Spambestrijders blijven dweilen met kraan open

Dat gebeurt op basis van de Telecommunicatiewet. Tot dusver is alleen het verzenden van ongevraagde communicatie zonder voorafgaande toestemming aan ‘natuurlijke personen’ – lees: individuele consumenten – verboden.
De bedoeling is dat het verbod wordt uitgebreid tot rechtspersonen, oftewel bedrijven en instellingen. Een wetsvoorstel van die strekking ligt al geruime tijd bij de Tweede Kamer. Tegelijk zal de Telecomwet ook op andere punten worden aangepast. Eind november diende staatsecretaris Frank Heemskerk (Economische Zaken) hiertoe nog een tweede nota van wijziging in. Het is nog onzeker of de Kamer de wetswijziging nog dit jaar zal goedkeuren. Zo ja, dan zou de uitbreiding van het spamverbod ergens in het voorjaar van 2008 kunnen ingaan.
Danyel Molenaar, sectorleider internetveiligheid bij Opta, verwacht dat de wetswijziging het werk van de toezichthouder makkelijker zal maken. “We hoeven dan niet meer uit te zoeken of de ontvanger een natuurlijke persoon of rechtspersoon is. Dat levert nu nog veel extra werk op.”
Inhoudelijk is Opta voorstander van het bestrijden van alle ongewenste mails, zegt Molenaar. Anderzijds wil de toezichthouder legitieme B2B-reclame niet onmogelijk maken. Daarom ook voorziet de nieuwe wet in de mogelijkheid dat bedrijven speciale mailadressen publiceren voor reclame.
Bij het ingaan van het spamverbod drieëneenhalf jaar geleden verklaarde Opta vooral achter de ‘grote vissen’ aan te willen gaan. “In principe is dat nog steeds ons beleid”, zegt Molenaar. “We hebben onvoldoende mensen om achter iedere melding aan te gaan.” Zijn afdeling telt tien medewerkers. Het blijkt lastig om aan deskundig personeel te komen, aldus Molenaar: “We zijn eigenlijk continu op zoek naar goede onderzoekers.”
Sinds medio 2004 ontving de toezichthouder 38.000 klachten. Dat heeft geleid tot ongeveer 135 zaken die door Opta nader zijn onderzocht. Nog kleiner is het aantal boetes: zestien. Wel heeft de toezichthouder tevens ruim 65 waarschuwingen uitgedeeld en ook ‘lasten onder dwangsom’ opgelegd: in feite voorwaardelijke straffen, die pas worden opgelegd als de spammer in zijn gedrag volhardt.
Molenaar vindt dat de aanpak van Opta zeker vruchten heeft afgeworpen. De afgelopen drieëneenhalf jaar is de hoeveelheid spam uit Nederland immers met ruim 85 procent afgenomen. Maar helaas is het leeuwendeel van de spam niet afkomstig uit ons land. Spammers bedienen zich tegenwoordig bij voorkeur van netwerken van ‘gekaapte’ pc’s (zombie- of botnetwerken). Dan is vaak niet duidelijk waar de echte bron zit.
De Opta concentreert zich op spam die duidelijk uit Nederland komt. Molenaar: “Vorig jaar hebben we bijvoorbeeld een jongen uit Amsterdam een boete van 75.000 euro opgelegd. Hij had negen miljard berichten verstuurd naar adressen over de hele wereld.” De betrokkene dacht ongrijpbaar te zijn door gebruik te maken van servers in de Verenigde Staten. “Zo werkt het dus niet. Hij stuurde die servers namelijk aan met zijn thuis-pc in Nederland”, aldus Molenaar.
McAfee is een van de vele IT-beveiligingsbedrijven die antispamproducten leveren. Vincent Zeebregts, marketingmanager Benelux, ziet als grootste struikelblok voor het indammen van spam dat de verzending zo weinig kost. Een spammer hoeft alleen te beschikken over een botnetwerk en een adressenlijst. “Met één mailing kun je miljoenen adressen bereiken. Als slechts 0,1 procent reageert en iets bestelt, kan het al lucratief zijn.” De kosten liggen hoofdzakelijk bij de ontvanger, die moet investeren in spamfilters, extra servercapaciteit en bandbreedte.
Enkele jaren geleden duurde een ‘spamgolf’ nog enkele dagen, nu is hij volgens Zeebregts vaak na een halfuur alweer weggeëbd. De kans op ontdekking is daardoor kleiner terwijl er nog steeds aan wordt verdiend.
Zeebregts haast zich te zeggen dat hij het werk van de Opta zeker zinvol vindt – “alles in de strijd tegen spam helpt” – maar dat Nederlandse wetgeving weinig uitricht tegen spam vanuit landen waar zulke wetgeving ontbreekt en die een lage prioriteit aan spambestrijding geven.
Gebruikers kunnen zelf een bijdrage leveren door hun mailadres niet zomaar overal achter te laten, vindt Zeebregts. “Dat draagt alleen maar bij aan spam. Bewustwording op dat punt is heel belangrijk.” Dit advies geldt zeker ook voor gebruikers van de in korte tijd zeer populair geworden sociale netwerken zoals Hyves en virtuele werelden als Second Life.
Het Deense bedrijf Spamfighter, opgericht door voormalige internetproviders die zich groen en geel ergerde aan spam, heeft sinds 2004 furore gemaakt met een bijzondere aanpak. De inmiddels ruim 4,2 miljoen gebruikers van het gelijknamige programma vormen een ‘community’ die met één muisklik spam aan een centrale server kan melden. Bij voldoende meldingen worden de spamfilters direct voor alle gebruikers aangepast.
Opvallend is dat Nederland het grootste aantal Spamfighter-gebruikers (935.000) telt, veel meer dan in Denemarken zelf (299.000) of de Verenigde Staten (463.000).
Petra Keukens, die vanuit Kopenhagen ondersteuning levert aan Nederlandse gebruikers: “Een belangrijke factor daarin is dat mond-tot-mondreclame in Nederland goed werkt. In Amerika bijvoorbeeld is dat veel minder.” Dat Spamfighter naast een betaalde Pro-versie ook een gratis Standard-versie levert, zou in het zuinige Nederland ook weleens een rol kunnen spelen.
Ook vreest Keukens dat spam moeilijk uitroeibaar is. “Het is jammer dat het een heel erg goedkope manier van marketing is. Als ook maar één persoon Viagra-pillen koopt, loont het al een miljoen mensen een mailtje te sturen.” Het Deense bedrijf werkt aan een nieuwe versie, Spamfighter Online, die ook werkt met niet-POP3-mailadressen zoals Hotmail, Yahoo en MSN. Een van de belangrijkste kenmerken is dat het spam kan tegenhouden voordat het daadwerkelijk bij de gebruiker binnenkomt.
Het grootste gevaar op spamgebied gaat volgens Keukens op dit moment uit van phishing-berichten die hengelen naar persoonlijke gegevens. Vooral oudere, onervaren internetgebruikers zijn daar ontvankelijk voor.
“Als zij zogenaamd een mailtje krijgen van een bank met het verzoek hun gegevens te verifiëren, gaan ze daar vaak op in. Dat is natuurlijk veel gevaarlijker dan een simpel spammailtje.”
g.kelfkens@sdu.nl