G Data Whitepaper 5/2011
Gevaarlijke e-mails
Whitepaper_5-2011
Sabrina Berkenkopf & Ralf Benzmüller G Data SecurityLabs
Go safe. Go safer. G Data.
G Data Whitepaper 5/2011: Gevaarlijke e-mails
Inhoud 1 Inleiding ........................................................................................................................................... 2 1.1
E-mail, een kort overzicht .............................................................................................................................. 2
1.2
Wie zit er achter het verzenden van spam? ............................................................................................ 3
1.3
Psychologische basisprincipes van spam ................................................................................................ 4
2 De verschillende trucs..................................................................................................................... 5 2.1
De truc voor opnieuw aanmelden (gegevensdiefstal, malware) .................................................... 5
2.2
De truc met onregelmatigheden (phishing) .......................................................................................... 6
2.2
De wenskaartentruc (malware) ................................................................................................................... 7
2.3
De pakketverzendingstruc (malware en phishing) .............................................................................. 8
2.4
De truc "Kijk eens hier" (malware en reclame) ....................................................................................... 9
2.5
De kortingtruc (malware) ........................................................................................................................... 10
2.6
Truc met academische graden en titels (phishing en oplichting) ............................................... 11
2.7
Truc online casino (phishing en oplichting) ........................................................................................ 12
2.8
419-truc / Nigeria-spam (oplichting) ...................................................................................................... 13
2.9
Jobtruc (malware en oplichting) .............................................................................................................. 14
2.10 Russian bride-truc (oplichting) ................................................................................................................. 15 2.11 Loterijtruc (oplichting) ................................................................................................................................. 16 3 Tips en trucs ................................................................................................................................... 17 3.1
Nuttige gedragsregels ................................................................................................................................. 17
3.2
Technische maatregelen............................................................................................................................. 17
4 Glossarium ..................................................................................................................................... 18
Copyright © 2011 G Data Software AG
1
1
G Data Whitepaper 5/2011: Gevaarlijke e-mails
Inleiding
1.1 E-mail, een kort overzicht We kunnen ons dagelijkse beroeps- en privéleven tegenwoordig niet meer voorstellen zonder emails als communicatiemedium. Het verzenden van e-mails is niet alleen bijzonder voordelig en snel, maar biedt ook een wereldwijd bereik. Er zijn computerprogramma's beschikbaar voor het werken met e-mails (e-mailclients), maar gebruikers kunnen hun e-mails ook via browsers opvragen. Dergelijke populaire functies zijn natuurlijk ook aantrekkelijk voor oplichters, die gretig gebruikmaken van technische tekortkomingen. Het verzenden en ontvangen van e-mails gebeurt bovendien op de achtergrond zodat de gebruiker hier idealiter niets van merkt. Het protocol voor het verzenden wordt SMTP, Simple Mail Transfer Protocol, genoemd. E-mails worden ontvangen via POP3 (Post Office Protocol, versie 3) of IMAP (Internet Message Access Protocol). De opbouw van elektronische post bestaat uit verschillende delen, net zoals een briefkaart. Aan de ene zijde, in het informatiegedeelte (header = berichtkop), vindt u de gegevens van de afzender en de geadresseerde, de datum, het onderwerp enz. Het tweede bestanddeel is het tekstgedeelte (body = hoofdtekst), dat de eigenlijke inhoud overdraagt. Bij het verzenden van een e-mail in SMTP gebeurt er geen verificatie van platte tekst, waardoor indringers over een gedroomde locatie beschikken voor hun misdaden. Het is bijvoorbeeld mogelijk het afzenderadres in de berichtkop te wijzigen en hierdoor een valse identiteit voor te spiegelen aan de geadresseerde. Ook de inhoud kan zonder veel moeite worden gemanipuleerd. Maar ondanks al deze reeds vermelde positieve eigenschappen van e-mails, is er ook een keerzijde van de medaille. Uw Postvak IN puilt alweer uit, het grootste deel van de ontvangen e-mails is ongewenste post met duistere reclamebeloften, droomjobaanbiedingen, uitnodigingen voor flirts en andere soortgelijke berichten. Vooral spam1 is een doorn in het oog van de computergebruikers van deze wereld. Deze ongevraagde en in massa's ontvangen e-mails zijn niet alleen storend vanwege het hoge aantal, ze kunnen ook gevaarlijk zijn. Er zijn bedrieglijke en gevaarlijke e-mails in talrijke verschillende varianten: als ongewenste reclamemails, phishing, malware met bestandsbijlagen of een koppeling naar voorbereide websites. Voordat we overgaan naar het volgende hoofdstuk, waar we u een nauwgezette beschrijving van de individuele methoden en trucs van e-mailoplichters geven, willen we nog enkele achtergronden belichten.
