Sådan får spammere og hackere adgang til millioner af danske emailadresser

Det er blevet lettere for nigerianske svindlere og kinesiske kopivare-producenter at få fingrene i danske email-adresser, som sælges billigt og i hobetal. Gråzone i lovgivningen, fortæller Datatilsynet.

Mange har prøvet at få et tilbud på mail fra en nigerianer, som lyder lidt for godt til at være sandt. Personen har brug for en bankkonto til at opbevare en arv på millioner af dollars, og du er den udvalgte redningsmand. Som tak får du måske ti procent af beløbet. Der er bare den lille hage, at du først skal overføre en mindre sum til vedkommendes konto for at dække gebyrerne for overførslen af millionerne.

Email-scams som ovenstående er velkendte. Men for at de fungerer, har bagmændene brug for en stor liste af email-adresser, der som et fiskenet kan kastes ud med håb om, at nogle enkelte godtroende personer ryger i.

Og det var netop på sådan en liste, at Mogens Winther en dag fandt den email-adresse, som han gennem fem år havde forsøgt at holde hemmelig.

»På det seneste har der været flere tegn på, at jeg er blevet angrebet af spam. Når jeg sender til canadiske og danske adresser, oplever jeg, at mine mails bliver afvist, fordi de har et ‘dårligt omdømme’,« fortæller Mogens Winther, der også har fået indtil flere ekstraordinært ‘gode’ tilbud fra velhavende nigerianske bankansatte.

Ved at søge rundt på Google, opdagede han, at hans email-adresse lå på en liste sammen med 349.999 andre danske email-adresser. Det koster kun 350 kr. at købe email-adresserne på hjemmesiden Emaildatalist, som blandt andet markedsfører sig over for køberne ved at hjælpe dem med at »lave en hurtig profit ved at tilbyde en email-liste, som er blevet screenet og nøje udvalgt«.

»Vi ser hyppigt, at de her lister bliver tilbudt til salg til folk, som vil levere spammails,« siger it-sikkerhedsekspert hos virksomheden CSIS Peter Kruse til Version2 og fortsætter:

»Omfanget er blevet større og større.«

Den omtalte liste med 350.000 emailadresser med .dk-domæner er nemlig i den mindre ende ifølge Peter Kruse. Han har stødt på lister med op til 1,6 mio. danske email-adresser på, hvor man ikke alene kan sortere dem geografisk, men også inden for brancher.

På den måde kan spam-bagmændene nøje udvælge, om de vil sende reklamer eller scam-forsøg ud til medicinalindustrien eller byggebranchen, der er særligt ramte af spam.

Crawlere omgår email-obfuskering

Bagmændene bag listerne benytter sig oftest af crawlere til at opsnappe email-adresserne. Det er en software, som scanner nettet for tekst, der ligner en email-adresse - ofte via søgemaskiner.

Mange virksomheder har en underside på deres hjemmeside, hvor der er en liste over de ansatte med tilhørende email-adresser, og det er især her, at crawlerne får frit spil.

Crawler-metoden har dog været kendt længe, og derfor er flere begyndt at skjule deres email-adresser enten ved hjælp af JavaScript eller med andre metoder, så man først får den rigtige email-adresse, når man klikker på den.

Men selvom denne metode har forhindret crawlerne i at opsnappe email-adresserne før i tiden, så er den mindre sikker nu ifølge Peter Kruse.

»Crawlerne er blevet mere avancerede, så langt flere kan opsnappe de typiske måder, som email-adresser bliver beskyttet på,« siger han.

Crawlerne er således i stand til nu at omgå de mest simple teknikker til JavaScript-obfuskering, fortæller it-sikkerhedseksperten.

Derudover bliver en stor del af email-adresserne også høstet ved hjælp af malware, der inficerer ofrenes computere via botnet.

Den sikreste måde at vise sin email på er, ifølge Peter Kruse, helt at undlade at vise den i klartekst, men i stedet at konvertere den til et billede, som crawlerne har langt sværere ved at oversætte til noget forståeligt.

»Det bedste råd er at forebygge det. Man skal ikke kaste om sig med sin email-adresse,« siger han.

Når man først er kommet på en af spam-listerne, kan eneste lappeløsning være at få installeret spamfiltre på gateway og klient. Eller at bide i det sure æble og oprette en ny email-adresse.

Gråzone i lovgivningen

Mens der er klare regler for, at man ikke må sende reklamer ud til folks email-adresser uden samtykke, så er det sværere at finde noget i lovgivningen, som forhindrer nogen i at opsnappe email-adresserne og sælge dem videre som samlede lister. Det er lister, som vel at mærke ikke kan bruges uden at overtræde spamreglerne.

