E-mail-gerelateerde verschijningsvormen Misbruik maken van e-mailservers of slachtoffers lokken via

gedragingen. Daarna wordt per verschijningsvorm uitgelegd of deze ook strafbaar is op grond van bijvoorbeeld het Wetboek van Strafrecht

5Botnet - Phishing via omleiding netwerkverkeer

3.7 E-mail-gerelateerde verschijningsvormen Misbruik maken van e-mailservers of slachtoffers lokken via

e-mail zijn slechts enkele voorbeelden waarbij e-mail een rol speelt in cybercrime.

In deze paragraaf worden twee verschijningsvormen beschreven, mail relay en spam, waarvoor e-mailsystemen worden misbruikt.

50. In Nederland is het merkenrecht geregeld in het Benelux Verdrag inzake de Intellectuele Eigendom (BVIE). De merkbescherming geldt dus ook in België en Luxemburg. Daarnaast is de Europese en internationale regelgeving voor het merkenrecht van belang.

hooFdsTuK 3 > VerschIjnIngsVormen Van cybercrIme

3.7.1 Misbruik van mail relay Wat is mail relay?

Een mail relay is een e-mail-proxy-server die zich bevindt tussen de computer van een gebruiker en het systeem dat men wil benaderen. Via een open mail relay server kan een derde partij netwerkverkeer aanbieden aan andere computers, die de computer van de derde partij niet als oorspronkelijke afzender van het netwerkverkeer zien.

Een open mail relay staat verbindingen van willekeurige gebruikers (IP-adressen) toe om e-mail naar anderen te versturen. Voor spam wordt op grote schaal misbruik gemaakt van open mail relay.

In essentie is een mail relay een foutief geconfigureerde server. Bij een open mail relay gaat het specifiek om e-mail-verkeer, verzonden over de SMTP-netwerkpoort 25 (Simple Mail Transfer Protocol).

Het gebruiken van een open mail relay voor illegale doel-einden kan ertoe leiden dat de mailserver niet of tijdelijk niet meer beschikbaar is voor normale doeleinden. Dit komt voor wanneer grote hoeveelheden e-mail worden verstuurd, zodat de rechtmatige gebruikers van de server dit niet meer kunnen. In dat geval is sprake van een denial of service.

Een open mail relay server kan op een zwarte lijst van inter-net service providers worden geplaatst (blacklisting). E-mail afkomstig van systemen op een zwarte lijst worden door veel ISP’s of bedrijven niet meer geaccepteerd. De recht-matige eigenaar van het systeem kan zodoende effectief geen e-mail meer versturen.

Technische verschijningsvormen en herkenbaarheid

Een open mail relay accepteert en stuurt e-mail van buiten-af door naar andere externe ontvangers. Normaal zullen e-mailservers alleen netwerkverkeer van buiten (van derden) naar binnen accepteren om via door hun beheerde domeinen e-mail te kunnen ontvangen. Zodra een server e-mail van derden naar derden afhandelt, is er sprake van een open mail relay.

Met enkele eenvoudige testen kan worden geverifieerd of een server als open mail relay misbruikt kan worden.⁵¹ Dit is het geval als (een combinatie van) de volgende soorten e-mail wordt geaccepteerd en verstuurd. De voorbeelden in deze lijst zijn slechts een deel van de mogelijkheden:

• mail waarvan het from- en to-adres hetzelfde zijn;

• mail waarvan het afzenderdomein niet bestaat;

• mail die vanuit het domein local host wordt gestuurd;

• mail zonder afzenderdomein;

• mail zonder afzenderadres;

• mail gestuurd als afkomstig van de ontvangende mailserver;

• mail met het IP-adres van de verzendende server tussen vierkante haakjes (in plaats van ronde);

• mail die gebruikmaakt van een doorverwijzing door het gebruik van het %-teken. Bijvoorbeeld

ontvanger%server.com@relayserver.com wordt doorgestuurd naar ontvanger@relayserver.com;

• mail met het ontvangstadres tussen dubbele tekens;

• mail met het ontvangstadres in inverse notatie.

Bijvoorbeeld @relayserver.com:ontvanger@server.com wordt doorgestuurd naar ontvanger@server.com;

• mail met het ontvangstadres in inverse notatie (variant).

Bijvoorbeeld server.com!ontvanger wordt doorgestuurd naar ontvanger@server.com.

Aanvaller

2 Mailservers

ontvangers Open mail relay

Aanvaller stuurt SMTP-e-mailbericht naar (bonafide) mailserver maar met een bestemming gespecificeerd voor een ander e-maildomein

De (bonafide) mailserver herkent de gespecificeerde bestemming niet als zijnde voor hem en stuurt (alle) e-mailberichten door naar de mailserver(s) voor de gespecificeerde bestemming(en)

SMTP-mailservers 2

Firewall SMTP

51. Via de website http://www.abuse.net/relay.html kan een systeem direct vanaf het internet worden getest.

Benodigde gegevens voor vaststelling

Voor het vaststellen van misbruik van een systeem als open mail relay is de belangrijkste benodigde technische informatie:

• een overzicht van de gedane constateringen en het tijdstip waaruit blijkt, of op basis waarvan wordt vermoed, dat er sprake is van een cyberincident;

• e-mailberichten en/of de headers daarvan;

• een technische beschrijving van het netwerk;

• een overzicht van de misbruikte servers;

• de lokale beveiligings- en netwerklogbestanden;

• informatie over firewalls en andere maatregelen.

