middels spam/phishing
2.11 Stap 7a Acquire mail delivery
De volgende stap in de phishing aanval is het bouwen of kopen van software die snel en geautomatiseerd e‐mailberichten kan versturen naar de geharveste of aangekochte adressen. Deze software is volop verkrijgbaar op fora, nieuwsgroepen en in chatrooms op internet.
Massmailer
Een massmailer is een softwareprogramma dat veel berichten tegelijk kan verzenden of via een botnet de bots instrueert om een mail te versturen. Een voorbeeld van een dergelijke toepassing is Dark mailer15. De software is nodig om de potentiële slachtoffers te benaderen en de link naar de spoof website over te dragen. De meest populaire programma’s worden niet gratis ter beschikking gesteld. De aanschaf van dergelijke massmailers laat dus een geldspoor na. Opvallend is ook dat massmailers vaak te herkennen zijn aan de opbouw van de berichten en de trucs die gebruikt worden om de opsporing te bemoeilijken. Een momenteel nog redelijk verweer tegen de meeste massmailers is graylisting. Graylisting maakt gebruik van de verschillen in gedrag van massmailers en ‘echte’ MTAs (Mail Transfer Agent). Echte MTA’s vragen eerst of het schikt en als de ontvangende host aangeeft het ‘te druk’ te hebben, dan probeert een MTA het later nog eens. De meeste massmailers zijn niet ingericht op het (langdurig, denk aan uren) wachten voordat een bericht verstuurd mag worden. Het is echter te verwachten dat als graylisting populairder wordt, massmailers deze ‘backoff’ procedure ook zullen gaan na doen.
“Beginnende phishers gaan op fora en nieuwsgroepen en downloadsites op zoek naar mail software. De communicatie op dergelijke plaatsen met mogelijke aanbieders laat een spoor achter en een alias.”
“Beginnende phishers zullen vanwege het op zichzelf niet illegale karakter geneigd zijn om de mailsoftware met reguliere internet betaalmogelijkheden af te rekenen, eventueel gebruik makend van creditcardgegevens van familie. Ze hebben zichzelf nog niet voorzien van allerlei rookgordijnen in een vroeg stadium van het phishingproces.” Acquire botnet 15 www.en.wikipedia.org/wiki/Dark_Mailer, laatst geraadpleegd op 4 juli 2008.
Botnets zijn netwerken van computers die geïnfecteerd zijn met een softwareprogramma waardoor de computer door iemand anders dan de gebruiker bestuurd kan worden (met namen als ‘Monkif/DIKhora’, ‘Maazben’, ‘Rustock’).
De bots, de geïnfecteerde computers, worden gerekruteerd door de gebruiker naar websites te lokken waarop het softwareprogramma staat. Dit kunnen allerlei websites zijn, zoals loterijen die schijnbaar gewonnen zijn, ‘veiligheid’‐websites, pornosites en dergelijke. De bots ontvangen instructies van de botnetbeheerder. Botnets worden bijvoorbeeld ingezet bij DDoS16 aanvallen, waarbij grote aantallen computers tegelijk een website bezoeken en zo de webserver overbelasten. De phisher kan zich op twee manieren bedienen van een botnet. Hij kan bij alle van het botnet deeluitmakende pc’s zijn spoof website laten zien. Alle bots openen dan de spoof website op het moment dat de phisher dat wil. Dit heeft als groot voordeel dat alle geadresseerden in ieder geval op de website komen, wat de kans vergroot dat slachtoffers hun gegevens achterlaten. Aan de andere kant zullen sommige gebruikers de website beschouwen als een ongewenste pop‐up, die ze zonder nadere beschouwing weer sluiten. Anderen zullen bij het onverwachts openen van een webpagina wantrouwend worden en de pagina weer sluiten. Een ander nadeel van deze methode is dat de reden waarom de website verschijnt onduidelijk blijft. Er is geen waarschuwing aan vooraf gegaan die de noodzaak van het invullen van de gegevens door de gebruiker verklaart. In een tweede toepassing van een botnet verspreidt de phisher zijn e‐mailbericht via het botnet naar de bots en instrueert hen dit naar alle contacten van de gebruiker van de bot uit diens adresboek door te sturen. Dit heeft als voordeel dat de phisher in het harvesting proces minder energie hoeft te verspillen aan het verzamelen van adressen.
Beide methoden vereisen dat de phisher, althans tijdelijk, de beschikking heeft over een botnet. Dit kan hij ‘huren’ van een botnet beheerder of zelf opzetten. Het opzetten van een botnet is een tijdrovend karwei dat eerder door georganiseerde phishing organisaties zal gebeuren dan door de individuele phisher. Botnet beheerders zitten elkaar regelmatig dwars, omdat ze allemaal proberen hun botnet zo groot mogelijk te maken. Een besmette computer kan echter maar onderdeel zijn van één botnet tegelijk. Botnets kunnen daarom ook heel dynamisch zijn en van de ene op de andere dag in grootte verschillen.
16
Distributed denial‐of‐service: een computer‐ of netwerkaanval met andere computers die zoveel verbindingsverzoeken naar de server van een of meer sites versturen, dat de ‘service’ daarvan (tijdelijk) wordt geblokeerd.
“Phishers kopen/huren een botnet in plaats van er zelf één op te zetten. Kopen houdt feitelijk in dat men een commando krijgt met behulp waarvan het botnet kan worden geactiveerd; al dan niet voor een bepaalde duur.”
“Het verwerven van een botnet verloopt via underground fora waarbij vanwege het illegale karakter van een botnet de credibility check van de potentiële koper een veel zwaarder karakter zal hebben dan bij het inkopen van andere tools ten behoeve van de phishing.”
“De verkopers van botnets hebben paradoxaal genoeg eenzelfde belang als de banken: afscherming. Ze maken daarom van dezelfde afschermingtechnieken gebruik.”
“De betaling van de huur van een botnet vindt plaats in natura (inloggegevens, creditcardnummers, diskspace) of via niet‐triviale internet betalingen (money transfers, epassports, webmoney, cash).”
Acquire PWND computer
PWND staat voor pawned (pion) computer en komt neer op het (specifiek) kunnen bedienen van andermans computer. In tegenstelling tot een botnet zullen bepaalde phishers zelf hun PWND computers verwerven door actief op zoek te gaan naar slecht beveiligde computers. Ze onderzoeken hiervoor bepaalde IP‐ranges op kwetsbaarheden die als zodanig door hun netwerkactiviteit herkenbaar zijn voor ISP’s. Door het laagdrempelige karakter van het verwerven van een PWND‐ computer zullen (beginnende) phishers minder nadrukkelijk hun eigen identiteit richting de PWND‐computer verhullen (men is nog niet zo geroutineerd en in alle fasen van verhulling thuis). “Wordt een PWND‐computer onderzocht op netwerk verkeer van de controlerende computer dan komt men wellicht uit bij de identiteit van de phisher.”
Er bestaat een groot aantal softwarepakketten om op grote schaal naar kwetsbaarheden in een netwerk te zoeken. De beginnende phisher is zichtbaar wanneer hij op zoek gaat naar die software en deze betaalt. Door het niet direct strafbare karakter van de software zal de credibility check minder zwaar zijn.
Gedurende het hele phishingproces moet de identiteit van de phisher onbekend blijven. Vanaf stap 8 neemt hij de identiteit aan van het slachtoffer of lift met het slachtoffer mee bij het target naar binnen. Een proxyserver kan worden gebruikt
om identiteit af te schermen. Een proxy is een PWND‐computer die zich door bediening op afstand kan gedragen als een vervanger voor een andere computer. Proxyservers zijn schakels in het internet waarop (bijvoorbeeld bij een ISP) vaak geraadpleegde websites worden opgeslagen. Daardoor kunnen veelgebruikte sites sneller worden geladen. Een proxyserver onderschept verzoeken om informatie van een browser en kijkt of die zich op de proxyserver bevinden. Het internetverkeer loopt via een proxyserver waardoor het eindstation niet het IP‐ adres van de computergebruiker ziet maar van de proxyserver. Een aantal van deze proxy’s kan ook worden geschakeld (proxy‐chain) waarbij het zeer moeilijk en altijd zeer tijdrovend en weinig succesvol is om bij de oorsprong uit te komen. Een onveilige proxy kan door spammers worden overgenomen om spam te versturen en op die manier pawned worden. De proxy is dan gekidnapt (‘hijacked’). De daarvoor te installeren software wordt binnengebracht met een Trojaans virus en de spam wordt verzonden via SMTP17. De binnenkomst van veel van deze virussen blijft onzichtbaar voor de gebruikelijke poort scans. Proxy’s die zijn geïnfecteerd zijn in feite controllers van een daarna eenvoudig op te zetten botnet. Ze gebruiken afwijkende poorten of afschermingtechnieken om detectie te voorkomen. De bestandsnamen die ze gebruiken zijn wisselend. Om ze te achterhalen is meestal uitgebreid forensisch onderzoek noodzakelijk.