»Det er svært at sige, om det er ulovligt eller ej. Det kommer an på vilkårene, og om folk selv har offentliggjort deres email-adresse,« siger kontorchef i Datatilsynet Lena Andersen og uddyber:

»Helt generelt så er det svært at gøre så meget, hvis folk selv har offentliggjort oplysningerne.«

Det er dog de enkelte landes egen lovgivning, der afgør, om man må massehøste email-adresser og videresælge dem til spam-formål ifølge Lena Andersen.

Ofte sidder bagmændene bag email-katalogerne dog ikke i Danmark, men i lande som Gibraltar, Luxemborg, Belgien og Holland ifølge Peter Kruse. Derfor kan det i praksis være svært at gøre noget ved deres høst af de danske email-adresser.

Hos Emaildatalist peger telefonnummeret på kontaktpersonen til Vietnam, men det er endnu ikke lykkedes Version2 at komme i kontakt med vedkommende.

Dem der oftest benytter sig af email-katalogerne til at sende spam ud, er stort set aldrig fra Danmark. Udover de nigerianske scammere, så er det oftest asiatiske producenter af især kopivarer, som gør brug af listerne ifølge Peter Kruse.

Det kan være alt fra billige replikaer af Nike-sko til printplader og anden elektronik.

»Vi ser ikke noget fra danske virksomheder. Det kommer stigende grad fra steder, hvor man ikke kan retsforfølge dem, primært Asien. De bliver ikke retsforfulgt i hjemlandet, og så sælger de kopivarer i forvejen,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Jeg prøver at sætte ind på mange fronter:
* Har et sæt af e-mail-adresser der bliver smidt ud med mellemrum.
* Kører med grey listing på alle mine mailkonti og spamfilter på serveren på de værste (som ikke er lukket).
* På mine hjemmesider forsøger jeg at obfuskere adresserne med Javascript og prøver at gå lidt længere end det helt simple.

Hvis man deltage i konkurrancer eller svarer på spørgeskemaer er man selv ude om spam. Men gør man en indsats for at undgå de dårlige kvarterer synes jeg det er overkommeligt at håndtere.

  • 1
  • 0
Thorvald Johannes Pedersen

Det største problem er at slippe af med dem igen. Spam funktionen i e-mail programmerne tror jeg ikke virker så godt. At lave et filter for hver mail, der ankommer at mails fra den pågældende e-mail adresse skal slettes så snart den dukker op, ser ud til at være mere effektivt. - I længden - det tager nok lidt tid før det stopper. Og derefter er det som det er sagt - mest effektivt med fornuftig omgang med bl.a. disse konkurrencer, hvor man samtidigt får sig tilmeldt en masse "nyhedsmails" fra konkurrence indehaverens partnere.

  • 1
  • 0
Ditlev Petersen

At stå som afsender på en masse spam er noget helt andet. Åbenbart virker ægteskabstilbud mere troværdige, når Region Midtjylland står som afsender. Men når jeg får mine egne mails i hovedet, fordi jeg er blevet blacklistet, eller jeg får nazimails med "mig" som afsender "retur", så bliver man ked af det.

  • 0
  • 0
Tom Paamand

Jeg bruger fortsat flere af de samme mailadresser, som jeg oprettede i 90erne. Men åbenbart blir jeg betragtet som et dårligt offer, for jeg modtager forbavsende lidt spam. Min eneste modgift er som regel at skrive snabel-a'et i htmlkode på egne hjemmesider. Naturligvis sælger "mine" navne alligevel også Viagra og lignende rundt omkring på nettet, men der er ikke noget større problem - bortset fra at jeg ikke får procenter. Egentlig modtager jeg nok mere papirspam til min fysiske postkasse!

  • 3
  • 0
carsten guldhammer

google har åbentbart EXTREMT travlt med at lege politimand over for almindellige borgere

i dag da jeg skulle søge efter noget via deres hjemme side kom de op med en lortemeddelse om mistænkelig adfædr, bare fordi jeg bruger mere end en computter til at abbejde og søge fra

men det er ÅBENTLYST forbudt ifølge lorte google!!!!

  • 1
  • 7
carsten guldhammer

MEN

når det gælder om at malke brugernes konti for ALT data for at gennemspamme brugerne med ligegyldige reklamer eller med at sælge brugernes privat oplysninger for HØJEST BYDENDE

SÅ har google IKKE travlt med at slå hårdt ned!!!!!!

  • 1
  • 3
Michael Thomsen

Jeg bruger sneakemail til at oprette en unik emailadresse til hvert firma jeg kontakter. Så kan jeg slette mailen når fx. Sony bliver hacket.

Men hvorfor er jeg begyndt at få spam fra fx computersalg.dk? Jeg tvivler på, at de har min emailadresse liggende klar til høstning, som artiklen omtaler.

Har de fået stjålet deres database? Eller hvad forgår der?

Jeg har spurgt dem; men de ved vist ikke rigtigt noget..

  • 0
  • 0
Bent Jensen

i dag da jeg skulle søge efter noget via deres hjemme side kom de op med en lortemeddelse om mistænkelig adfædr, bare fordi jeg bruger mere end en computter til at abbejde og søge fra


Var det ikke kun en advarsel til dig, hvis du nu kun arbejdet på en PC, så ville du nok have studset lidt :-)
Du kan undgå dette med verificering af de PC du arbejder på med at få en SMS og kode der så godkender dem, i et stykker tid. Eller en liste som du selv kan gemme.

Synes det er fint med denne extra sikkerhed, som du kan vælge til og fra i din opsætning. Du vil vel også være ked af din konto var overtaget, eller brugt af andre ?

  • 1
  • 0
Bent Jensen

Jeg har spurgt dem; men de ved vist ikke rigtigt noget..


Samme her, enten er de blevet hacket, eller også har de solgt deres kartotek.
En forespørgsel efter persondata loven, kunne måske hjælpe.

I det første tilfælde bør de give besked til brugeren, i det andet kan de forvente en bøde. Måske en anmeldelse om Spam mail, fra dem ville hjælpe med en opklaring, eller en henvendelse fra V2. Hvis ikke de har for travlt med at oversætte udlandske rygter.

  • 0
  • 0
Ditlev Petersen

Jeg får en masse tilbud på hønsenet (wire mesh) og støbeforme (moulds). Men ikke så meget om viagra. Hvilket nok skyldes, at de to ord optræder på min hjemmeside et sted. Til gengæld kan jeg ikke huske at have skrevet om aluminiumsprofiler. Noget må tro, at jeg er en stor kanon.

  • 0
  • 0
Thomas Nielsen

Men gør man en indsats for at undgå de dårlige kvarterer synes jeg det er overkommeligt at håndtere.

Ja, det er faktisk også min erfaring.

Vi har privat kørt med en ekstra lille (catch-all) konstruktion i nogle år, når vi korresponderer med nogen som vi kunne forestille os har en særlig interesse i at udbrede en mailadresse, hvor vi opgiver en specifik email til formålet á la "xyzzy.version2@foo.fie" som kun bruges til korrespondance med Version2. Et script på mailserveren sørger for at "xyzzy@foo.fie" efterfølgende får svar. Det sjove kommer så når der pludselig kommer en reklame for billige hotelophold på Mallorca til denne specifikke email. Det er i hvert fald ret let at spotte synderen og sende dem videre til myndighederne og tilsvarende let at spærre kontoen for fremtiden. Det sker nu ret sjældent, men det ér sket; altså ikke fra Version2 - gud fri mig vel - men fra andre mindre lødige korrespondenter.

  • 1
  • 0
Rune Jensen

"Crawler-metoden har dog været kendt længe, og derfor er flere begyndt at skjule deres email-adresser enten ved hjælp af JavaScript eller med andre metoder, så man først får den rigtige email-adresse, når man klikker på den."

Den mest intelligente løsning jeg har set var ikke bare et "klik" for at få vist emailadressen, men en POST request.

Fordelen er, man ender ikke op i de - godartede - søgemaskiner på den måde, for søgebotter som foretager POST requests er pr. definition ondartede.

Jeg har selv en metode, som giver en falsk emailadresse (IP@127.0.0.1) til useragenter med enten JAVA eller MSIE 6.0. Man vil blive forbavset over, hvor mange botnet som stadig bruger de brugeragenter.

Derudover (for greylistede brugere), så maskeres emailadressen, så den ikke kan læses uden JS slået til. Så søgebotten kan ikke i sig selv få noget ud af den, men en bruger som finder siden på googles cashede side, kan med JS slået til.

Jeg har så en hvidliste af brugere, hvor emailadressen vises synligt og kan ses uden JS.

Jeg har forsøgt en anden metode, at bruge LTR entity og så skrive emailadressen bagvendt.

http://en.wikipedia.org/wiki/Right-to-left_mark

Dette virkede i ældre browsere/mailklienter. Men de nye vil ikke finde sig i det.

Til gengæld kan det bruges imod spambotter på en blog, idét man kan maskere inputfelter. Dog ikke alle botter som det virker imod, men layered security er jo vejen.

Og så er Googles spamfilter også OK.

  • 1
  • 0
Rune Jensen

Man kan lægge mail-adressen som et billede - så tager det 0.009 CPU sekunder ekstra at OCR'e den ;).

Tror også spamfilteret i fx. gmail/hotmail er det mest effektive imod det meste spam, så der kan vi godt være enige :)

De antishøtningsteknikker, jeg og andre arbejder med er også ret gamle, men sjovt nok er der flere høstere som stadig falder for dem.

Alene det, at høstere stadig i en hvis udstrækning bruger useragent MSIE 6.0, er da fordi en del af de her botprogrammører er dovne af h.. til. Hvorfor skulle jeg lade dem komme til fadet så nemt. De kunne i det mindste arbejde for det...

:)

  • 1
  • 0
Log ind eller Opret konto for at kommentere