Dlaczego spam jest zły

Za cenny wkład do tego artykułu podziękuję Bronkowi, Darkowi, drugiemu Darkowi, Marcinowi i Piotrowi.

Tytuł tego artykułu właściwie mówi sam za siebie, ale ponieważ temat jest bardzo obszerny, byłbym szczególnie wdzięczny za wszelkie dodatkowe uwagi i uzupełnienia

Poprzednia wersja tego artykułu.

Spam to korespondencja niechciana. Niechciana, ale za to bardzo obfita.
Nadawcy spamu nie mają żadnego pojęcia do kogo on trafia i nie interesuje ich to.
Obfitość spamu sprawia, że staje się on bardzo kosztowny dla odbiorców.
Oparatorzy Internetu mają wyłączne prawo decydować do czego są wykorzystywane należące do nich zasoby.
Niezależnie od spamu otrzymujemy również listy oczekiwane. Trzeba zatem "wyławiać" je spomiędzy spamu.
Koszt wysyłki spamu nie jest dla nadawcy proporcjonalny do ilości wysłanych e-maili.
Spam powoduje utratę zaufania.
Coraz częściej spam wysyłany jest z cudzych adresów.
Z powodu zwalczania spamu, jego nadawcy stosują "środki zaradcze", jeszcze bardziej szkodliwe od samego spamu.

1. Spam to korespondencja niechciana. Niechciana, ale za to bardzo obfita.

Według analiz specjalistycznych firm, pod koniec roku 2003 średnia ilość spamu w poczcie osiągnęła 58% (patrz Spam Statistics wg firmy Brightmail - kopia lokalna: Dec. 2003, March 2004). Średnia, co znaczy, że gdy niektórzy odbiorcy dostają go niewiele, innym zajmuje on nawet ponad 90% objętości otrzymywanej poczty.

2. Nadawcy spamu nie mają żadnego pojęcia do kogo on trafia i nie interesuje ich to.

Dlatego zawartość spamu jest często obraźliwa lub niestosowna dla odbiorców: 16-18% spamu ma treści pornograficzne (wyżej wspomniane statystyki firmy Brightmail), 9-13% to oszustwa i próby wyłudzeń, 20-22% to oferty towarów zbędnych większości odbiorców. Z tego też powodu nie można bezpiecznie założyć dziecku konta e-mailowego - według raportu firmy Symantec z czerwca 2003, 80% z dzieci używających poczty elektronicznej w USA codziennie otrzymuje drogą e-mailową treści dla nich nieodpowiednie..

Wspomniane wyżej oszustwa przyjmują różną postać - od podszywania się nadawcy pod instytucje finansowe w celu wyłudzenia od odbiorcy jego danych personalnych (takich jak numery kart kredytowych czy hasło dostępu do konta bankowego) - aż po oszustwa typu "nigeryjski szwindel". Jednak pomysłowość oszustów jest nieograniczona, dlatego zawsze trzeba zachować ostrożność otrzymując od nieznajomych osób oferty intratnych przedsięwzięć czy prośby o podanie jakichkolwiek swoich danych osobistych.

Podszywanie się pod nadawcę, tzw. "phishing" stało się szczególnie groźne w związku z wykryciem w przeglądarce Internet Explorer dziury która umożliwia łatwe przekierowanie użytkowników IE na stronę www oszusta w taki sposób, by ofiara była przekonana, że ogląda witrynę firmy pod którą oszust się podszywa. Oszukanie użytkowników innych przeglądarek też jest możliwe, o ile nie mają oni doświadczenia w korzystaniu z Internetu - więcej na ten temat w witrynie SecurityFocus. Ze względu na wzrastające zagrożenie tym typem oszustwa, grupa dużych banków i firm technologicznych połączyła siły, tworząc organizację Anti-Phishing.org.

Oszustwo typu "nigeryjski szwindel", opisywane też w Gazecie Wyborczej 13.XI.2002, popularne jednak nie tylko w krajach afrykańskich, jest w zasadzie 3-cią do do wielkości "gałęzią" nigeryjskiej gospodarki. Rozmiar wyłudzeń w tym kraju osiąga milion USD dziennie, licząc tylko wpływy od ofiar z USA. Wśród głośnych wypadków jest emeryt, który od lutego 2002 do lutego 2003 oddał oszustom oszczędności swojego życia i sprzedał dom, tracąc ponad 300.000 USD. Wiadomo o co najmniej 25 przypadkach zamordowania osób, które starały się odzyskać wyłudzone pieniądze, a emerytowany czeski lekarz, od którego oszuści wyłudzili równowartość 550.000 USD, w lutym 2003 zastrzelił nigeryjskiego konsula w Pradze.

