middels spam/phishing
2.6.1 Crawl/harvesting
De phisher kan zelf op zoek gaan naar e‐mailadressen. Dit kan door middel van zogenaamde harvesting (oogst) programma’s (‘crawlers’). Dit soort programma’s zoekt het internet af naar e‐mailadressen en slaat deze op, zodat de phisher ze kan gebruiken. Het verkrijgen van dit soort programma’s is relatief simpel. Men kan ze kopen, maar via fora, nieuwsgroepen en chatboxen zijn allerlei doe‐het‐zelf pakketten gratis te downloaden. Harvesting10 is op zichzelf niet illegaal; ook internet marketeers bedienen zich van deze software. Door de brede keuze in harvesting programma’s is het fenomeen dat programmaschrijvers met dit soort software graag willen laten zien hoe goed ze kunnen programmeren, op zijn retour (wat overigens niet geldt voor andere software voor illegale doeleinden). Het nut van harvesting neemt ondertussen af. Internetgebruikers worden voorzichtiger met het achterlaten van hun e‐mailadres. Als deze tegenwoordig al worden gepubliceerd op een website, gebeurt dat vermomd. Bijvoorbeeld door het e‐ mailadres helemaal uit te schrijven (naam<at>organisatie.nl), het als plaatje te publiceren of de @ te vervangen door een ander symbool (naam*organisatie.nl). De harvesting programma’s zijn dan in theorie niet langer in staat deze constructies te herkennen als e‐mailadres. In de wedloop tegen dit soort beschermingsconstructies zijn door de cybercrimineel ook daarvoor oplossingen gevonden. Alleen kost het toepassen van die oplossing tijd. Een harvest programma kan echter niet te lang bezig zijn met het ontcijferen van een e‐mailadres en stapt dan door naar het volgende. “Geharveste e‐mailadressen zullen in de loop van de tijd steeds meer gaan bestaan uit adressen van het type argeloze internetgebruiker.” “Crawlers gaan niet willekeurig maar op een bepaalde manier te werk die typerend is voor de crawler. Daardoor zijn combinaties van adressen in spamruns mogelijk te herleiden tot de crawler waaruit diens populariteit blijkt. Kwetsbaarheden (vulnerabillities) in de crawlers kunnen mogelijk worden gebruikt voor de bestrijding (hoewel crawlen op zichzelf niet illegaal is).” “Theoretisch is een crawlerprogramma te detecteren op het moment dat het actief 10
Harvesting is midden jaren negentig van de vorige eeuw uitgewerkt als onderdeel van het Open Archives Initiative (OAI) voor het uitwisselen van gestructureerde data (www.dare.uva.nl/document/99739) en voor disseminatie van wetenschappelijke publicaties).
websites en nieuwsgroepen op het internet ‘afgraast’, om vervolgens vast te stellen waar de oogst naar toe gaat. Dat heeft alleen zin als men het zoekgedrag van dergelijke programma’s kent zodat onderscheid kan worden gemaakt ten opzichte van internet zoekmachines die continue internetpagina’s nalopen om hun indexen te actualiseren.”
“Het downloaden van een crawlingprogramma is op zichzelf niet strafbaar maar kan wel een indicatie zijn (red flag11) voor mogelijke onrechtmatigheden.”
Iedereen die gebruik maakt van eenzelfde harvestprogramma heeft een grote kans uit te komen bij dezelfde e‐mailadressen. Die krijgen vervolgens een grote hoeveelheid spam te verwerken uit verschillende hoeken wat de kans op het nemen van maatregelen aan de gebruikerszijde weer groter maakt. De harvester kan juist uit zijn op dit type adres, maar de adrespakketten kunnen ook te eenzijdig samengesteld raken zodat hij voor een alternatief kiest. Vermoedelijk is het laatste het geval en zal harvesten in zijn ambachtelijke vorm wel voor blijven komen, maar steeds minder opleveren. Dat wordt versterkt door het sleets worden van adressen.
“Adresdatabases zijn te onderscheiden naar het soort adressen waaruit ze zijn samengesteld, hun herkomst, de foute (niet werkzame) adressen etc. Uit oogpunt van bestrijding is het interessant om na te gaan of uit verschillende spam aanvallen een soort vingerafdruk is te destilleren van het gebruikte adressenbestand, zodat de spam aanvallen mogelijk kunnen worden herleid tot eenzelfde bronbestand.”
