Vetpot
Planet MultiMedia 6 februari 2004
Er komt een hoop ellende op je af, tegenwoordig, met al die spam. Toch zijn er lichtpuntjes. Steeds vaker krijg ik spams zoals deze: "Suoper chacrge your lozve liyfe! Orgder your Vmiagara and Snupker Vidagtra savfely and secursely onliene. Cilalois (Suuper Vidaugra) takes affvect rigdht away and lalsts for dafys! Ebnther Heare."
Is dat goed nieuws, hoor ik iemand zeggen? Absoluut. Hier staat namelijk: "Ik ben een wanhopige spammer. Spamfilters zijn zo goed geworden dat ik mijn waren niet meer in gewone taal aan de man kan brengen. Ik ben nu uitsluitend nog aangewezen op dat minieme deel van de populatie dat 1. stom genoeg is om deze rotzooi te kopen en 2. desondanks in staat is dit koeterwaals te ontcijferen."
Het zou mij niet verbazen als het responsepercentage op dit soort mails inmiddels was gedaald tot 0.00001 procent. Dus op dit mailtje, waarvan er pakweg zo'n 50 miljoen het net hebben vervuild, hebben vijf sukkels gereageerd. Da's geen vetpot! En daarvoor moet je ook nog eens regelmatig van provider wisselen en overdag de gordijnen dicht houden.
Een van mijn favoriete bezigheden is me te verplaatsen in de persoon van zo'n sociaal onaanvaardbaar type. Dat heb ik bijvoorbeeld altijd met Nigeriaanse oplichtersspam. Ik zie dan zo'n arme misdadiger, in een of ander broeierig internetcafé in Lagos, en bedenk: "OK, ik sta op het punt zo'n Business Proposal te schrijven. CapsLock staat aan, ik zit klaar. Hoe pak ik dat aan?". Fascinerend, ik kan het iedereen aanraden. En heeft Peter R. De Vries ons niet geleerd dat je in de huid van een misdadiger moet kruipen om misdaden effectiever op te lossen?
In een baldadige bui probeer ik me voor te stellen hoe een Advanced Spamming Workshop eruit zou moeten zien. Daar komen alle belangrijke ingrediënten van een professionele spam-mailing aan de orde. Allereerst is er de tekst zelf. De titel van dit onderwerp ligt voor de hand: 'Enhance Your Pen'. Daar kunnen die jongens zich meteen in herkennen. Het motto is simpele bewoordingen en zo weinig mogelijk informatie. De CapsLock moet UIT, mijne heren!
Vervolgens de subjectregel. Hiermee komen we op het terrein van de zogenaamde 'Social Engineering'. Dit gedeelte van de workshop kan trouwens ook worden gebruikt voor de cursus 'Hoe maak ik een succesvol virus?' De kunst is, mensen het mailtje te laten openmaken. Daarna kunnen we verder met ons kwalijke werk, spammen, wormen, maakt niet uit.
Social Engineering is een kunstvorm op zich geworden. Het wordt steeds meer gebruikt, omdat Microsoft steeds meer gaten in zijn software dicht en er dus andere methoden moeten worden gevonden om een consumenten-pc binnen te komen. Er zijn drie hoofdstrategieën: niks-met-attachment, de smoes, en phishing.
Niks-met-attachment kan erg effectief zijn, zo weten we sinds MyDoom. Het idee is dat je minimale informatie, het liefst helemaal niks, in subjectregel en in de mail zelf zet. Hooguit 'Hi' of 'We konden onze boodschap hier niet kwijt'. En dan is er het attachment. Mensen zijn van nature nieuwsgierig, dus voor velen is dit gebrek aan voorinformatie meer dan genoeg reden om meteen te gaan kijken wat er dan wel in het bijgevoegde bestand te vinden is. Bingo!
De smoesmethode is heel simpel: je komt binnen met een smoesje, mensen slikken het en klikken erop. Populaire smoesjes zijn 'Account overdue', 'U dreigt geld mis te lopen' en 'Microsoft Support'. Die laatste is heel erg slim. Microsoft Support, ha! Als Microsoft-gebruiker kun je alle steun nodig die menselijkerwijs vinden is, en alleen insiders weten dat onze Bill die steun liever niet geeft. Die tientallen miljarden per jaar moeten toch ergens vandaan komen?
