DE ZEVENKOPPIGE DRAAK ACHTER AUTODIALERS
Dit gaat over een 'bottom feeder': een bedrijf dat manoeuvreert
tussen wat wettelijk
wel- en niet is toegestaan, een groep
van ondernemingen die munt probeert te slaan uit de onwetendheid van internetgebruikers
met 'auto dialers' op 0900-
betaalnummers, browserkapingen en andere infiltraties van pc's en 'geleende'
content. SW10 is zo'n groep van websites.
Een callswitch-, of dialer-programma is een snelle, handige manier om via internet per tijdseenheid betalingen te laten
verrichten. Het is een programma op de harde schijf, en zijn werk begint zodra de internetter daarvoor toestemming geeft.
De bekendste inbelbetaling biedt KPN met de bonafide Switchpoint inbeldienst voor betalingen. Er zijn meer dialers op de
markt, voornamelijk gebruikt door de internetvariant van de 'ambulante handel': beltonen, mp3's, sites die humor menen te
presenteren en uiteraard voor porno. De laatste categorie bewerkstelligde trouwens de doorbraak van Switchpoint, al vroeg KPN
haar interne pornoproducenten dringend om maar voor zichzelf te beginnen wat ze gezien de hoge verdiensten maar al te graag
deden.
Met de programma's die desgewenst een 0900-nummer bellen is op zich niets mis, maar deze techniek oefent een bijzondere
aantrekkingskracht op mistige ondernemers die ze malicieus toepassen. Sommige van deze programma's nestelen zich op de harde
schijf als een soort virussen en bellen zelf op stiekem naar een betaalnummer.
Al vanaf 1997 worden deze programma's stiekem op de pc van gebruikers gezet, verbreken de reguliere verbinding en kiezen het
dure betaalnummer. Een bekend fenomeen destijds was het inbellen naar Moldavië, waar fraudeurs grote delen van de dure tikken
konden innen.
Sommig gebruik van dialers is nog steeds op zijn minst discutabel. Niet zelden belanden betaalde inbelverbindingen op de
harde schijf van gebruikers zonder dat ze daar toestemming voor gaven. Eén keer verkeerd klikken kan al leiden tot het
installeren van zo'n programma, soms compleet met een homepage van de exploitant in kwestie. Zo'n 'kaping' is vrij uitvoering
beschreven door columnist
Henk Slotboom voor Planet Multimedia met SW10. Op grond van zijn ervaringen en voorwerk speurden we naar de bron van het
kwaad.
Afdalen naar het zuiden
De websites die de club rond Netservices zelf aanbiedt zijn veelal identiek, en dragen titels met onfrisse suggesties als
'Young Teens Taken'. Bijvoorbeeld de website Kickuh waar 'humor' te vinden
is blijkt niet veel meer dan een platte pagina. De filmpjes, mp3's en afbeeldingen zijn gedieplinkt naar onder andere de
website van radiopresentator Patrick Kicken, die er een sport van maakte om onderbroekenlol te verzamelen.
Het bedrijf blijkt ook content te gebruiken van anderen: Zo is de bekende Joe Cartoon opeens Joe Porno en blijken de Flash-spelletjes op een van de vele middelmatige gamessites afkomstig
te zijn van andere, bekende spellensites. Directeur Jan Meijers van Netservices daarover: 'We hebben ongeveer 80 terrabyte
aan films en content ingekocht. Maar als er andermans content op een van onze sites staat, hoor ik dat graag, dan halen we
dat weg."
Onderzoek op internet wijst uit dat Netservices niet bepaald een geliefd bedrijf is. Zo plaatsen ze nep-advertenties op datingsites, die doorverwijzen naar de betaalde
sites. Op Fakerslijst, een website die is opgezet door een aantal 'betrouwbare' datingsites wordt eveneens gewaarschuwd voor
de nepdatingsites die Netservices zelf opzet.
Centraal staat de verzamelsite of startpagina SW10, op het oog een keurige startpagina
waarop dating en porno een op het oog beperkte rol spelen. Er blijken tientallen van dergelijke overzichtssites op enigerlei
wijze aan verbonden. Indien die betaald zijn, zijn ze te bereiken met de dialersoftware die wordt uitgegeven door Callswitch.nl. Daaraan gelieerd is onder meer Bill2000.nl, een 'marketingprogramma' gericht op
websitebeheerders.
De werking
Callswitch is bepaald niet gericht op volkomen vrijwillige, slechts door de gebruiker bewust gewenst installatie. Een
computer kan een eenvoudig een Callswitch-besmetting oplopen via een van deze vele websites. Die proberen namelijk om het
programma automatisch te installeren. Internet Explorer en Netscape Navigator geven wel veiligheidsmeldingen maar die worden
blijkbaar vaak onwetend weggeklikt. Eén verkeerde klik is voldoende om argeloos het dialerprogramma te installeren. Deze
software voert vervolgens, nog steeds ongevraagd, enkele permanente wijzigingen uit op het systeem en is niet meer is te
verwijderen. Met een DSL-verbinding neemt de hele operatie een paar seconden in beslag.