Wanneer er sprake is van een open mail relay zijn de e-mail-headers en het complete e-mailbericht belangrijk. Uit de e-mail-headers kan worden opgemaakt welke mailserver is gebruikt als relay. Deze gegevens kunnen ook gedeeltelijk uit logbestanden van de ontvangende mailserver worden gehaald. Bij voorkeur is er ook informatie beschikbaar over de gebruikte (SMTP-)mailcommando’s en een overzicht van e-mailservers die het bericht hebben ontvangen. Hieruit kan de gebruikte methode worden afgeleid.

Bijlage F geeft een uitgebreid overzicht van benodigde (technische) gegevens voor het vaststellen en het doen van aangifte.

Strafbaarstelling

Wordt er binnengedrongen? Mogelijk.

In veel gevallen is een open mail relay een foutief gecon-figureerde server, er zijn dus geen adequate beveiligings-maatregelen genomen om misbruik van de server te voorkomen. Maar ook als het misbruikte systeem geen afdoende basisbeveiliging heeft, blijft het misbruik een vorm van binnendringen, hoewel misschien moeilijk als zodanig te kwalificeren. Men mag echter veronderstellen dat de eigenaar van een mailserver deze alleen bedoeld heeft om te gebruiken voor de eigen maildomeinen. Het opzettelijk aanbieden van andere maildomeinen om e-mail door te sturen, kan worden opgevat als het aanbieden van e-mail onder een valse hoedanigheid.

Er is altijd sprake van binnendringen als de open-mail-relay-toepassing ontstaat als malware met opzet op een computer is geïnstalleerd door een kwaadwillende.

Wordt stoornis in het geautomatiseerde werk veroorzaakt? Mogelijk.

Afhankelijk van de hoeveelheid netwerkverkeer dat door open mail relay wordt verstuurd, kan er stoornis in een geautomatiseerd werk optreden.

Worden gegevens veranderd, onbruikbaar gemaakt, vernield of toegevoegd? Nee.

Een open mail relay stuurt in feite alleen aangeboden

e-mailberichten door. Er is meestal geen invloed op de bestaande of verwerkte gegevens in het systeem.

Worden gegevens afgetapt of afgeluisterd? Nee.

De kwaadwillende misbruikt het systeem maar valt dit niet aan. Zonder verder binnen te dringen in het systeem zullen over het algemeen geen gegevens worden afgetapt.

Strafbaarheid

Degene die opzettelijk en wederrechtelijk gebruikmaakt van een open mail relay is strafbaar op grond van artikel 138ab lid 1 sub b Sr. Er wordt met behulp van een technische ingreep, een vals signaal of een valse hoedanigheid binnen-gedrongen in een e-mailserver. Het doorbreken van de beveiliging is niet vereist.

Wel moet de indringer uit de omstandigheden kunnen opmaken dat het niet de bedoeling was om het systeem als zodanig te gebruiken. Dit kan ook op andere manieren dan met beveiligingsmaatregelen duidelijk zijn gemaakt. Als er schade ontstaat aan bedrijfsnetwerken of -servers kan dit eventueel civielrechtelijk worden verhaald.

Als de persoon de mailserver misbruikt en hierdoor een stoornis veroorzaakt in de uitvoering van een nutsdienst of een openbaar telecommunicatienetwerk of telecommu-nicatiedienst, of met gemeen gevaar voor goederen, of levensgevaar, is hij strafbaar op grond van artikel 161sexies of 161sexies Sr. Hierbij moet dan wel worden aangetoond dat bijvoorbeeld spam verstuurd wordt waardoor de werking van een openbaar netwerk (internet) wordt bemoeilijkt.

3.7.2 Spam Wat is spam?

Spam is grootschalige ongevraagde berichtgeving, zoals e-mail, sms of andere berichten van commerciële, ideële of charitatieve aard. Spam in de vorm van e-mail wordt vrijwel zonder uitzondering in zeer grote hoeveelheden verstuurd.

Bij het versturen van de e-mail worden vaak verkeerd geconfigureerde (open) mailservers van derde partijen of botnets gebruikt, waarbij de gecompromitteerde systemen van (particuliere) gebruikers als proxy worden ingezet.

Spam wordt niet alleen verstuurd als ongevraagde reclame maar ook om malware te verspreiden of als een phishing-aanval.

Technische verschijningsvormen en herkenbaarheid

Er is geen eenduidig technisch onderscheid te maken tussen spam en normaal, legitiem e-mailverkeer. De ontvangende persoon bepaalt of iets als spam beschouwd wordt wanneer het ongevraagd is en van commerciële, ideële of charita-tieve aard. Er is een aantal kenmerken waaraan spam te herkennen is:

• verdachte woordpatronen, thema’s en semantiek;

• verdachte code en hyperlinks in het e-mailbericht;

hooFdsTuK 3 > VerschIjnIngsVormen Van cybercrIme

• een ongeldig afzendadres. Spam wordt vaak (maar niet altijd) verstuurd met een niet-bestaand of ongeldig afzendadres of afzenddomein;

• ongeldige received-headers. Om detectie moeilijk te maken, worden in veel spam extra received-regels toegevoegd of worden bestaande regels herschreven.