2.12 Stap 7b Method of infection
Zoals eerder bij stap 3c al onder de beschrijving van packers is aangegeven, bestaan er vele methoden om malware te distribueren of, anders gezegd, een computer te infecteren. We hebben het onderscheid gemaakt in een ‘push’ en een ‘pull’ benadering. Veel voorkomende methoden voor de push benadering zijn het verzenden van e‐mail (spammen met een besmette bijlage), instant messaging (IM) (het binnenkrijgen van besmette plaatjes en/of bestanden als onderdeel van een chat), het bezoeken van sites met besmette advertenties en het bezoeken van gecorrumpeerde (meestal slecht beveiligde) sites zoals blogs die proberen gebruik te maken van softwarematige kwetsbaarheden. Bij de laatste twee vormen gebeurt de besmetting zonder enige handeling van de gebruiker via een zogenaamde ‘drive‐ by download’ langs bijvoorbeeld een reclamebanner (Provos, 2008). 17
Simple Mail Transfer Protocol (SMTP) is de de standaard voor het versturen van e‐mail over het internet.
Bij een pull benadering is er sprake van het verstoppen van de malware in ogenschijnlijk betrouwbare bestanden zoals freeware, films, documenten enzovoort. Vooral via peer‐to‐peer bestandsuitwisseling (torrents) vindt een grote mate van door een gebruiker zelf geïnitieerde distributie van malware plaats.
Bij de distributie van malware via nieuwsgroepen (usenet) of peer‐to‐peer (torrents) kan via technische hulpmiddelen een (deel van de) digitale identiteit van degene die de besmette bestanden plaatst dan wel aanbiedt, herleid worden. Het scannen van alle bestanden in de nieuwsgroepen of aangeboden via torrents op malware is vanwege de grote dynamiek praktisch onhaalbaar. Daar en tegen probeert men de bestanden waarin malware aanwezig is, zo aantrekkelijk mogelijk voor gebruikers te laten zijn. Bijvoorbeeld in de vorm van de nieuwste afleveringen van series, films, muziek‐CD's enzovoort. Om daarbij als eerste op te kunnen vallen, verschijnen deze malafide posts vaak eerder dan het verschijnen van de originele versie. Dit kan een goede indicator zijn van malware distributie en aanleiding geven om in detail naar de digitale identiteit van de plaatser op zoek te gaan.
“Het verschijnen van audiovisuele files op het web, zogenaamd met zeer actuele content die redelijkerwijs nog niet beschikbaar kan zijn, is een indicatie voor de aanwezigheid van malware in die files.”
De wapenwedloop tussen de malware schrijvers en de anti‐virus(AV)‐industrie leidt ertoe dat bepaalde veel gebruikte packers (zie § 2.7) op enig moment in AV‐ software opgenomen worden om bij het scannen de bestanden te unpacken en dan de malware te herkennen. Om de AV‐industrie voor te blijven zullen malware schrijvers steeds op zoek gaan naar nieuwe packers. De noodzaak is daarbij niet dat ze efficiënter of sneller comprimeren, maar dat de wijze van compressie anders is.
