Spam (post)

ongewenste e-mail(s)

Spam of junk is een verzamelnaam voor ongevraagd toegestuurde berichten via digitale kanalen. Onder deze term vallen ongewenste e-mails, berichten op sociale media, reclameboodschappen of aanbevelingen op websites, onder andere op fora. Drie belangrijke redenen voor het versturen van spam zijn het verkopen van producten of diensten, het hengelen naar persoonlijke gegevens of voorkeuren (phishing) en pogingen tot fraude. Niet ieder initiatief van een (rechts)persoon om contact te leggen wordt beschouwd als spam. Spam onderscheidt zich van andere vormen van commerciële communicatie, omdat een bericht wordt gestuurd aan een groep personen die onevenredig veel groter is dan de potentiële doelgroep. De afbakening heeft in de eerste plaats te maken met de proporties waarmee spammers opereren.

Een mailbox gevuld met spam

Kenmerken van spamberichten:

  • Berichten worden in grote hoeveelheden verstuurd, naar tienduizenden mensen tegelijkertijd.
  • De berichten worden verstuurd of geplaatst zonder toestemming van de ontvanger of websitebezoeker.

De economische bestaansreden van spam is terug te vinden in de zeer lage kosten voor het versturen van e-mail of het plaatsen van een ongewenste reactie op een website. Een spammer kan rendabel miljoenen spamberichten versturen om slechts één product te verkopen. Het kostte de verzender anno 2009 ongeveer 150 euro om 20 miljoen spamberichten te verzenden, dat zijn meer dan 100.000 spamberichten per euro.[1] De kosten aan electriciteitsverbruik zijn hier niet meegerekend.

Er is wereldwijd een levendige handel in bestanden met vele miljoenen e-mailadressen en andere persoonlijke data die vaak niet vrijwillig door de adressanten zijn verstrekt maar afkomstig zijn uit digitale diefstal (hacken).

Lasten bewerken

De lasten worden vooral gedragen door anderen dan de verzenders. Bijvoorbeeld de ontvangers: tegenover een kleine groep geïnteresseerden staan zeer veel mensen die tijd moeten besteden aan het verwijderen van berichten uit hun mailbox en dergelijke, en eventueel het digitaal ontsmetten van een computer of telefoon waarop een virus is geplaatst door middel van een spambericht dat is aangeklikt. Wereldwijd veroorzaakt spam ook op andere manieren schade, onder meer bij internetproviders die het digitale verkeer moeten verwerken of spamberichten moeten uitfilteren voordat ze in de e-mailboxen worden geplaatst om hun klanten tevreden te houden. Grote stromen aan spam kunnen ook een black-out van het internet veroorzaken, de leidingen raken letterlijk overspannen en het systeem valt uit. Dit begon voor te komen vanaf de jaren 1990.

Geschiedenis bewerken

De eerste bekende digitale spam werd verstuurd op 3 mei 1978. Het was een bericht van het toenmalige Digital Equipment Corporation (DEC, overgenomen door Compaq en nu een onderdeel van Hewlett-Packard). Marketingmedewerker Gary Thuerk stuurde een aankondiging van een 'open huis', naar aanleiding van de lancering van nieuwe modellen DEC-20-computers, naar iedereen op het toenmalige ARPANET aan de westkust van de Verenigde Staten.[2] Het woord was toen nog niet in gebruik. In 1994 werd op het toenmalige USENET aan iedere nieuwsgroep het bericht gestuurd “Global Alert for All: Jesus is Coming Soon”.[3]

Etymologie bewerken

Oorspronkelijk is spam de merknaam van een bepaald soort ingeblikt vlees dat nog steeds bestaat en dat lijkt op wat in Nederland bekendstaat onder de naam Smac.

Het ontstaan van de tweede betekenis komt voort uit het Britse televisieprogramma Monty Python's Flying Circus. De Britse komieken van Monty Python gebruikten het in een sketch: In een lunchroom worden de klanten bijna gedwongen om spam te eten. Het is haast onmogelijk om iets zonder spam te bestellen. Hoe meer een klant bestelt, des te meer spam zit er in. Een gerecht dat eerst uit ei, spek, worst en spam bestond, bestaat uiteindelijk alleen maar uit vier keer spam. Sommige klanten kunnen deze "vrije" keuze niet waarderen. Een groepje Vikingen daarentegen vindt het blijkbaar geen probleem, want zij zingen: "Spam spam spam spam. Lovely spam! Wonderful spam!". Daardoor werd normale conversatie door de spam-zangers vrijwel onmogelijk gemaakt, net als bij ongevraagde e-mail. Ook bij de aftiteling werd te pas en te onpas het woordje "spam" vermeld.

De eerste keer dat 'spam' op deze wijze werd gebruikt is niet terug te halen. Het gedrag is al heel oud, vroege voorbeelden van het gebruik door middel van digitale media zijn moeilijk terug te vinden omdat het systeem aanvankelijk anders functioneerde en zoekmachines deze data niet tonen. Een vroeg voorbeeld komt uit 1993, toen door een fout in een computerprogramma eenzelfde bericht in een discussiegroep 200 maal aan de deelnemers was gestuurd. In een reactie gebruikte Richard Depew het woord spam.[3]

 
Wikipedia spamfilter

Als tegenhanger van de bekende term spam wordt wel de term ham gebruikt. Dit is dan het vlees van 'goede kwaliteit' als tegenhanger van de 'slechte kwaliteit' van spam. Ham is alle e-mail die geen spam is. Het is niet noodzakelijkerwijs e-mail die de ontvanger wil ontvangen of waar de ontvanger om gevraagd heeft. Deze term werd in de jaren 2000 jaren in diverse spamfilterpakketten toegepast, veelal bij een techniek waarbij de ontvanger onderscheid kan maken tussen ham en spam om de filter zelflerend te maken.

Maatregelen tegen spam bewerken

Juridische regelingen bewerken

In 1997 werd spam of junk-mail als maatschappelijk probleem herkend in de Verenigde Staten door de Federal State Commission, die over het onderwerp vergaderde. In 1998 verscheen het artikel "Spam!" van Lorrie Faith Cranor en Brian A. LaMacchia in het Amerikaanse tijdschrift Communications, waarin het probleem op een meer wetenschappelijk manier benaderd werd.[4] In 2002 is een Europese richtlijn aangenomen die spam moet tegengaan: "Het gebruik van automatische oproepsystemen zonder menselijke tussenkomst (automatische oproepapparaten), fax of e-mail met het oog op direct marketing kan alleen worden toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd." (richtlijn 2002/58/EG d.d. 12 juli 2002, artikel 13, lid 1).

Nederland bewerken

Ter implementatie van deze richtlijn in Nederlandse wetgeving is een ontwerpwetsvoorstel gereed. Dit is in februari 2011 voor advies aan de Raad van State voorgelegd. Daarin wordt een regeling getroffen die communicatie voor directmarketingdoeleinden via e-mail onderwerpt aan het opt-insysteem.

Op 20 april 2004 nam de Eerste Kamer een wet aan die het versturen van spam binnen Nederland verbiedt. De wet was een initiatief van minister Brinkhorst van Economische Zaken en brengt de Nederlandse situatie in overeenstemming met een Europese richtlijn. Deze aanpassingen in de Telecommunicatiewet 1998 werden op 19 mei 2004 actief. OPTA kreeg de taak de wet te handhaven en mocht boetes opleggen. De meeste spam komt echter uit het buitenland, waar de Nederlandse wet niet van toepassing is.

Een aantal anti-spamorganisaties, zoals Spamvrij.nl, vonden de wet niet ver genoeg gaan, omdat deze alleen consumenten beschermt; aan bedrijven mag wel spam gestuurd worden. Daarnaast trokken ze de kwaliteiten van OPTA voor deze taak in twijfel.

