Ober, de waarheid voor twee!

Een geruime tijd terug werd er vrij precies vier maanden lang al spam verstuurd door beginnend spammer S. Pammer. In een zeer prettig gesprek in de nachtelijke uren vertelt S. Pammer zijn kant van het verhaal. In het gesprek komt praktisch alles aan bod: zijn motivatie, hoe hij de spam verstuurt en de website host, de kwaliteit van zijn adressenbestanden en wat hij aan zijn activiteiten verdient.

Een nachtelijk gesprek

De gegevens hieronder zijn een weergave van dat gesprek. Deze geven eindelijk eens een beter inzicht in de economie van het spammen. Ik weet het, Rule #1 is van gewoonlijk van toepassing, maar ik heb geen enkele reden om aan het relaas van S. Pammer te twijfelen. Daarvoor is hij te naïef, zijn verhaal te gedetailleerd en bovenal: te consistent.

Omdat ik met de spammer heb afgesproken zijn naam niet te noemen in dit verhaal, heb ik een paar gegevens geanonimiseerd, S. Pammer is uiteraard niet zijn echte naam en evenmin verkocht hij ingeblikt vlees. De werkelijke identiteit is ook niet relevant (er zijn meer kleine spammers die op deze manier opereren), het gaat om de getallen en de methodes. De genoemde getallen zijn echter wel op waarheid gebaseerd.

Vertaling door Karin Spaink. Onderzoek in samenwerking met twee andere anti-spammers.

De motivatie

Zoals bij praktische iedere spammer blijkt het verdienen van geld de grootste drijfveer te zijn. S. Pammer ontving iets meer dan zes maanden geleden een spam waarin blikjes ingeblikt vlees werden verkocht. Toen hij zijn bestelling ontving zag hij op het blikje wie de leverancier van de spammer was. Op de website van die leverancier bleek de inkoopprijs slechts circa eenvijfde van de prijs te zijn die hij had betaald. Dat moest gemakkelijk geld verdienen zijn en hij begon een vergelijkbare website.

Ook het idee om spam te gaan versturen voor het promoten van zijn product nam hij over van deze concurrent. Blijkbaar werkte het voor die concurrent, dus waarom zou het niet voor hem werken?

De techniek

In den beginne, de eerste 1,5 maand

In de eerste anderhalve maand maakt S. Pammer in eerste instantie gebruik van zijn inbelverbinding bij Planet Internet. Voor de verzending maakt hij gebruik van het programma Mailbomber. Achteraf gezien een dom programma, want het kan bijna niets en maakt traceerbaarheid van de spamrun hoog omdat het verzendende IP gewoon uit de headers is af te lezen. De website staat dan nog gehost bij (de hier geanonimiseerde Nederlandse provider) AnonISP.

Omdat zowel Planet als AnonISP bij de tweede spamrun ingrijpen, gaat S. Pammer op zoek naar nieuwe mogelijkheden. De keuze valt op een goedkope inbelvoorziening van ISD Holland. AnonISP wil de website verwijderd zien, niet omdat het versturen van spam volgens haar algemene voorwaarden verboden is (dat is het niet), maar omdat de mailbombs van een concurrent van S. Pammer de continuiteit (connectiviteit!) zou kunnen beperken. Daarna is wel duidelijk dat hij bij geen enkele Nederlandse provider zijn site kan hosten zonder deze eens in de zoveel tijd te moeten verhuizen. S. Pammer wijkt daarom via-via uit naar een hoster in Hongarije.

S. Pammer verstuurt ook zijn spam ook vanaf het netwerk van de Erasmus Universiteit in Rotterdam. Hij laat dan Mailbomber wel eens op de achtergrond draaien. Zo verstuurt hij twee spamruns vanaf zijn account op het netwerk van zijn universiteit. De universiteit grijpt niet in, ook niet achteraf.

Op zoek naar nieuwe wegen, een maand zonder spam

Omdat de goedkope inbelaccounts geld kosten (een nacht lang de verbinding open laten staan kost elke keer 10 euro) en de verzending van de spamruns traag is, gaat S. Pammer op zoek naar andere manier voor het verzenden van zijn spam en het hosten van zijn website. Hij ziet dat collega's open proxies gebruiken, maar hij heeft geen idee wat het zijn, en dat websites "bullet proof" in China worden gehost. Een maand lang spamt hij niet; hij benut die tijd voor een zoektocht naar nieuwe wegen.