3. Obfitość spamu sprawia, że staje się on bardzo kosztowny dla odbiorców.

To odbiorcy przede wszystkim za spam płacą - a nie nadawcy. Wiele osób płaci za czas połączenia z Internetem i przedłużanie tego połączenia w celu odebrania zbędnych przesyłek podnosi koszty komunikacji. W Polsce połączenie z Internetem jest jednym z najdroższych w Europie. Niektóre osoby do odbioru poczty używają drogich połączeń GPRS (np. w czasie podróży) - wysłanie na adres takiej osoby spamu, którego odebranie trwa kilka minut, powoduje już bardzo zauważalne koszty. Działania takie są przerzucaniem na odbiorcę kosztów kampanii reklamowej, czyli wyłudzeniem.

4. Oparatorzy Internetu mają wyłączne prawo decydować do czego są wykorzystywane należące do nich zasoby.

Każdy, kto bez zezwolenia czyni użytek z własności innej strony, w ten sposób naruszając prawa właściciela, działa bezprawnie.

Dostawcy usług internetowych muszą, że względu na obciążenie spamem, zwiększać wydajność łącz dzierżawionych oraz inwestować w zwiększenie pojemności dyskowej swoich serwerów. Są też zmuszeni do zatrudniania pracowników do obsługi skarg klientów na otrzymany spam oraz do opłacania zabezpieczeń antyspamowych. Koszty te zawsze odbijają się albo na jakości, albo na cenie usług.

Decyzję o wspomnianym wyżej brzemeniu wydał 12.III.2004 Holenderski Sąd Najwyższy w Hadze. Dostawca usług internetowych, firma XS4ALL została pozwana przez spamera, którego spam, rozsyłany z wykorzystaniem infrastruktury firmy i do jej klientów, został przez tę firmę zablokowany. Firma uzyskała wcześniej wyrok sądu zakazujący spamerowi takich działań - ten jednak odwołał się od tej decyzji i wygrał. W kolejnej instancji firma AS4ALL skierowała sprawę przed Sąd Najwyższy i ostatecznie wygrała sprawę. Sąd Najwyższy uznał, że decyzja sądu apelacyjnego była błędna, bowiem firma ma wyłączne prawo do decydowania o swoich komputerach, transmisji danych i danych swoich klientów. Każdy, kto bez zezwolenia czyni użytek z wyłącznej własności innej strony, w ten sposób naruszając prawa właściciela, działa bezprawnie- o ile nie ma usprawiedliwienia dla swoich działań. Prawo wolności wypowiedzi, na które powoływał się spamer, nie jest bowiem wystarczającym usprawiedliwieniem.

W tym samym czasie zapadłą podobna decyzja w USA. Dnia 26.III.2004 w Austin sędzia okręgowy Sam Sparks odrzucił skargę firmy White Buffalo Ventures na Uniwersytet Teksański o blokowanie rozsyłanego przez firmę spamu. Spamer twierdził, że prawo do wolności wypowiedzi oraz na zgodność wysyłki z CAN SPAM Act gwarantują firmie prawo do wysyłania niezamawianych przesyłek do ponad 50.000 odbiorców korzystających za zasobów uczelni. Jednak sędzia zadecydował, że mający ograniczone zasoby Uniwersytet, a także wszelkie inne instytucje publiczne, mają prawo blokować zarówno legalny jak i nielegalny spam wszelkimi dostępnymi środkami.

Nawet jeśli koszt odebrania pojedynczego e-maila jest minimalny, to spamerzy wysyłający kilkaset tysięcy, a nawet kilkaset milionów spamów dziennie, cały lub prawie cały koszt wysyłki przerzucają na odbiorców, finansując z cudzej kieszeni kampanię reklamową. Takich spamerów jest na świecie kilkuset, do tego jeszcze tysiące spamerów wysyłających kilkaset czy kilka tysięcy wysyłek dziennie. Również w Polsce jest kilka firm rozsyłających spam w takich ilościach. Przyjęły one wysyłanie niezamawianych materiałów jako model działalności marketingowej. Nawet niewielka kwota przemnożona przez te miliony daje w rezultacie ogromne sumy, oznaczające dla światowej gospodarki straty liczone w miliardach dolarów rocznie.