Acties van OPTA bewerken

Artikel 11.7 van de Telecommunicatiewet, door juristen aangeduid als het "spamverbod", schrijft voor dat bedrijven slechts reclame mogen sturen als de klant hier zelf om heeft gevraagd (opt-in). Het mag niet zo zijn dat alleen middels een actie van de klant (bijvoorbeeld door het wegklikken van een al aangevinkt vierkantje) er geen reclame wordt toegestuurd. De klant moet via een actieve handeling (bijvoorbeeld het aanklikken van een nog niet aangevinkt vierkantje) zelf om het toezenden van de reclame vragen. Bestaande klanten die informatie ontvangen moeten kosteloos kunnen aangeven dat ze dit niet meer willen (opt-out). Ook moet de afzender duidelijk aangeven dat het bericht van hem komt. OPTA is bevoegd boetes op te leggen met een maximum van € 450.000.

Op 28 december 2004 legde de OPTA in Nederland de eerste boetes op aan de verzenders van spam. De hoogste hiervan was een boete van € 42.500 voor iemand die vier verzendingen had uitgevoerd. Hij had onder andere spam verstuurd waarin werd opgeroepen medicijnen te kopen. Verder was het boek Mein Kampf aangeprezen met gebruik van de naam van spambestrijder Rejo Zenger.

Een ander bedrijf kreeg een boete van € 25.000 opgelegd voor het verzenden van mail uit naam van 'Tekstbureau voor Marketingteksten'.

De Stichting Yellow Monday, die gebruikmaakte van de naam Purple Friday kreeg een boete van € 20.000 voor het versturen van spam per sms, waardoor de ontvanger zonder toestemming gegeven te hebben € 1,10 per bericht moest betalen.

België bewerken

In België is de Europese richtlijn inzake spam verwerkt in de wet van 15 december 2013. Het toezenden van ongewenste reclame is verboden.[5]

Internationale samenwerking bewerken

Spam is een wereldwijd, grensoverschrijdend verschijnsel. Binnen de grenzen van de Europese Unie wordt er al op meerdere vlakken samengewerkt door verschillende landen, waar het CNIL-protocol en de Telecommunicatiewet voorbeelden van zijn. Zo deelt men informatie over de locatie van spammers om deze vervolgens op te kunnen pakken. Door grote verschillen in het vervolgen van spammers en de prioriteitenstelling van landen in de opsporing van spammers ontstaat er echter een gat in de spamdefensie binnen de Europese Unie. Samenwerking vanuit de EU met landen waarvandaan veel spam wordt verstuurd zoals de Verenigde Staten, Zuid-Korea, Rusland en China is er nauwelijks.

Technische maatregelen bewerken

Technische maatregelen tegen spam bestaan uit:

  • greylisting, een techniek om een bepaalde klasse servers te blokkeren;
  • blacklisting, het blokkeren van bekende servers van spammers;
  • het filteren van inkomende e-mail op domein-, mailserver- of mailboxniveau.

Spammers wapenen zich tegen deze maatregelen door zeer veel verschillende servers te gebruiken en door allerlei kenmerken van de e-mail te manipuleren. Het afzenderadres is vaak vervalst, zodat reageren op spam geen zin heeft.

Filteren van binnenkomende e-mail op spam bewerken

Bij het filteren op domeinniveau wordt alle e-mail al gefilterd voordat het op de mailserver van het domein aankomt. Dit zijn externe spamfilters die veel efficiënter zijn dan anti-spamsoftware op mailserver- of mailboxniveau. Het grote voordeel van een externe spamfilter is dat de spamdata de mailserver nooit bereikt en dat er geavanceerde externe filters bestaan die zelfs berichten met virussen, phishing en verdachte bijlages tegenhouden.

Opt-out bewerken

Wanneer een spambericht met een periodiek karakter de ontvanger de mogelijkheid biedt aan te geven dat hij het periodiek niet meer wil ontvangen, dan wordt gesproken van een opt-outsysteem. De afmeldmogelijkheid is in de praktijk echter onbetrouwbaar. Sommige spammers gebruiken de afmelding als een bevestiging dat het e-mailadres actief gebruikt wordt, waardoor het op de adresmarkt in waarde stijgt en nog meer spam naar dat adres gestuurd zal worden.

Bij ontvangen van spam van een bekende afzender, bijvoorbeeld van een postorderbedrijf waar wel eens iets besteld is, is de afmeldmogelijkheid waarschijnlijk wel betrouwbaar. In de Verenigde Staten bestaat de CAN-SPAM Act, een wet die de afzender verplicht bij een opt-out de opt-out binnen 10 dagen uit te voeren. Op het niet nakomen daarvan staan hoge geldboetes en gevangenisstraffen.

Het verbergen van e-mailadressen bewerken

Om iemand te kunnen spammen zijn er e-mailadressen nodig. Om deze te verkrijgen is er onder andere software beschikbaar die op internetfora en op websites zoekt naar e-mailadressen.

Men kan een e-mailadres publiceren met een aanzienlijk lagere kans op spamming door het e-mailadres te vervormen. Als stelregel geldt hierbij dat hoe meer de tekst afwijkt van een e-mailadres, hoe kleiner de kans op spam. Het is al lang niet voldoende meer "NOSPAM" in het e-mailadres te plaatsen, of het @-symbool te vervangen door "AT". Een aantal mogelijkheden:

  • voornaam.naam@isp.VERWIJDER_DIT.com
  • De eenvoudigste en bekendste wijze is het @-symbool vervangen door de letters AT (zelfde uitspraak, ander teken), of een andere benaming, of "(AT)", "*AT*", enz. Men hoopt dat een mens die 'voornaam.naam AT isp.com' ziet staan zal begrijpen dat het 'voornaam.naam@isp.com' is. Eventueel kan ook een afbeelding van een @-symbool gebruikt worden.
  • het gebruik van JavaScript waarbij het e-mailadres in code verstopt wordt. Zo <SCRIPT TYPE="text/javascript"> document.write('naam@' + 'isp.com') </SCRIPT> (mits JavaScript aan staat) gelezen als naam@isp.com.

De DNS-standaard schrijft voor om een adres te gebruiken dat op ".invalid" eindigt. De vraag is echter of goedwillende gebruikers zullen begrijpen dat dit deel van het adres moet worden verwijderd. Een mogelijke oplossing is een patroon als: naam@isp.com.verwijder.invalid'. Spammers zullen er wellicht vroeg of laat toe over gaan de vervormingen automatisch te herkennen en te 'decoderen'. Het softwarematig herkennen en verwijderen van het woordje 'invalid' is wel heel eenvoudig.

Gebruik van BCC bewerken

Om e-mailadressen niet onnodig te verspreiden, wordt aangeraden om e-mails bestemd voor een grote hoeveelheid ontvangers aan zichzelf te adresseren en de eigenlijke ontvangers alleen in het BCC-veld op te nemen. Die ontvangen dan een zo genoemde blindkopie (BCC, blind carbon copy). De adressen in het BCC-veld zijn voor de ontvangers niet zichtbaar.

Veel mensen ontvangen kettingbrieven die ze aan zo veel mogelijk vrienden doorsturen. Daarbij vermelden ze niet alleen de adressen van alle geadresseerden, maar bovendien citeren ze het volledige bericht, inclusief de adressen van de vorige generaties. Een dergelijk bericht is een goudmijn voor een spammer.

Maatregelen om zelf spam te voorkomen of te bestrijden bewerken

Het is raadzaam om voorzichtig om te gaan met e-mailadressen, maar toch is het onmogelijk om vrij te blijven van spam.

Een spamfilter is daarvoor een van de technische mogelijkheden. Deze filters bestaan zowel voor e-mailprogramma's, zoals Microsoft Outlook of Mozilla Thunderbird, als voor mailservers. Tegenwoordig installeren veel providers spamfilters op hun servers.

Spamfilters zijn grofweg op te delen in 2 soorten. De eerste categorie probeert aan de hand van kenmerken spam te herkennen. Een bericht wordt gescand op die kenmerken en krijgt aan de hand daarvan een aantal punten. Als het aantal punten hoger ligt dan een bepaalde drempelwaarde zal het bericht als spam worden gemarkeerd en bijvoorbeeld alvast in de map verwijderde berichten worden gezet. Meestal kan de gebruiker zelf bepalen wat diegene met het bericht wil doen. Mogelijke kenmerken zijn woordenlijsten met spamkernwoorden, maar ook het vaststellen of de e-mailadressen aan bepaalde regels voldoen. Tot slot wordt er vaak gebruikgemaakt van zwarte lijsten.

De tweede categorie kiest voor een statistische benadering (vaak Bayesiaans). Deze filters zijn zeer nauwkeurig en hebben een zeer klein aantal foutpositieven, maar moeten wel getraind worden. De gebruiker moet zelf honderden berichten verzamelen en aangeven of deze wel of geen spam zijn.

Moderne filters combineren vaak verschillende technieken.

Een spamfilter gooit zelden een bericht weg. Uit vrees voor een foutpositief worden de berichten op een of andere manier als spam gemarkeerd en naar de geadresseerde gestuurd.

Die markering bestaat soms uit een toevoeging aan de onderwerpregel. Blijkt het bericht geen spam te zijn en wilt u het beantwoorden, dan moet u deze toevoeging handmatig verwijderen. Sorteert uw mailprogramma de berichten op onderwerp, dan wordt deze sortering door een dergelijke toevoeging onmogelijk gemaakt.

Andere spamfilters voegen in de body van het bericht een melding toe, zoals "dit bericht is gecontroleerd en in orde bevonden". Dergelijke meldingen worden soms al door slimme spammers toegevoegd voordat ze het bericht versturen.

Om spam via e-mail te voorkomen worden ook wegwerp-e-mailadressen gebruikt.

Vormen van spam bewerken

Na het spammen per e-mail werden er nieuwe vormen van spam ontwikkeld. Spam wordt niet alleen verstuurd via de techniek van nieuwsgroepen en e-mail, maar in verschillende andere internettoepassingen, waaronder het web.

Internetfora bewerken

Een populair doelwit lijken internetfora te zijn. Naast het gewoonlijke doel van spam om ongevraagd reclame te maken, heeft spam op het web vaak een extra doel: doordat de spam op veel websites gekopieerd wordt, verwijzen er veel links naar de website van de spammer, waardoor deze website in de rankings van zoekmachines stijgt, zie ook Googlebom.

Spammen op het web is omslachtiger dan via e-mail (of in nieuwsgroepen). Om spam via e-mail te versturen volstaat het de e-mailadressen van de slachtoffers te kennen. Om op het web te kunnen spammen, dient men naast de websites van de slachtoffers ook een bug op de website te kennen zodat men spam op de website kan toevoegen.

Een werkwijze die gevolgd wordt om op het web te spammen is dat men met een bot een zoekmachine scant naar een populair computerprogramma met een bekende bug. Als de bot een website met het programma gevonden heeft, exploiteert de bot de bug.

Een veelvoorkomend voorbeeld is dat nieuwe gebruikers op internetfora aangemaakt worden en dat deze gebruikers een spambericht in hun handtekening hebben en/of een spambericht op het forum posten. Doorgaans blijven er meer spamberichten achter naarmate het minder duidelijk is dat het om spam gaat.

Een voorbeeld is aandelenspam, waarin gebruikers worden aangemoedigd om een bepaald aandeel te kopen, zodat de koers stijgt. De verzender van de spam heeft vooraf al een grote hoeveelheid van dat fonds ingeslagen om ze dan met winst te kunnen verkopen. Dergelijke pump and dump-fraude is doorgaans illegaal.

Fraude bewerken

Phishing is het versturen van spam om te proberen (betaal)gegevens van de geadresseerden te stelen. Via links in een bericht als e-mail, sms of social media wordt de ontvanger naar nagemaakte websites geleid die van banken, overheid of bedrijven lijken te zijn, maar waar oplichters achter zitten. Er wordt gevraagd daar persoonlijke gegevens in te vullen, die dan in handen komen van de fraudeurs.[6] Ook kan onder valse voorwendselen gevraagd worden geld van de eigen bank over te maken naar een andere rekening of wordt er gedaan dat het om iemand in nood gaat, ook zelfs uit de familie, die dringend geld nodig heeft. In de berichten worden soms gegevens gebruikt die bij de geadresseerde passen, bijvoorbeeld de naam van de bank. Deze gegevens zijn via andere diefstallen verzameld.

Zie ook bewerken

Externe links bewerken

Wikibooks heeft meer over dit onderwerp: Cursus veilig op het internet: spam.
Zie de categorie Electronic spam van Wikimedia Commons voor mediabestanden over dit onderwerp.