Onderzoeker vindt 711 miljoen e-mailadressen op Nederlandse spamserver

[Fail_over]

Onderzoeker vindt 711 miljoen e-mailadressen op Nederlandse spamserver bron tweakers.net

Een onderzoeker die bekendstaat onder de naam Benkow heeft op een Nederlandse server 711 miljoen e-mailadressen gevonden die worden gebruikt door de Onliner-spambot. Troy Hunt, van de site Have I Been Pwned, heeft de database aan zijn collectie toegevoegd.

Hunt schrijft dat mensen daarom nu kunnen controleren of hun e-mailadres in de gegevens voorkomt. Zijn eigen adres staat er in ieder geval twee keer in, zonder dat hij weet hoe het daar terecht is gekomen. Omdat de database met e-mailadressen voor een deel is samengesteld door scraping, is hij niet geheel zuiver. Daardoor is het aantal van 711 miljoen adressen volgens Hunt 'technisch correct, maar zullen er in werkelijkheid minder echte personen in de data voorkomen'.

Naast e-mailadressen zijn er ook logins en gegevens van smtp-servers op de server aanwezig. Benkow, de ontdekker van de gegevens, schrijft op een eigen blog dat dit de spammers in staat stelt om e-mails via legitieme smtp-servers te sturen, waardoor deze een kleinere kans hebben om gefilterd te worden. Naar eigen zeggen zitten er 80 miljoen inloggegevens in de dump. Die gegevens zijn afkomstig uit verschillende bronnen, bijvoorbeeld grote, uitgelekte databases van LinkedIn, maar ook phishingsacties of aangekochte databases.

Volgens Benkow werd de op de server aanwezige spambot gebruikt om fingerprinting spam te versturen. Dit betekent dat er in eerste instantie een grote hoeveelheid e-mails met een afbeelding ter grootte van een pixel wordt verstuurd. Als de ontvanger de mail opent, maakt zijn systeem verbinding met een achterliggend ip-adres waarop de afbeelding is gehost. Daardoor kan degene achter de spamcampagne erachter komen welk systeem de ontvanger draait, bijvoorbeeld een mobiel of een desktopbesturingssysteem.

Deze informatie kan hij vervolgens weer inzetten om gerichte e-mails naar interessante adressen te sturen. Ook kan de spammer er op deze manier achter komen of een e-mailadres geldig is en of spam daadwerkelijk wordt geopend. Daarnaast voorkomt deze werkwijze dat de spamcampagne te 'lawaaierig' wordt, zo legt Benkow uit aan ZDNet. Als dat gebeurt, zou dat de aandacht van opsporingsdiensten trekken.

De spam-e-mails worden gebruikt om de zogenaamde Ursnif-malware te verspreiden, die zich richt op het verzamelen van bank- en creditcardgegevens. Benkow vertelt aan de site dat de Onliner-spambot inmiddels heeft geleid tot 100.000 unieke infecties over de hele wereld. De malware bevat een module die test of inloggegevens toegang geven tot smtp-servers. Werkt dit, dan worden de gegevens aan een lijst toegevoegd, zoals hieronder schematisch is weergegeven.

Troy Hunt zegt dat hij met een 'betrouwbare bron' samenwerkt om de server, die momenteel nog in de lucht is, met opsporingsdiensten offline te halen.




Op deze pagina meer informatie over het lek:

https://haveibeenpwned.com/PwnedWebsites#OnlinerSpambot

Via de volgende link kun je je username of e-mail adres dus invoeren en zien of je voorkomt in de/een datalek:

https://haveibeenpwned.com/

Je kunt sinds een tijdje ook zoeken op wachtwoorden: https://haveibeenpwned.com/Passwords

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut

Zie de FAQ voor info over hoe de website met jouw gegevens omgaat: https://haveibeenpwned.com/FAQs

Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch