Spammers misbruiken zombies op nieuwe manier
Het aantal spamberichten dat direct via zogenaamde "zombie PCs" verstuurd wordt, mag dan zijn afgenomen, de hoeveelheid spam is nog altijd stijgende. Onderzoek van filterbedrijf MessageLabs op 1 oktober 2004, waarbij naar binnenkomende verbindingen op haar honeypot servers gekeken werd, liet zien dat 79% van de verbindingen van "open proxy" computers afkomstig was (meestal computers die door een worm of Trojaans paard besmet zijn). Dezelfde test in februari van dit jaar liet zien dat het percentagen naar 59% gedaald was. De hoeveelheid spam was echter van 72% in september 2004, naar 83% in januari 2005 gestegen. Dit zou moeten aantonen dat spammers hun tactiek veranderen om zo de verdediging van ISPs te omzeilen. "Sommige ISPs blokkeren nu standaard TCP poort 25 (SMTP), of stellen verplicht dat berichten via de e-mailserver van de ISP verstuurd worden, waardoor spammers nu nieuwe manieren gebruiken. Software, zoals Send-Safe, laat spammers via de "proxy lock" functie spam via de mailserver van de ISP van de zombie computer versturen, een aanpak die, als we naar de resultaten kijken, succesvol voor de spammers is." zo laat Paul Wood van MessageLabs weten.
Ik ontvang op een oud mailadres zo'n 10 tot 30 spams per
dag. Daarvan is nog steeds het grootste deel direct
afkomstig van PC's, waarvan de meeste onder APNIC vallen
(China, Korea, Taiwan etc). Dat deze direct afkomstig is van
een (mogelijk gekraakte) PC is vaak direct te zien aan de
eerste "externe" received header, nl. als ze tijdens de
SMTP-handshake (HELO/EHLO) als hostname het IP-adres op van
do ontvangende mailserver van mijn ISP opgeven. Geen enkele
zendende ISP mailserver doet zoiets achterlijks. Waarom
spammers dit doen snap ik ook niet, want het is makkelijk
filteren zo en spamhaters die serieus naar headers kijken
misleid je hier natuurlijk niet mee. Ook als ze dit niet
doen zijn daaropvolgende received headers vaak overduidelijk
gespoofed, met enige ervaring zie je dat zo.
Daarnaast zie ik weleen stijgende trend van spam die
direct vanaf mailservers van spammers zelf wordt
verzonden, verreweg de meeste in de USA, die kennelijk
proberen aan de daar geldende wettten te voldoen. Zij
spoofen dan ook geen afzender adressen en in sommige XXX
spam wordt in het subject zelfs "SEXUALLY-EXPLICIT"
vermeld. Typische hostnames zijn bijv. offerscentral.info,
advertisingbiz.us en marketsourcellc.net (typische IP-ranges
van de zendende mailservers zijn bijv. 66.154.96.0/19 en
65.217.54.0/27).
Op een paar 419-scams na heb ik het afgelopen jaar echter
zelden spam ontvangen die via een ISP mailserver was
verzonden, en zie daar ook zeker geen stijgende trend in.
Ik sluit niet uit dat SendSafe vooral wordt gebruikt bij
spamruns gericht op klanten van zeer grote ISP's (Hotmail,
Yahoo en dus ook bedrijven als Messaglabs). Maar ik sluit
ook niet uit dat het MessageLabs verhaal gewoon FUD is.
Erik
zombies die rechtstreeks naar de outbound mailserver stuurden. Gelukkig
werd ook UITgaande mail op spam gefilterd. Maar het is zeker een
verschijnsel in opkomst. Automatische scans EN direct afsluiten is het
enige wat echt helpt.
eg wel
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.