Trojan maakt webmailaccounts aan voor versturen spam

Sinds vorige maand is het HotLan-virus druk bezig honderdduizenden webmailaccounts aan te maken bij Hotmail en Yahoo. De laatste variant van het kwaadaardige programma is ook in staat om Gmail-accounts aan te maken.

Sinds vorige maand heeft de malware ruim vijfhonderdduizend Hotmail-adressen aangemaakt om spam mee te versturen. Microsoft vertrouwt net als Yahoo en Gmail op captcha-beveiliging om het geautomatiseerd registreren van webmailaccounts onmogelijk te maken. De makers van het HotLan-programma zijn er blijkbaar in geslaagd deze beveiliging te kraken.

HotLan laat geïnfecteerde computers een webmailaccount registreren en stuurt het captcha-plaatje naar een centrale server die hem kraakt. De geïnfecteerde computer vult de code vervolgens in het juiste veld in en registreert zo het account. Vervolgens krijgt de besmette pc spammailtjes aangeleverd die via het geregistreerde webmailadres moeten worden verstuurd. Het gaat hier vooral om spamreclame voor farmaceutische producten.

Volgens Viorel Canja, directeur van BitDefender, zijn er inmiddels ruim een half miljoen Hotmail- en bijna vijftigduizend Gmail-accounts geregistreerd door HotLan. Hoewel Gmail pas recent een doelwit vormt voor de malware, is de webmaildienst volgens hem het meest succesvol in de strijd tegen het virus en sluit deze de malafide accounts binnen enkele dagen af.

IT-banen

Reacties (118)

bluppfisk 15 augustus 2007 21:02

Ik zag ooit eens een lezing van iemand over "human computing". Het hield in dat ze de captcha gewoon kopieerden naar een pornowebsite. De gebruiker kon dan porno zien als ze de captcha oplosten, wat iedereen natuurlijk onmiddellijk doet voor wat bloot. De mens lost op die manier de captcha op voor de computer. Beetje de wereld op zijn kop inderdaad

markiemannie @bluppfisk • 15 augustus 2007 21:23

Die heb ik ook gezien. Een erg goede lezing.
Link: http://video.google.nl/videoplay?docid=-8246463980976635143

[Reactie gewijzigd door markiemannie op 25 juli 2024 17:16]

Mic2000 @bluppfisk • 15 augustus 2007 22:44

Wat ik niet begrijp, die code verloopt toch binnen een bepaalde tijd? Wil je mij zeggen dat als mijn pc die code doorstuurt naar een server, dat binnen no time al iemand porno wilt kijken en die code even intikt in een tekstveld?

Verwijderd @Mic2000 • 15 augustus 2007 23:14

Als je website 10.000den hits per dag haalt, waarom zou je dan niet op termijn aan 500.000 accounts kunnen geraken? Dat lijkt me niet zo slecht. Natuurlijk zullen er mss enkele verlopen, maar dan hoeft de geïnfecteerde pc maar even te refreshen toch?

Of mss nog iets beter: Een bezoeker komt op de website, er wordt een geïnfecteerde pc aangestuurd om een pagina te laden en een captcha te plaatsen. En dan is het probleem van time-outs al helemaal van de baan.

Verwijderd 16 augustus 2007 11:53

Captcha. je laat een computer uitzoeken of de gene die een account probeert aan te maken een computer of een mens is. dat het extreem handig is om alles te automatiseren is niet minder dan logisch, maar het is ook de rede dat dit soort bots uberhaupt een kans maken.

neem een callcenter en laat ze in een minuut een account aan maken. de waarde van een account en wat er mee gebeurd is dan meer waard, het zal waarschijnlijk ook de kosten van het callcenter wegpoetsen en je hebt geen last meer van bots/spammers, of in ieder geval in zulke kleine maten dat ze niet erg veel meer toe doen.

Bullit1991 17 augustus 2007 02:01

Ze zouden de teabag 3d evolution captcha moeten gebruiken. Lijkt mij zeer moeilijk om te "kraken". Zie voorbeeld.

http://img388.imageshack.us/img388/2955/captchafm4.png

Fonta @Bullit1991 • 17 augustus 2007 06:13

Speel jij soms barafranca?