Netkwesties zag, voordat we een site van de SW10-boom wilden bezoeken een duidelijke melding dat er voor de dienst betaald
moet worden. Maar veel mensen zich niet te beseffen dat ze Callswitch installeerden en laten draaien op hun pc. Het programma
blijkt nog hardnekkiger te verwijderen dan een echt virus. Ook het spywareprogramma Adaware, dat je moet draaien om
ongevraagd geplaatste marketingprogramma's te verwijderen, detecteert de dialer niet.
Meijers zegt dat zijn inbelprogrammaatjes op gelijke voet staan met SwitchPoint van KPN. Maar de verschillen zijn evident:
Switchpoint neemt niet de startpagina van de browser over; voert geen spyware-achtige bewerkingen uit; het wordt niet op
afstand stilzwijgend bijgewerkt met nieuwe functies, en het is eenvoudig te de-installeren.
Meijers spreekt alle kritiek op zijn product tegen: "We doen helemaal niets fout. Mensen kunnen zelf zien wat ze installeren,
er staat een telefoonnummer op onze site en ook de emailadressen staan op de websites." Volgens Meijers hebben internetters
geen problemen met zijn manier van werken: dat moge blijken uit het feit dat hij, naar eigen zeggen, gemiddeld circa twee e-
mailtjes per week te ontvangt met vragen over de dialersoftware, meer niet.
De onderliggende techniek
We installeerden een aantal poort-sniffers om het netwerkgedrag van de dialer te analyseren. De dialer zelf had in ons geval
de naam 'Web.exe' maar de 'interne naam' is MS-connect. Deze langere interne naam wordt gebruikt door onder andere firewalls.
Als een firewall een melding geeft over dit programma lijkt het immers voor de gemiddelde gebruiker alsof er weer eens een
Microsoft systeembestandje is dat toegang tot internet wil. Maar MS-connect is niet zomaar een dialer. De naamgeving is een
bewuste verwarring. Het programma waar het om gaat vertoont alle eigenschappen van spyware.
Web.exe probeert tijdens het opstarten van de pc reeds toegang tot internet te krijgen. Als dit niet lukt, zal Web.exe het
eindeloos blijven proberen, zo ongeveer om de 5 minuten. Eén verkeerde klik volstaat voor het inbellen.
Als eerste probeert Web.exe een http-verbinding op te bouwen met de server van Callswitch. Als dit lukt kijkt het programma
automatisch of er een nieuwe update beschikbaar is. Bij elke communicatie ontvangt Web.exe een soort sleutel. We zien tevens
dat het programma voor ons niet te ontcijferen data verstuurt naar de thuisbasis: 'E(´#@9#`áPE NÀ¨{šP#J#¢"‡åˆµP#ä Ü.'
Hoe zit dat? Netkwesties krijgt telefonisch uitleg van een technisch medewerker van Callswitch. Deze ontkent dat er sprake is
van spyware: "Het programma kijkt of er een update beschikbaar is. Wij houden niet eens anonieme statistieken bij. Dat zou
ook veel te veel data opleveren'.
Ook als de computer niet wordt gebruikt, genereert Web.exe met enige regelmaat data-uitwisseling met het betreffende IP-
adres. Elke keer als de pc opnieuw wordt opgestart, zoekt de dialer onmiddellijk toegang tot internet en verstuurt ongeveer
2,5 kilobyte aan data en ontvangt ongeveer 2 kilobyte.
In de map C:\Program Files\MS-Connect plaatst het installatieprogramma een groot aantal bestanden met de namen van
pornografische websites. Wie klikt op bijvoorbeeld www.blootnet.nl.mxq maakt aldus, zonder dat er gemeld wordt dat het geld
kost, een verbinding met deze website. 'Blootnet' is een van de nettere namen die het bedrijf op de website staan. Wie geen
prijs stelt op bestanden die verwijzen naar sex met (gesuggereerde) minderjarigen of sex met dieren, zou ver van dit type
programma blijven. Maar voor veel mensen die per ongeluk iets installeerden is het dan meestal al te laat.
De update-functie, waarbij een programma contact zoekt met een server om te kijken of er een nieuwe versie beschikbaar is, is
niets nieuws. Maar bij de Callswitch-software is het een stilzwijgend toestemmen. Deze updatefunctie kan een poort vormen
voor kwalijker zaken. Voor wie vertrouwen heeft in de organisatie achter het programma, is dat natuurlijk geen bezwaar. Een
privacypolicy is niet te vinden is bij de groep sites rond SW10 niet te vinden.
Hoe te verwijderen?
De volgende bestanden lijken deel uit te maken van de belsoftware:
run.cxq, iuctl.dll, iuengine.dll, web.exe. Maar Callswitch werkt met een groot aantal dialers. Die doen alle in grote lijnen
hetzelfde werk doen, maar met steeds andere bestandsnamen.
Met het bekende (eenmalige) 'control+alt+delete' komen de lopende programma's en processen in de Task Manager te voorschijn.
