Gebruikerslogin
RSS
Project Honeypot
Project Honey Pot is een gemeenschap van tienduizenden web- en e-mailbeheerders uit meer dan 170 landen over de hele wereld die samenwerken om online fraude en misbruik op te sporen. Het project is online sinds 2004 en ontvangt iedere dag miljoenen e-mails en commentaar spamberichten die gecatalogiseerd worden en gedeeld met rechtshandhavings- en beveiligingspartners.
Als u een website of een eigen domein hebt of bijdraagt aan een online forum kunt u deelnemen aan Project Honey Pot en helpen om vandaag nog online fraude en misbruik te stoppen. PROMES doet mee met vele websites en e-mailpostbussen. Hebt u een Drupal-website (en natuurlijk hebt u die) kijk dan naar de Drupal-module http:BL voor de implentatie van dit project.
1 miljardste spam-bericht in Project Honey Pot
Gepubliceerd op: 15 december 2009 door Project Honey Pot
Op woensdag van de 9 december 2009 om 06:20 (GMT) ontving Project Honey Pot (zie module http:BL) zijn miljardste e-mail spam bericht. Het bericht - zie de afbeelding hieronder - was een Amerikaanse Internal Revenue Service (IRS) phishing-scam. De spam e-mail is verstuurd door een bot die op een geïnfecteerde machine in India (122.167.68.1) draait. Het spamtrap adres waar het bericht naartoe gerzonden is, werd oorspronkelijk ‘geoogst’ op 4 november 2007 door een bijzonder vervelende harvester (74.53.249.34) die verantwoordelijk is voor 53.022.293 andere spam berichten die door Project Honey Pot zijn ontvangen.
Elke keer als Project Honey Pot een bericht ontvangt, schatten we, dat er 125.000 worden verzonden naar echte slachtoffers. Onze miljardste bericht vertegenwoordigt dus ongeveer 125 biljoen spam berichten die vanaf de start van Project Honey Pot in 2004 zijn verzonden.
Ter gelegenheid van deze mijlpaal, wilden we even stilstaan en verslag doen van een aantal van onze bevindingen. Ons doel is niet om oude inzichten te herhalen, maar om de situatie van de laatste vijf jaar weer te geven, samengesteld uit een miljard gegevens.
Wie zijn deze Spammers?
Verschillende organisaties publiceren regelmatig rapporten over de landen van herkomst voor spam. We hebben er een van ons zelf. Het probleem is dat deze verslagen weinig vertellen over de werkelijke bron van spam-berichten, wegens de aard van de spam die vandaag de dag wordt verstuurd.
In plaats van het direct versturen van spam, maken spammers voornamelijk gebruik van „bot” machines om hun identiteit efficiënt te kunnen verbergen. Deze robots zijn pc’s die zijn aangetast door een virus en waarvan de eigenaren meestal niet weten dat ze worden gebruikt om spam te versturen. Het proces is niet anders dan de stereotype scène in een film waar de schurk ervoor zorgt dat een telefoontje niet kan worden opgespoord door het om te leiden via een aantal verbindingen. Vergelijkbaar zorgen spammers, die van bots gebruik maken, ervoor dat hun boodschappen vanaf een heel andere locatie worden verzonden dan die hun van henzelf. Met als gevolg, dat lijsten van landen van herkomst van spam weinig vertellen over de vestigingsplaats van spammers.
Aan de andere kant kunnen ze helpen inzicht te krijgen in het beveiligsbeleid heid van een land; zij leveren het bewijs van het aantal bots dat binnen de grenzen van een land opereert. Aangezien in elk land een verschillend aantal pc’s staan, moet dit aantal vergelijkbaar gemaakt worden om de verhouding weer te geven. We besloten te kijken naar het aantal van geïnfecteerde machines die in een land opereren gedeeld door het aantal beveiligingsprofessionals die werkzaam zijn in het land. Dit geeft ons een relatieve IT-beveiliging score. Als schatting voor het aantal beveiligingsprofessionals gebruikten we de leden in Project Honey Pot. Hier zijn de resultaten:
|
|
||||||||||||||||||||||||||||||||||||||||||||
Finland
Canada
België
Australië
Noorwegen
New Zeland
Zweden
Estland
Azerbeidzjan
Colombia
Macedonië
Turkije
Vietnam
Kazachstan
MacaoOmdat voor het versturen van spam primair gebruik gemaakt wordt van bots, is Project Honey Pot een uniek perspectief op activiteit van het bot-netwerk. Sinds 2004 is het aantal actieve bots gegroeid met een samengestelde jaarlijkse groei van meer dan 378%. Met andere woorden, het aantal bots is bijna jaarlijks verviervoudigd. In 2009 zijn bijna 400.000 bots dagelijks actief betrokken bij kwaadaardige activiteiten terwijl er enkele miljoenen actief zijn per maand.
