Vývoj e-mailového spamu

Na e-mailový spam se lze dívat dvěma způsoby.

1. Přistane vám v doručené poště, kliknete na smazat, tak o co jde?

2. Mezinárodní hra na kočku a myš, v níž vaše doručená pošta a to, co do ní přistane, stojí v první linii, zatímco velké technologické firmy, vládní agentury a zločinecké organizace bojují o vaši bezpečnost, vaši pozornost a váš bankovní účet.

Ten druhý pohled může znít dramaticky, ale pokud vám ušetří pár starostí a možná i nějaké peníze, stojí za to mu porozumět, ne?

No… všechno to začíná vtipem o konzervě masa.

Co je spamový e-mail a proč se mu říká spam?

Spam může být mnoho věcí: reklamy, podvody, nevyžádané newslettery, a tak dále. Jedna věc ale spam rozhodně není: vyžádaný. Stejně jako hejno komárů, které přiletí při první zmínce o létě, spam téměř vždy přichází hromadně. Je nevyžádaný, nežádoucí a pěkně otravný.

Ale proč sdílí své jméno s konzervou masa vyrobenou z vepřové plece a šunky? Za to můžeme poděkovat slavnému skeči Monty Python, v němž se slovo „spam“ opakovalo znovu a znovu, téměř až k šílenství. Tím se „spam“ upevnil jako symbol neustálého a nechtěného. V roce 1993 si jeden chytrý uživatel internetu tuto myšlenku vypůjčil a popsal záplavu opakovaných příspěvků jako spam, a voilà, název se uchytil.

Ale navzdory svému svéráznému původu samotné slovo nevystihuje, jak škodlivý spam může být – ani jak těžké je se ho zbavit. Stejně jako komáři i spamové e-maily často přenášejí nebezpečný obsah, který může na vašich zařízeních napáchat spoušť. Nemluvě o riziku pro vaše osobní údaje a migréně, kterou může způsobit doručená pošta zaplavená pochybnými reklamami. Pochopení historie ale pomáhá. Pokud pochopíte, jak si spam nachází cestu do vaší doručené pošty, budete ho umět lépe držet venku.

Kdy byl odeslán první spamový e-mail?

Odkud tedy spamové e-maily pocházejí? Možná vás překvapí, že první spamový e-mail byl odeslán ještě předtím, než internet vůbec existoval. Nepřišel od nějaké stínové zločinecké skupiny, ale od jediného marketéra, který se snažil prodat novou řadu počítačů, a věřte nebo ne, vydělal na tom miliony.

V roce 1978 poslal marketingový manažer Gary Thuerk e-mail přibližně 400 lidem prostřednictvím ARPANETu, vojenské sítě, která předcházela internetu. Jeho zpráva byla pozvánkou na prezentaci nových počítačů DECSYSTEM-20. E-mail přinesl asi 13 milionů dolarů v prodejích, ale také naštval téměř každého, kdo ho dostal.

Nejzajímavější částí tohoto příběhu z historie spamu není to, kdy byl e-mail odeslán, ale dvojsečná zbraň, která se za e-mailovým spamem skrývá. Na jedné straně lze vydělat závratné množství peněz na reklamách zaslaných stovkám, tisícům nebo dokonce milionům lidí. Na druhé straně je spam zcela zjevně otravný. Bohužel právě tento vztah přitažlivosti a odporu bude spam provázet po celou jeho bouřlivou historii.

Jak se spam v průběhu desetiletí vyvíjel?

Pokud jste měli to štěstí vyrůstat v éře ochrany od Google a Microsoft, možná si nepamatujete rané dny internetu, kdy bylo odstraňování spamu z doručené pošty spíše ruční záležitostí.

80. a 90. léta: Divoký západ e-mailu

V roce 1983, rok před předpovědí George Orwella o totalitním superstátu, se začalo formovat něco zcela jiného. Poprvé bylo možné, aby se více nezávislých sítí navzájem propojilo, čímž vznikl základ dnešní globální sítě sítí, neboli internetu, jak mu rádi říkáme.

