Onliner: grootste spambot ooit gevonden op Nederlandse server

De lijsten werden gevonden door een security-onderzoeker uit Parijs, actief op Twitter onder de naam Benkow. De server waarop hij de lijsten vond was open en toegankelijk en zou zich in Nederland bevinden. De lijsten worden gebruikt door een spambot met de naam Onliner. Benkow vond de lijsten doordat de spambot een server-component bevat. Hiermee lokaliseerde hij de webserver via een IP-adres.

Onliner & Ursnif

De lijsten bevatten 711 miljoen unieke e-mailadressen, vaak gepaard met wachtwoorden, unieke logindata en creditcardgegevens. Sommige van deze gegevens zijn afkomstig uit eerdere breaches, zoals de LinkedIn-hack van enkele jaren geleden.

Write-up is out! From Onliner Spambot to millions of email's lists and credentials https://t.co/yuBuZTvM3l #HaveIBeenPwned pic.twitter.com/0AxaJf12YE

— Benkow moʞuƎq (@benkow_) August 29, 2017

Via een intelligente setup worden spamfilters omzeild. Uit de data worden legitieme adressen en SMTP-servers getest waarmee gericht spam gestuurd kan worden. Die spam bevat de zogenaamde Ursnif malware, vaak in de vorm van een .PDF- of een .exe-bestand. De malware staat erom bekend data te verzamelen, met name login-gegevens van financiële services als bankgegevens. 

Door gericht spam met malware te sturen wordt ervoor gezorgd dat het aantal succesvolle malware-infecties relatief groot is zonder dat een aanvaller de aandacht op zich vestigt. Volgens Benkow heeft Ursnif inmiddels al ruim 100.000 unieke infecties op zijn naam staan.

Grootste datavondst ooit

Volgens Troy Hunt, die de website Have I been pwned? runt, heeft hij niet eerder een dergelijke hoeveelheid data gezien, zodoende staat de vondst ook direct op nummer 1 als grootste databreach ooit.

Op het moment van schrijven wordt de data onderzocht door Troy Hunt, die de vondst doorzoekbaar zal maken op zijn website.