Haast 50 procent van wereldwijde spam, phishing-aanvallen etc. is afkomstig van een 20-tal internetproviders, leert een Nederlandse doctoraatstudie.
In zijn doctoraatsthesis “Internet Bad Neighbourhoods” aan de universiteit van Twente vergelijkt onderzoeker Giovane César Moreira Moura hoe in het internet bepaalde ‘buurten’ meer misdaadgericht zijn dan andere, naar analogie met buurten in het echte leven waar men al makkelijker het slachtoffer van een misdaad kan zijn dan andere, meer veilige buurten. De aanvallen in het internet “weerspiegelen de misdaadverdeling in de reële wereld: misdaad komt voor in de meeste plaatsen, maar blijkt toch geconcentreerd in bepaalde gebieden. In de reële wereld worden gebieden met hoge misdaadcijfers, gewoonlijk aangeduid als ‘gevaarlijke buurten’.”
Giovane Moura onderzocht wereldwijd meer dan 42.000 internetproviders (ISP’s) in welke mate ze een bron van kwaadaardig verkeer waren (zoals spam, phishing, kwaadaardige boodschappen…). Daaruit bleek niet alleen dat ‘gevaarlijke internet-buurten’ echt bestaan, maar dat een relatief beperkt aantal van hen voor ca. 50 procent van de aanvallen instaan, vaak ook nog geconcentreerd in bepaalde landen. Zo ‘levert’ India ca. 20 procent van de spammende IP-adressen, gevolgd door Vietnam en Brazilië. “De Top 20 landen zijn samen goed voor 76, 31% van alle spammende IP-adressen.” Phishing-aanvallen bleken dan weer vooral uit de VS (en andere ontwikkelde landen) afkomstig te zijn. De ‘gevaarlijke buurten’ blijken dus ook applicatie-gericht te zijn, en zijn voorts ook een bron van herhaalde aanvallen. Moura vreest tevens dat de ontwikkelende landen als Brazilië, Rusland, India en China nog grotere bronnen van gevaar zullen worden, naarmate hun aantal internet-gebruikers stijgt, en dus ook het aantal systemen die door misdadigers worden overgenomen.
Voorkomen
Giovane Moura adviseert om zijn resultaten als complementaire hulp (maar niet als enige informatiebron) te hanteren bij de evaluatie van ip-adressen als ‘verdacht’ (en dus worden opgenomen in een ‘blacklist’). Hiervoor biedt hij een aantal algoritmen aan. Internet providers kunnen zo het kwaliteitsbeheer van het verkeer in hun netwerk efficiënter en effectiever aanpakken. Op basis van zijn gegevens moet het ook mogelijk zijn het probleem “in de kiem te smoren. […] Onze resultaten ondersteunen het idee dat een ‘opruimactie’ in de netwerken van isp’s en landen met hogere concentraties van kwaadaardige ip-adressen meer effectief zou zijn.”