Phishing is van de drie methoden het gevaarlijkst. We zijn nu al ruim in het criminele circuit aangeland. Je stuurt mensen een onschuldige boodschap dat hun account op het punt staat te verlopen, of dat er even gecontroleerd moet worden of alle gegevens nog kloppen. Dit alles onder het motto van eBay, PayPal, of een grote bank zoals Citibank of HSBC. Wie doorklikt, komt terecht op een site die het evenbeeld is van de echte site van het desbetreffende bedrijf, met logo's, links en al.
Na tekst en subjectregel is er nog een belangrijk onderwerp te behandelen: 'distributie'. Wederom drie hoofdmethoden: kopen, oogsten en spread-it-yourself.
Kopen is simpel. Je spendeert vijftig piek aan een cd-tje met een paar honderd miljoen adressen waarvan de meeste waardeloos zijn. Geeft niet, er komen altijd nog enkele tientallen miljoenen ergens terecht. Vaak bestaan zulke bestanden ook uit adressen die gewoon zijn gegenereerd met een tekstgenerator. Zo iemand maakt een lijst met persoonsnamen. Kunnen voornamen zijn, of achternamen, of combinaties zoals voor- en achternaam met een punt ertussen of voorletter en achternaam aan elkaar, maakt niet uit. Volgende stap is een lijst met namen van grote bedrijven en internetproviders. Alles met alles combineren, apenstaartje ertussen en klaar is Kees.
Oogsten, of 'harvesten' want de voertaal in spamland is nog altijd Engels, is inmiddels al heel oud. Je stuurt een robot het net op en laat hem alle websites afgrazen op iets dat de syntax van een e-mailadres heeft. Idem, chatsites en discussiegroepen. Levert misschien wat minder adressen op dan de honderden miljoenen van de vorige methode, maar deze zijn tenminste allemaal actief.
Maar het gevaarlijkste is Spread-It-Yourself. Hier komen we op een terrein waar virusmakers en spammers elkaar steeds vaker tegenkomen. Je gebruikt een virus om de boodschap door te sturen aan alle adressen in het e-mailbestand van de ontvanger. Die wordt daarmee zelf de verspreider, wat het meteen een stuk moeilijker maakt om de oorspronkelijke herkomst te achterhalen.
MyDoom gebruikte een combinatie van namen genereren en zelfverspreiding: in eerste instantie werd het virus naar een gegenereerd bestand gestuurd, en vervolgens verspreidde het zich naar adressen in de bestanden van de ontvangers. En om maximale verwarring te verwekken, doet het virus ook nog eens alsof een ander wilekeurig adres uit het bestand van de ontvanger de nieuwe verzender is. Volgt U het nog?
Spam en virussen gaan steeds meer hand in hand. SoBig, Mimail, Bagle en MyDoom, allemaal hebben ze inmiddels honderden miljoenen pc's overal ter wereld klaargezet om gebruikt te worden als spamverspreiders.
Wat leert ons dit allemaal?
at de oplossing van het probleem in een andere richting gezocht moet worden dan steeds meer nieuwe en tot mislukken gedoemde wetgeving. Spam valt onder list en bedrog, en dat is al verboden. Amerikaanse politici proberen te scoren met wetten met gladde benamingen zoals CanSpam, en proberen nu ook phishing te gaan verbieden. Welja, waarom niet ook nog even een KillMurder-wet? Worden we er meteen weer aan herinnerd dat moorden nog steeds niet mag.
Europeanen wijzen naar Amerikanen omdat alle spam nog steeds door en ten behoeve van de Amerikaanse markt wordt gemaakt. En de spammers zetten hun tentjes op in Zuid-Amerika. Bijna alle MyDoom-mails in mijn inbox kwamen van Argentijnse servers.
De kern van het probleem is tweeledig: ten eerste is het vervalsen van afzendadressen zo ongeveer het gemakkelijkste wat er bestaat, en ten tweede is versturen nagenoeg gratis. Dat laatste valt op verschillende manieren aan te pakken, maar dat brengt wel ongemak met zich mee. De Koreaanse Internetprovider Daum werkt al jaren met een verzendtarief voor bulkmail. Microsoft is bezig met een softwarematige oplossing: laat de verzendende computer een berekening uitvoeren waardoor verzenden computertijd, is geld, kost. Microsoft? Ik houd mijn hart al vast. Om te beginnen gaat het jaren duren voordat iedereen het geld voor een upgrade van zijn e-mailclient heeft kunnen opbrengen, en lang voordat het zover is, heeft een virusmaker het systeem allang gekraakt.
Maar misschien ben ik te pessimistisch. En voorlopig worden spamfilters steeds beter...
Er komt een hoop ellende op je af, tegenwoordig, met al die spam. Toch zijn er lichtpuntjes. Steeds vaker krijg ik spams zoals deze: "Suoper chacrge your lozve liyfe! Orgder your Vmiagara and Snupker Vidagtra savfely and secursely onliene. Cilalois (Suuper Vidaugra) takes affvect rigdht away and lalsts for dafys! Ebnther Heare."
Is dat goed nieuws, hoor ik iemand zeggen? Absoluut. Hier staat namelijk: "Ik ben een wanhopige spammer. Spamfilters zijn zo goed geworden dat ik mijn waren niet meer in gewone taal aan de man kan brengen. Ik ben nu uitsluitend nog aangewezen op dat minieme deel van de populatie dat 1. stom genoeg is om deze rotzooi te kopen en 2. desondanks in staat is dit koeterwaals te ontcijferen."
Het zou mij niet verbazen als het responsepercentage op dit soort mails inmiddels was gedaald tot 0.00001 procent. Dus op dit mailtje, waarvan er pakweg zo'n 50 miljoen het net hebben vervuild, hebben vijf sukkels gereageerd. Da's geen vetpot! En daarvoor moet je ook nog eens regelmatig van provider wisselen en overdag de gordijnen dicht houden.
Een van mijn favoriete bezigheden is me te verplaatsen in de persoon van zo'n sociaal onaanvaardbaar type. Dat heb ik bijvoorbeeld altijd met Nigeriaanse oplichtersspam. Ik zie dan zo'n arme misdadiger, in een of ander broeierig internetcafé in Lagos, en bedenk: "OK, ik sta op het punt zo'n Business Proposal te schrijven. CapsLock staat aan, ik zit klaar. Hoe pak ik dat aan?". Fascinerend, ik kan het iedereen aanraden. En heeft Peter R. De Vries ons niet geleerd dat je in de huid van een misdadiger moet kruipen om misdaden effectiever op te lossen?
In een baldadige bui probeer ik me voor te stellen hoe een Advanced Spamming Workshop eruit zou moeten zien. Daar komen alle belangrijke ingrediënten van een professionele spam-mailing aan de orde. Allereerst is er de tekst zelf. De titel van dit onderwerp ligt voor de hand: 'Enhance Your Pen'. Daar kunnen die jongens zich meteen in herkennen. Het motto is simpele bewoordingen en zo weinig mogelijk informatie. De CapsLock moet UIT, mijne heren!
Vervolgens de subjectregel. Hiermee komen we op het terrein van de zogenaamde 'Social Engineering'. Dit gedeelte van de workshop kan trouwens ook worden gebruikt voor de cursus 'Hoe maak ik een succesvol virus?' De kunst is, mensen het mailtje te laten openmaken. Daarna kunnen we verder met ons kwalijke werk, spammen, wormen, maakt niet uit.
Social Engineering is een kunstvorm op zich geworden. Het wordt steeds meer gebruikt, omdat Microsoft steeds meer gaten in zijn software dicht en er dus andere methoden moeten worden gevonden om een consumenten-pc binnen te komen. Er zijn drie hoofdstrategieën: niks-met-attachment, de smoes, en phishing.
Niks-met-attachment kan erg effectief zijn, zo weten we sinds MyDoom. Het idee is dat je minimale informatie, het liefst helemaal niks, in subjectregel en in de mail zelf zet. Hooguit 'Hi' of 'We konden onze boodschap hier niet kwijt'. En dan is er het attachment. Mensen zijn van nature nieuwsgierig, dus voor velen is dit gebrek aan voorinformatie meer dan genoeg reden om meteen te gaan kijken wat er dan wel in het bijgevoegde bestand te vinden is. Bingo!
De smoesmethode is heel simpel: je komt binnen met een smoesje, mensen slikken het en klikken erop. Populaire smoesjes zijn 'Account overdue', 'U dreigt geld mis te lopen' en 'Microsoft Support'. Die laatste is heel erg slim. Microsoft Support, ha! Als Microsoft-gebruiker kun je alle steun nodig die menselijkerwijs vinden is, en alleen insiders weten dat onze Bill die steun liever niet geeft. Die tientallen miljarden per jaar moeten toch ergens vandaan komen?
Phishing is van de drie methoden het gevaarlijkst. We zijn nu al ruim in het criminele circuit aangeland. Je stuurt mensen een onschuldige boodschap dat hun account op het punt staat te verlopen, of dat er even gecontroleerd moet worden of alle gegevens nog kloppen. Dit alles onder het motto van eBay, PayPal, of een grote bank zoals Citibank of HSBC. Wie doorklikt, komt terecht op een site die het evenbeeld is van de echte site van het desbetreffende bedrijf, met logo's, links en al.
Na tekst en subjectregel is er nog een belangrijk onderwerp te behandelen: 'distributie'. Wederom drie hoofdmethoden: kopen, oogsten en spread-it-yourself.
Kopen is simpel. Je spendeert vijftig piek aan een cd-tje met een paar honderd miljoen adressen waarvan de meeste waardeloos zijn. Geeft niet, er komen altijd nog enkele tientallen miljoenen ergens terecht. Vaak bestaan zulke bestanden ook uit adressen die gewoon zijn gegenereerd met een tekstgenerator. Zo iemand maakt een lijst met persoonsnamen. Kunnen voornamen zijn, of achternamen, of combinaties zoals voor- en achternaam met een punt ertussen of voorletter en achternaam aan elkaar, maakt niet uit. Volgende stap is een lijst met namen van grote bedrijven en internetproviders. Alles met alles combineren, apenstaartje ertussen en klaar is Kees.
Oogsten, of 'harvesten' want de voertaal in spamland is nog altijd Engels, is inmiddels al heel oud. Je stuurt een robot het net op en laat hem alle websites afgrazen op iets dat de syntax van een e-mailadres heeft. Idem, chatsites en discussiegroepen. Levert misschien wat minder adressen op dan de honderden miljoenen van de vorige methode, maar deze zijn tenminste allemaal actief.
Maar het gevaarlijkste is Spread-It-Yourself. Hier komen we op een terrein waar virusmakers en spammers elkaar steeds vaker tegenkomen. Je gebruikt een virus om de boodschap door te sturen aan alle adressen in het e-mailbestand van de ontvanger. Die wordt daarmee zelf de verspreider, wat het meteen een stuk moeilijker maakt om de oorspronkelijke herkomst te achterhalen.
MyDoom gebruikte een combinatie van namen genereren en zelfverspreiding: in eerste instantie werd het virus naar een gegenereerd bestand gestuurd, en vervolgens verspreidde het zich naar adressen in de bestanden van de ontvangers. En om maximale verwarring te verwekken, doet het virus ook nog eens alsof een ander wilekeurig adres uit het bestand van de ontvanger de nieuwe verzender is. Volgt U het nog?
Spam en virussen gaan steeds meer hand in hand. SoBig, Mimail, Bagle en MyDoom, allemaal hebben ze inmiddels honderden miljoenen pc's overal ter wereld klaargezet om gebruikt te worden als spamverspreiders.
Wat leert ons dit allemaal?
at de oplossing van het probleem in een andere richting gezocht moet worden dan steeds meer nieuwe en tot mislukken gedoemde wetgeving. Spam valt onder list en bedrog, en dat is al verboden. Amerikaanse politici proberen te scoren met wetten met gladde benamingen zoals CanSpam, en proberen nu ook phishing te gaan verbieden. Welja, waarom niet ook nog even een KillMurder-wet? Worden we er meteen weer aan herinnerd dat moorden nog steeds niet mag.
Europeanen wijzen naar Amerikanen omdat alle spam nog steeds door en ten behoeve van de Amerikaanse markt wordt gemaakt. En de spammers zetten hun tentjes op in Zuid-Amerika. Bijna alle MyDoom-mails in mijn inbox kwamen van Argentijnse servers.
De kern van het probleem is tweeledig: ten eerste is het vervalsen van afzendadressen zo ongeveer het gemakkelijkste wat er bestaat, en ten tweede is versturen nagenoeg gratis. Dat laatste valt op verschillende manieren aan te pakken, maar dat brengt wel ongemak met zich mee. De Koreaanse Internetprovider Daum werkt al jaren met een verzendtarief voor bulkmail. Microsoft is bezig met een softwarematige oplossing: laat de verzendende computer een berekening uitvoeren waardoor verzenden computertijd, is geld, kost. Microsoft? Ik houd mijn hart al vast. Om te beginnen gaat het jaren duren voordat iedereen het geld voor een upgrade van zijn e-mailclient heeft kunnen opbrengen, en lang voordat het zover is, heeft een virusmaker het systeem allang gekraakt.
Maar misschien ben ik te pessimistisch. En voorlopig worden spamfilters steeds beter...
posted by Jos. at Friday, February 06, 2004
<< Home