Waar komt

spam

vandaan?

Dit is spam

Zo komt het bij ons terecht

Elke seconde worden er honderdduizenden spammails verstuurd. Wat is spam, hoe komen spammers aan mailadressen en wie verstuurt het? nrc.next volgt het spoor tot in Rusland en Ivoorkust.

foto’s Sabrina Bongiovanni

Achtergrond //

Spam versturen is één van de eenvoudigste technieken uit het arsenaal van de cybercrimineel. Mailadres kopen, botnet huren en spammen maar.

tekst Stijn Bronzwaer

Duizenden mails: 709.372 om precies te zijn. Zoveel spam werd er volgens virusscanner McAfee in maart dit jaar over de hele wereld verstuurd. Per seconde.

Het is een schatting, want hoeveel spam we precies over ons heen gestort krijgen is onduidelijk. Veel is het sowieso. Schattingen lopen uiteen van honderden miljarden tot meer dan een biljoen mails per maand.

Wat is spam eigenlijk? Feitelijk betekent het: ‘in grote hoeveelheden verstuurde ongewenste e-mail’. Dat is de reclame van bedrijven, die vooral irritatie oproept. Vergelijkbaar met een reclamefolder in de brievenbus. Misschien kijk je even, waarschijnlijk gooi je het weg. Net als bij de reclamefolders zijn er regels die spam beheersbaar houden: bedrijven die ongewenste reclame sturen kunnen een boete krijgen. Spamfilters worden steeds beter en houden de meeste spam tegen. Ongeveer één op de honderd spammails komt erdoor.

Een deel van de spammail komt niet van legitieme bedrijven, maar van oplichters met maar één doel: ons geld afhandig maken. Dat zijn de nepbedrijven die iets zogenaamd te koop aanbieden (aan- en verkoopfraude) en per mail vragen om een voorschot vanwege een gewonnen loterij of erfenis van een onbekende Afrikaanse oom (voorschotfraude). Het zijn ook de mails die je proberen te verleiden om persoonlijke gegevens in te vullen (phishing).

Het is een wereld waar oplichters miljoenen verdienen aan onze goedgelovigheid en waar justitie weinig vat op heeft.

We gooien spam meestal weg, maar soms ook niet. Spammails die de filters ontlopen worden door 3 procent van alle ontvangers geopend. Nog eens 5 procent van ons klikt op links in spammails. Onderzoek in 2011 toonde dat 3,5 procent van alle Nederlanders dat jaar slachtoffer werd van een financieel delict op internet.

Misdaden die keer op keer hetzelfde beginnen. Met het openen van een mail, die je beter direct weg had kunnen gooien.

Het versturen van spam is één van de makkelijkste en goedkoopste technieken uit het arsenaal van de cybercrimineel. Hij kan een nepwebwinkel opzetten en spullen te koop aanbieden. Hij kan inbreken op een computer en wachtwoorden ontfutselen. Hij kan persoonlijke e-mails versturen en om wachtwoorden vragen. Hij kan zich voordoen als iemand anders, medelijden kweken en geld afhandig maken.

Maar het makkelijkst is om een sleepnet met een loterij- of erfenismail over het complete internet uit te gooien: met zo’n groot net vang je altijd wel een paar vissen. Dat is, in de woorden van hoogleraar Informatica aan de VU Chris Verhoef, „schieten met een schot hagel in het donker, en hopen dat je de haas raakt”.

Volgens Wouter Stol, bijzonder hoogleraar Cybersafety aan de Open Universiteit, is deze „basale sleepnetmethode” het populairst onder cybercriminelen juist vanwege de eenvoud. Mailadressen verzamel je met softwareprogramma’s, die automatisch fora en nieuwsgroepen afgrazen. Gedoe? Dan koop je mailadressen per honderdduizend stuks voor een paar tientjes op illegale sites. Adressen die vaak gestolen zijn, bijvoorbeeld uit door hackers gekraakte webwinkels.

Heb je de mailadressen, is er nog slechts een niet door justitie te herleiden plek nodig van waaruit je de spam verstuurt. Dat gebeurt met botnets: een verzameling gekraakte computers. Een botnet huur je voor een paar tientjes per maand. Computergebruikers wiens computer onderdeel is van een botnet hebben dit vaak niet eens door.

Dat is de eenvoudige methode. Ingewikkelder, maar lucratiever is het toegang verschaffen tot specifieke persoonsgegevens met hulp van een spambericht: phishing. Voor een pincode, creditcardnummer of internetbankieren-wachtwoord is hulp van de persoon in kwestie nodig. De sleepnetmethode wordt dan uitgebreid met een persoonlijke benadering van het slachtoffer. Hoogleraar Verhoef geeft een voorbeeld: „Klanten van ABN werd een spammail verstuurd, waarin in krom Nederlands om inlogcodes werd gevraagd. Daarna volgde er een mail in perfect Nederlands: ‘het kan zijn dat u mails heeft gehad waarin om uw wachtwoorden is gevraagd. Reageert u hier a.u.b. niet op! We nemen contact met u op per telefoon.’ Daarna werd klanten per telefoon alsnog hun wachtwoorden afhandig gemaakt.”

Waar is mijn iPhone?

Spam kan ook een handzaam middel zijn om iemands identiteit over te nemen. Dit overkwam Herman Zweering (17) uit het Friese Ee. Hij kreeg ineens geen e-mails meer. Vreemd. Toen hij na een paar weken in zijn verwijderde items keek, bleek die vol te staan met woedende, ongelezen mails. ‘Oplichter!’

Zweerings mail en marktplaatsaccount bleken gekraakt. Op marktplaats werd onder zijn naam een iPhone aangeboden door de oplichter, voor 170 euro. Wie reageerde, kreeg vanuit Zweerings gekraakte mailaccount keurig antwoord:

U heeft mijn advertentie onlangs bezocht en mij hierover een e-mail gestuurd. Ik wil u allereerst bedanken voor uw reactie en interesse. Desondanks had iemand voor u al interesse getoond en deze persoon was u helaas voor.

Mijn excuses hiervoor en als ik u dan ergens op kan attenderen om u een steuntje in de rug te geven, weet ik persoonlijk dat ze bij de webshop: http://gsm-totaal.com de Apple iPhone 4s nieuw voor een soortgelijke (goedkope) prijs verkopen.

Gsm-totaal.com (inmiddels offline) bleek een door de oplichter opgezette nepwebsite. Vijfenvijftig mensen maakten de 170 euro over, een iPhone kregen ze nooit toegestuurd.

Zweering wist het mailadres van zijn oplichter, genaamd Bas, te achterhalen. Hij stuurde een mail om Bas op zijn gedrag aan te spreken. Bas stuurde ook een mail terug.

Ik ben de grootste baas van deze tijd. Een grote jager en perfect geboren. Proost Herman op het goede leven en bedankt.

Bas

Hoe werd Zweerings computer overgenomen? Dat ging waarschijnlijk met behulp van malware: een klein programmaatje dat zich nestelt in je computer en wachtwoorden kan achterhalen. Malware wordt vaak stiekem geïnstalleerd, doordat de gebruiker een spammail opent of op een link klikt. Op deze manier kreeg Bas de beschikking over de identiteit van Herman Zweering. Heb je de beschikking over een echte identiteit, dan is oplichting ineens een stuk eenvoudiger.

De zwakste plek

Internetoplichting is een vak dat iedereen kan leren, zegt bijzonder hoogleraar Cybersafety Wouter Stol. „Als je een website kunt maken, kun je mensen oplichten. En als je het even niet meer weet, vraag je advies op een internetforum. Cybercriminelen zijn geen specialisten meer.”

Wat kunnen we doen? Allereerst: dit kan iedereen overkomen. Maar je kunt die kans wel zo klein mogelijk maken.

Vergelijk het met een fiets: als je fiets goed afgesloten is, pakt de fietsendief liever de fiets ernaast. De zwakste prooien worden het eerst aangevallen. Herman Zweering gebruikte steeds hetzelfde wachtwoord voor allerlei verschillende websites. Dat maakt de kans dat je wachtwoord wordt achterhaald groter.

Zolang we blijven reageren op spam, zal er spam blijven komen. Die argeloosheid „mag wel een tikkie minder”, zegt Stol. „De zoveelste prijs die je wint, het zoveelste mailtje van iemand die je niet kent. Reageer daar nou niet meer op.”

Als je eenmaal slachtoffer bent is het een moeilijke zaak. Het kost veel tijd en energie voor de politie om een internetoplichter op te sporen, en vaak gaat het slechts om een paar honderd euro schade. Toch moet je aangifte doen, zegt Stol. „Alleen dan kan de politie patronen ontdekken in cybercriminaliteit en vat krijgen op het probleem”, zegt hij. „Al kan de politie voor jou persoonlijk weinig doen. Je geld ben je meestal kwijt.”