08/06-09 - Pressemeddelelse

Så let kan man høste 1,3 millioner e-mail adresser

På mindre end 15 minutter var CSIS ved brug af Google og et lille shell script i stand til at indsamle 1,3 millioner e-mail adresser, som allerede optræder på spamlister hos it-kriminelle.

E-mail adresser er, af gode grunde, i høj kurs hos spammere. Der findes sågar et helt marked, hvor it-kriminelle, på bl.a. russiske undergrundssider, sælger e-mail adresser i bunter af millioner og ofte sorteret på lande der kan have særlig interesse for spamudsendelse. Man kan således købe ca. 100,000 danske e-mail adresser (sorte på .dk prefix) for ca. 1000-3000 danske kroner.

Hos CSIS satte vi os i weekenden for at dokumentere, hvor let det er for it-kriminelle, at høste e-mail adresser ved brug af en populær søgemaskine, som i dette tilfælde "Google".

Vi gennemførte vores søgning med følgende tekst streng:

intext:Index of /mailbase.txt

Det returnerede ikke overraskende talrige kompromitterede websider, som alle ufrivilligt hoster databaser indeholdende e-mail adresser og spamskabeloner.

Et lille udsnit af de mange kompromitterede webservere findes herunder (mellemrum indlagt af CSIS):

gordo nclub-bg.info
www.amer icascommoncentsman .com
www.antit eror.org
www.aussi ebea ver.com.au
www.finan ciallight.com.au
www.gift world.com.vn
www.kcame ron.co.uk
www.sb se.net.au

Ved brug af et simpelt shell script, der kun udgør få linjer kode, lykkedes det CSIS at hente de fundne "mailbase.txt" filer ned fra webserverne og sortere dem med følgende resultat:

Mikael@pentestbox:~/poc/data/mail# cat uniqmails.txt | grep -c '@'
1,308,050

På almindeligt dansk betyder det, at være søgning, og det simple shell script, har gjort det muligt at indsamle ca. 1,3 millioner e-mail adresser på lidt under 15 minutter. Det anslås, at mere end 5,000 danske e-mail adresser optræder på de indsamlede lister og som kun er toppen af isbjerget ...

CSIS fandt endvidere en række konfigurationsfiler på hjemmesiderne, der løfter sløret for hvilke "tilbud" vilkårlige e-mail adresser kan se frem til i den kommende tid:

Vi har bl.a. set følgende emnefelter:

Are you ready ?
Greetings,
Attention please!
Give me minute please
It will interest you
It is interesting
You will be interested in ...

Og indhold som f.eks.:

"NEW web casino has been opened!"

Ved at følge det link der der optræder i den pågældende spammail, kommer en uforsigtig person f.eks. ind på en webside oprettet med formålet, at videredirigere brugeren til en gammel kending i trusselsbilledet: "Canadian Pharmacy", der udover at sælge tvivlsomme medicinal produkter, også er mistænkt for systematisk misbrug af kreditkort oplysninger der opgives i forbindelse med køb af varer på firmaets webside.

Den samlede process tog mindre end 30 minutter at gennemføre og hjælper til at illustrere omfanget af spam problemet og hvor let det er at komme i besiddelse af e-amil adresser der kan sendes spammails til.

CSIS mailfirewall kunder er proaktivt beskyttet mod disse spammmails. På samme måde er vores Sec-DNS kunder beskyttet imod de indsamlede og skadelige domæner, domæner inkluderet i spamskabelonerne, samt relaterede URL's.