Meestal zijn deze regels wel als ongeldig te herkennen.

Spam verstuurd vanaf een geldig e-mailadres van een

‘andere partij’ (een gespooft e-mailadres) kan een DoS-aanval tot gevolg hebben voor de echte eigenaar ervan.

Benodigde gegevens voor vaststelling

Voor het vaststellen van spam is de belangrijkste benodigde technische informatie:

• het complete oorspronkelijke e-mailbericht in zijn originele staat (platte tekst);

• e-mailberichten en/of de headers ervan;

• het source-IP-adres;

• logbestanden van de e-mailserver;

• informatie over de gebruikte e-mail- en systemen.

Uit de e-mailheaders kan worden opgemaakt welke mail-server is gebruikt als relay. Deze gegevens kunnen ook gedeeltelijk uit logbestanden van de ontvangende mail-server worden gehaald.

Bijlage F geeft een uitgebreid overzicht van benodigde (technische) gegevens voor het vaststellen en het doen van aangifte.

Strafbaarstelling

Wordt er binnengedrongen? Nee.

Bij spam wordt slechts een e-mail gestuurd die op de computer van de ontvanger terechtkomt. Zelfs dat is niet noodzakelijk als bijvoorbeeld een webmailomgeving wordt gebruikt. Natuurlijk is het wel zo dat, als voor de verzending van de spam gekaapte e-mailadressen, een open e-mail server of een botnet worden ingezet, op die gecompromit-teerde systemen sprake is van binnendringen (zie ook botnets).

Wordt stoornis in het geautomatiseerde werk veroorzaakt? Nee.

Spam is in principe (volgens de technische specificaties van het SMTP-protocol) e-mail die gebruikmaakt van normale mailtechnieken. Het sturen van e-mail in grote hoeveel-heden kan echter verstoring veroorzaken in de werking of in het gebruik van het geautomatiseerde werk of bij (tussenliggende) mailservers; deze moeten extreem veel netwerkverkeer verwerken. De juiste werking wordt dan belemmerd omdat de netwerkcapaciteit ontoereikend is of omdat een mailbox vol raakt.

Overigens kan spam ook worden misbruikt voor het verspreiden van malware in bijlagen (malicious attachments).

Dat betekent strafbaarheid voor het verspreiden van malware.

Worden gegevens veranderd, onbruikbaar gemaakt, vernield of toegevoegd? Nee.

Spam heeft geen invloed op de integriteit van bestaande gegevens. Dit geldt voor zowel de gegevens op de mail-server als de gegevens op de computer die het bericht uiteindelijk ontvangt. Wel kan er sprake zijn van het toevoegen van gegevens, al zal dit, bij verspreiding via normale e-mailkanalen, als zodanig meestal niet een onrechtmatige vorm van toevoeging zijn.

Worden gegevens afgetapt of afgeluisterd? Nee.

Spamberichten zijn gewone e-mailberichten.

Strafbaarheid

Spam is als zodanig niet strafbaar gesteld volgens de Nederlandse strafwet. De wetgever vindt het sturen van spam niet strafwaardig, behalve als door het toedoen van het verzenden van spam opzettelijk de toegang tot een geautomatiseerd werk wordt belemmerd; dan is dit straf-baar onder artikel 138b Sr. Artikel 138b Sr is van toepassing op openbare en niet-openbare (dus particuliere) computer-systemen. Wanneer als gevolg van spam stoornis in de gang of werking van geautomatiseerde werken optreedt, kan spam ook strafbaar zijn op grond van de artikelen 161sexies en 161septies Sr (computersabotage). Voorwaarde daarbij is dat met het systeem een publieke dienst wordt verleend.

Onder artikel 11.7 van de Telecommunicatiewet kan de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) het spamverbod bestuursrechtelijk handhaven en boetes op leggen.

hooFdsTuK 4

Incidentopvolging en -afhandeling

In dit hoofdstuk worden aanwijzingen gegeven voor de organisatie van en te volgen stappen bij incidentopvolging en -afhandeling. Hoe moet men omgaan met en reageren op beveiligingsincidenten? Daarnaast worden tips voor de communicatie over een incident gegeven, voor het omgaan met de pers en met personen in een incidentopvolgingsteam.

Incidentopvolging is het geheel van acties rondom een incident dat optreedt. Incidentafhandeling omvat de herstel- en uitwijkacties om te kunnen terugkeren naar de normale situatie. Dit hoofdstuk legt de nadruk op de wijze van opvolging en minder op de herstelacties.

Incidentafhandeling wordt vaak gezien als onderdeel van de bedrijfs-continuïteitsplannen van een organisatie (business continuity mana-gement (BCM)). Incidentafhandeling wordt daarom niet uitgebreid behandeld in deze handleiding.