Mange har prøvet at få et tilbud på mail fra en nigerianer, som lyder lidt for godt til at være sandt. Personen har brug for en bankkonto til at opbevare en arv på millioner af dollars, og du er den udvalgte redningsmand. Som tak får du måske ti procent af beløbet. Der er bare den lille hage, at du først skal overføre en mindre sum til vedkommendes konto for at dække gebyrerne for overførslen af millionerne.
Email-scams som ovenstående er velkendte. Men for at de fungerer, har bagmændene brug for en stor liste af email-adresser, der som et fiskenet kan kastes ud med håb om, at nogle enkelte godtroende personer ryger i.
Og det var netop på sådan en liste, at Mogens Winther en dag fandt den email-adresse, som han gennem fem år havde forsøgt at holde hemmelig.
»På det seneste har der været flere tegn på, at jeg er blevet angrebet af spam. Når jeg sender til canadiske og danske adresser, oplever jeg, at mine mails bliver afvist, fordi de har et ‘dårligt omdømme’,« fortæller Mogens Winther, der også har fået indtil flere ekstraordinært ‘gode’ tilbud fra velhavende nigerianske bankansatte.
Ved at søge rundt på Google, opdagede han, at hans email-adresse lå på en liste sammen med 349.999 andre danske email-adresser. Det koster kun 350 kr. at købe email-adresserne på hjemmesiden Emaildatalist, som blandt andet markedsfører sig over for køberne ved at hjælpe dem med at »lave en hurtig profit ved at tilbyde en email-liste, som er blevet screenet og nøje udvalgt«.
»Vi ser hyppigt, at de her lister bliver tilbudt til salg til folk, som vil levere spammails,« siger it-sikkerhedsekspert hos virksomheden CSIS Peter Kruse til Version2 og fortsætter:
»Omfanget er blevet større og større.«
Den omtalte liste med 350.000 emailadresser med .dk-domæner er nemlig i den mindre ende ifølge Peter Kruse. Han har stødt på lister med op til 1,6 mio. danske email-adresser på, hvor man ikke alene kan sortere dem geografisk, men også inden for brancher.
På den måde kan spam-bagmændene nøje udvælge, om de vil sende reklamer eller scam-forsøg ud til medicinalindustrien eller byggebranchen, der er særligt ramte af spam.
Crawlere omgår email-obfuskering
Bagmændene bag listerne benytter sig oftest af crawlere til at opsnappe email-adresserne. Det er en software, som scanner nettet for tekst, der ligner en email-adresse - ofte via søgemaskiner.
Mange virksomheder har en underside på deres hjemmeside, hvor der er en liste over de ansatte med tilhørende email-adresser, og det er især her, at crawlerne får frit spil.
Crawler-metoden har dog været kendt længe, og derfor er flere begyndt at skjule deres email-adresser enten ved hjælp af JavaScript eller med andre metoder, så man først får den rigtige email-adresse, når man klikker på den.
Men selvom denne metode har forhindret crawlerne i at opsnappe email-adresserne før i tiden, så er den mindre sikker nu ifølge Peter Kruse.
»Crawlerne er blevet mere avancerede, så langt flere kan opsnappe de typiske måder, som email-adresser bliver beskyttet på,« siger han.
Crawlerne er således i stand til nu at omgå de mest simple teknikker til JavaScript-obfuskering, fortæller it-sikkerhedseksperten.
Derudover bliver en stor del af email-adresserne også høstet ved hjælp af malware, der inficerer ofrenes computere via botnet.
Den sikreste måde at vise sin email på er, ifølge Peter Kruse, helt at undlade at vise den i klartekst, men i stedet at konvertere den til et billede, som crawlerne har langt sværere ved at oversætte til noget forståeligt.
»Det bedste råd er at forebygge det. Man skal ikke kaste om sig med sin email-adresse,« siger han.
Når man først er kommet på en af spam-listerne, kan eneste lappeløsning være at få installeret spamfiltre på gateway og klient. Eller at bide i det sure æble og oprette en ny email-adresse.
Gråzone i lovgivningen
Mens der er klare regler for, at man ikke må sende reklamer ud til folks email-adresser uden samtykke, så er det sværere at finde noget i lovgivningen, som forhindrer nogen i at opsnappe email-adresserne og sælge dem videre som samlede lister. Det er lister, som vel at mærke ikke kan bruges uden at overtræde spamreglerne.
»Det er svært at sige, om det er ulovligt eller ej. Det kommer an på vilkårene, og om folk selv har offentliggjort deres email-adresse,« siger kontorchef i Datatilsynet Lena Andersen og uddyber:
»Helt generelt så er det svært at gøre så meget, hvis folk selv har offentliggjort oplysningerne.«
Det er dog de enkelte landes egen lovgivning, der afgør, om man må massehøste email-adresser og videresælge dem til spam-formål ifølge Lena Andersen.
Ofte sidder bagmændene bag email-katalogerne dog ikke i Danmark, men i lande som Gibraltar, Luxemborg, Belgien og Holland ifølge Peter Kruse. Derfor kan det i praksis være svært at gøre noget ved deres høst af de danske email-adresser.
Hos Emaildatalist peger telefonnummeret på kontaktpersonen til Vietnam, men det er endnu ikke lykkedes Version2 at komme i kontakt med vedkommende.
Dem der oftest benytter sig af email-katalogerne til at sende spam ud, er stort set aldrig fra Danmark. Udover de nigerianske scammere, så er det oftest asiatiske producenter af især kopivarer, som gør brug af listerne ifølge Peter Kruse.
Det kan være alt fra billige replikaer af Nike-sko til printplader og anden elektronik.
»Vi ser ikke noget fra danske virksomheder. Det kommer stigende grad fra steder, hvor man ikke kan retsforfølge dem, primært Asien. De bliver ikke retsforfulgt i hjemlandet, og så sælger de kopivarer i forvejen,« siger Peter Kruse.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