Daardoor ontstaat wellicht ook zicht op evoluties die in adressenbestanden zijn waar te nemen. Dat inzicht heeft bijvoorbeeld waarde voor preventie: houders van kwetsbare e‐mailadressen kunnen worden gewaarschuwd, bestanden kunnen beter worden beveiligd, eventuele insiders die adresbestanden kopiëren en verkopen kunnen mogelijk worden gedetecteerd. Bovendien kunnen de kwetsbare adressen gericht in de gaten worden gehouden om mogelijk terug te slaan richting phisher en/of adressenleverancier die er gebruik van maakt/maken.
De professionele spammer of phisher van deze tijd harvest niet meer zelf. De moeite die het kost, weegt niet op tegen het gemak waarmee pakketten adressen
11
Een ‘red flag’ is een aanwijzing (irregulariteit) die op zichzelf onvoldoende indiceert voor een bepaalde onrechtmatigheid of crimineel gedrag maar die wel extra aandacht verdient. Een combinatie van meerdere red flags kan wel indiceren voor onrechtmatig of crimineel gedrag. Meestal duidt een red flag zoals gebruikt in dit onderzoek op een atypische vorm van internetgedrag.
tegen relatief lage kosten te verkrijgen zijn uit bronnen die zich op het verzamelen van adressen hebben toegelegd. Bijvoorbeeld door het toepassen van de varianten uit de volgende paragrafen. Vooral spearphishing is gebaat bij specifieke niet‐ willekeurig verzamelde adressen.
“Voor zowel adresverkopers als phishers is het belangrijk om te weten of aan een bepaalde doelgroep te relateren adressen actief zijn. Dat kunnen ze achterhalen door ze tegen een inlogpagina aan te houden en de responsetijd te meten. Bij een actief adres zal de responsetijd iets langer zijn dan bij een niet actief adres. Dit type matching kan worden gedetecteerd in logfiles en is een directe indicatie voor op handen zijnde phishing activiteiten.”
2.6.2 Server hacking
Een andere optie om aan e‐mailadressen te komen is door in te breken op een mailserver en hier adressen uit te halen. Hiervoor is meer kennis nodig, dan voor het toepassen van een harvesting programma en het risico om gepakt te worden is groter. Het heeft wel een aantal voordelen:
de kans dat de adressen nog geldig zijn is groter;
de phisher kan zelf een combinatie van doelwit en e‐mailadressen maken, waardoor de kans dat slachtoffers positief reageren, groter is.
Een variant op deze vorm is inside hacking. De phisher zorgt dan dat hij een persoon binnen een organisatie betaalt of dwingt om e‐mailadressen van personeelsleden of klanten aan hem te geven.
Hack mailserver
Dader: 33 jarige systeembeheerder
“De dader had ontdekt dat de mailserver van bedrijf A draaide onder een oude PHP-versie met bekende kwetsbaarheden. Gebruikmakend van die kwetsbaarheid is hij binnen gegaan op de vaste plaats waar de passwords werden uitgelezen. Vervolgens heeft hij daarmee de directory-structuur van de hele server gelezen, waaronder een backup-directory. Deze backup werd gedownload. Daarin stond een bestand met alle e-mail accounts en wachtwoorden. Het bleef overigens niet bij deze hack; het werd een compleet uitgevoerde phishing. Via webmail is de dader vervolgens ingelogd op een bepaald account. In diens ‘verzonden berichten’ stond een link met een inlogcode en wachtwoord voor datgene waar het uiteindelijk om ging: toegang tot een nieuwe game.”
We maken onderscheid tussen twee vormen van inbraak: Inbraak op een exchange server en inbraak in een klantenbestand. Inbraak op een exchange server wil zeggen dat de hacker de mailserver van een bedrijf binnengaat en daar het adresboek van het bedrijf of van alle medewerkers kopieert. Op dezelfde wijze als de phisher dit soort servers met bepaalde kwetsbaarheden kan opsporen, kan de bestrijding dat ook doen. Inbraak in een klantenbestand behelst bijvoorbeeld een inbraak bij BOL.com, Ebay of Amazon, waarbij de gegevens van klanten uit de databases worden gekopieerd. Deze manier geeft meteen de mogelijkheid tot het harvesten op een specifieke doelgroep. Dat maakt het adressenbestand waardevoller en daarmee veel duurder.