1
De verklaringen van vakbegrippen die met zijn gemarkeerd, staat in het glossarium
Copyright © 2011 G Data Software AG
2
G Data Whitepaper 5/2011: Gevaarlijke e-mails
1.2 Wie zit er achter het verzenden van spam? Cybercriminelen gebruiken het medium e-mail net zoals vroeger uitvoerig voor hun bedrieglijke intriges. De massaverzending van ongewenste e-mails, in het kort "spam" genoemd, is een van de bekendste bedrijfstakken van de zwarte economie van cybercriminelen. In het vierde kwartaal van 2010 was gemiddeld 83 % van al het e-mailverkeer spam, wat overeenkomt met een gemiddelde van 142 miljard spam-e-mails per dag.2 De populariteit van dit type e-mails kan onder andere worden toegeschreven aan de goede kostenbatenverhouding. Het verzenden van 1.000.000 spam-e-mails kost momenteel, afhankelijk van de provider, tussen 399 en 800 USD. Ook in de aanbieding: 2.000.000 e-mails voor de prijs van 1.000.000.
Screenshot 1: de prijslijst van een verzendservice voor bulk-e-mails op internet. Deze prijzen zijn voor algemene spamverzending, zonder vaste doelgroep
De adreslijsten met doelpersonen worden eveneens illegaal aangeboden of direct door degenen die de bulk-e-mailservices aanbieden verkocht. Indien nodig worden de lijsten ook op de betreffende klanten afgestemd. Het is dus mogelijk adressen te kopen, gesorteerd op specifieke doelgroepen. Zo kunt u bijvoorbeeld speciale lijsten aanschaffen van online gamers of van personen uit bepaalde regio's en veel andere categorieën.
Screenshot 2: meerprijzen voor doelgerichte e-mailverzendingen. In dit geval gaat het om lokale doelgroepen
Spam-e-mails worden vooral via botnets verzonden. Met een eerder klein botnet van ongeveer 20.000 zombie-computers, heeft een botnetbeheerder slechts 25 seconden nodig voor de uitvoering van een opdracht met 1.000.000 e-mails bij bijvoorbeeld 2 e-mails per seconde en een actief bot. Zuiver rekenkundig gezien kan een beheerder van een relatief klein botnet voor de verzending zo tot 115.200 USD per uur verdienen. 2
Commtouch, Q4 2010 Internet Threats Trend Report. De cijfers zijn gebaseerd op een ongefilterde gegevensstroom, zonder bedrijfsintern verkeer
Copyright © 2011 G Data Software AG
3
G Data Whitepaper 5/2011: Gevaarlijke e-mails
1.3 Psychologische basisprincipes van spam De trucs van e-mailoplichters zijn vaak gebaseerd op social engineering, ongeacht de vorm waarin e-mail in uw digitaal postvak terechtkomt. Hierbij wordt doelgericht gebruikgemaakt van emoties, meningen, instellingen en gedragingen om de emailontvanger in de val te lokken. Deze poging om vertrouwelijke gegevens binnen te krijgen door sociale manipulatie maakt gebruik van het "menselijke beveiligingslek". Om social engineering op een effectieve manier te gebruiken, maken oplichters gebruik van de (vervalste) afzendergegevens, de onderwerpregel en de inhoud van de e-mail. Maar ook de naam van het bestand in bijlage, dubbele bestandsextensies, populaire pictogrammen of domeinnamen van een koppeling kunnen worden gebruikt voor het camoufleren van een poging tot oplichting. In een onderzoek van 2005 wijzen Jordan en Goudey3 op de volgende 12 psychologische factoren waarop de meest succesvolle wormen tussen 2001 en 2004 zijn gebaseerd:
Onervarenheid (inexperience) Nieuwsgierigheid (curiosity) Hebzucht (greed) Bedeesdheid/beschroomdheid (diffidence) Beleefdheid (courtesy) IJdelheid (self-love)
Lichtgelovigheid (credulity) Wishful thinking (desire) Lust en liefde (lust) Dreiging (dread) Wederkerigheid (reciprocity) Vriendelijkheid (friendliness)
Een jaar later werd dit aangevuld door M. Braverman4: Algemene conversatie (generic conversation): Korte uitspraken zoals “cool” enz. Viruswaarschuwingen en softwarepatches Malware gevonden op de pc Viruscontrolebericht onderaan een e-mail Informatie of meldingen bij accounts: bijv. de telecom-trojaan die zich als verhoogde telefoonrekening voordoet Foutmeldingen bij aflevering e-mail Lichamelijke aantrekkingskracht (physical attraction) Beschuldigen (accusatory): bijv. de BKA-trojaan die aangeeft dat er zogezegd illegale bestanden zijn gevonden Recente gebeurtenissen Free stuff: sommige mensen gooien alle voorzichtigheid over boord zodra ze het woord "gratis" lezen
3
