Hijacking van IP-adressen in de spamwereld
Er is een groeiend probleem met de beschikbaarheid van IP-adressen (IPv4), vooral voor spammers. Deze adressen krijgen snel een slechte reputatie, waardoor spammers constant op zoek moeten naar nieuwe, “schonere” IP’s.
Dhijacking van Legacy IP-adressen
Om dit probleem te omzeilen, wenden spammers zich steeds vaker tot het kapen van bestaande IP-bereiken, vaak van legitieme eigenaren en autoriteiten. Favoriete doelwitten zijn legacy IP-adressen, uitgegeven vóór de oprichting van ARIN in 1997. Deze adressen kunnen niet worden ingetrokken wegens het ontbreken van jaarlijkse betalingen en blijven soms vergeten.
In een geval uit 2012 werd een spamcampagne ontdekt vanuit een legacy IP-bereik, 147.50.0.0/16, dat in bezit was van Chemstress Consultant Company. Analyse van de routeringsgeschiedenis van deze IP-reeks toont aan dat het langere tijd niet actief was, wat de legitimiteit van de aankondigingen in twijfel trekt.
Bewijs van kaping
De WHOIS-geschiedenis biedt inzicht in de stappen van de hijacker:
- 1991-07-01 – ARIN-record voor Chemstress Consultant Company aangemaakt.
- 2011-08-19 – Domein geregistreerd bij “Timothy Tausch”.
- 2011-12-12 – ARIN wordt misleid om contactgegevens te wijzigen naar een vals emailadres.
- 2011-12-16 – 147.50.0.0/16 wordt aangekondigd door de hijacker.
- 2012-06-10 – Adres in ARIN gewijzigd naar een postbus in Akron, Ohio.
Dit alles wijst sterk op kaping. De Internet Service Provider (ISP) die de aankondiging maakte, heeft de verbinding inmiddels stopgezet vanwege niet-betaling. De gegeven creditcard bleek niet geldig te zijn.