Spam, spam, spam a... spam
Většina z nás se již se spamem setkala. Začíná to okamžikem, kdy si pořídíme či získáme od zaměstnavatele elektronickou adresu. Dříve nebo později se v naší mailové schránce objeví zpráva, která není od nikoho, koho známe, kterou jsme neočekávali a která je obvykle jenom první vlaštovkou, předcházející mnoha dalším.
Definice spamu?
Nadpis je záměrně s otazníkem, jednoznačná definice spamu totiž neexistuje. Spam je často označován zkratkou UCE, což znamená „unsolicited commercial email“, tedy nevyžádaná reklamní elektronická pošta. V našich zemích to odpovídá i právnímu pohledu. Z pohledu uživatele to nemusí být přesné, pojem spam zahrnuje ještě mnoho dalších typů, ale spam komerčního charakteru tvoří drtivou většinu spamu vůbec, proto je tato definice v dnešní době citována nejčastěji.Definovat spam je obtížné – už proto, že je těžké hranici mezi spamem a korektní poštou určit globálně. U soukromé adresy můžeme za spam považovat jakoukoliv nevyžádanou poštu, na oficiální firemní adrese mohou naopak být komerční nabídky potenciálních obchodních partnerů vítány.
Chceme-li zahrnout i subjektivní pohled, používáme označení UBE, „unsolicited bulk email“, který spojuje dva nejvýznamnější rysy – nevyžádanost a hromadné rozesílání. Jednotlivé nevyžádané zprávy pro konkrétní osobu jsou nedílnou formou kontaktování po internetu, samotné hromadné rozesílání je také standardem (diskusní listy, newslettery, informování zákazníků).
Za spam tedy obvykle považujeme hromadné zprávy od neznámých odesílatelů, které adresáti neočekávají, nemají pro ně informační hodnotu a pouze je připravují o čas potřebný k jejich identifikaci a odstranění.
Typy spamu
Výše zmíněné reklamní zprávy jsou pouze jednou částí spamového panoptika. Zapomenout ale nelze na finanční podvody ani na spam šířený samotnými uživateli – řetězové maily.Reklama je nejpodstatnější částí. Patří mezi ni reklama na neobvyklé či originální drahé produkty (Rolex), na generické léky (Viagra, Valium, Xanax), na prodej a podnikání nabízející rychlé zbohatnutí, na erotické či seznamovací servery. Server TopTenReviews 1) uvádí, že 8 % reklamních spamů je úspěšných a uživatelé na jejich základě skutečně objednávají. Že obvykle neúspěšně, je druhá strana problému.
Řetězové maily – dalším typem jsou spamy šířené samotnými uživateli. Jde obvykle o poplašné zprávy, ať už založené na věrohodném základě (…a posláním takové speciální SMS na Váš mobil lze zneužít Váš kredit! Informujte okamžitě své přátele, jedná se o bezpečnostní problém zásadní důležitosti…), nebo na prosté pověrčivosti (…a rozešlete tento mail deseti svým přátelům či spolupracovníkům, jinak se Vám stane neštěstí, jako například Ronaldu Fitzovi z Kalifornie…). Typické jsou žádosti o pomoc – ty by z morálního hlediska nemusely být brány jako zavrženíhodné nebýt toho, že většina z nich se zatím ukázala být recesí (…tříleté Kristýnky, která na jednotce intenzivní péče čeká na dobrovolníky, kteří by darovali krev. Ozvěte se prosím na telefonní číslo… – není asi třeba rozebírat, že nemocnice byla v důsledku zájmu lidí po několik týdnů prakticky odříznuta od telefonní sítě, přitom o žádné Kristýnce nikdo nevěděl).
Můžeme takové maily považovat spíše za kuriozitu, ale stačí se podívat do některé z databází, 2) abychom zjistili, že počty a variabilita jsou nezanedbatelné.
Finanční podvody se dostaly do povědomí veřejnosti spolu s původně nigerijskými spamy, nabízejícími nezanedbatelné odměny za pomoc při tajném přesunu obrovských částek, obvykle patřících „svrženému prezidentovi“ či „uvězněnému miliardáři“. Lidé, ochotni ve vidině pohádkového zisku na hru přistoupit, byli různými metodami připraveni o množství peněz, někdy i o celá bankovní konta.
V poslední době se rozmáhají pokusy o manipulaci akciového trhu zprávami upozorňujícími na „zaručený“ vzestup ceny akcií nějaké firmy. Nezanedbatelné procento uživatelů zareaguje a akcie koupí, to se projeví nárůstem jejich ceny, a spammer, který je nakoupil před akcí, má snadný výdělek.
Phishing je dalším typem finančního podvodu, jehož provedení je složitější, nicméně spam je jeho nedílnou součástí. Původce vytvoří webovou stránku podobnou aplikačnímu webu nějaké instituce, a následně pod jejím jménem rozešle spam, který vyzývá k přihlášení, ovšem skutečný odkaz vede na tuto falešnou stránku. Pokud uživatel na výzvu reflektuje, přihlásí se, a tím prozradí své autentizační informace. V případě obchodních serverů (PayPal) nemusí jít o velké částky, v případě bankovních institucí (v Čechách se už oběťmi stali zákazníci České spořitelny a CitiBank) je situace jiná.