zie Jordan, M., Goudey, H. (2005) "The Signs, Signifiers and Semiotics of the Successful Semantic Attack". In: Proceedings of the EICAR 2005 Conference, p. 344 - 364. 4 zie Braverman (2006) "Behavioural Modelling of Social Engineering-based Malicious Software". In: Proceedings of Virus Bulletin Conference 2006, p. 15-22. Copyright © 2011 G Data Software AG
4
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2 De verschillende trucs 2.1 De truc voor opnieuw aanmelden (gegevensdiefstal, malware) De e-mail suggereert dat er een update is uitgevoerd van een online systeem of programma en dat uw klantgegevens nu onmiddellijk (!) moeten worden bijgewerkt zodat de functies van de services verder probleemloos kunnen worden gebruikt. De koppeling naar de zogenaamde updatewebsite is direct in de e-mail vermeld. Wanneer u deze koppeling echter van naderbij bekijkt, zult u vaak kunnen merken dat het niet om het originele adres gaat. De gekoppelde website is vaak een 1:1kopie van het origineel en is zuiver visueel bijna niet te herkennen als een vervalsing. De doelgroep: elke internetgebruiker, maar in het bijzonder klanten van de meest uiteenlopende banken en betaaldiensten, evenals gebruikers van populaire software, sociale netwerken, online games, gratis e-mailservices en webtoepassingen Psychologische uitgangspunten: onervarenheid, lichtgelovigheid, veiligheidsbewustzijn Het gevaar: wanneer de goedgelovige gebruiker de gevraagde gegevens opgeeft op de gekoppelde, vervalste website, dan krijgt de oplichter waardevolle informatie over die persoon in handen. Afhankelijk van het type en de opmaak van de website, kan deze informatie de naam en het adres van de gebruiker bevatten, maar dit kan nog verder gaan tot creditcardnummers en pincodes. Het misbruik van deze gegevens is vooraf geprogrammeerd! Bij deze truc is autoriteit een belangrijke factor. Onervaren gebruikers laten zich namelijk gemakkelijk verleiden door een vervalste afzender of een afzender die de indruk geeft een bekende instantie te zijn om ergens op te klikken of andere acties uit te voeren. Voorbeelden van onderwerpregels: Facebook Password Reset Confirmation. Customer Message. Yahoo Warning!!! (Verify Your Account Now To Avoid Service Suspension..) Urgent Notice: Paypal Limited Your account has open issues !!! Facebook Update Tool World of Warcraft Account - Subscription Change Notice
Screenshot 3: e-mail met oproep tot update via koppeling. Deze koppeling brengt u niet naar facebook.com, maar naar een pagina met de naam Second Level Domain .me.uk Copyright © 2011 G Data Software AG
5
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.2 De truc met onregelmatigheden (phishing) Deze truc spiegelt het slachtoffer voor dat er zich een probleem heeft voorgedaan met zijn account en dat deze daarom onmiddellijk moet worden geblokkeerd. Om het blokkeren te voorkomen, moet de gebruiker onmiddellijk (!) zijn accountgegevens op de gekoppelde website opgeven. De doelgroep: elke internetgebruiker, maar in het bijzonder klanten van de meest uiteenlopende banken en betaaldiensten, e-mailservices enz. Gebruikers van services waarvoor de enige toegangscontrole bestaat uit een aanmeldingsnaam en een wachtwoord, vormen een bijzonder winstgevend doel. Dat is vooral het geval wanneer geld kan worden overgedragen via deze services of wanneer de gebruiker waardevolle activa bezit in de ondergrondeconomie (witwassen van geld, spamverzending, verzending van geheelde goederen enz.) Psychologische uitgangspunten: onervarenheid, beschroomdheid en bedreiging Het gevaar: net als bij de truc voor opnieuw aanmelden, wordt hier zeer doelgericht "gevist" naar waardevolle persoonlijke gegevens. Hier is de aandacht vooral gericht op elk type bankgegevens. Ook in dit geval is de acceptatie van voorgespiegelde autoriteiten, net als bij de updatetruc, een criterium voor het succes van de aanval. Voorbeelden van onderwerpregels: Attention! Your PayPal account has been violated! Your Pay PalAccount May Be Compromised Multiple Logon Errors on your Account. Notification of Limited Account Access RXI034 Santander Merger Important Urgent Message <<< IMPORTANT MESSAGE FROM SECURITY CENTER >>> Attn. All Webmail Users
Screenshot 4: een phishing-e-mail, die de officiële briefwisseling van een bank imiteert