Niet alleen AV‐files zijn een geschikt vehikel voor het verspreiden van malware of het aantrekken van bezoekers naar phishing sites. In toenemende mate worden netwerksites, zoals Hyves, Facebook, MySpace en vele andere, gebruikt om malware te verspreiden. Het is gemeengoed geworden om via persoonlijke profielen op deze websites informatie te delen met een online netwerk. Dit kan van alles zijn, zoals het bijhouden van een dagboek, bloggen of het delen van zaken die een gebruiker opgevallen zijn op andere websites in de vorm van plaatjes of filmpjes. Een voorbeeld van malware verspreiding via sociale netwerksites is bijvoorbeeld het volgende. Websense® securitylabs ontdekte op MySpace pagina’s waar een frauduleus YouTube filmpje aangeboden werd. Wanneer gebruikers op het filmpje klikten werden ze doorverwezen naar een kopie van de video op de
website ‘Youtube.info’18. In het filmpje zat een installatieprogramma voor een extra werkbalk in hun browser, in dit geval de ‘Zango Cash Toolbar’. Gebruikers die klikten op de knop “click here for full video” werden naar een Microsoft® Windows® video gestuurd en gevraagd een gebruikersovereenkomst te accepteren om het filmpje te kunnen bekijken. Het accepteren van de gebruikerovereenkomst startte ook de installatie van de ‘Zango Cash toolbar’ (Choo, 2009, p. 1).
2.13 Stap 8 Acquire victims
Als de phisher alles in gereedheid heeft gebracht kan zijn aanval beginnen. Het moment van de aanval kiest de phisher zelf. Is er veel aandacht voor een andere bepaalde aanval op zijn target of is de targetinstelling anderszins veel in het nieuws, dan zal hij wachten.
Open spoof page
Afhankelijk van de gebruikte techniek voor de distributie van de mail (zie stap 7) zal de phisher de massmailer een opdracht geven, de spoof website in de lucht brengen via het botnet dan wel een botnet activeren om de mail massaal te gaan versturen. Het aansturen van botnets is een ontwikkeling op zich. Het Money/Sikora botnet verpakt zijn commando bijvoorbeeld in een .jpeg bestand dat daarmee de indruk wekt een plaatje te zijn maar het niet is (Naraine, 2009). Door de besmette PC wordt het als plaatje verwerkt en worden de commando’s uitgevoerd. De bestandsgrootte van deze fake.jpeg komt overigens niet overeen met een echt .jpeg bestand en het is ook niet als plaatje te openen. Dat biedt weer aanknopingspunten voor detectie.
“Wanneer de bestandsgrootte niet overeenkomt met de aard van de inhoud van een bestand, kan dit een indicatie zijn dat er iets met het bestand aan de hand is. Het bevat een commando, virus, malware of andere schadelijke code.”
Mass mail
Voor het feitelijk benaderen van slachtoffers staan de phisher weer meerdere mogelijkheden ten dienste die ook tegelijk gebruikt kunnen worden om het bereik van potentiële slachtoffers te vergroten. Een spambericht is de lokmethode van de
18
meeste klassieke phishing aanvallen om geadresseerden tot slachtoffer te maken door ze naar de spoof website te lokken en hen over te halen hun gegevens daar in te vullen. Spamming heeft hier dus niet als doel gebruikers iets te laten kopen of een bepaald product onder de aandacht te brengen, maar is een werktuig om hen te overreden meerdere acties te ondernemen. De spammail ziet er bij phishing anders uit dan bij spamming als hoofdactiviteit. Spam als onderdeel van een phishing aanval ziet er vaak veel beter uit. Juist omdat deze mensen moet overtuigen hun kostbare gegevens achter te laten, moet de spammail vertrouwen wekken. Het gebruik van bedrijfslogo’s en bedrijfskleuren is hoog, maar vreemd genoeg is het woordgebruik vaak onzorgvuldig (hoewel ook dat evolueert). Dit kan te maken hebben met de afkomst van de phishers. Als ze niet uit het land afkomstig zijn waar ze actief zijn, dan zullen ze zich moeten beroepen op een tolk of gebruik moeten maken van vertaalprogramma’s zoals Babel Fish. Nederlandse bankklanten e‐mail in een andere taal sturen is niet erg geloofwaardig. Uit één van de onderzochte dossiers is een voorbeeld bekend dat de phishers gebruik maakten van een in het land van de target wonend familielid dat niet alleen zorgde voor een juiste vertaling van de spamberichten, maar ook het juiste moment bewaakte om de aanval te openen
“Wanneer gebruik gemaakt wordt van een massmailer zal het verkeer vanaf de computer die daarvoor gebruikt wordt, nadrukkelijk toenemen en als zodanig als spammachine herkend kunnen worden.”
“Een phishing aanval is te detecteren via grote mail providers (Hotmail, Gmail, KPN, etc.) die in de mailboxen steeds dezelfde mail aantreffen.”