Bullit1991 @Fonta • 17 augustus 2007 11:47

Heb ik inderdaad vroeger gespeeld, ben daarom ook opzoek gegaan naar de captcha die zij gebruikte en kwam deze tegen. Natuurlijk is het niet onkraakbaar, maar ik herinner me goed dat de cheats destijds die deze code kraakte ongeveer 7 seconden nodig hadden om één code te kraken. Daarom lijkt mij het stug dat een server veeeeel meer codes binnen een redelijke tijd kan kraken om e-mail adressen aan te maken.

gamepower2005 15 augustus 2007 21:25

Je kon erop wachten dat de captcha's gekraakt werden. De captcha's die nu gebruikt worden zijn gewoon een verdraaide versie van tekst. Beter zou zijn om over te stappen naar ingewikkeldere tests, zoals bijv. beeldherkenning. Google kan een foto aanbieden, waarop de gebruiker bijv. een object moet herkennen en aangeven. Het zal nog wel een paar jaar duren voordat er geen effectieve captcha's meer te bedenken zijn.

Verwijderd @gamepower2005 • 15 augustus 2007 23:51

Het probleem daarmee is dat er dan een beperkt aantal foto's zullen zijn. Goed het zouden er 100.000 kunnen zijn maar als al de 'antwoorden' op die foto's gevonden zijn (desnoods met behulp van de 'porno'-techniek eerder beschreven) dan staan de hacker vrij het systeem zonder moeite onbeperkt te misbruimen.

Dit gaat niet bij het Captcha systeem aangezien deze (bijvoorbeeld) 10 ^36 combinaties heeft. (uitgaande van tien symbolen).

Clavius 15 augustus 2007 20:58

Goed, die plaatjes met letters werken dus blijkbaar niet meer. Whats next, een wavje van iemand die letters en cijfers voorleest?

djexplo @Clavius • 15 augustus 2007 21:03

Misschien hebben ze de plaatjes gewoon met de hand overgetyped ...

Op zich vallen de aantallen nog wel mee, plaatje kost ongeveer 3 seconden om in te typen, dus in een uur kan je 1000 accounts aan maken als je de rest door een bot laat doen... , dus in een werkweek 40.000.

Als je hier een chinees voor in huurt ben je nog geen cent per account kwijt aan kosten...

[Reactie gewijzigd door djexplo op 25 juli 2024 17:16]

MRic3 @djexplo • 16 augustus 2007 01:40

Hoezo in/over typen..

Lees deze blog eens van pandasoftware. Het gaat over email bevestiging en captcha omzeiling van een (in dit geval) PHP forum. Het programma heet Xrummer en gaat volledig automatisch te werk.

Vooral het flash filmpje wat erbij zit maakte indruk op mij... klik

Kjoe_Ljan @djexplo • 16 augustus 2007 09:43

Mijn ouders hadden jaren geleden (sowieso meer dan 5 jaar) al een scanner die een A4-tje met tekst kon omzetten naar tekst in een tekstverwerker, in plaats van een plaatje.

Een soortgelijk programma zal waarschijnlijk ook gebruikt worden om de tekst uit een captcha te halen

Vaan Banaan @Kjoe_Ljan • 16 augustus 2007 10:23

Wat jij bedoelt, is OCR (Optical Character Recognition) Dat bestaat al een hele tijd (kan me nog wel een opdracht van school herinneren van ongeveer 13 jaar geleden voor de stad Leiden, waarbij we honderden documenten moesten scannen)
De captcha plaatjes zijn juist zo ontworpen dat het niet te ontcijferen is met OCR. (Vandaar de capt-to tell Computers en Humans Apart)
Daarom worden er speciale programma's geschreven voor dit soort spam doeleinden, die de (specifiieke) captcha's wel kan lezen

Mic2000 @GoneWacko • 15 augustus 2007 22:41

Dat zou het best goed kunnen zijn, het lijkt mij ook niet dat de beveiliging totaal software matig opgelost wordt.

Bergen @Mic2000 • 16 augustus 2007 01:12

Captcha decoders bestaan alweer een tijdje. Hier een opsomming van verschillende type captcha's en de bijbehorende decoders:

http://sam.zoy.org/pwntcha/

GoBieN-Be @GoneWacko • 16 augustus 2007 00:18

lijkt me dat die captcha images met een timeout werken, dus jouw optie zal niet werken!