Buying addresses
Er zijn bedrijven die handelen in post‐ en e‐mailadressen. De Gouden Gids is daarvan een voorbeeld, maar ook de Kamer van Koophandel. Nu zijn er ook andere, obscure, leveranciers die geen eisen stellen aan het gebruik van de adressen. Het kopen van hun adressen brengt minder risico met zich mee dan het hacken van een mailserver en neemt minder tijd in beslag. De phisher krijgt daarnaast de garantie dat de adressen geldig zijn en kan zelfs van tevoren een doelgroep van slachtoffers kiezen. Nadeel is dat het kopen van adressen geld kost en dus ten koste gaat van de opbrengst van de phishing aanval. Bovendien levert de aankoop weer een internet‐ en een geldspoor op.
“Sommige actoren die phishingrollen vervullen, zullen tijdens voorbereidende activiteiten minder actief hun handelingen afschermen omdat ze op zichzelf nog niet crimineel bezig zijn en hun aandacht vooral zal uitgaan naar het camoufleren van de uiteindelijke aanval zelf. Detectie van deze activiteiten biedt mogelijk aanknopingspunten voor het vaststellen van de identiteit van actoren in daderrollen.”
“Als de veronderstelling klopt dat het kopen van e‐mailadressen populairder is dan het zelf harvesten, dan zullen er in de spam en phishing praktijk veel dezelfde adressen te zien zijn.”
2.6.3 Malware
Onder de term malware gaat een scala aan programmaatjes schuil die zonder dat de gebruiker het weet op diens computer worden geïnstalleerd, om vervolgens allerlei informatie over de gebruiker te verzamelen, ongevraagd reclame te tonen (pop‐ups) of delen van de besturing van de computer over te nemen. Wordt dit
soort malware (malicious code) gebruikt om gegevens van de gebruiker en diens computer te verzamelen dan spreken we van spyware. Binnen de MO van phishing is spyware een aantrekkelijke vorm voor: het verkrijgen van persoonlijke gegevens, zoals e‐mailadressen, welke sites zijn bezocht, wachtwoorden (via keyloggers) etc.; het beïnvloeden van de computer van de gebruiker zodat die boodschappen te zien krijgt, de startpagina wordt aangepast, wordt doorgestuurd naar bepaalde sites of dat banners die op het scherm verschijnen een andere inhoud meekrijgen (browser hijacking);
het overnemen van de computer zodat die kan worden ingezet voor de phishing activiteiten. In dit geval is de computer een ‘bot’ geworden en maakt ze met vele andere geïnfecteerde computers deel uit van een ‘botnet’. Botnets worden o.a. gebruikt voor het verwerven van e‐mailadressen van specifieke doelgroepen. Hierbij wordt via het botnet een stukje malware verspreid dat van iedere bot de browser log leest en op basis hiervan bepaalt welke gebruikers welke sites bezoeken.
Zowel de zelfstandige spammer als de phisher heeft profijt van spyware. Beiden gaat het om het verwerven van e‐mailadressen en uiteindelijk om het genereren van zoveel mogelijk traffic naar een bepaalde website. Voor de traditionele spammer is dat een website met een bepaald product of een type dienstverlening; voor de klassieke phisher is dat zijn spoof site. Gratis gebruik van software gaat vaak gepaard met het moeten dulden van reclameboodschappen (waarmee de gebruiker zich overigens meestal akkoord verklaard door het aanvinken van een license agreement). Hieraan kan ook gemakkelijk een meer schadelijke code zijn gekoppeld. Ook programma’s als Microsoft updates maken gebruik van miniprogramma’s (ActiveX controls) waarmee toegang kan worden verkregen tot het besturingssysteem van een gebruiker. Zoals zo vaak, is spyware als legale vorm van informatieverzameling gestart en bestaat het in deze vorm nog steeds volop. Internetshops als amazon.com sturen gebruikers tips op basis van het aankoopgedrag en in de vorm van cookies parkeren zij informatie op de computer van de gebruiker waaraan deze bij een volgend sitebezoek kan worden herinnerd.
“Phishers maken van ActiveX controls en (third party) cookies gebruik voor het gericht verzamelen van gegevens met vooral als doel om targetgroepen samen te stellen en deze te verleiden tot het bezoeken van bepaalde sites.”