Během následujícího desetiletí se online připojily miliony nových uživatelů a začaly si zakládat e-mailové adresy. Neexistovala žádná centrální autorita, která by řekla „tohle dělat nemůžete“, a e-mail tak v podstatě mohl sloužit jako bezplatný reklamní kanál. Jedna zpráva rozeslaná tisícům, dokonce milionům lidí, téměř bez nákladů.

Jaký byl výsledek? V 90. letech spam explodoval a stejně tak i snahy ho kontrolovat. V roce 1994 spustili právníci Canter & Siegel svou nechvalně proslulou reklamu „Green Card Lottery“ napříč tisíci skupinami Usenetu, což je často považováno za první velkou komerční spamovou kampaň. Brzy následovala obrana. Mail Abuse Prevention System (MAPS) zavedl v roce 1996 první Real-time Blackhole List, která blokovala poštu ze známých spamových serverů, a skupiny jako Spamhaus vytvářely blokovací seznamy a sdílely informace, aby spamery udržely mimo hru.

2000s: Desetiletí, kdy spam potemněl

Nultá léta možná znamenala konec tisíciletí, ale pro mnohé to byl skutečný začátek otravných e-mailů zaplavujících doručené schránky. Google, Yahoo a Microsoft se všechny přidaly k tažení proti spamu. Už ale nešlo o kýčovité reklamy nebo schémata rychlého zbohatnutí, spam začal být temnější. Spameři začali používat „botnety“, tedy sítě infikovaných počítačů, k rozesílání spamu v masovém měřítku.

Vlády se rozhodly, že je čas zasáhnout. V roce 2003 USA zavedly zákon CAN-SPAM Act (Controlling the Assault of Non-Solicited Pornography and Marketing). Ten nutil spamery respektovat žádosti o odhlášení a vyhýbat se klamavým předmětům zpráv, háček ale byl v tom, že odpovědnost stále ležela na příjemcích, aby se odhlásili. Evropa naopak zvolila přísnější přístup. EU zavedla systém opt-in pro e-mailový marketing, což znamenalo, že společnosti nemohly posílat obchodní e-maily bez předchozího souhlasu.

Nultá léta znamenala skutečný výbuch hry na kočku a myš, která začala spam definovat. Spameři vymýšleli nové triky a obránci hledali způsoby, jak jim čelit. Vezměme si například bayesovské filtrování: skenuje slova v e-mailu, počítá pravděpodobnosti a rozhoduje, zda jde o nevyžádanou poštu, nebo o legitimní zprávu. Když se poprvé objevilo, znamenalo průlom v tom, jak mohli poskytovatelé e-mailu proti spamu zakročit. V roce 2004 Bill Gates dokonce předpověděl, že problém spamu bude do dvou let vyřešen. Ale jako vždy se spameři rychle přizpůsobili.

Příklady spamové přetahované v praxi:

Moderní éra: Když se spam naučil přemýšlet

Stephen Hawking kdysi varoval, že lidé by jednou mohli být pro AI tím, čím jsou psi pro lidi, což je střízlivá představa. A i když to může znít ponuře, není přehnané říct, že vzestup AI může být stejně převratný jako vynález parního stroje. Není tedy divu, že AI formuje boj mezi těmi, kdo chtějí na spamu vydělávat, a těmi, kdo se ho snaží kontrolovat. Rozdíl je v tom, že na rozdíl od tradičních spamových filtrů se AI dokáže učit a přizpůsobovat.

Ironií je, že podvodníci používají ke zlepšování svých spamových e-mailů stejné nástroje, jaké vysokoškoláci používají k tomu, aby prošli zkouškami. Před nástroji AI byly spamové e-maily plné překlepů, gramatických chyb a zjevných varovných signálů. Nyní lze díky velkým jazykovým modelům hromadně rozesílat spamové e-maily s bezchybnou gramatikou, lokalizovaným tónem a personalizovanými háčky. Místo posílání 10’000 totožných e-mailů mohou podvodníci posílat 10’000 mírně odlišných e-mailů a vyhnout se filtrům. Tím, že útočníci nechají text projít modely simulujícími spamové skóre, mohou své zprávy upravovat, dokud nebudou působit „bezpečně“.