“Tijdens de aanval kan het IP‐adres van de spoof website achterhaald worden, waardoor verderop in het proces de dader die teruggaat naar de site om de gegevens op te halen, qua IP‐adres achterhaald kan worden.”
Activate Botnet mailing
Zoals hiervoor aangegeven, is door de sterke toename van het verkeer een massale spam run vanaf een beperkt aantal computers relatief eenvoudig op te sporen. Om dit tegen te gaan, wordt in belangrijke mate gebruik gemaakt van botnets om de spammail te versturen. In de praktijk komt dit neer op het versturen van een commando van de controlserver naar alle gehijackte computers in het botnet met daarin de te versturen mail. Vervolgens wordt dit bericht aan iedereen in het adresboek en/of de adressen in het maillog van de desbetreffende computer gestuurd. Een anonimiserende proxyserver vertelt de website niet waar het
originele verzoek vandaan kwam, zodat deze altijd beschermd is. Dit maakt het voor de cybercrimineel eenvoudiger om anoniem te blijven en zich achter een net van proxy’s te verschuilen. Een manier om toch inzicht te krijgen in dataverkeer, is het toepassen van het Netflow protocol (Callanan, Gercke, Marco, & Dries‐ Ziekenheiner, 2009, p. 123). Netflow is een open maar van origine ‘proprietary’ protocol dat door Cisco Systems ontwikkeld is om informatie over IP dataverkeer door netwerknodes te laten verzamelen. Netflow geeft inzicht in hoeveel data er tussen de poorten van geïdentificeerde nodes en hosts wordt uitgewisseld. Hiermee is de identiteit van de node nog niet bekend, maar kan wel inzicht verkregen worden in de hoeveelheden dataverkeer. Dit kan weer leiden tot het identificeren van node’s die in korte tijd veel verkeer kijgen, iets wat bijvoorbeeld duidt op een spoof website (Netflow, 2009).
Fake DNS reply
Een manier om zonder mail of malware gebruikers naar de spoof site te laten gaan, is het hacken van een DNS. In § 2.1 bij de definitie van ‘pharming’ is dit al kort aangehaald. Deze zogenaamde domain name service is een soort telefoonboek voor het internet waarin domeinnamen omgezet worden in fysieke IP‐adressen waar de site zich bevindt. Deze DNS functie is redundant uitgevoerd wat zoveel betekent als dat dezelfde informatie op een veelheid aan plekken wordt opgeslagen. Afhankelijk van de plaats in het netwerk zal een gebruiker de meest dichtstbijzijnde DNS gebruiken. Hier komt dan de kwetsbaarheid om de hoek kijken: wanneer een lokale DNS gehackt wordt en bepaalde IP‐adressen veranderd worden, kan het dus gebeuren dat een gebruiker denkt dat hij naar de echte site gaat maar ondertussen de spoofsite bezoekt.
Een tweede mogelijkheid om DNS te misbruiken zit in een ontwerpfout van de Internet Explorer browser. Wanneer een website wordt aangevraagd door de gebruiker door middel van het intikken van een URL vraagt de browser op het web aan een DNS‐server de locatie van de URL. De DNS server reageert met een IP‐ adres en de gebruiker wordt naar de desbetreffende pagina gedirigeerd. Cybercriminelen kunnen echter voordat de browser een DNS raadpleegt al een namaak DNS antwoord sturen. Het volgende scenario ontrolt zich dan. Stel dat de gebruiker naar zijn website voor internetbankieren wil. De aanvaller heeft alvast een vals DNS‐antwoord gestuurd naar de browser van de gebruiker, waarin het IP‐ adres van de spoof website staat. Zodra de gebruiker naar www.rabobank.nl/internetbankieren wil surfen, ziet de browser dat er al een DNS‐ antwoord is en dirigeert de gebruiker naar het IP‐adres dat daarin staat. De browser controleert niet wanneer het DNS‐ antwoord is ontvangen, het constateert alleen dat er al een antwoord is.
Session hijack
Op het moment dat een computer besmet is met een bepaald type malware kan deze er voor zorgen dat de gebruiker niets eens een spoof site hoeft te bezoeken om toch zijn credentials kwijt te raken of erger nog dat deze direct misbruikt