Een vorm van malware die niet per se op de computer van de gebruiker is genesteld, maar die zich op de bezochte website bevindt, heet cross‐site scripting
(XSS). Bij deze vorm van malware wordt op de website een stukje code geplaatst dat bij de websitebezoeker toegang zoekt tot cookies, website inhoud en andere informatie die de browser nodig heeft om het internet toegankelijk te maken. Er worden grofweg twee vormen van cross‐site scripting onderscheiden: onderbroken en ononderbroken. De onderbroken variant komt verreweg het meeste voor, vaak bij http zoekvariabelen en in HTML‐formulieren. Bij deze vorm wordt de code van de pagina zo aangepast dat de pagina een foutje maakt bij het antwoorden naar de browser. De gebruiker ziet het niet of krijgt een minimale foutmelding. Door het foutje van de pagina is de aanvaller echter in staat om verborgen frames te activeren of de browser naar vreemde URL’s te sturen. In deze vorm is de aanvaller actief betrokken bij elke aanval.
De ononderbroken vorm is gevaarlijker en ook ingrijpender. Hierbij maakt de aanvaller gebruik van foutjes in websites om data te uploaden naar de host server van die website. Die data wordt door de server opgenomen in de code die gebruikt wordt om pagina’s te genereren voor normale bezoekers. Deze geïnfecteerde pagina’s proberen op hun beurt toegang te krijgen tot browsergegevens van de normale gebruikers. Deze vorm komt veel voor binnen nieuwsgroepen en op fora, waar berichten in HTML‐code geplaatst kunnen worden.12
Een variant op cross‐site scripting is frame injection. Hierbij wordt een lek in de Internet Explorer browser gebruikt. De browser controleert niet of het doel van een frame bonafide of malafide is, met als resultaat dat malafide frames geladen kunnen worden bij het bezoek aan bonafide websites.13
2.7 Stap 3c Acquire facilities
Om een phishing aanval succesvol te kunnen uitvoeren, zijn in het geval malware gebruikt wordt bepaalde faciliteiten noodzakelijk om de distributie van de malware uit te voeren. Packers Bij de distributie van malware kan onderscheid gemaakt worden tussen een ‘push’ en een ‘pull’ benadering. Een voorbeeld van het eerste is het versturen van e‐mail met daarin een besmette (malware) bijlage. De nieuwste generatie virusscanners is 12 www.en.wikipedia.org/wiki/Cross‐site_scripting, laatst geraadpleegd 21 december 2009. 13 www.secunia.com/advisories/11966/, laatst geraadpleegd 21 december 2009.
niet alleen in staat om bekende virussen aan de hand van hun digitale vingerafdruk te herkennen, maar kunnen met behulp van zogenaamde ‘heuristieken’ ook nieuwe virussen op basis van gemeenschappelijke kenmerken met hun voorgangers als zodanig identificeren. De gedachte achter een ‘packer’ is nu dat door middel van compressietechnieken de vingerafdruk van de malware zodanig wordt verhaspeld dat de virusscanners het niet herkennen.
Wanneer een pull benadering voor de distributie gebruikt wordt, worden stukjes malafide code toegevoegd aan andere bestanden zoals software, films, muziek, afbeeldingen enzovoort. Zeker in de wereld van illegale bestandsuitwisseling (torrents, usenet) blijkt een behoorlijk deel van de bestanden besmet te zijn. Om de malware toe te voegen aan een ander bestand en het vervolgens in staat te stellen om actief te worden op het moment dat gebruik gemaakt wordt van het onderliggende bestand, is een programma nodig.
“Voor personen die nieuwe packers downloaden van onbekende leveranciers, zeker als die met oplossingen komen zonder evidente redenen om hiervoor weg te gaan bij bestaande packers, kan gelden dat zij zich toeleggen op de ontwikkeling van malware.”