Via de Task Manager zijn de programma's te stoppen, waarna het mogelijk is om ze te wissen. Wie deze software weer wil
verwijderen kan deze bestandjes wissen, of dit op de omslachtige manier doen zoals Callswitch dat graag wil, het nadeel van
de laatste manier is dat het bedrijf beschikking krijgt over uw e-mailadres en eventueel telefoonnummer.
Want voor het de-installeren (vanaf een Windows 98 pc) probeerden we weer contact te leggen met het bedrijf. Telefonische
ondersteuning zou het bedrijf naar eigen zeggen bieden na ontvangst van een mailtje. Na het versturen daarvan bleef het
beloofde telefoontje echter uit. Op een andere computer, waarop Windows XP draait, gaat de de-installatie probleemloos. Het
'officiële' uninstall proces blijkt, nogal ongewoon, via een
website te verlopen. Dat lijkt fraai, maar is het niet. Het de-installeren is afhankelijk van het bereikbaar zijn
van de site, dus ook van een verbinding van de pc met internet.
Het bedrijf kan overigens via deze procedure precies bijhouden welke pc's zijn afgemeld.
De achterliggende concernstructuur
SW10 en de bijbehorende sites en registraties bij de Stichting Domeinregistratie en de Kamer van Koophandel verwijzen alle
naar een groep bedrijven in het zuiden des lands, te Rosmalen, Heesch en Nieuwkuijk. Ze dragen namen als Jam Holding, met
daaronder Jatee Holding, Dutch Digital Trading, The Switch Company, International Billing Company, Codutra, Destra en
Netservices.
Dit zijn alle BV's naar Nederlands recht, evenals de aan Netservices verwante bedrijven als Domain Names, Domain Name Company
en zusters als Dutch Entertainment Group en E-Pay Company.
Het optuigen van een uitgebreide BV-structuur is volkomen legaal, en wordt door grote en kleine ondernemingen toegepast om
risico's te spreiden en (fiscale) voordelen te behalen. Het lijkt in dit geval om een groot concern te gaan, waarbij je de
vraag kunt stellen in hoeverre dit geheel is opgetuigd uit oogpunt van doelmatigheid: is dit noodzakelijk om op een
reguliere, transparante wijze zaken te doen?
Directeur Jan Meijers vindt van wel. Immers, zo stelt hij, zijn groep baat zo'n 20.000 betaalsites uit. (Er is ook een
internetbedrijf dat de naam Net Services voert, die heeft echter geheel niets met deze kwestie te maken.)
Op de vraag of het allemaal niet wat netter kan antwoordt Meijers: "Het ligt eraan hoe je er mee omgaat. Mensen kunnen gewoon
zien wat ze installeren. We hebben al jaren een Verisign certificaat, op dit certificaat kun je klikken om te zien met wie je
van doen hebt."
Meijers, wil, uit oogpunt van veiligheid en privacy niets vertellen over details van het runnen van de groep bedrijven,
bijvoorbeeld over de hoeveelheid personeel: "Ik heb recht op mijn privacy en ik ben nog wel eens negatief in de
belangstelling geweest."
Meijers illustreert zijn volgens hem juiste manier van opereren met een 'samenwerking met KPN': "Als ergens een lijn lang
openstaat, dan bellen wij de klant zelf op om te vertellen dat er wat aan de hand is." Het telefoonnummer van die klant, zegt
Meijers, krijgt hij via KPN.
Meijers vindt niet dat de klanten van zijn sites bij hem tekortkomen wat betreft bescherming die je mag verwachten van een
onderneming die consumenten bedient. Hij illustreert ook dit met een voorbeeld:
"Wij zijn ook heel billijk. Wij zijn eigenlijk de tussenpersoon, maar we betalen een klant toch het geld terug, daar valt
altijd over te praten. Het komt wel eens voor dat de bedrijven die onze software kopen, de lijn te lang laten openstaan, die
bedrijven bellen we dan ook op om te waarschuwen."
Gedragscode moeilijk te handhaven
De afgelopen maanden ging alle aandacht uit naar methodes om met SMS consumenten geld uit de zakken te kloppen. Daar
wantrouwen bij consumenten veel geld kan kosten, kwamen aanbieders snel tot een gedragscode.
Voor inbellen op 0900 nummers heeft de Stichting
Informatiedienstencode (Stic) een code. De organisatie heeft het razend druk met
klachten over 0900-nummers inzake de ministerieel
goedgekeurde Code Telefonische Informatiediensten. Het lijkt dweilen met de kraan open. In 2002 heeft ongemerkt internetten
via 0900-telefoonnummers Nederlandse consumenten volgens een ruwe schatting van Stic 1 miljoen euro gekost.
Eén van de grootste problemen blijkt het razendsnel wisselen van nummers en identiteiten van de aanbieders van malicieuze
inbelmethoden. De Stic krijgt gemiddeld tweehonderd klachten per maand van mensen die ongemerkt hun rekening zagen oplopen
als gevolg van het aanklikken van een 0900-inbelnummer. Die mensen ondergingen wat bovenstaand is beschreven. De vraag is of
deze vorm van zelfregulering voldoende soelaas biedt om de beschreven praktijken uit te roeien.