Gelukkig is de dekking binnen Project Honey Pot van actieve botnets in die tijd in nog sneller tempo gegroeid. In 2006 zagen we per dag minder dan 20% van de bots actief. Vandaag is dat meer dan 80%.
Hoewel het volgen van bots een cruciaal aspect van Project Honey Pot is, blijven we nieuwsgierig naar de vestigingsplaats van spammers. Om dit te verzamelen is cruciaal om te kijken naar de activiteiten van spammer te kijken, die niet verborgen worden door bots. Terwijl het verzenden van e-mail spam eenvoudig in parallel kan worden gedaan (dat wil zeggen, 1 miljoen machines kunnen elk één bericht sturen), kan dat niet met het oogsten van e-mailadressen, als hiervoor webpagina’s doorzocht moeten worden. Dit is logisch: het web doorzoeken zonder centraal commando en controle zal resulteren in het bezoeken van steeds weer dezelfde populaire webpagina’s.
Ons onderzoek geeft aan dat, in tegenstelling tot de bots gebruikt om spam te versturen, de machines om e-mailadressen te oogsten meer permanent en stabiel zijn en nauw verbonden met de locatie van de eigenlijke spammer. Dus waar zijn de spammers eigenlijk vinden? Wij denken dat de lijst hieronder de meest nauwkeurige benadering geeft.
| Waar staan de ‘Oogstmachines’ | |
| #1 |  Verenigde Staten |
| #2 |  Spanje |
| #3 |  Nederland |
| #4 |  Verenigde Arabische Emiraten |
| #5 |  Hongkong |
| #6 |  Roemenië |
| #7 |  Groot-Brittannië |
| #8 |  China |
| #9 |  Zuid-Afrika |
| #10 |  Duitsland |
Hoe functioneren ze?
Gemiddeld zijn spammers tegenwoordig sneller dan ooit. The chart below indicates the average time from harvesting an email address from a web page to when the spammer sends the first email to that address. De grafiek hieronder geeft de gemiddelde tijd tussen de oogst een e-mailadres van een webpagina tot verzending van de eerste e-mail door de spammer naar dat adres.
| 2004 | 49 dagen 18 uren 54 minuten 15 seconden |
| 2005 | 32 dagen 15 uren 39 minuten 41 seconden |
| 2006 | 29 dagen 29 uren 10 minuten 24 seconden |
| 2007 | 23 dagen 11 uren 53 minuten 03 seconden |
| 2008 | 22 dagen 12 uren 36 minuten 54 seconden |
| 2009 | 21 dagen 17 uren 17 minuten 28 seconden |
We hebben vastgesteld dat de snelheid is gekoppeld aan de inhoud van het bericht. „Product” spammers — zij die echte producten verkopen, of het nu namaakmedicijnen, diploma’s, of hypothecaire leningen zijn — langzamer opereren: het duurt ongeveer een maand tussen het verzamelen van e-mailadressen en het verzenden van spam campagnes naar die adressen. Product spammers hebben de neiging e-mailadressen langer te gebruiken en gemiddeld meerdere berichten per week naar elk adres van hun lijst te sturen. Aan de andere kant „fraude” spammers - die phishing- of zogenaamde „419” e-mails versturen - hebben de neiging de adressen vrijwel onmiddellijk na één bericht te verwijderen. De toegenomen gemiddelde snelheid van spammers lijkt vooral toe te schrijven aan de stijging van spam als een voertuig voor fraude in plaats van een verhoging van de efficiëntie van traditionele product spammers.
Een intrigerend inzicht onze gegevens biedt, is dat ook slechteriken vakantie te nemen. Zo is er een 21% afname van spam op Kerstdag en een 32% vermindering op nieuwjaarsdag. Maandag is de drukste dag van de week voor spam, zaterdag zorgt slechts voor ongeveer 60% van het volume van de berichten van de maandag.
De grafiek hieronder toont de tijd van de dag waarop spammers de meeste berichten versturen. Alle tijden in de grafiek zijn in de tijdzone van de Oostkust van de Verenigde Staten (GMT -0500).
Naar wie worden ze gezonden?
Spammers zijn creatief en we hebben een breed scala van aanbiedingen gezien tussen de miljard berichten die we hebben ontvangen. Onder de producten die verkocht worden via spam blijven farmaceutische producten het meest populair. Om u een idee te geven: we hebben gezien dat het woord „Viagra” op minstens 956 verschillende manieren gespeld wordt om spamfilters te omzeilen (bijvoorbeeld Viagra, V1AGRA, V1@gr@, V!AGRA, VIA6RA, enz.) .