Ad space
Een verraderlijke vorm van een ‘push’ distributie is de zogenaamde ‘drive by download’. Hierbij wordt bij bezoek aan bepaalde besmette sites ongemerkt getracht misbruik te maken van bepaalde kwetsbaarheden in het besturingssysteem en/of softwarecomponenten (bijvoorbeeld Adobe Acrobat Reader). De besmetting van deze websites gebeurt, hetzij door de desbetreffende sites te hacken en vervolgens de malafide code aan de site toe te voegen, hetzij door zogenaamde advertentiekanalen te manipuleren. Zeker bij grote professionele sites zijn de mogelijkheden om de site te hacken beperkt. Daarentegen worden op deze grote sites vele advertentiecampagnes vanuit diverse bronnen gedraaid (amazon.com, Google). Door het gebruik van technologie om plaatjes te animeren (animated gif) of zelfs hele filmpjes af te spelen (flash), wordt ook de mogelijkheid geboden om ongemerkt de eerder gememoreerde kwetsbaarheden te benutten en daarmee de malware te distribueren. Een belangrijke faciliteit voor dit type distributie is daarom het beschikken over een advertentiekanaal waarlangs de besmette advertenties op onverdachte sites verspreid kunnen worden. Het gaat hierbij meestal om het manipuleren van de databases waarin de advertenties die getoond moeten worden, opgeslagen zijn. Juist grote sites die veel bezoekers trekken zijn aantrekkelijk om als voertuig te dienen voor de verspreiding van
malware.
Een veel gebruikte benadering om onderdeel te vormen van een advertentienetwerk is het op basis van een valse identiteit aanmelden van een advertentiekanaal aan een bestaand netwerk. Na een ‘normale’ opstartfase, worden via dit kanaal vervolgens vergiftigde advertenties het netwerk in gestuurd.
“Een indicatie voor een mogelijk malafide kanaal kan een combinatie zijn van geen of beperkte bedrijfshistorie van de adverteerder, niet of moeilijk na te trekken vestigingslocatie en/of vertegenwoordigende personen, en geen verifieerbare klanten.” DIY kit Uit het dossieronderzoek komt een Russische phishinggroep naar voren die zelf op het internet na ging welke grote financiële instellingen in enig land actief zijn, om zich vervolgens voor te doen als die instelling. Met de introductie van zogenaamde Do‐it‐yourself (DIY) kits is de keuze van financiële instellingen zelfs al voorgestructureerd. In 2004 doken deze doe‐het‐zelf pakketten (bestaande uit één PHP‐file) voor het eerst op en inmiddels zijn ze zo geëvolueerd dat de keuze voor financiële instellingen en de spoof website als output, compleet is voorgestructureerd inclusief code, benodigde plaatjes en tekst om e‐mail‐ en websitecombinaties op te zetten. Simpel ‘Plug‐and‐Play’ zoals dat heet. Zelfs de benodigde spam software om het gemaakte bericht grootschalig te versturen wordt meegeleverd. Deze kits hebben voor de bestrijding ook een aantal voordelen. Aan de hand van de gegenereerde code is te zien welke kit wordt gebruikt. Met behulp van de vaste kenmerken van een kit kan gemakkelijker op het internet worden gezocht naar de bronnen. Nu de kits inmiddels gratis op het net verkrijgbaar zijn is het sterk de vraag in hoeverre de niets vermoedende phisher die een dergelijk kit downloadt niet zelf het slachtoffer is van oplichting door de kitsamenstellers. Die kunnen eenvoudig de geoogste gegevens omleiden naar een eigen server en bijvoorbeeld deels of met een vertraging doorsturen naar de phisher. Op deze manier helpen de phishers de man achter de schermen van de kit aan een nog grotere opbrengst.
“Het downloaden van phishing DIY‐kits is een rechtstreekse indicatie voor betrokkenheid bij (aanstaande) phishing van de downloader. Het wijst bovendien op een amateur die kennelijk niet over resources beschikt voor ‘phishing op maat’ en daarom zijn toevlucht zoekt tot standaardpakketten.”
2.8 Stap 4 Acquire domain
Zowel in het klassieke als het sophisticated phishingproces kan het voor de phisher noodzakelijk zijn om over domeinnamen te beschikken bijvoorbeeld om door te leiden naar een spoof website of een recruitment site. Het verkrijgen van een domeinnaam is nogal rechtdoorzee. Via gratis websites voor domeinregistratie kunnen phishers eenvoudig aan een domeinnaam komen. Uiteraard kunnen phishers ook een domeinnaam kopen via een Internet Service Provider (ISP). Dit heeft als nadeel dat het geld kost, maar als voordeel dat een ISP minder moeite heeft met het verwijderen van een gratis domein, waar ze niemand mee voor het hoofd stoot, dan met het verwijderen van webcontent van een betalende klant. Klassieke phishers blijken vooral te zoeken naar domeinnamen die gerelateerd zijn aan de naam van de instelling die ze willen gebruiken of die een bepaalde mate van vertrouwen uitstralen. Dit resulteert bij gratis domeinen in een URL zoals: