Een onderzoeker die bekendstaat onder de naam Benkow heeft op een Nederlandse server 711 miljoen e-mailadressen gevonden die worden gebruikt door de Onliner-spambot. Troy Hunt, van de site Have I Been Pwned, heeft de database aan zijn collectie toegevoegd.
Hunt schrijft dat mensen daarom nu kunnen controleren of hun e-mailadres in de gegevens voorkomt. Zijn eigen adres staat er in ieder geval twee keer in, zonder dat hij weet hoe het daar terecht is gekomen. Omdat de database met e-mailadressen voor een deel is samengesteld door scraping, is hij niet geheel zuiver. Daardoor is het aantal van 711 miljoen adressen volgens Hunt 'technisch correct, maar zullen er in werkelijkheid minder echte personen in de data voorkomen'.
Naast e-mailadressen zijn er ook logins en gegevens van smtp-servers op de server aanwezig. Benkow, de ontdekker van de gegevens, schrijft op een eigen blog dat dit de spammers in staat stelt om e-mails via legitieme smtp-servers te sturen, waardoor deze een kleinere kans hebben om gefilterd te worden. Naar eigen zeggen zitten er 80 miljoen inloggegevens in de dump. Die gegevens zijn afkomstig uit verschillende bronnen, bijvoorbeeld grote, uitgelekte databases van LinkedIn, maar ook phishingsacties of aangekochte databases.
Volgens Benkow werd de op de server aanwezige spambot gebruikt om fingerprinting spam te versturen. Dit betekent dat er in eerste instantie een grote hoeveelheid e-mails met een afbeelding ter grootte van een pixel wordt verstuurd. Als de ontvanger de mail opent, maakt zijn systeem verbinding met een achterliggend ip-adres waarop de afbeelding is gehost. Daardoor kan degene achter de spamcampagne erachter komen welk systeem de ontvanger draait, bijvoorbeeld een mobiel of een desktopbesturingssysteem.
Deze informatie kan hij vervolgens weer inzetten om gerichte e-mails naar interessante adressen te sturen. Ook kan de spammer er op deze manier achter komen of een e-mailadres geldig is en of spam daadwerkelijk wordt geopend. Daarnaast voorkomt deze werkwijze dat de spamcampagne te 'lawaaierig' wordt, zo legt Benkow uit aan ZDNet. Als dat gebeurt, zou dat de aandacht van opsporingsdiensten trekken.
De spam-e-mails worden gebruikt om de zogenaamde Ursnif-malware te verspreiden, die zich richt op het verzamelen van bank- en creditcardgegevens. Benkow vertelt aan de site dat de Onliner-spambot inmiddels heeft geleid tot 100.000 unieke infecties over de hele wereld. De malware bevat een module die test of inloggegevens toegang geven tot smtp-servers. Werkt dit, dan worden de gegevens aan een lijst toegevoegd, zoals hieronder schematisch is weergegeven.
Troy Hunt zegt dat hij met een 'betrouwbare bron' samenwerkt om de server, die momenteel nog in de lucht is, met opsporingsdiensten offline te halen.
Bron: Tweakers.net