Copyright © 2011 G Data Software AG
6
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.2 De wenskaartentruc (malware) Het hele jaar door worden vervalste wenskaarten verspreid, maar vooral de periode rond feestdagen moet u bijzonder op uw hoede zijn voor oplichters. De verleiding is groot om een wens te beschouwen als afkomstig van "een vriend", maar dat is net het ogenblik waarop de val dichtklapt. Er zijn meerdere e-mailtypes. Enerzijds zijn er e-mails met als e-card gecamoufleerde bijlagen die hun aanval starten zodra ze worden geopend. Dan zijn er ook e-mails die de gebruiker op een website dringend verzoeken een vermeende codec of multimediaspeler te installeren zodat de vermeende e-card wordt getoond. En tot slot zijn er nog de e-mails die bij het bezoek aan een zogenaamde wenskaartenwebsite een onmerkbare drive-by-infectie activeren. De doelgroep: elke internetgebruiker Psychologische uitgangspunten: nieuwsgierigheid, vriendelijkheid Het gevaar: net als bij de zo omschreven truc "Kijk eens hier", wordt de gebruiker blootgesteld aan schadelijke code zodra hij een pagina bezoekt, de bijlage opent of het bedrieglijke afspeelprogramma installeert. Hierdoor krijgen de schadelijke programma's de mogelijkheid persoonlijke gegevens te stelen en/of verdere schade aan te richten. Voorbeelden van onderwerpregels: Kiss You My Love! Happy Valentine's Day! You have received a Christmas Greeting Card! Despina sended you a giftcard! You Have a dGreetings card from a friend . You have received a greeting from somebody who cares you !!! Hey, you have a new Greeting !!!
Screenshot 5: de legitiem werkende e-mail bevat een gevaarlijke koppeling – deze verwijst naar een uitvoerbaar EXE-bestand en niet naar de startpagina van de aanbieder van wenskaarten
Copyright © 2011 G Data Software AG
7
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.3 De pakketverzendingstruc (malware en phishing) De geadresseerde ontvangt een e-mail met een bericht over een zogenaamde mislukte verzending. Om het probleem op te lossen of om meer informatie te ontvangen, moet de gebruiker een bestand in bijlage openen of een opgegeven koppeling bezoeken. Hierbij hebben criminelen het vaak voorzien op klanten van de koerierdiensten waar pakjes en pakketten zonder tijdbeperking op een verzamelplaats kunnen worden afgehaald mits opgave van een pincode. Internationaal gerenommeerde koerierbedrijven worden vaak misbruikt voor deze phishingcampagnes. De doelgroep: elke internetgebruiker, maar in het bijzonder klanten van populaire koerierdiensten. Psychologische uitgangspunten: nieuwsgierigheid, hebzucht, waakzaamheid Het gevaar: wanneer de gebruiker een bestand in bijlage opent dat wordt voorgesteld als het afleveringsbewijs van een bestelling, installeert hij ongewild schadelijke code op zijn computer die bijvoorbeeld als wachtwoorddief, keylogger enz. persoonlijke gegevens op arglistige manier kan verkrijgen en doorsturen. Gebruikers komen terecht in de phishingval wanneer ze bijvoorbeeld hun persoonlijke gegevens en details van het ontvangststation van hun pakketten invoeren via een vervalste, maar bedrieglijk echt uitziende webpagina van de koerierdienst. Hierdoor verkrijgen cybercriminelen de toegangsgegevens, kunnen ze op de terminals afgeleverde pakketten stelen en kunnen ze deze locatie bovendien gebruiken als leveringspunt voor verzendingen van criminele praktijken. Accounts van deze stations worden in de onderwereld gebruikt voor het verzenden van goederen die met gestolen bankgegevens of creditcards zijn betaald. Ze dienen tot slot ook voor het witwassen van geld en zijn daarom bijzonder begeerd. Wie zijn gegevens prijsgeeft door ze op een vervalste aanmeldingspagina in te voeren, moet dan ook rekening houden met verstrekkende schadelijke gevolgen. Voorbeelden van onderwerpregels: DHL Services. Please get your parcel NR.0841 DHL Office. Get your parcel NR.1572 DHL Express. Get your parcel NR.3029 UPS Delivery Problem NR 68522. Thank you for setting the order No.538532
Screenshot 6: een e-mail met een geïnfecteerde bijlage die zich voordoet als officieel document
Copyright © 2011 G Data Software AG
8