W marcu 2001 r. Komisja Europejska opublikowała raport na temat kosztów spamu. Raport ten mówi o 10 mld EUR w skali światowej w roku 2000, przy czym kwota ta obejmowała tylko koszty związane z odbieraniem poczty, ale nie koszty czasu poświęconego na czytanie, koszty obsługi przez firmy internetowe itp. itd. (więcej o tych ukrytych kosztach w wywiadzie Barry'ego Shein'adla InternetWeek). Zatem kwota 10 mld EUR była znacznie zaniżona.

W roku 2002 koszty spamu ponoszone przez jego odbiorców zostały oszacowane na 8.9 mld USD w samych Stanach Zjednoczonych (to jest 874 USD na pracownika rocznie z uwzględnieniem kosztów ukrytych), a w Europie na 2.5 mld USD. Do tego trzeba dodać 500 mln USD kosztów ponoszonych przez firmy internetowe. Wyliczenie nie obejmuje krajów azjatyckich, które generują znaczny odsetek całego światowego spamu.

W roku 2003 związane ze spamem koszty ponoszone przez gospodarkę światową były szacowane przez firmę konsultingową Radicati Group na 20.5 mld USD. Przewiduje się, że w roku 2004 koszty te wyniosą już około 41 mld USD. Więcej statystyk.

Scott Richter, jeden z największych na świecie spamerów, został pozwany równocześnie przez Microsoft i Prokuratora Generalnego stanu Nowy Jork w związku z rozsyłaniem 250 milionów sztuk spamu dziennie. Można o tym przeczytać w artykule Microsoft, Spitzer Sue E-Mail Spammers w serwisie Reuters.

5. Niezależnie od spamu otrzymujemy również listy oczekiwane. Trzeba zatem "wyławiać" je spomiędzy spamu.

Odseparowanie listów jest dość uciążliwe, zwłaszcza gdy spamu jest znacznie więcej niż tych listów. Ma to często miejsce w wypadku "starych" adresów, wpisanych do wielu spamerskich baz adresowych. Ponadto wielu użytkowników wciąż ma ograniczenia na wielkość skrzynki pocztowej i gdy spamu przychodzi kilkadziesiąt sztuk dziennie, nawet kilkudniowe nieodbieranie poczty (wyjazd, wakacje) może spowodować zapchanie skrzynki. W takim wypadku jakiś ważny list może zostać odrzucony do nadawcy z powodu przepałnienia skrzynki.

Jednymi z pierwszych w Polsce darmowych kont pocztowych były konta oferowane od roku 1994 przez firmę Box43, potem wykupioną przez Getin.pl. W roku 2002, z poczty przychodzącej na te konta, około 80 do 90% stanowił spam. W roku 2003 firma zlikwidowała darmowe usługi i wprowadziła wyłącznie konta płatne.

AOL, jeden z największych dostawców kont pocztowych na świecie, poinformował w lutym 2003, że oprogramowanie firmy blokuje średnio 22 spamy na konto każdego klienta firmy. W marcu podano liczbę 28 spamów, a w momencie pisania tego artykułu w styczniu 2004, na stronie AOL Brands, Products & Serviceswidniała informacja o zatrzymywaniu średnio prawie 70 takich przesyłek dziennie.

Jeszcze gorzej, jeśli na serwerze działa filtr antyspamowy kasujący spam, może się się zdarzyć pomyłka programu i oczekiwany list zostanie skasowany, ale ani nadawca, ani odbiorca o tym się nie dowie. Z tego powodu spam drastycznie zmniejsza wiarygodność korespondencji elektronicznej i ważne listy trzeba potwierdzać telefonicznie, co znów oznacza dodatkowe koszty dla użytkowników poczty.

6. Koszt wysyłki spamu nie jest dla nadawcy proporcjonalny do ilości wysłanych e-maili.

W przeciwieństwie do poczty tradycyjnej, gdzie każda koperta i każdy znaczek kosztują. Natomiast wyszukiwanie pośród potencjalnych odbiorców e-maili tych, którzy mogą być rzeczywiście zainteresowani wysyłaną ofertą (lub choćby tylko mieszkają w tym samym kraju) jest drogie i czasochłonne. To oznacza, ze nie ma ekonomicznych przeszkód do tego, by każdy przedsiębiorca na świecie wysyłał niezamawiane oferty i propozycje do każdego odbiorcy poczty na całym świecie.

Według pochodzących z 2001 roku szacunków największej na świecie organizacji antyspamowej, Coalition Against Unsolicited Commercial E-Mail, gdyby tylko 1% amerykańskich firm wysyłał 1 spam rocznie, każdy Amerykanin otrzymywałby ponad 650 spamów dziennie. Spamerzy jednak zwykle wysyłają spam na ten sam adres kilka razy w miesiącu. Wg innych więc rachunków, gdyby wysyłka miała miejsce raz w miesiącu, oraz gdyby ograniczyć ją do 1% spośród tych firm, które w ogóle korzystają z Internetu, każdy odbiorca poczty otrzymywałby ponad 7.5 tys. spamów dziennie. Szacunki te obejmują wyłącznie USA, więc dla pełnego obrazu trzeba jeszcze wiedzieć, ze Stany Zjednoczone pod koniec roku 2003 były źródłem 58% całego światowego spamu.

Nadawcy spamu często twierdzą, że "nie ma co się denerwować, wystarczy skasować". Kasowanie dziesiątków czy setek spamów dziennie, gdy jednocześnie trzeba uważać by nie skasować listu od kontrahenta firmy nie jest ani łatwe, ani przyjemne. Inni spamerzy uważają, że są usprawiedliwieni, jeśli odbiorcy pozostawią możliwość usunięcia swojego adresu z listy wysyłkowej - jest to tak zwany model "opt-out". Takie rozwiązanie jest nie do przyjęcia choćby tylko ze względu na ilość spamu: zmuszanie odbiorców poczty do codziennego wypisywania się z dziesiątków list jest po prostu kradzieżą czasu. Co gorsza, większość spamerów oszukuje przy tym odbiorców: wypisanie się z takiej listy traktują jak potwierdzenie autentyczności adresu odbiorcy, więc na ten adres wysyłają jeszcze więcej spamu, a także sprzedają innym spamerom listy w ten sposób potwierdzonych adresów.

Model komunikacji opt-out oznacza wysyłkę korespondencji na dowolne adresy znajdujące się w posiadaniu nadawcy, z pozostawieniem odbiorcy możliwości wypisania się z listy subskrypcyjnej, tj. listy adresów, na jakie wysyłany jest określony rodzaj przesyłek. Model opt-in oznacza wysyłkę wyłącznie do osób, które w sposób zamierzony, wyraźnie i świadomie, zażyczyły sobie otrzymywanie określonego rodzaju korespondencji, przy czym to na nadawcy przesyłek ciąży obowiązek wykazania tego faktu. Jednak liczni spamery "fałszują" tę definicję twierdząc, że jeśli ktoś się nie wypisał z subskrypcji, to znaczy że ją akceptuje, a więc mailing do takiego odbiorcy jest wysyłką typu opt-in. Jest to nadużycie, ponieważ doświadczeni użytkownicy poczty celowo nie wypisuje się z żadnych list wysyłkowych, nie ufając nadawcom spamu, którzy często wypisanie się z jednej listy wysyłkowej wykorzystywali do zapisania odbiorcy do wielu innych list. Więcej na temat różnic pomiędzy opt-in a opt-out oraz o interpretacji tych terminów przez spamerów można przeczytać na stronie Mailing Lists -vs- Spam Lists.

Kraje wspólnoty Europejskiej jako dopuszczalny model komunikacji biznesowej przyjęły opt-in, w niektórych krajach komunikacja typu opt-out naraża nadawcę na wysokie grzywny lub nawet na więzienie. Tymczasem w Stanach Zjednoczonych Kongres przyjął model opt-out w ustawie "CAN-SPAM Act", która weszła w życie z początkiem roku 2004. Ustawa ta jest powszechnie krytykowana przez amerykańskie i międzynarodowe środowisko antyspamowe (patrz stanowiska CAUCEi Spamhaus). Absurdalność takiego rozwiązania wyjaśnia też poprzednia ramka.