WyriHaximus @GoBieN-Be • 16 augustus 2007 02:42

Werkt prima. Het is zelfs nog handiger om 1 plaatje over verschillende sites te verspreiden zodat je A sneller resultaat hebt en B je hetb een veel grotere kans dat je de CAPTCHA gekraakt hebt

. Over time outs moet je je niet druk maken er zijn genoeg rukkers die het wel ff z.s.m. kraken om aan hun trekken te komen

[Reactie gewijzigd door WyriHaximus op 25 juli 2024 17:16]

GravGunner @Clavius • 15 augustus 2007 22:29

Op een guild website gebruiken we nu al een halfjaar met groot succes de meest simpele beveiliging tegen bots, een simpele vraag

Eegee @GravGunner • 15 augustus 2007 23:22

En hoe moet je dan het antwoord op die vraag geven? Als dat met een dropdownbox of radiobutton-lijst moet, dan is dat nog niet echt veilig. Een antwoord typen lijkt me ook niet te doen, dan moet je het precies goed typen (afhankelijk van het type vraag/antwoord natuurlijk); ik neem aan dat je ook wel random een vraag uit een verzameling van vragen zou willen voorschotelen.

Verwijderd @Eegee • 15 augustus 2007 23:40

Een antwoord typen is héél makkelijk te doen, als je geen vragen stelt als "Wat vind u van het huidige economische klimaat op globaal niveau ten opzichte vorig kwartaal?", maar "Van welk land is Beatrix de koningin?" dan hoef je je echt niet druk te maken dat met het niet goed typt.

Joost @Verwijderd • 16 augustus 2007 00:17

De standaard vraag bij Pivot (weblogsoftware) was "Wat zijn de eerste twee letters van het woord spam?" Dat soort dingen zijn eenvoudig op te lossen door mensen, maar niet door bots. Toch schijnt het je een groot deel van je reacties op te kunnen lossen.

Een echte oplossing voor dit probleem zal er nooit komen, denk ik. Wat misschien zou kunnen werken is een wachttijd, bijvoorbeeld van drie dagen. Dat je je dus aanmeld voor Gmail en dat je drie dagen later in kunt loggen. Dan wordt het een stuk minder interessant voor spammers, want in de tussentijd kunnen malafide aanvragen er tussenuit worden gefilterd.

Neok_ @Verwijderd • 16 augustus 2007 00:08

Dan alsnog kan je zowel 'Holland' als 'Nederland' krijgen

Verwijderd @Neok_ • 16 augustus 2007 00:29

Ze is toch echt geen koningin van Holland hoor, maar van Nederland, Holland = 2 provincies, Nederland = een land.

HielkeHoeve @Neok_ • 16 augustus 2007 09:11

Holland bestaat niet, alleen Noord-Holland en Zuid-Holland en dat zijn provincies

Verwijderd @HielkeHoeve • 16 augustus 2007 12:08

Sorry, maar Princeton denkt daar toch anders over:

S: (n) Netherlands, The Netherlands, Kingdom of The Netherlands, Nederland, Holland (a constitutional monarchy in western Europe on the North Sea; half the country lies below sea level)

GoBieN-Be @Eegee • 16 augustus 2007 00:19

zolang iedereen zelf een vraag uitvind is het ok !

Cafe Del Mar

@Eegee • 16 augustus 2007 08:38

hier aan de KULeuven stellen ze de volgende vraag, om achter de contactgegevens van de proffen te komen (email, telefoon etc)
5+5=...

geen drop-down, een sommetje in plain-text,
als je dat niet kan beantwoorden ben je ofwel stiepelzat, ofwel kan je de tekst evenmin lezen omdat je analfabeet bent

Prulleman @Cafe Del Mar • 16 augustus 2007 09:17

Als dit in plain text is, moet het ook wel heeeel makkelijk zijn voor bots, ze moeten er wel op voorbereid zijn natuurlijk, maar als het altijd een sommetje in plain text is kan elke zolderkamer programmeur dit fixen

Verwijderd @Cafe Del Mar • 16 augustus 2007 09:23

prop die string in een willekeurige zoekmachine en je krijgt het antwoord.