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.4 De truc "Kijk eens hier" (malware en reclame) Bij deze variant vertrouwen de booswichten in de eerste plaats op de kunst van social engineering en maken ze de e-mailontvanger nieuwsgierig naar de zogenaamde allerlaatste nieuwigheden op internet, schijnbaar pijnlijke foto's en video's van de eigen persoon of andere interessante thema's. De schadelijke code is hier ofwel direct in de geïnfecteerde bijlage van de e-mail een bedreiging, of op de website waarvoor de e-mail een koppeling bevat. Achter deze koppeling zit meestal het verzoek voor de installatie van een codec of een nieuw afspeelprogramma verborgen. Bij het uitvoeren daarvan komt de schadelijke code terecht op de computer. De doelgroep: elke internetgebruiker, maar vooral gebruikers van sociale netwerken Psychologische uitgangspunten: nieuwsgierigheid, lust Het gevaar: bij deze variant wordt het slachtoffer aangevallen door schadelijke code waardoor zijn computer met verschillende boosaardige programma's kan worden geïnfecteerd. Deze programma's kunnen vervolgens wachtwoorden uitlezen, creditcardgegevens stelen, de pc in een botnet integreren en veel meer. Voorbeelden van onderwerpregels: Schandaal Britney Spears dood Iceland volcano disrupts flights accumulable 200,000 flood Shanghai Expo preview acetabular NEW SCANDAL VIDEO are you a teacherin the picture? Why You? Fwd: Photo Windows Live User has shared photos with you
Screenshot 7: een e-mail die probeert nieuwsgierige mensen naar geïnfecteerde websites te lokken. Een zeer beroemd voorbeeld van een dergelijke e-mail was de aankondiging van een naakte Anna Kurnikova in 2001.
Copyright © 2011 G Data Software AG
9
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.5 De kortingtruc (malware) De spamfilters hebben heel wat werk met de ongewenste reclame voor goedkope "blauwe pilletjes", de goedkoopste software, kortingen op juwelen en beloften van spectaculaire diëten. In dit geval geldt de regel: handen af van aanbiedingen die te mooi zijn om waar te zijn. De doelgroep: elke internetgebruiker Psychologische uitgangspunten: gierigheid Het gevaar: door op de koppeling te klikken, wordt de gebruiker naar dubieuze online winkels gebracht. Hier hoeven de cybercriminelen alleen te wachten tot de gebruiker zijn waardevolle persoonlijke, bank- of creditcardgegevens in een formulier invult. Wanneer de gekoppelde pagina's worden bezocht, is het zeer waarschijnlijk dat de computer zal worden geïnfecteerd via een driveby-download. Hierdoor ontstaan ongewenste schadelijke computeritems die ernstige schade kunnen veroorzaken op de computer van het slachtoffer. Voorbeelden van onderwerpregels: Bestellen en 40% sparen, alleen in maart Aanbiedingen van software die u bevalt! Dear […], 15-22 March 2010 +4833 78% 0FF. Save thousands of dollars on original D&G accessories. Bvlgari jewelry would look great on your girlfriend. Goedkoper dan ooit voorheen - dure horloges Worlds only herball pill that corrects erectile dysfunction, strengthens erections and enhances libido
Korting
Pharma
You can be another on the long lish of Quick Slim Success stories. Zo heeft Mado#nn^a gewicht &verloren Sport is echt moord Te dik? Afslanken!
Die
Screenshot 8: deze e-mail lokt met hoge kortingen
Copyright © 2011 G Data Software AG
10
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.6 Truc met academische graden en titels (phishing en oplichting) De reclameteksten lokken met de belofte u snel en probleemloos aan een academische graad of titel te helpen, zonder dat u hiervoor hoeft te studeren en vaak ook zonder eindwerk. De doelgroep: elke internetgebruiker Psychologische uitgangspunten: wishful thinking, lichtgelovigheid Het gevaar: wie zich meldt bij de opgegeven telefoonnummers of e-mailadressen, moet eerst heel wat persoonlijke informatie opgeven en geeft daarom kostbare informatie prijs. Iemand die dan een titel bij deze aanbieder aanschaft, verliest met grote waarschijnlijkheid het betaalde geld. De persoon die zich beroept op dit vervalste universiteitsdiploma en de aangeschafte titel gebruikt, maakt zich in Duitsland strafbaar volgens de wet § 132a van het Wetboek van Strafrecht. Voorbeelden van onderwerpregels: Doctorate degree can be yours. Online diplomas here. Re: MBA- qualification & award Get a diploma for a better job.
