Spambots zijn bekende vijanden van iedereen die met e-mail of beveiliging werkt in de IT. Voor de rest van de wereld zijn het onbekende entiteiten, maar ze zijn overal, net als reclames, berichten-apps en mieren op een picknick. Je krijgt wellicht tientallen berichten binnen van bots per dag, of erger: een bot kan e-mails verzenden vanaf jouw systeem of account, zodat je een onwelwillende meewerker bent aan dit soort digitale ongein.

Het helpt als je een spambot van een onbekende entiteit verandert in eentje die je ziet aankomen en begrijpt. Ken uw vijand. In dit artikel gaan we in op hoe ze werken, waarom ze overal aanwezig zijn en hoe je jezelf kunt beschermen om te voorkomen dat jouw computer een soldaat in een spambotleger wordt.

1. Het verwerven van adressen

Om te begrijpen hoe ze werken en waarom ze jouw computer besmetten, is het wellicht de moeite waard om even kort stil te staan bij hoe ze zijn ontstaan. Het begint namelijk meestal met onverlaten die een database op het darkweb kopen van adressen die zijn gestolen van een bedrijf, neem LinkedIn of Adobe om twee grote inbraken van de afgelopen jaren te noemen.

Zulke databases zijn er veel. Voor een ontluisterend kijkje, verwijzen we je wederom graag door naar de website van beveiligingsonderzoeker Troy Hunt. Deze lange lijst is niet eens uitputtend, maar geeft je een idee van de miljarden adressen (en soms erger, inloggegevens of creditcardgegevens) die rondwaren online.

Toen Yahoo onlangs bekend maakte dat in 2013 maar liefst drie miljard gebruikersaccounts waren gekopieerd, zullen spambotmakers niet verrast zijn geweest: zij gebruiken de adressen al jaren. Spambots werken niet zonder e-mailadressen en de oorsprong van elke spambot ligt in een lijst met adressen.

Maar het begon anders. In den beginne voerden spambots aanvallen uit waarin combinaties werden geprobeerd om geldige e-mailadressen te vinden en door adressen die online werden gepubliceerd te crawlen. Dat is dus allang niet meer zo, simpelweg omdat criminelen die moeite niet meer hoeven te doen omdat er databases genoeg voorhanden zijn.

Met behulp van social engineering houden ze zichzelf levend door gebruikers een vicieuze cirkel in te trekken: van de oorspronkelijke inbraak met een aantrekkelijke link, tot het harvesten van e-mailadressen in contactlijsten of zelfs in gekoppelde databases. Het verklaart ook deels de sterk toegenomen datainbraakincidenten van de afgelopen jaren: het gaat allemaal om het vergaren van meer informatie om meer mensen in de val te lokken.

2. Hoe je wordt besmet

Een van de uitdagingen in het bestrijden van spambots is dat de makers hun tactieken constant aanpassen. Neem bijvoorbeeld de oorspronkelijke infectie die malware installeert om van je computer een e-mailmakende spambot te maken. Niet zo heel lang geleden gebeurde dat door malware op schimmige sites te deponeren en gebruikers te lokken en te verleiden op een linkje te klikken waarmee je troep binnenhaalde.

Inmiddels zijn we zover dat de meeste gebruikers gelukkig doorhebben dat het in ieder geval geen goed idee is om te klikken op links van afzenders die ze niet kennen. Dat ze vervolgens ook niet klikken, blijkt in de praktijk soms lastig. Zelfs gebruikers die beter zouden moeten weten, zoals mensen in de IT-security, klikken nog wel eens op een interessant ogende vreemde link.

Maar omdat het klik-maar-raak-gedrag uit het verleden minder geldt vandaag de dag zijn spambotmakers creatiever geworden. Een populaire manier is om een foto te misbruiken van een Facebook-feed en deze dan door te voeren naar een gebruiker met een boodschap die lijkt alsof ie van Facebook komt en de melding dat een vriend erop heeft gereageerd. Klik op de bijbehorende link en je installeert gratis en voor niets een stukje malafide software op je computer.

Een andere truc, en gelukkig is dat alleen nog maar een Proof of Concept, kaat iPhone-gebruikers een iTunes-dialoogvenster zien. Deze is alleen niet van Apple, maar van criminelen die jouw inloggegevens willen hebben om bijvoorbeeld malware te installeren.

Als de gebruiker oplettend genoeg is om niet te klikken, kan de spammer nog steeds informatie verkrijgen. Zo hebben sommige spamberichten een nauwelijks zichtbare afbeeldingstag die zodra hij wordt weergegeven een bericht stuurt naar de bot-herder. Die weet dan dat de ontvanger een echt, actief persoon is en geen ongebruikt adres of verlaten account.

Zulke adressen gaan op een lijst om andere pogingen te wagen en er hoeft er maar eentje echt genoeg te lijken of in een onbewaakt moment op maandagochtend geopend te worden om alsnog malware te installeren. Als malware zich eenmaal aan een systeem heeft gehecht, wordt het een host om e-mailtjes te sturen. Vaak zijn dat phisingmailtjes die legitiem lijken omdat ze van een geldig adres komen en soms is het de verdere verspreiding van de malware om meer pc's te veroveren voor het spambotnet.

3. Achter de schermen

Na de initiële infectie, communiceert de spambot met een command-and-control-server (C&C) en dat is in feite een centrale machine die de individuele bots aanstuurt. Die masterserver werkt bijna als een echte e-mailserver: de crimineel erachter krijgt zelfs rapportages te zien over succes- en faalratio's van het spamleger.

Soms geeft het centrale commandocentrum aanvullende instructies door aan de bots onder zijn toezicht over waar informatie naartoe moet worden gestuurd. Zo'n dynamische aanpak is belangrijk, omdat IT'ers aan de lopende band ingrijpen en domeinen blacklisten, waardoor de spambot ineffectief wordt. Het is zaak dat de spambot op tijd weet hoe hij met een blokkade om moet gaan.

Bovendien probeert de botnetbeheerder ervoor te zorgen dat beveiligers en opsporingsdiensten de spammers niet detecteren om het systeem effectief te houden en uit de handen te blijven van autoriteiten. Gedurende dat kat-en-muisspel tussen detectie, blokkering, evolutie, detectie, enzovoorts, blijft de spambot actief.

De bot functioneert veelal als proxy die verkeer omleidt, zodat de oorsprong ervan lastiger te zien is en om filters te vermijden die sommige servers gebruiken om spammers dwars te zitten. In veel gevallen is de spambot een lomperik die ruwe input ontvangt - bijvoorbeeld de afzendervelden, berichtonderwerpen en een lijst van geselecteerde doeladressen - om berichten te maken en met hagel te schieten in de hoop dat een van de duizenden bereikte ontvangers per ongeluk malware installeert.

Soms zien spambots dat ze worden geblokkeerd, maar dat maakt de bot niet direct onschadelijk. Een spambot die zijn primaire taak, spammen, niet kan voltooiden heeft soms secundaire taken ingebouwd. De spambot gaat in dat geval over op bijvoorbeeld het spoofen van siteverkeer of het deelnemen aan een DDoS-aanval op een specifiek doelwit.

4. Wat je kunt doen

De moeilijkheid zit 'm erin dat spambots niet lang een vast gedragspatroon volgen, zodat het lastig is om computers op een vaste manier te beveiligen tegen infecties. Je kunt antimalwaresoftware bijwerken, maar spammers vinden vaak manieren om zulke detectiemethodes op endpoints vroeger of later te omzeilen. Eenmaal geïnfecteerd, is die beveiliging vaak ook niet meer te vertrouwen.

Bedrijven hebben hierop gereageerd met het sandboxen van processen en gevanceerdere detectiemethodes voor ná infectie, bijvoorbeeld met een NG-firewall die verkeer monitort. Samen met methodes als het blokkeren van IP-adressen en het delen van Threat Intelligence zijn ze in de regel beter uitgerust dan de meeste thuisgebruikers om spambots onschadelijk te maken.

Maar zelfs dan is het een strijd die met enige regelmaat wordt verloren door de goeieriken en soms lijkt het alsof het tij tegen spammers niet te keren is. Maar er is goed nieuws. Spambots zijn volgens beveiligers vaak slecht geprogrammeerd en niet zo heel lastig te breken. Als je ze te veel prikt - met detectiesoftware en endpointbeveiliging - zijgen ze ineen en staan ze niet meer op.