Open proxies en bullet proof hosting, de laatste 1,5 maand

 

Binnen drie maanden na zijn eerste spamrun ontdekt S. Pammer send-safe.com (Spamhaus' gegevens). Via die website kan hij tegen betaling op een eenvoudige manier zijn spam via open proxies versturen. Voor USD 50 exclusief BTW koopt hij zijn eerste 400.000 credits. Omdat er een speciale actie loopt, verdubbelt send-safe.com de credits en kan hij voor 50 dollar maar liefst 800.000 mails versturen.

Het principe is vrij eenvoudig. Hij moet inloggen via een programma dat van de website van send-safe.com kan worden geplukt (send-safe's screenshots en lokale kopie). Dan kan hij de te verzenden tekst voorbereiden en de adressenbestanden inlezen. Daarna haalt het programma een lijst van open proxies van de website van send-safe.com op (de verbinding verloopt via https, de spammer krijgt de open proxies te zien). De aangeboden open proxies zijn niet bepaald vers, de meeste doen het niet of de connectie wordt geblokkeerd op de mailserver.

Daarna kan het programma de spam versturen. Het zet daartoe vanaf het IP van de spammer via een open proxy server een verbinding op naar de mailserver van het e-mailadres waar de spam naar toe moet. Alleen als de mailserver de e-mail accepteert worden er een credit afgeschreven. Als de e-mail zou bounced omdat de gebruikte proxy op een blacklist staat of als het e-mailadres niet werkt (volle mailbox, user unknown), dan wordt geen credit afgeschreven.

Op deze manier verstuurt S. Pammer 11 dagen lang spam. In de tabel rechts staan het aantal credits dat is verbruikt bij send-safe.com, de getallen komen van de pagina die je als ingelogde member te zien krijgt. Omdat uit onderzoek is gebleken dat send-safe.com alleen credits afschrijft als de e-mail geaccepteerd is door de ontvangende server, zijn de getallen een vrij nauwkeurige weergave van de werkelijke omvang van de spamruns.

Voor de webhosting neemt hij contact op met Patrick Platenkamp, nadat hij heeft gezien dat die zijn spamvertized websites in China host. Wanneer hij Platenkamp vraagt naar zijn contacten in China wordt hij verwezen naar worldsoftwarehouse.co.uk. Via dat bedrijf kan hij voor 125 euro per maand (USD 149, currency waarin je wilt betalen mag je zelf kiezen) zijn website bullet proof hosten in China. De DNS voor het domein wordt afgehandeld door worldsoftwarehouse.co.uk, zijn files moet hij via FTP zelf uploaden naar de server in China. In de maand dat hij spam verstuurde, is zijn website nooit afgesloten geweest.

De adressenbestanden

 

Aanvankelijk plukt S. Pammer zelf, met de hand, de e-mailadressen van websites.

Om over meer adressen te kunnen beschikken gaat S. Pammer in de tweede maand in op het aanbod voor een CD met 4 miljoen adressen voor 300 euro. De CD wordt door Ronald van der Wal herhaaldelijk via spamruns aangeboden. Na enige aarzeling (300 euro is voor iemand zonder noemenswaardige baan naast het versturen van spam een redelijk forse investering), gaat hij over tot de aankoop ervan.

De CD wordt geleverd met een slordige rekening en om die reden besluit hij de rekening niet te betalen. Als hij de rekening echt moet betalen, zal wel een aanmaning volgen, redeneert hij. In plaats daarvan ontvangt S. Pammer na een paar maanden en brief van het incassobureau No Risk B.V. (zie ook hier). Met de incassokosten verekend kost de CD uiteindelijk 388 euro.

De inhoud van de CD van Ronald van der Wal lijkt veel op die CD van Patrick de Bruin die ik eerder analyseerde. Van de adressen op de geanalyseerde CD is slechts 56% syntactisch correct. S. Pammer vertelde dat 60% van de adressen in zijn geheel niet verzonden konden worden (als gevolg van een onjuiste syntax) en dat van de resterende adressen nog eens een kwart terugkomt doordat de mailboxen vol of opgeheven zijn. Ik vermoed dat dat een beetje vertekend is, ik vermoed, op basis van dat eerdere onderzoek, dat er minder ongeldige adressen op de CD staan, maar dat er wel meer onbestelbaar terugkomt – met netto een gelijk resultaat.