Totéž dělají i e-mailoví giganti. Používají AI a strojové učení nejen ke skenování obsahu, ale také k analýze chování odesílatele, síťových signálů a dokonce i kontextu zpráv. Gmail například nyní dokáže odhalit podezřelé vzorce, jako jsou náhlé vlny e-mailů z nových domén nebo obsah napodobující známé phishingové návnady, a v reálném čase se přizpůsobit, aby zastavil nové spamové kampaně.

Jaký dopad měl spam na e-mail a firmy?

Když se vrátíme k příběhu o původu spamové pošty a jejímu jmenovci od Monty Python, téma bylo jednoduché: otravnost. Tehdy byl přesně takto vnímán většinou spam. Ale v desetiletích od té doby se stal mnohem nebezpečnějším. Kliknutí na špatný odkaz dnes může znamenat viry nebo vážnou finanční ztrátu.

A nejde jen o jednotlivce. Od roku 2000 podvodníci vymysleli propracované způsoby, jak útočit na větší cíle. Mnohá z těchto schémat mají dokonce chytlavé přezdívky, které zlehčují, jak vážné mohou být následky.

Příklady spamu zaměřeného na firmy:

Hromadný spam a podvody – Hromadné e-maily stále denně zaplavují doručené schránky, od otravných reklam po falešné loterie nebo schémata „nigerijského prince“. Jsou na nižší úrovni, ale zahlcují schránky a stále mohou zaměstnance oklamat.

Phishingové e-maily – Vydávají se za důvěryhodné značky a lákají uživatele na falešné stránky. Dříve neohrabané phishingové e-maily jsou dnes uhlazené, automatizované a těžko rozeznatelné od skutečných.

Spear phishing a whaling – Cílené útoky využívající skutečná jména nebo projekty k oklamání konkrétních zaměstnanců. Když míří na vedoucí pracovníky, říká se tomu „whaling“ a zisk může být obrovský.Business Email Compromise (BEC) – Zločinci se vydávají za generální ředitele, dodavatele nebo HR, aby přiměli zaměstnance k převodu peněz nebo odeslání dat.

Malware a ransomware – Spam často obsahuje škodlivé přílohy nebo odkazy. Jediné kliknutí může spustit viry nebo ransomware, zablokovat celé systémy a stát firmy miliony.

Skutečné nebezpečí ale spočívá v rozsahu následků. Spam plýtvá časem v obrovském měřítku. Zaměstnanci znovu a znovu zvažují e-maily nebo manažeři vyšetřují falešné poplachy. To vše ukusuje z produktivity.

Kolik spam skutečně stojí

FBI odhaduje, že samotný Business Email Compromise způsobil ztráty přes 50 miliard dolarů mezi lety 2013 a 2022. Proto se boj proti spamu neustále vyvíjí. Filtry se nyní dívají dál než jen na klíčová slova a skenují vzorce, přílohy a dokonce i chování odesílatele. Zákony jako CAN-SPAM a GDPR stanovují pravidla ohledně souhlasu a transparentnosti. A poskytovatelé e-mailu přidali ochrany jako SPF, DKIM a DMARC, takže je pro útočníky mnohem těžší vydávat se za někoho, kým nejsou.

Jak dnes bojujeme proti spamu?

Moderní spamové filtry jsou poháněny AI a strojovým učením. Dokážou analyzovat chování odesílatele i kontext zprávy a poté se v reálném čase přizpůsobovat.

Povědomí je ale stále důležité. I s nejlepšími spamovými filtry se školení zaměstnanců musí stát klíčovou součástí zastavení spamu. V dnešní době firmy pořádají pravidelné programy zvyšování povědomí, které lidi učí zpomalit, rozpoznat varovné signály nebo ověřit požadavky předtím, než jednají. Některé z nich zahrnují:

Kde začít

Jaké je tedy poučení z desetiletí hry na kočku a myš? Stručně řečeno, spameři se budou vždy přizpůsobovat a spam nikdy skutečně nezmizí, jen se bude vyvíjet. Proto je nejlepší zajistit, aby se stejně vyvíjela i vaše obrana. Klíčová je ostražitost. Ještě lepší je pořídit si poskytovatele e-mailu s pokročilými nástroji filtrování a ověřování. Nakonec platí, že pokud dokážete vrstvit řešení, budete v nejlepší pozici k obraně své doručené pošty. A pokud potřebujete připomínku, Monty Python to zařídí.