Morpheus_at_work @GravGunner • 15 augustus 2007 23:06

ik doe het zelfde op mijn zoontjes website , dagelijks anders 10 sex berichten in zijn gastenboek , ik stel nu ook een vraag waar het antwoord zo simpel is , dat iedereen het kan behalve een bot, tot op heden 0,0 berichten meer van bots

Cameleon73 @Clavius • 15 augustus 2007 21:34

KittenAuth!

Verwijderd @Cameleon73 • 16 augustus 2007 09:23

die is ook wel slim, maar ik denk dat het aantal 'plaatjes' beperkt zal zijn.
Dus 1000 keer die site handmatig opvragen en je weet hoe de captcha werkt.

Comgenie @Clavius • 15 augustus 2007 21:00

Dit bestaat dus al

. Kijk maar bij hotmail, voor slechtziende mensen enzo

Verwijderd @Comgenie • 16 augustus 2007 09:21

wij hebben ook een audio captcha op ons forum

Verwijderd @Clavius • 15 augustus 2007 21:40

De juiste afbeelding (boompje) kiezen uit een aantal plaatjes (huisje, boompje, beestje) wat voor een computer zeer moeilijk is, of een som laten oplossen waardoor je grammatica toevoegd, wat ook nog steeds veel lastiger is dan cijfers en letters herkennen.

jvo @Verwijderd • 15 augustus 2007 23:21

Uhm, een som oplossen is voor een computer niet zo heel moeilijk. Boom staat tot wortel als huis staat tot .... is een stuk lastiger.

offtopic:
fundering

matel @jvo • 16 augustus 2007 09:01

Maar dat is voor sommige mensen (kinderen bijvoorbeeld) niet zo makkelijk op te lossen. Het moet ook nog makkelijk te doen zijn voor de meest mensen.

Verwijderd @matel • 16 augustus 2007 09:22

Als je dat soort dingen niet kan, dan val je onder het Darwin principe hoor. Geen mail voor mensen die niet kunnen denken.

Verwijderd @jvo • 16 augustus 2007 12:07

Het gaat niet op het oplossen van de som, het gaat om de grammatica van de som waarmee je de computer probeert te laten struikelen. Mensen zijn (op dit moment) nog steeds veel beter in grammatica, zeker als je heen-en-weer zinnen ("doe daarna", "doe daarvoor") maakt.

zalazar @Clavius • 15 augustus 2007 23:14

Misschien is een flash animatie waarbij de cijfers en letters langzaam rond draaien iets.

RSpliet @zalazar • 15 augustus 2007 23:34

En dan ga je je scherm scannen, haal je 't verschil tussen 2 frames op, en dan weet je precies de vormen... Face it: Alles wat de mens ziet is door een computer ook te zien. 't kost alleen n berg programmeertijd...

Verwijderd 15 augustus 2007 21:29

De makers van het HotLan-programma zijn er blijkbaar in geslaagd deze beveiliging te kraken.

er bestaat een techniek -de naam is me even ontschoten- waarin je ipv van een captcha een vraag krijgt voorgelegd in de trant van: welke kleur heeft een gele citroen, veel moeiljker te kraken dan een captcha

Comgenie @Verwijderd • 15 augustus 2007 21:48

Allemaal leuk en aardig, Maar probeer dat maar eens wanneer je een taal helemaal niet of nauwelijks beheerst. Al helemaal wanneer de vragen wat moeilijker worden. Een code overtypen kan iedereen wel.

Depress @Comgenie • 15 augustus 2007 22:47

En omdat iedereen het kan word het gebruikt. Zodra je iets ingewikkelds gaat doen is de kans dat mensen het niet meer lukt groter. Veel mensen tikken snel een captcha over en gaan verder, als het te lang duurt zoeken ze gewoo verder en vinden het ergens anders ook vast wel, maar dan zonder captcha. En bezoekers missen is not doen

Arne @Comgenie • 15 augustus 2007 23:52

dan typ je een andere landcode achter hotmail / yahoo / gmail...
wanneer je hem niet spreekt wens ik je ook veel succes met het naar waarheid invullen van de andere gegevens, evenals het naar waarheid aangeven de gebruikersvoorwaarden gelezen en begrepen te hebben...

SiliconError @Verwijderd • 15 augustus 2007 21:36

Behalve dat je dan een database met vragen moet hebben. En de spammer kan daartegenover een database met antwoorden zetten.