Screenshot 9: met deze e-mail worden universiteitsdiploma's te koop aangeboden om carrièremogelijkheden te verbeteren
Copyright © 2011 G Data Software AG
11
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.7 Truc online casino (phishing en oplichting) Online kansspelen in welke vorm ook winnen voortdurend aan populariteit. Sinds geruime tijd zijn vooral online pokerspelen hoog aangeschreven. De spam-e-mails suggereren dat men met weinig inzet veel geld kan winnen. Als starthulp worden bonussen beloofd voor de eerste betaling of worden reeds beschikbare tegoeden aangeboden. De doelgroep: elke internetgebruiker Psychologische uitgangspunten: wishful thinking, gierigheid, nieuwsgierigheid, speelzucht Het gevaar: de online casino's die vanwege wettelijke redenen niet in Duitsland zijn gevestigd, vragen potentiële spelers een eerste betaling. Hierbij maken gebruikers vaak onbedachtzaam hun waardevolle bankgegevens of zelfs creditcardgegevens bekend bij dubieuze online casino's. Een ander gevarenaspect wordt gevormd door de uitbetaling van geld in geval van winst, omdat de betalingen vaak omwille van de meest uiteenlopende redenen worden geweigerd. In dat geval is niet alleen het ingelegde geld, maar ook het gewonnen geld verdwenen. In dat geval heeft niemand een juridische verhaalmogelijkheid omdat het sinds januari 2009 in Duitsland verboden is online kansspelen aan te bieden of eraan deel te nemen. Voorbeelden van onderwerpregels: Behoud uw winst nadat u genoten hebt van deze fantastische aanbieding Geniet van onze spelen met onze schitterende startbonus Grote welkomstbonus Laatste herinnering
Screenshot 10: een e-mail met lokroepen naar een casino
Copyright © 2011 G Data Software AG
12
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.8 419-truc / Nigeria-spam (oplichting) Met dit begrip worden bedrieglijke e-mails bedoeld waarin voorschotten worden gevraagd. De ontvanger van de e-mail wordt wijsgemaakt dat hij vanwege de meest uiteenlopende redenen een grote som geld zou moeten ontvangen, bijvoorbeeld als erfenis, als dank voor het beheer van bepaalde aangelegenheden of als winnaar van een zogenaamd kansspel. Andere scenario's geven de ontvanger de functie van een weldoener die een dakloze, een zwerfdier of iemand/iets anders helpt – natuurlijk ook financieel. De enige benodigde handeling om het geld te verkrijgen/bijstand te verlenen, is contact opnemen met de persoon die in de e-mail is vermeld. De naam "419-scam" voor dit type spam ontstond door de verwijzing naar het Nigeriaanse strafrecht, dat onder Artikel 419, in Hoofdstuk 385, de feiten en straffen voor oplichting en zwendel toelicht. In 2009 bedroeg de schade in Duitsland minstens 522 miljoen USD en in de VS ongeveer 2.110 miljoen USD als verlies door 419-spam en zijn gevolgen.6 De doelgroep: elke internetgebruiker Psychologische uitgangspunten: gierigheid, lichtgelovigheid Het gevaar: wanneer het eerste contact tot stand is gekomen, wordt het slachtoffer verder aangetrokken door de grote som geld. Voor de overschrijving van het geld op de rekening van het slachtoffer is echter eerst een bedrag X nodig, dat door het slachtoffer bijvoorbeeld op een rekening van Western Union in het buitenland moet worden overgeschreven. Dan komen hier gefingeerde extra kosten bij voor advocaten, overheidsinstanties, akten enz. Het geld dat door het slachtoffer wordt overgeschreven (in meerdere stappen), is onherroepelijk verdwenen en de eigenlijk beloofde geldsom wordt nooit uitbetaald. Voorbeelden van onderwerpregels: DRINGEND! Reliable Partnership needed NEED COMFIRMATION OF ACCEPTANCE Your Notification Letter !!!
Screenshot 11: schitterende beloften, zonder herkenbare betrekking op eigen persoon, maar wel met taalkundige fouten 5 6
http://www.nigeria-law.org/ Ultrascan Advanced Global Investigations (2010), "419 Advance Fee Fraud Statistics 2009", p. 29
Copyright © 2011 G Data Software AG
13
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.9 Jobtruc (malware en oplichting) De beloften van job-e-mails prijzen goedbetaalde functies (in gerenommeerde bedrijven) aan, waarvoor u weinig moet werken. Het gaat hier over hoge lonen en korte werktijden en de werkplek is in veel gevallen zelfs de eigen woonkamer. Deze vooruitzichten zijn een effectief lokmiddel in deze economisch moeilijke tijd. Deze truc kan onder andere een onderdeel zijn van een 419scamaanval. De doelgroep: elke internetgebruiker Psychologische uitgangspunten: wishful thinking, ijdelheid Het gevaar: in veel gevallen worden deze e-mails verzonden met bijlagen die de computer na het openen met wormen infecteren en zo voor een verdere spreiding van spam-e-mails met betrekking tot jobaanbiedingen zorgen. Naast het technische gevaar ligt echter nog een andere bedreiging op de loer. De aangeboden jobs dienen vaak voor het witwassen van geld of voor het verspreiden van illegaal verworven goederen. In veel gevallen is het gebruik van een privérekening een van de hoofdcriteria in de jobbeschrijving en niet zelden zal een lichtgelovige werkzoekende zich met zijn privérekening schuldig maken aan het witwassen van geld of heling bij de praktijken van de oplichter. Ook identiteitsdiefstal is niet uitgesloten wanneer men de oplichter bijvoorbeeld alle mogelijke persoonlijke gegevens bezorgt met het oog op het afsluiten van een zogenaamde overeenkomst. Voorbeelden van onderwerpregels: Jobaanbieding. Contract. Deeltijds / Voltijds. 8 jaren in business Consumentendienst/Jobaanbieding/UPS/MBE Bijkomende job Kom bij ons werken U kunt benoemd worden Organisatie zoekt collega's Management zoekt collega's
Screenshot 12: een jobscam-e-mail die probeert nietsvermoedende gebruikers in de val te lokken Copyright © 2011 G Data Software AG
14
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.10 Russian bride-truc (oplichting) Deze e-mails beloven soms de ware liefde, maar soms ook slechts een snel liefdesavontuur met, volgens het cliché, vooral jonge en blonde vrouwen uit Rusland. De dames zouden al lang op een antwoord zitten te wachten en zullen de aanbedene uiteindelijk willen ontmoeten en/of huwen. Dergelijke dates worden ook gebruikt voor het witwassen van geld. De verliefde gebruiker wordt overgehaald om goederen door te sturen en vreemd geld via zijn rekening naar zijn/haar geliefde over te schrijven zodat deze op bezoek kan komen. In veel gevallen wordt deze truc gebruikt door 419-scammers. De doelgroep: elke internetgebruiker, maar hoofdzakelijk West-Europese alleenstaande mannen Psychologische uitgangspunten: lust en liefde, wederkerigheid Het gevaar: wanneer deze e-mail wordt beantwoord en een eerste contact met de zogenaamde alleenstaande vrouwen wordt gelegd, gaat het thema al relatief snel over geld, visa en huwelijk. De geliefde heeft geld nodig om naar het buitenland te reizen, als zakgeld, als smeergeld en voor veel andere redenen, het liefst overgeschreven op een anonieme rekening in contanten. Als de goedgelovige man het geld dan overschrijft, zal hij het nooit meer terugzien en zal hij ook zijn aanbedene zeer waarschijnlijk nooit ontmoeten. Voorbeelden van onderwerpregels: You have new mail from Olga 26 y.o. Russia, dating Meet Russian women here. Still single?look at my profile, Olga from Russia Want to know what the real Russian girls love and warmth? Russian beauties are waiting.