Šíření adres
První otázkou každého postiženého adresáta bývá: „Jak získali moji adresu?!“ Nejčastějším způsobem získávání elektronických adres je jejich hledání na webových stránkách. Stejně jako Google prochází internet a indexuje obsah stránek, aby je později mohli uživatelé prohledávat, dělá totéž mnoho spammerských automatů, ovšem ze stránek si vykusuje pouze e-mailové adresy. To, že jste svoji adresu nikde na WWW nezveřejňovali, ještě neznamená, že tam není. Přispíváte-li například do nějaké konference – jste si jisti, že její archiv není dostupný přes www? Nezadali jste ji do formuláře u některé z anket v populárních webových periodikách? V diskusi?Vynalézavost spammerů dokládá i fakt, že získávají adresy i ze specializovaných databází – například databáze IP adres a domén či adresářové servery velkých firem.
Dalším způsobem získávání adres je jejich slovníkové generování. Zvolte libovolné jméno, připojte za něj zavináč a doménu některého ze známých freemailových serverů či firem a máte vysokou pravděpodobnost, že mail adresátovi dorazí. Podobně existuje řada obecně použitelných adres – info@, sales@, obchod@… Použitelných pravidel a způsobů je mnoho, záleží pouze na vynalézavosti spammera.
Část problémů dělají uživatelé ostatním sami – rozdávají emailové adresy (své i ostatní) v citacích a přeposláních. Jistě jste se již setkali s vtípkem, v němž byla historie adresátů počínaje dobou ledovou (obrázek 1).
Stačí, aby takový mail na své cestě po vzájemně se rozesmívajících kamarádech a známých narazil na někoho, kdo je přesvědčen, že „direct marketing“ je ta správná metoda, která jeho firmě vydělá spoustu peněz. Princip je stejný jako u řetězových mailů, a úspěšnost vysoká.
Šíření a pohyb spamu
Zdrojů spamu je několik. Typickou ukázkou toho, jak mnohé bezpečnostní problémy souvisejí, je ale fakt, že největším producentem jsou běžná domácí PC s OS Windows. Jak je to možné? Všichni jistě víme, že o bezpečnost každého počítače je třeba se starat. Antivirový software a anti-malware je nedílnou výbavou každé osobní stanice, neboť z různých typů napadení se z dřívější hrozby stal běžný fakt spojený s přítomností na internetu.Mnoho wormů je dnes tvořeno a koluje internetem se záměrem ovládnout co nejvíce běžných stanic. Jejich součástí je „trojský kůň“, kód, který jejich majiteli umožňuje je ovládat a používat napadené PC k vyvolávání akcí. To může být „distributed denial of service“, kdy tisíce PC začnou posílat data na jeden cíl, čímž prakticky zahltí jeho linku a zabrání v přístupu komukoliv jinému, ale také (častěji) rozesílání spamu. Jiná varianta je fungování napadených počítačů jako „open proxy“. V tomto případě fungují pouze jako mezistupeň mezi odesílatelem a příjemci v přístupu k internetu, tedy anonymizují jeho spojení, a vzhledem k obvyklému počtu dostupných napadených PC je snadné v případě odhalení či zablokování jednoho pokračovat dalším.
Kolem seznamů adres, tvorby trojských koní a jejich šíření, rozsahů napadených PC a lidí schopných je ovládat kvete rozsáhlá ekonomika, která dokazuje, že rozesílání spamu se vyplácí – neboť stále existují lidé ochotní za různé články řetězu platit.
Co se seznamů adres týče, i zde se platí za kvalitu, proto se setkáváme s prázdnými maily, poštou, která zdánlivě nenese žádnou využitelnou (reklamní) informaci. Zde funguje jiný článek „black hat“ ekonomiky – distributoři seznamů adres tímto způsobem testují čas od času jejich platnost. Na rozdíl od koncových spammerů uvádějí platnou sadu odesílatelských adres, na kterých sledují případná hlášení o nedoručitelnosti, a podle nich aktualizují databázi. Na rozdíl od koncových spammerů, kteří rozesílají „hit-and-miss“ způsobem bez očekávání chybové odezvy, je tato technika náročná na výkon a prostředky, takto ověřené databáze adres jsou proto vysoce ceněny.
Největšími současnými producenty spamu jsou velcí etablovaní specialisté. Občasné spamy českých internetových firem jsou spíše výjimkou, největšími generátory jsou „firmy“ specializující se na rozesílání spamu za úplatu pro jiné firmy. Seznam známých a sledovaných firem udržuje například Spamhaus. 3)
Další dříve často používaný způsob rozesílání spamu bylo zneužívání špatně nakonfigurovaných mailserverů cizích firem. Takové mailservery, nazývané „open relay“, umožní odesílání elektronické pošty z neznámých adres na jiné neznámé adresy. I databáze takových serverů jsou ceněným artiklem. Dnes je tento způsob značně nejistý.
Běžné je také cestování po poskytovatelích připojení a jednorázové pronajímání serverů. Existují bohužel i poskytovatelé, kteří proti spamu aktivně nebojují, a naopak vítají zisk od velkých spammerských firem. Takové smlouvě (která zákazníkovi umožňuje rozesílat spam i přes veřejně inzerovanou politiku poskytovatele) se říká „růžový kontrakt“.
Jiné druhy spamu
Byť zatím nejsou natolik rozšířené, pro úplnost je vhodné zmínit i jiné druhy spamu. Nevyžádané zprávy nejsou pouze doménou infrastruktury elektronické pošty, jakýkoliv jiný prostředek komunikace, který dosáhne širšího rozšíření, jimi bude dříve nebo později nevyhnutelně nějakým způsobem zasažen.Spim je varianta spamu na platformě IM (instant messaging) klientů – tedy AOL, MSN, ICQ a podobných. Poskytovatelé IM často umožňují uživatelům zveřejnit o sobě některé informace ve webovém adresáři, některé (obvykle demografické) dokonce mohou žádat jako povinné, to umožňuje spammerům přesnější cílení. Součástí většiny těchto systémů ale je možnost vyžadovat pro umožnění komunikace nějakou formu autentizace, a tedy omezit komunikaci pouze na známé kontakty. Tato forma spamu je tedy pomalu na ústupu.
Jako oblíbené komunikační médium se projevil web, ať už jde o webová diskusní fóra, specializované servery, diskuse pod články a blogy nebo o fenomén wiki. I zde se spam (UCE či UBE) ukazuje jako životaschopný, podnikaví spammeři dokonce používají specializované nástroje na hromadné rozesílání příspěvků do určitých typů webových rozhraní. Zajímavou variantou je „spamdexing“, někdy také nazývaný „Google bombing“, jehož účelem je ovlivnit pomocí zpráv obsahujících webové odkazy na určitou stránku její pozici ve významných webových vyhledávačích (obrázek 2).
Odborníci také vyjadřují obavy vzhledem k rozmachu IP telefonie, která radikálně snižuje náklady na volání, a jednotný číslovací plán (a jeho možná internetová reprezentace ENUM) zjednodušuje hromadné kontaktování, i zde se tedy spam může stát reálnou hrozbou.
Proti spamu na všech frontách
Spam je celosvětovým problémem, jehož dopad každým rokem narůstá – i poměrně optimistické statistiky dnes uvádějí, že pouhých 20 % příchozí pošty běžné střední firmy je legitimní očekávaná pošta. Samotné množství spamu, ruku v ruce se stále drakoničtějšími metodami obrany proti němu, se čím dál častěji projevuje na použitelnosti média, kterým byly psány začátky historie internetu – elektronické pošty. Bojuje se více či méně úspěšně na všech frontách – legislativní, u odesílatele i příjemce, na serverech i u uživatele, globálně i lokálně.Poznámky
ČESKÁ LEGISLATIVA
V roce 2004 byl přijat zákon 480/2004 Sb. o některých službách informační společnosti a v roce 2006 byl novelizován. Zákon přináší některé důležité změny právě v souvislosti se spamem a s odpovědností poskytovatelů. Ti byli před přijetím zákona spoluodpovědní za možnou škodu způsobenou spamem, přestože jejich možnosti poštu kontrolovat jsou velmi omezené (kromě technických omezení i zákonem 140/1961 Sb., který se zabývá porušováním tajemství dopravovaných zpráv).Nový zákon je (jako pouhé médium pro přenos informace) této odpovědnosti zbavuje, ovšem jen do okamžiku, než jsou na protiprávní povahu obsahu upozorněni.
Zákon je kritizován pro neúplnost a nejasnost. Na spam například nahlíží pouze jako na obchodní sdělení, jiné formy (jako je propaganda, např. nechvalně slavný Ross Hedvíček) 4) právně neošetřuje. Zákon také explicitně vyřazuje maily obsahující pouze strohé kontaktní informace (adresu, internetový odkaz, e-mail), paradoxně se tedy zdá, že rozesílat hromadně maily s pouhým URL (tj. s jednoznačným určením zdroje) je zcela v pořádku.
Neshoda panuje také mezi názorem bývalého Ministerstva informatiky ČR a Úřadu pro ochranu osobních údajů, do jehož kompetence řešení nevyžádané pošty patří, na reklamní patičky – krátké reklamy připojované ke zprávám na internetových free-mailech či k SMS posílaným přes internet. Ministerstvo informatiky ČR konstatuje, že nový zákon jim nebrání, zatímco výklad Úřadu pro ochranu osobních údajů je opačný.
Je ale nutné přiznat tvůrcům body za snahu. Naši legislativci internet nepřehlížejí a uvědomují si, že některé jeho palčivé problémy je třeba řešit.
Ke stažení
- článek v souboru pdf [400,34 kB]