Arne @SiliconError • 15 augustus 2007 23:49

Wanneer google zijn bestaande database met afbeeldingen en bijbehorende mogelijke tags neemt, (meerdere antwoorden mogelijk dus,) wens ik een spammer veel succes om deze database even over te nemen. Met vragen gaat dit waarschijnlijk idd wel een stuk makkelijker, aangezien dit tekst is en minder ruimte kost.
Een mogelijk nadeel is misschien echter dat er in de afbeeldingendatabase waarschijnlijk ook een paar, zwak uitgedrukt, "minder geschikte" afbeeldingen zitten. Deze zal je er dan dus op een of andere manier uit moeten filteren.

TheCapK 15 augustus 2007 21:02

Dit geeft mensen die Gmail gebruiken toch wel weer een goed gevoel dat dit allemaal niet zo makkelijk kan blijven bestaan. Aan de andere kant weet je wel meteen dat ze je bij Google dus beter in de gaten houden.
Wat vindt je dan het ergste?

i-chat @TheCapK • 15 augustus 2007 22:13

in de gaten houden ??? - mijn internet provider houd mij ook in de gaten (ze meten) of ik niet te veel bandbreedte verslurp, - en misschien ook wel hoeveel mail ik verstuur, worden dat er van de ene op de andere dag, ineens 1000 per dag, - zullen ze toch eens een kleine vraag deponeren - en/of direct m'n account al dan niet tijdelijk op non-active zetten,

enige wat raar is, dat 't van hen wel wordt geacepteerd en van google niet...

ja google analiseerd waarschijnlijk, mijn mail met een of ander progje, en misschien tellen ze zelfs hoevaak het woord porno in my mail te lezen is - euh so what vertrouwelijke mail verstuur ik versleuteld, of niet, en de overige heej hoe gaat 't met je hond mail mogen ze rustig lezen....

Verwijderd @i-chat • 16 augustus 2007 00:15

Mooi gedicht.

ja google analiseerd waarschijnlijk,
mijn mail met een of ander progje,
(en) misschien tellen ze zelfs hoevaak het woord porno in my mail te lezen is

Het punt is echter niet of je iets te verbergen hebt. Alles kan en zal tegen je gebruikt worden.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 17:16]

Verwijderd @TheCapK • 16 augustus 2007 08:21

Het ergste vind ik dat, als een bedrijf eens de moeite doet om vlug spam tegen te gaan, dit door sommige mensen direct wordt gezein als, he, dit bedrijf leest al onze mails. We hebben geen privacy meer

Verwijderd 15 augustus 2007 21:05

Tja het was natuurlijk gewoon een kwestie van tijd. Feit is en bljift natuurlijk dat er nooit een waterdichte beveiliging zal bestaan die eenvoudig is te gebruiken voor massa gebruikers. Geluid en beeld is virtueel en zal uiteindelijk altijd worden 'gecracked'. En aangezien alles via (internet) verbindingen gaan zal er waarschijnlijk ooit nooit een 100% safe systeem zijn...

Jammer jammer jammer, maar ik mag er wel van uit gaan dat Gmail dit al wel had verwacht en al aan een andere oplossing bezig is... 't is wachten op hun volgende manier van beveiligen, maar die zal uiteindelijk ook vast wel op een of andere manier worden omzeild...

Junk mail sent using the malware have largely been used to spamvertise pharmacy sites.

T zou fijn zjin als de wereld de handen in een zou slaan en gewoon dergelijke sites meteen na zo een actie (nadat is bewezen dat er daadwerkelijk links zijn en het niet gewoon door een concurrent/grappemaker is gedaan) offline zouden moeten halen

En gewoon een antivirus programma + firewall op elke PC verplichten

[Reactie gewijzigd door Verwijderd op 25 juli 2024 17:16]

Verwijderd @Verwijderd • 15 augustus 2007 21:25

misschien dat microsoft ook eens iets aan windows kan doen, want hoewel het doodleuk onvermeld blijft in de tweakerartikeltekst, is het wel een ms windows os trojan:

Affected operating systems: Windows

bron: http://www.sophos.com/security/analyses/trojhotlana.html

SunnieNL

@Verwijderd • 16 augustus 2007 07:32

Microsoft heeft alleen iets gedaan in windows om dit soort dingen te voorkomen...
alleen zijn er tweakers die anderen adviseren die opties weer uit te schakelen omdat ze "zo onhandig werken"
(denkt aan bevestiging starten activex onder msie.. uac bij installeren van zaken.. het dichtgooien van de kernel waar anivirusontwikkelaars tegen zijn.. )

Str1ngS @Verwijderd • 16 augustus 2007 01:15

Zou dat ook kunnen komen omdat ze te lui zijn of geen ervaring hebben met *nix based OS's?