Terwijl spammers vaak hun boodschappen veranderen verschillend te lijken, zijn sommige opmerkelijk consistent. De onderstaande tabel toont de top van de Van/Onderwerp regel paren in de afgelopen vijf jaar. We hebben ook onze schatting gegeven hoe vaak elk bericht Internet-breed is verzonden.
| PLAATS | VAN | ONDERWERP | GESCHAT INTERNET-BREED VOLUME |
| #1 | Instant Booster | Kunt u het zich veroorloven om 300.000 potentiële klanten te verliezen? | 100 miljard |
| #2 | Internal Revenue Service | Bericht van negatief Inkomen | 91 miljard |
| #3 | Feed Blaster | Ontvang honderden gerichte bezoekers op uw website | 65 miljard |
| #4 | Hit-Booster | Hoe krijg ik gratis kwaliteits bezoekers naar uw website? | 51 miljard |
| #5 | Feed Blaster | Feed Blaster zet uw advertentie direct op de schermen van miljoenen | 44 miljard |
Om u enig gevoel te geven: uitgaande van een gemiddelde grootte van een spambericht van 4KB, in de afgelopen 5 jaar de totale opslagruimte op het internet was, alleen voor spamberichten, verstuurd voor de top-20 spam campagnes, meer dan 2,5 petabytes nodig.
Naast het product spam, domineert frauduleuze spam nog steeds onze spam-stroom. De grafiek hieronder toont de relatieve verdeling van de meest phished organisaties online.
Terwijl banken en financiële instellingen nog steeds een meerderheid van de phishing-aanvallen uitmaken die via spam zijn verspreid, worden sociale netwerken steeds belangrijker doelwitten. In 2008 waren er vrijwel geen phishing-berichten van Facebook. Tegenwoordig is Facebook de tweede meest phished organisatie online en, indien de huidige trends doorzetten, op weg om de eerste plaats in 2010 te nemen.
De toekomst van Spam
Het goede nieuws voor e-mailgebruikers is dat e-mail filtering technologieën geweldig goed zijn geworden in het tegenhouden van spamberichten uit hun postvak. Achter de schermen blijft het volume van e-mail spam in een geweldig tempo groeien. Spam blijft voor de gemiddelde gebruiker een kleine ergernis. Het grote gevaar zit in de bouw van bot-netwerken. Ons onderzoek geeft aan dat deze bots steeds meer verschillende en nieuwe vormen van aanvallen aankunnen, variërend van ergernissen zoals commentaarspam tot denial of service-aanvallen (DDoS).
Bijvoorbeeld, als u een blog bijhoudt, bent u op de hoogte van de dagelijkse commentaar spam aanvallen op uw site. Deze nieuwe generatie van spammers maken gebruik van de formulieren op websites om advertenties en links naar pagina’s te plaatsen. Ze worden betaald om deze te promoten. Project Honey Pot houdt hun gedrag al twee jaar bij en is getuige van de groei in volume en raffinement.
| Waar komen Commentaar spammers vandaan |
|
| #1 | Verenigde Staten |
| #2 | China |
| #3 |  Brazilië |
| #4 |  Japan |
| #5 |  Rusland |
| #6 |  Zuid-Korea |
| #7 |  Oekraïne |
| #8 |  Polen |
| #9 | Duitsland |
| #10 | Hongkong |
Kijkend naar de gegevenspatronen, lijkt commentaar spam in 2009 op e-mail spam toen Project Honey Pot in 2004 begon. Commentaar spammers gebruiken momenteel een relatief beperkt aantal machines om hun boodschappen te paatsen. Als de nieuwe generatie van spammers de trend van e-mail spammers volgen en massaal bot-netwerken te gaan gebruiken dan zal het een grote bedreiging voor websites wereldwijd gaan vormen.
Tegenover deze toenemende bedreigingen, moeten web-beheerders hun gegevens blijven delen over aanvallen zij op hun eigen sites zijn middels maatregelen zoals Project Honey Pot. In het komende jaar zullen we een aantal nieuwe initiatieven lanceren ter verhoging van de bescherming die wij aanbieden. Als u een website beheert, raden wij u aan om vandaag lid te worden van Project Honey Pot en anderen aan te moedigen dat ook doen. Alleen door samen te werken hebben we een kans om de uitdagingen die voor ons liggen aan te pakken.
-
- login of registreer om te reageren