Screenshot 13: een van de talrijke verleidende e-mails met een datingkarakter
Copyright © 2011 G Data Software AG
15
G Data Whitepaper 5/2011: Gevaarlijke e-mails
2.11 Loterijtruc (oplichting) Aan de ontvanger van deze e-mails wordt gesuggereerd dat hij een hoog geldbedrag in euro, dollar of een andere valuta heeft gewonnen. Het enige wat de ontvanger moet doen, is zich bij persoon XY melden en enkele persoonlijke gegevens opgeven. De loterijen worden zogenaamd geleid door een gerenommeerd bedrijf en ook de betrokken banken zijn bekend in de hele wereld. Ook deze truc kan deel uitmaken van een aanval volgens het Nigeria-spamprincipe. De doelgroep: elke internetgebruiker Psychologische uitgangspunten: gierigheid, wishful thinking Het gevaar: om dit bedrag te ontvangen via overschrijving, moet de vermeende winnaar eerst de kosten overschrijven naar de oplichter. Dat gebeurt meestal op een buitenlandse en/of anonieme bankrekening. Na de eerste reeks kosten volgt een tweede. Het slachtoffer betaalt en betaalt en zal nooit de winst of de betaalde kosten (terug)zien. Voorbeelden van onderwerpregels: REF NR. GOOGLE-0293856-2009 Your E-mail Address Won NOTICE OF GRANT AWARD (Congratulations you are a winner)
Screenshot 14: een zogenaamde winstmededeling
Copyright © 2011 G Data Software AG
16
G Data Whitepaper 5/2011: Gevaarlijke e-mails
3 Tips en trucs Om te voorkomen dat u slachtoffer wordt van de beschreven trucs, moet u rekening houden met de volgende punten:
3.1 Nuttige gedragsregels
E-mails van onbekende afzenders moeten bijzonder wantrouwig worden behandeld. Als een e-mail er zeer eigenaardig uitziet, geldt het volgende: negeren, verwijderen, maar in geen geval bijlagen openen of op URL's klikken. Spam-e-mails mogen ook nooit worden beantwoord. Een antwoord toont de oplichters slechts dat het gebruikte adres ook daadwerkelijk een geldig adres is. Er mogelijk geen persoonlijke gegevens en/of bankgegevens worden prijsgegeven – noch via e-mail, noch via dubieuze websites. Er mag in geen geval geld worden overschreven naar onbekenden. Het eigen primaire e-mailadres mag niet onbedachtzaam online worden gepubliceerd, zoals in forums en gastenboeken, omdat ze daar door oplichters kunnen worden overgenomen. Het helpt om voor dit doel een tweede adres aan te maken.
3.2 Technische maatregelen
Een beveiligingsoplossing voor de computer met geïntegreerde antispamfunctie beschermt uw computer al via een filter voordat de e-mail binnenkomt. Het openen van bestandsbijlagen, vooral van onbekende afzenders, houdt risico's in. Bijlagen moeten eerst met een antivirusprogramma worden gescand en eventueel ongeopend in de prullenbak worden gegooid. Koppelingen in e-mails mogen in geen geval ondoordacht worden aangeklikt. De URL moet worden gecontroleerd. Veel e-mailprogramma's bieden de mogelijkheid het eigenlijke doel van de koppeling te zien wanneer de muis over de zichtbare koppeling wordt bewogen, zonder er echter op te klikken. Dit wordt de zogenaamde Mouseover-functie genoemd.
Copyright © 2011 G Data Software AG
17
G Data Whitepaper 5/2011: Gevaarlijke e-mails
4 Glossarium Bot: Bots zijn kleine programma;s, die meestal ongemerkt op de achtergrond van de computer van het slachtoffer draaien en daar, afhankelijk van de werking, een aantal functies uitvoeren – van DDoS-aanvallen via e-mail-spam tot het meelezen van de toetsenbordinvoer en nog veel meer. De werking is vooral een kwestie van hoeveel geld men aan een bot wil spenderen. Bots met zeer veel mogelijkheden zijn uiteraard duurder dan eenvoudige bots, die slechts weinig kunnen. Ze worden onder andere in ondergrondse forums verkocht. Botnet: Een botnet is een groep bestaande uit zogenaamde zombie-pc's. Voor het beheer van het botnet worden Command-and-Control-servers (C&C-servers) gebruikt. Botnets worden onder andere gebruikt om doelgerichte aanvallen (DoS- en DDoS-aanvallen) op webservers te starten en om spam te verzenden. Social engineering: Met social engineering worden de praktijken aangeduid waarmee een hacker probeert een gebruiker over te halen om informatie prijs te geven waarmee hij de gebruiker of zijn organisatie schade kan toebrengen. Vaak wordt daarbij autoriteit voorgespiegeld om toegangsgegevens of wachtwoorden te achterhalen. Spam: Sinds het midden van de jaren 90 geldt spam als de overmatige verspreiding van hetzelfde bericht op Usenet-fora. De term zelf is afkomstig uit een sketch van Monty Python. Tegenwoordig wordt spam in meerdere betekenissen gebruikt. Spam wordt het meest gebruikt als verzamelnaam voor massaal ongevraagd toegezonden e-mails. In engere betekenis beperkt het begrip spam zich op reclameberichten, dat wil zeggen: wormen, hoaxes, phishing-mails en AutoResponder worden hiertoe niet gerekend. Zombie-pc: Men noemt een pc een zombie als deze via een backdoor op afstand kan worden bediend. Analoog aan het filmvoorbeeld, luistert de zombie-pc nog slechts naar de verborgen meester en voert zijn vaak criminele opdrachten uit. Vele zombies worden tot zogenaamde botnets samengevoegd.
Copyright © 2011 G Data Software AG
18