Noxious @Str1ngS • 16 augustus 2007 02:11

Waarschijnlijker omdat er gewoon veel minder (kwetsbare) computers *nix draaien?

Systemen die dat al draaien hebben over het algemeen ook hun beveiliging goed op orde, en het zijn er ook nog eens veeeeeeeel minder

Tenshi818 @Verwijderd • 16 augustus 2007 07:46

En gewoon een antivirus programma + firewall op elke PC verplichten

Vind ik dus ook maar ik doe er nog een schepje bovenop..

Ik vind dat mensen voor dat ze van het internet gebruik gaan maken een cursus basis computer en internet veiligheid moeten volgen. Gezien je met een beetje kennis 90% van de problemen kan omzeilen.

Je mag ook geen auto rijden zonder rijbewijs waarom wel internet zonder enige kennis van de gevaren? En ja het is wel degelijk te vergelijken voor het zelfde geld had die trojan je bank informatie of identiteit gestolen...

Database freak 15 augustus 2007 23:08

Wat ik nog steeds niet begrijp dat de bedrijven waarvoor reclame wordt gemaakt nou niet eens aangepakt worden door gewoon VISA en andere creditcard maatschappijen deze 'farmaceutische' webwinkels op een zwarte lijst te zetten zodat niet er meer met een creditcard spullen kan kopen. Dan houd de omzet bij dit soort winkels op, kunnen ze geen malifide spam-adverteerders meer inhuren en lost het probleem zich op.

RSpliet @Database freak • 15 augustus 2007 23:39

Okee, ik doe even een hele wilde gok...
VISA krijgt per transactie betaalt. Farmaceuten afsluiten betekent minder inkomsten.

WhiteDog @Database freak • 16 augustus 2007 01:27

Vandaag spam, morgen modchips en overmorgen een doosje lege dvd's.

Het is VISA hun probleem niet en je provider zijn probleem net. Mensen moeten maar zo dom niet zijn om te reageren op SPAM. Als niemand het nog koopt houdt het ook gewoon op.

Auredium @Database freak • 16 augustus 2007 08:54

Dan huur ik toch simpelweg mensen in die spammails laten versturen via botnetwerken van mijn concurrent zijn pharmaceutisch bedrijf?

Komt dat bedrijf in onderzoek en negatief in het nieuws, kosten voor rechtzaken e.d.
Tuurlijk kan dit backfiren, maar zo start je wel een goede heksenjacht.

Verwijderd 16 augustus 2007 09:15

Leuk deze discussie om allerlei andere technieken te bedenken, maar het probleem met elk vraag antwoord spel is dat elke bot dit kan repliceren op bijvoorbeeld een porno site. Of ik nou een Captcha naar een porno site doorstuur of een vraag, dat maakt weinig uit. Als er interessante sites zijn voor spammers (webmail) dan loont t de moeite om het vraag/antwoord spel op een zeer druk bezochte site (porno) te plaatsen. Men zal dus met iets moeten komen dat niet gekopieerd kan worden en toch een mens van een bot onderscheid.

Kalix @Verwijderd • 16 augustus 2007 11:33

Het probleem zit hem eigenlijk in het feit dat alles wat een mens verzint om de twee te scheiden, door een andere persoon ge-automatiseerd kan worden om automatisch toegang te krijgen.

Wat ik me afvraag is of een combinatie van eerder genoemde plaatjes methode (klik de vijf plaatjes met *** er op aan.) en misschien het registreren van ip adressen van requesters niet een oplossing voor de problemen kan zijn.

Het is praktisch onmogelijk voor bots om een plaatjesdatabase als die van google bij te houden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (118)

Sorteer op:

Weergave: