Een vriend die u zogenaamd vraagt om geld over te maken, een ‘oom’ die waarschuwt voor een nieuw virus, een onverwacht verzoek van uw financiële adviseur om uw gegevens te bevestigen: spam is tegenwoordig een hoogst persoonlijke zaak. Hoe zijn we hier beland? En wat is de volgende stap?
Trots op spam
Als HP in 1978 een advertentie verstuurt aan _all_users op ARPANET (de voorloper van intranet) is de allereerste spamactie een feit. Het gaat dan om enkele honderden gebruikers. De eerste grootschalige commerciële spam volgt in 1994. Het Amerikaanse advocatenbureau Phoenix, Canter & Siegel stuurt een massale e-mail uit met de boodschap dat de ontvanger via de green card lottery aanspraak maakt op een visum. Het bureau zou, vanzelfsprekend tegen een vergoeding, het nodige papierwerk verzorgen. Moeite om hun identiteit te verbergen doen deze spammers niet; ze zijn zelfs behoorlijk trots op hun slimme reclametactiek.
Too good to be true
Dan gaat het snel bergafwaarts. In 1997 beginnen spammers voor het eerst servers van anderen te hacken om spam vanuit andere domeinen te kunnen versturen. In 2000 komen de eerste Nigerian scams langs: de oplichters die je wijsmaken dat een verre oom in Zuid-Afrika jou een leuke som geld heeft nagelaten. Je moet alleen nog even een advanced fee betalen om deze erfenis te laten uitkeren… Erg overtuigend zijn dit soort too good to be true-verhalen niet, maar zolang een klein promillage van miljoenen ontvangers daadwerkelijk geld overmaakt hebben de spammers al een flinke buit binnen.
Gerichter vissen
In 2003 overstijgt de hoeveelheid spam het ‘normale’ e-mailverkeer. Veelal gaat het dan om reclame: voor Viagra en wondermiddeltjes tegen haaruitval. Maar spam neemt ook steeds criminelere vormen aan. De eerste grote virusaanvallen breken uit. Trojaanse paarden komen steeds vaker voor.
Vanaf 2007 lijkt het tij te keren, als er betere spamfilters op de markt komen. Mails met dezelfde inhoud die met honderdduizenden per minuut verstuurd worden, worden er gemakkelijk uitgefilterd. Internetcriminelen gooien daarop gaandeweg het roer om en kiezen voor een persoonlijkere aanpak. Ze gaan gerichter ‘vissen’ (het zogenaamde ‘phishing’).
Spearphishing: individuele spam
Worden conventionele phishingmails – mails waarin om persoonlijke gegevens gevraagd wordt uit naam van bedrijven als ING of de Rabobank – nog in bulk verstuurd, met onpersoonlijke aanhef en ook naar mensen die helemaal geen klant zijn van de betreffende bank; bij spearphishing zijn specifieke individuen het doelwit. Informatie over iemands sociale omgeving wordt verzameld, vaak via sociale media, en gebruikt om de geloofwaardigheid van de mail te verhogen.
Elk bericht is uniek, het volume is veel lager dan vroeger en mails worden niet in één keer verstuurd maar bijvoorbeeld elk uur of elke twintig minuten. Niet zelden gebeurt dit ook nog vanuit een gehackt account van een contactpersoon; op het eerste gezicht geen verdacht e-maildomein. Omdat zulke berichten zó op legitieme mails lijken, blijven ze lang onder de radar van spamfilters.
Whaling: op grote vissenjacht
Nog een stap verder gaat whaling, oftewel spearphishing op hoger managementniveau. Bij deze tactiek, die flink in opkomst is, wordt gevoelige bedrijfsinformatie ontfutseld om hoge functionarissen erin te luizen en hen ongemerkt grote betalingen aan criminele partijen te laten doen. Dit soort acties vergt natuurlijk aanzienlijk meer tijd en moeite dan het uitgooien van tienduizenden haakjes in de hoop dat 1% ‘hapt’. Maar die moeite loont zich, want als het lukt hebben de daders een hele ‘dikke vis’ te pakken.
Spam ontwikkelt zich, maar spambestrijding ook
Vanwege de kleine schaal en persoonlijke aanpak is spearphishing lastiger aan te pakken dan andere vormen van spam. Toch kunnen contentfilters er wel wat mee. Die zien namelijk wel degelijk trends. Zo breiden we de database continu uit met nieuwe verdachte keywords, zoals ‘creditcard vervallen’. Sommige spam is echter zó goed dat wij mensen al drie alinea’s moeten lezen voor we doorhebben of het echt is of nep. En zolang mensen erin blijven tuinen, doen machines dat ook. Het zal nog wel een hele tijd duren voordat spamscanner geen enkele fout meer maken, als het al ooit zo ver komt…
Tot die tijd slagen wij erin om ruim 99,9% van de ongewenste mail tegen te houden en heeft u er weinig omkijken naar.