7. Spam powoduje utratę zaufania.

Użytkownicy poczty elektronicznej obawiają się ujawniać swoje adresy e-mailowe, aby nie otrzymywać więcej spamu, używają kilku "śmieciowych" kont i często pisząc do kogoś nie można mieć żadnej gwarancji, że list dotrze do adresata. W czasie gdy dostęp do internetu jest coraz łatwiejszy, komunikacja między jego użytkownikami staje się coraz trudniejsza.

Spamerzy ponoszą odpowiedzialność za konieczność zamykania tak pożytecznych niegdyś usług jak open-relay czy open-proxy, likwidowania baz danych z adresami e-mailowymi. Przez spamerów trzeba ukrywać adres e-mailowy na stronach www, w usenecie i przed nieznajomymi, likwidować skrypty do wysyłania listów ze stron internetowych (formmail) oraz księgi gości (guestbook). Nie można już wysyłać poczty bezpośrednio z własnego komputera jeśli ma się łącze typu dial-up, bo z powodu spamerów prawie nikt nie przyjmie wysłanej z niego poczty. Z powodu spamerów likwidowane są kolejne darmowe usługi, a usługi płatne drożeją (Thank the Spammers, William R. James, marzec 2003. Dostępne jest też polskie tłumaczenie tego tekstu: Dziękujemy spamerom.

8. Coraz częściej spam wysyłany jest z cudzych adresów.

Spamer podszywa się pod innego nadawcę (joe job, kradzież tożsamości) - bo adresy spamera są blokowane, a nie da się wysyłać spamu z nieistniejących domen, gdyż większość serwerów tego nie akceptuje. W takim wypadku ofiarą spamu staje się nie tylko jego odbiorca, ale też właściciel użytego adresu nadawcy. Joejob powoduje obciążenie łącz właściciela tego adresu, utratę zaufania do niego, ryzyko odwetu ze strony tych odbiorców którzy nieprawidłowo zidentyfikują nadawcę (skargi, zwroty, mailbombing, DOS, wpisanie użytej domeny na czarne listy itp.), albo nawet prawidłowo zidentyfikują joejob - ale i tak prewencyjnie blokują domenę użytą do wysyłki spamu.

Czasem również wysyłają spam z cudzych kont pocztowych (po prostu włamują się, jeśli konto nie jest zabezpieczone dostatecznie trudnym do zgadnięcia hasłem) lub po prostu podszywają się pod innych i wysyłają spam z cudzym adresem. Skutkiem tego są "szkody moralne" właścicieli tych kont, odmowa przyjmowania poczty od nich przez firmy obsługujące odbiorców poczty. Bywa też, że konta e-mailowe ofiar nadużycia są likwidowane przez ich usługodawców.

9. Z powodu zwalczania spamu, jego nadawcy stosują "środki zaradcze", jeszcze bardziej szkodliwe od samego spamu.

Dawniej wysyłali kilkaset spamów dziennie, teraz - gdy większość ich wysyłek jest blokowana - chcą dotrzeć do takiej samej liczby odbiorców, więc wysyłają kilkaset tysięcy spamów dziennie. Aby tego dokonać, włamują się z pomocą wirusów i koni trojańskich na setki tysięcy komputerów obcych ludzi i wykorzystują je do zmasowanej wysyłki, ze szkodą dla właścicieli tych komputerów i dla firm ich obsługujących. Artykuł Zombie i MS Windows wyjaśnia dokładniej ten proceder. Jednym z bardziej znanych na świecie spamerów stosujących tę technikę jest nasz rodak, ukrywający się pod pseudonimem Tubul. Taki rodzaj działań jest po prostu przestępstwem, a w dodatku zapycha sieć w stopniu nieporównywalnym z żadną inną metodą.

Data ostatniej modyfikacji: 22 XII 2004

wersja do druku

Przysięga głazu rzecznego

"W żadnych okolicznościach i pod żadnym pozorem nie kupię niczego, co zostało mi zaoferowane w formie niezamawianej przesyłki elektronicznej. Nigdy też nie będę forwardował do dużej liczby odbiorców listów łańcuszkowych, petycji, masowych przesyłek czy ostrzeżeń o wirusach. Niech powstrzymanie się od tego będzie moim wkładem dla przetrwania społeczności internetowej."

The Boulder Pledge

"Under no circumstances will I ever purchase anything offered to me as the result of an unsolicited e-mail message. Nor will I forward chain letters, petitions, mass mailings, or virus warnings to large numbers of others. This is my contribution to the survival of the online community."

Roger Ebert, 1996