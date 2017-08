Beveiligingsspecialisten zijn een server op het spoor gekomen die een gigantische lijst met e-mailadressen bevat. Deze lijst wordt gebruikt door een spambot die de malware Ursnif verspreid. Ursnif is een bankingmalware die je persoonlijke info verzamelt, waaronder kredietkaartdata. Volgens de experts heeft de bot al voor 100.000 unieke infecties gezorgd.

Have I been pwned?

Benkow kwam de lijst als eerste op het spoor en gaf deze informatie onmiddellijk door aan Troy Hunt. Deze beveiligingsexpert staat voornamelijk bekend om de website “Have I been pwned?”. De specialist verzamelt alle data over datahacks en houdt een lijstje met de top 10 grootste hacks bij. Hieruit blijkt dat de expert nog nooit zo’n grote datalek heeft ontdekt. Eind 2016 werd de tweede grootste lijst ooit ontdekt, die 593 miljoen accounts bevat. Op de website van Troy Hunter kan je bovendien je e-mailadres(sen) opgeven om na te kijken of je gegevens bij één van de hacks zijn gelekt. Indien je e-mailadres gecompromitteerd is, pas je best je wachtwoord aan.

In een blogpost doen Benkow en Troy Hunt uit de doeken hoe de malware in zijn werk gaat. Bovendien hebben de twee experts contact met iemand uit Nederland. Deze contactpersoon probeert in samenwerking met de Nederlandse politie de server met gehackte e-mails offline te halen.

Simple Mail Transfer Protocol

Ongeveer 80 miljoen adressen uit de lijst bevatten eveneens SMTP-info. SMTP staat voor Simple Mail Transfer Protocol en is de de facto-standaard voor het versturen van e-mails over het internet. De spambot gebruikt de SMTP-gegevens om te voorkomen dat hij als spammer wordt aanzien. Door via deze accounts spam uit te sturen, lijkt het alsof hij legitieme berichten verstuurt. Hierdoor worden ze niet uitgefilterd door je mailingdienst.

De SMTP-data komt van andere datalekken en bestaat uit e-mailadressen, paswoorden, de SMTP-server en de poort die de server gebruikt. Een hacker test de gegevens eerst uit en gebruikt daarna de correcte data om spam uit te sturen naar de overige 630 miljoen e-mailadressen.

Twee fases

In een eerste fase van de aanval gebruikt de spambot een gifje van 1 bij 1 pixel om info over jouw toestel te bekomen. Doordat de gif zo klein is zie je hem niet, maar wanneer je de e-mail opent, stuurt de afbeelding info over je toestel uit. Je besturingssysteem, type computer en andere gegevens over je toestel worden via deze weg verzameld door de hacker.

Eenmaal de spambot voldoende info heeft, wordt de tweede fase van de aanval ingezet. De hacker stuurt nieuwe berichten uit naar een bepaalde doelgroep, zoals bijvoorbeeld Windows-gebruikers. Deze berichten zijn vermomd als factuur en bevatten een kwaadaardige bijlage. Wanneer je deze bijlage opent, wordt de Urnsif-malware op je computer geïnstalleerd. Volgens de experts zijn er op deze manier al zo’n 100.000 slachtoffers gevallen.