Economie van de spam

 

De enige reden om te gaan spammen is geld. Dat is ook het motief van S. Pammer. De timing van zijn laatste serie spamruns is niet alleen gebaseerd op het commercieel aantrekkelijke moment; ook zijn zijn huisgenoten op dat moment op vakantie. Dat maakt de vervelende telefoontjes minder vervelend.

Verzending van de laatste serie spamrun duurde vijf dagen. S. Pammer vermoedt dat deze spam aan 200.000 tot 250.000 adressen is verstuurd. De overige 400.000 adressen bleken niet te werken. Het adressenbestand dat S. Pammer voor deze laatste serie gebruikte, bestond uit ongeveer 52 bestanden met elk 10.000 adressen van de CDs van Van der Wal, aangevuld met de werkende adressen uit vorige runs. Van die aanvulling werkt deze keer slechts tien procent. Gebaseerd op mijn berekingen heeft hij 272.455 spams verstuurd in vijf dagen tijd.

In de body van de spam is een link naar linkcounter.be opgenomen. Op die manier kan S. Pammer een inschatting maken van het aantal keren dat de spam is bekeken wanneer mensen 'm openmaken in hun e-mailprogramma. De laatste dag leverde 26.000 linkcounts op. Dat leverde 488 bezoekers op de spamvertized website op. En dat leverde 20 tot 30 bestellingen op. Bovendien levert deze spamrun relatief weinig klachten per e-mail op, wel volgen er steeds meer vervelende telefoontjes.

Veel van de aankopen blijken impulsaankopen te zijn en vinden dus tijdens of direct na de spamruns plaats. Het maximum per spamrun ligt rond de 30 bestellingen. De concurrerende spammer, die een soortgelijk product verkoopt, beweerde eerder per 5.000 e-mails zo'n 40 bestellingen binnen te kunnen halen; dat lijkt echter overdreven.

De klanten kunnen hun rekening op twee verschillende manieren betalen. Ze kunnen rechtstreeks geld overmaken op de rekening van S. Pammer, of onder rembours betalen. Slechts weinig mensen prefereren de laatste methode, waarschijnlijk omdat die methode 9,50 euro duurder is. Van de klanten die naar aanleiding van een spamrun een bestelling doen, betaalt vijf tot tien procent onder rembours. Terugkerende klanten of klanten die op een andere manier bij S. Pammer terecht zijn gekomen, maken het geld via de bank over. Van de mensen die via de website een bestelling doen en opgeven direct te zullen betalen bedenkt een kwart zich blijkbaar, de betaling volgt nooit. Klanten die 5 of meer blikjes in een keer bestellen krijgen de verzendkosten kado. Gemiddeld bestellen klanten tussen de twee en drie blikjes per keer.

De blikjes ingeblikt vlees koopt hij in bij een importeur in Nederland. Deze koopt de blikjes weer in bij een importeur in Belgie die het op zijn beurt uit de voormalige Sovjet-Unie haalt. De blikjes kosten bij de Nederlandse importeur 2,31 euro exclusief BTW en verzendkosten. De verzendkosten zijn afhankelijk van de omvang van zijn bestelling. Over het algemeen heeft S. Pammer de blikjes voor 2,95 euro inclusief alle bijkomende kosten in huis. De blikjes verkoopt hij voor gemiddeld acht euro. Zijn huisgenoot helpt hem, voor 0,50 euro per blikje, met het inpakken van de bestellingen.

Belasting afdragen gebeurt ook, hij wacht op dit moment op de formulieren.

Hij heeft, bij het stopzetten van zijn spam-activiteiten, een voorraad van 600 blikjes in huis. Hij verwacht deze zonder veel problemen kwijt te raken, voornamelijk van vaste klanten. Dat is dan ook de reden dat hij, hoewel hij is gestopt met het versturen van spam, zijn website niet wil verwijderen.

De, door S. Pammer, geschatte totale winst na vier maanden met 25 dagen van spamruns, ligt tussen de 2.000 en 3.000 euro. Ik schat dat beduidend lager in, gezien de berekende winst (zie tabel) – een "winst" waar nog niet eens het aantal uren werk in is verwerkt.