Spammers en IP-adressen: De huidige situatie
In recente jaren hebben spammers grote reeksen IP-adressen aangeboord. Door hun verzendpatronen over een breed scala aan IP-adressen te verspreiden, proberen ze spamfilters te omzeilen en ongewenste spam- en malware-e-mails af te leveren. Echter, het aantal beschikbare IPv4-adressen wordt steeds schaarser. Sinds september 2015 heeft de Amerikaanse Registry ARIN het laatste blok IPv4-adressen uit zijn vrije pool toegewezen.
Stelen van IP-adressen door cybercriminelen
Aangezien spammers nieuwe IP-adressen niet op legitieme wijze kunnen verkrijgen, resorteren ze vaak tot het stelen van inactieve IP-adressen die niet worden gebruikt door de rechtmatige eigenaren. Er is een bloeiende zwarte markt in IP-adressen; spammers geven niet om de legaliteit van hun bronnen. Een cybercrimineel die een groot blok IP-adressen weet te stelen (bijvoorbeeld een /16, goed voor 65.536 IP-adressen) kan duizenden dollars per maand genereren.
Om gebruik te maken van hun gestolen blokken moeten cybercriminelen een internetprovider (ISP) vinden die in staat is deze IP-adressen te routeren. Een belangrijke stap is het presenteren van vervalste autorisatiedocumenten, wat onder de Amerikaanse wetgeving als feloniewiringfraude wordt beschouwd. Daarnaast is spammen vanuit deze gestolen IP-adressen een misdrijf volgens de Amerikaanse CAN-SPAM Act.
Grote IP-adres blokkades en hun oorsprong
Onderzoekers hebben meer dan 4 miljoen IP-adressen geïdentificeerd in handen van Amerikaanse cybercriminelen. Deze adressen worden gerouteerd via een grote Amerikaanse netwerkoperator, die momenteel het meest actieve slachtoffer is van snowshoe spam. Deze operator heeft een aanzienlijke hoeveelheid SBL-lijstvermeldingen en wordt als een van de slechtste spam-ondersteunende ISPs beschouwd.
Veel van de betrokken IP-adressen zijn voornamelijk in bezit van Chinese en Koreaanse ISPs. Tot 2013 werden deze adressen niet gebruikt. Na beëindiging van hun services door enkele Aziatische hostingaaanbieders, zijn deze routes veilig binnengebracht via een Amerikaanse provider.
Slechte naleving en de rol van de provider
Het is opmerkelijk dat een grote Amerikaanse ISP makkelijk overtuigd wordt om enorme IP-adresblokken te routeren die zijn toegewezen aan entiteiten in de Aziatisch-Pacifische regio. Spamhaus heeft herhaaldelijk deze situatie onder de aandacht van de ISP gebracht, maar de problematiek blijft bestaan. Aangezien de Whois-gegevens van deze blokken niet aan de ISP zelf maar aan de buitenlandse bedrijven toebehoren, blijft het voor slachtoffers van spam onduidelijk waar ze hun klachten moeten indienen.
De huidige beleid van de ISP veroorzaakt niet alleen grote hoeveelheden spam en cybercriminaliteit, maar ondermijnt ook het vertrouwen in wereldwijde IP-adresallocaties en routing. Het is van groot belang dat deze provider zijn routingtabel gelijkkuist van deze onrechtmatig verkregen IP-adressen.
Update over de situatie
Volgens recente informatie lijkt de beschreven problematiek eind januari 2016 te zijn opgelost, aangezien de verdachte IP-adressen niet langer worden aangekondigd. De ISP blijft echter een van de slechtste spam-ondersteunende ISPs in de ranking.