aan  andere  bestanden  zoals  software,  films,  muziek,  afbeeldingen  enzovoort.  Zeker  in  de  wereld  van  illegale  bestandsuitwisseling  (torrents, usenet) blijkt een behoorlijk deel van de bestanden besmet te zijn. Om de  malware toe te voegen aan een ander bestand en het vervolgens in staat te stellen  om  actief  te  worden  op  het  moment  dat  gebruik  gemaakt  wordt  van  het  onderliggende bestand, is een programma nodig. 

“Voor personen die nieuwe packers downloaden van onbekende leveranciers, zeker  als die met oplossingen komen zonder evidente redenen om hiervoor weg te gaan  bij  bestaande  packers,  kan  gelden  dat  zij  zich  toeleggen  op  de  ontwikkeling  van  malware.” 

Ad space 

Een  verraderlijke  vorm  van  een  ‘push’  distributie  is  de  zogenaamde  ‘drive  by  download’.  Hierbij  wordt  bij  bezoek  aan  bepaalde  besmette  sites  ongemerkt  getracht  misbruik  te  maken  van  bepaalde  kwetsbaarheden  in  het  besturingssysteem  en/of  softwarecomponenten  (bijvoorbeeld  Adobe  Acrobat  Reader). De besmetting van deze websites gebeurt, hetzij door de desbetreffende  sites  te  hacken  en  vervolgens  de  malafide  code  aan  de  site  toe  te  voegen,  hetzij  door zogenaamde advertentiekanalen te manipuleren. Zeker bij grote professionele  sites zijn de mogelijkheden om de site te hacken beperkt. Daarentegen worden op  deze  grote  sites  vele  advertentiecampagnes  vanuit  diverse  bronnen  gedraaid  (amazon.com, Google). Door het gebruik van technologie om plaatjes te animeren  (animated gif) of zelfs hele filmpjes af te spelen (flash), wordt ook de mogelijkheid  geboden om ongemerkt de eerder gememoreerde kwetsbaarheden te benutten en  daarmee  de  malware  te  distribueren.  Een  belangrijke  faciliteit  voor  dit  type  distributie  is  daarom  het  beschikken  over  een  advertentiekanaal  waarlangs  de  besmette  advertenties  op  onverdachte  sites  verspreid  kunnen  worden.  Het  gaat  hierbij  meestal  om  het  manipuleren  van de  databases  waarin  de  advertenties  die  getoond  moeten  worden,  opgeslagen  zijn.  Juist  grote  sites  die  veel  bezoekers  trekken  zijn  aantrekkelijk  om  als  voertuig  te  dienen  voor  de  verspreiding  van 

malware.    

Een  veel  gebruikte  benadering  om  onderdeel  te  vormen  van  een  advertentienetwerk  is  het  op  basis  van  een  valse  identiteit  aanmelden  van  een  advertentiekanaal  aan  een  bestaand  netwerk.  Na  een  ‘normale’  opstartfase,  worden via dit kanaal vervolgens vergiftigde advertenties het netwerk in gestuurd.   

“Een indicatie voor een mogelijk malafide kanaal kan een combinatie zijn van geen  of  beperkte  bedrijfshistorie  van  de  adverteerder,  niet  of  moeilijk  na  te  trekken  vestigingslocatie  en/of  vertegenwoordigende  personen,  en  geen  verifieerbare  klanten.”     DIY kit  Uit het dossieronderzoek komt een Russische phishinggroep naar voren die zelf op  het internet na ging welke grote financiële instellingen in enig land actief zijn, om  zich vervolgens voor te doen als die instelling. Met de introductie van zogenaamde  Do‐it‐yourself  (DIY)  kits  is  de  keuze  van  financiële  instellingen  zelfs  al  voorgestructureerd. In 2004 doken deze doe‐het‐zelf pakketten (bestaande uit één  PHP‐file) voor het eerst op en inmiddels zijn ze zo geëvolueerd dat de keuze voor  financiële  instellingen  en  de  spoof  website  als  output,  compleet  is  voorgestructureerd  inclusief  code,  benodigde  plaatjes  en  tekst  om  e‐mail‐  en  websitecombinaties  op  te  zetten.  Simpel  ‘Plug‐and‐Play’  zoals  dat  heet.  Zelfs  de  benodigde  spam  software  om  het  gemaakte  bericht  grootschalig  te  versturen  wordt  meegeleverd.  Deze  kits  hebben  voor  de  bestrijding  ook  een  aantal  voordelen.  Aan  de  hand  van  de  gegenereerde  code  is  te  zien  welke  kit  wordt  gebruikt. Met behulp van de vaste kenmerken van een kit kan gemakkelijker op het  internet  worden  gezocht naar  de  bronnen.  Nu  de  kits  inmiddels  gratis  op  het  net  verkrijgbaar zijn is het sterk de vraag in hoeverre de niets vermoedende phisher die  een  dergelijk  kit  downloadt  niet  zelf  het  slachtoffer  is  van  oplichting  door  de  kitsamenstellers. Die kunnen eenvoudig de geoogste gegevens omleiden naar een  eigen  server  en  bijvoorbeeld  deels  of  met  een  vertraging  doorsturen  naar  de  phisher. Op deze manier helpen de phishers de man achter de schermen van de kit  aan een nog grotere opbrengst. 

“Het  downloaden  van  phishing  DIY‐kits  is  een  rechtstreekse  indicatie  voor  betrokkenheid bij (aanstaande) phishing van de downloader. Het wijst bovendien op  een amateur die kennelijk niet over resources beschikt voor ‘phishing op maat’ en  daarom zijn toevlucht zoekt tot standaardpakketten.” 

2.8 Stap 4 Acquire domain

Zowel in het klassieke als het sophisticated phishingproces kan het voor de phisher  noodzakelijk  zijn  om  over  domeinnamen  te  beschikken  bijvoorbeeld  om  door  te  leiden  naar  een  spoof  website  of  een  recruitment  site.  Het  verkrijgen  van  een  domeinnaam  is  nogal  rechtdoorzee.  Via  gratis  websites  voor  domeinregistratie  kunnen  phishers  eenvoudig  aan  een  domeinnaam  komen.  Uiteraard  kunnen  phishers  ook  een  domeinnaam  kopen  via  een  Internet  Service  Provider  (ISP).  Dit  heeft  als  nadeel  dat  het  geld  kost,  maar  als  voordeel  dat  een  ISP  minder  moeite  heeft met het verwijderen van een gratis domein, waar ze niemand mee voor het  hoofd  stoot,  dan  met  het  verwijderen  van  webcontent  van  een  betalende  klant.  Klassieke phishers blijken vooral te zoeken naar domeinnamen die gerelateerd zijn  aan de naam van de instelling die ze willen gebruiken of die een bepaalde mate van  vertrouwen  uitstralen.  Dit  resulteert  bij  gratis  domeinen  in  een  URL  zoals: