Spammen via Microsoft

Spammers worden steeds brutaler en slimmer. Ze beperken zich allang niet meer tot het versturen van ongewenste e-mail. De nieuwste spamtechnieken zijn veel opdringeriger. Internetgebruikers hebben geen keuze meer of ze een advertentie wel of niet bekijken. De advertenties worden namelijk steeds vaker rechtstreeks op het beeldscherm geplaatst.

Spambedrijven maken in toenemende mate gebruik van lekken in Windows en andere programma's van Microsoft. Twee weken geleden verschenen er bij talloze Windows-gebruikers opeens pop-up advertenties op het scherm. Die kwamen op de pc via de zogeheten messenger service van Windows, een functie die systeembeheerders in staat stelt om boodschappen als `Het netwerk gaat even plat vanwege een update' naar gebruikers te sturen.

De messenger service, niet te verwarren met het chatprogramma MSN Messenger, blijkt gemakkelijk te misbruiken door spammers. Het Amerikaanse spambedrijf DirectAdvertiser.com heeft een programma gemaakt waarmee advertenties naar het beeldscherm gestuurd kunnen worden van elke computer met Windows 95, 98, NT, 2000 en XP die een directe verbinding met het internet heeft.

Voor 699,99 dollar kan iedereen het spamprogramma kopen. Volgens DirectAdvertiser.com kan 85 procent van alle internetgebruikers spam via de messenger service ontvangen. Er zijn nog meer redenen, aldus het reclamebedrijf, waarom de messenger service-spammethode een goed alternatief voor e-mailspam is. Zo hoef je geen adressenbestand te kopen. De verstuurder van de reclameboodschappen is bovendien vrijwel niet te traceren. Spammers die deze methode gebruiken hoeven dus niet bang te zijn voor een schadeclaim of een rechtszaak. Ook providers kunnen spammers niet afsluiten omdat ze anoniem zijn.

De messenger service-methode is ook een handige manier om spamfilters te omzeilen. Steeds meer internetaanbieders en particuliere internetgebruikers installeren software om ongewenste reclame te blokkeren. Spamfilters kijken onder meer naar de IP-adressen van de afzenders. Omdat bij messenger-spam het IP-adres, een uniek nummer dat een computer met internet verbindt, onzichtbaar is, is filteren veel moeilijker geworden.

Er is wel een manier om messenger-spam te blokkeren: de messenger-functie in Windows uitzetten. Maar voor de gemiddelde computergebruiker is dat niet eenvoudig. Er moeten ingewikkelde commando's ingetikt worden in MS DOS en voor sommige Windows-versies is aparte software nodig om de messenger-dienst uit te schakelen.

Er is nog een brutale spammethode in omloop. Deze is niet zo nieuw als de messenger-methode, maar minstens zo hinderlijk. Een Amerikaans pornobedrijf stuurt internetgebruikers een Trojaans paard, een virusachtig programma, dat vensters in Internet Explorer opent met reclame voor sekssites.

Het Trojaanse paard, Cytron geheten, zit verborgen in een e-mail met als afzender `egreetings@yahoo.com'. Het bericht bestaat uit een aankondiging dat er op de site surprisecards.net een digitale ansichtkaart (e-card) is bezorgd voor de ontvanger. Zodra die de link in de mail aanklikt, vraagt de computer of er een Active X-control, een zogenaamde `e-card viewer plug-in', mag worden geïnstalleerd. Wie toestemming geeft, installeert het virusachtige spamprogramma en krijgt vervolgens pop-ups [van pornosites op het scherm.

Cytron speelt in op de argeloosheid van internetgebruikers. De meeste internetgebruikers weten niet precies wat een Active X-control is en weten al helemaal niet dat zo'n programma ook kwaadaardig kan zijn. Het e-mailadres `egreetings@yahoo.com' en de domeinnaam `surprisecards.net' zien er overtuigend uit. De Active X-control is bovendien voorzien van een echt ogend digitaal certificaat.

Gevaarlijk is Cytron niet – al kunnen de vele pornosites op het scherm natuurlijk wel voor fikse echtelijke ruzies zorgen. Alle antivirusprogramma's kennen het Trojaanse paard inmiddels. Wel gevaarlijk is de argeloosheid waarmee veel internetgebruikers e-mail lezen. Een bende oplichters maakte daar twee weken geleden handig gebruik van. De dieven stuurden een e-mail aan een groot aantal klanten van Yahoo die gebruik maken van de betaalde diensten van het internetbedrijf. De e-mailbericht, dat eruit zag alsof het van Yahoo afkomstig was, bevatte het verzoek Yahoo het credit card-nummer te mailen. Talloze klanten deden dat, met als gevolg grootschalige credit card-fraude.

Websites: www.directadvertiser.com; www.hsc.fr/ressources/breves/ min_srv_res_win.en.html

[klaver@nrc.nl]

Elke donderdag beantwoordt Marie-José Klaver van lezers op www.nrc.nl/internetva. Mail uw vragen aan klaver@nrc.nl. Het archief van @ is te vinden op www.nrc.nl/apenstaartje.

    • Marie-José Klaver