Was ist der Unterschied zwischen einem Spammer und einem Script-Kiddie? Der Spammer war einmal ein Script-Kiddie. Das ist zumindest der Eindruck, den man beim Lesen von Spammer-Foren gewinnen muss. Es ist alles da: Planlosigkeit, Nicht-Lesen-Können, lu5t1g3 Schreibweisen, ...
Interessant wird es hingegen, wenn man die in Postings eingeschleusten Datenpunkte verbindet und sich daraus einige betriebswirtschaftliche Kennzahlen zusammenstellen lassen.
Die URL zu dem Spam-Forum möchte ich hier nicht direkt verlinken – wir wollen ja kein Google-Karma verbessern. Es handelt sich um we we we punkt spam forum punkt biz. Der Pseudo-Disclaimer auf der Einstiegsseite ist amüsant, besonders der Punkt, in dem verschiedene Benutzer ausgeschlossen werden sollen (Angestellte von SPEWS und ähnliches). Die Angaben im Forum selbst sind mit grösster Vorsicht zu geniessen. Gerade die Zahlen zu angeblichen Erfolgen und Umsätzen erscheinen mir äusserst zweifelhaft. Häufig dienen diese Zahlen dazu, weitere Spammer von den eigenen Leistungen zu überzeugen und denen irgendwelche Dienste zu verkaufen. Angesichts der sprichwörtlichen Ehrlichkeit in diesem Gewerbe… nunja.
Adresslisten
Adresslisten werden in Blöcken von einer bis fünf Millionen Adressen verkauft; dabei wird zwischen “GI” (General Interest), AOL- und Adult-Adressen unterschieden. Einige wenige bieten auch differenziertere Adressen an, wobei es fraglich ist, ob die Adressen tatsächlich dem Angebotenen entsprechen.
Die Spannweite der Preise pro Million ist sehr hoch (von 1 USD/Mio bis 55 USD/Mio), die meisten Listen bewegen sich jedoch zwischen 15 und 25 USD/Mio.
Kosten für den Mailversand
Ein sehr grosser Teil von Spam wird über offene Proxies versandt, die zuvor über Würmer und Viren verteilt und installiert wurden.
| Anzahl Proxies |
% in RBLs |
Preis (USD/Monat) |
| von |
bis |
| 1’000 |
2’000 |
k/A |
600 |
| 700 |
1’200 |
60% |
300 |
| 20’000 |
30’000 |
k/A |
3’600 |
| 3’000 |
5’000 |
k/A |
600 |
| 30’000 |
k/A |
250 |
Die Kosten sind also so um die 0.2 bis 0.3 USD/Monat/Proxy, wenn wir grosszügig runden.
Mengengerüst
Mit den Zahlen um die versendeten Mails (pro Monat, Woche) scheint grösste Vorsicht angebracht. Der eine fordert “Mailers” (zu den Begriffen s. weiter unten) mit 10 bis 20 Mio Mails/Monat, andere reden von um die 5 Mio Mails/Monat.
Die Durchschnittsgrösse von Mails in meinen Spam-Foldern liegt bei 4.8 KByte. Bei 10 Mio Mails/Monat gibt das ein Transfervolumen von rund 45 GByte. Ein Internetanschluss mit 50 Kbyte/s schafft bei 24/7 und Volllast so um die 120 GByte/Monat, wenn ich mich nicht verrechnet habe. 10 Mio Mails/Monat sind also mit einer gut rotierten Proxy-Liste locker machbar.
Kosten für Server
In aller Regel muss ein Spam-Mail auf eine URL verweisen, ab der dann eine allfällige Transaktion stattfinden kann. Um eine solche URL genügend lange (dh. zumindest bis zum Ende des Spam-Runs, und wohl etwa 24 Stunden darüber hinaus) am Leben zu halten, werden Bullet Proof Webserver angeboten, die (angeblich) von den Providern nicht abgehängt werden.
Daneben benötigen Spammer in der Regel auch Server für andere Zwecke, etwa zum Suchen nach offenen Proxies (“Scanning Server”) oder zum direkten Versand von E-Mails (“Direct Mailing Server”).
“Direct Mailing Server” sind die teuersten (1’200 USD/Monat in China, 1’500/Monat in Panama); wahrscheinlich braucht es hierzu die direkte Komplizenschaft eines Provider-Mitarbeiters, und der wird sich für sein Wegschauen bezahlen lassen. “Scanning Server” sind ebenfalls recht gefährdet und somit nur in kleinerem Masse im Angebot – zu haben um die 800 USD/Monat. “Hostingserver” sind die billigsten. Ohne die Möglichkeit des Reselling sind sie ab 159 USD/Monat zu haben, was ungefähr doppelt so viel ist wie für ”übliche” Servermiete.
Angebot
Es gibt eine internationale Arbeitsteilung im Spam-Business:
- Sponsors liefern die Produkte, respektive bezahlen für neue Kunden.
- Hoster besorgen die (“Bullet Proof”) Server.
- VXer sorgen über Viren und Würmer für neue Zombie PCs.
- Mailers schliesslich sind für das eigentliche Senden verantwortlich.
- Listbroker und Harvester sorgen für (frisches?) Adressmaterial, falls der Mailer nicht selbst tätig ist.
Natürlich gibt es bei dieser Aufteilung Überschneidungen und Übergänge, aber im wesentlichen sind das die jeweiligen Aufgaben. Für die einzelnen Produkte gelten die folgenden Richtpreise:
| “Geöffnete E-Mail” (entspricht einer verifizierten Adresse) | 1 USD/1000 |
| Sypware Installation (“User clickt auf ‘Yes’”) | 15 USD/1000 |
| “Landing” (User hat auf Link geclickt) | 50 USD/1000 |
| Mortgage Lead (Hypothekenanmeldung) | 12-16 USD/Lead |
| Diploma Lead (Anmeldung für gefälschten akademischen Titel) | 12 USD/Lead |
1+1 = ?
Wenn ein Spammer damit prahlt, dass er 2’000 USD/Monat Umsatz macht, braucht er dazu ungefähr 125 bis 150 Mortgage oder Diploma Leads oder 40’000 Landings. Ersteres entspricht bei 10 Mio Mails/Monat einer Response-Rate von 0,0000125 bis 0,000015 Prozent, letzteres 0,004 Prozent.
Zur Erzielung dieses Umsatzes muss unser Kleinspämmerlein ungefähr mit folgenden Kosten rechnen: 300 USD/Monat für die Proxies zum Versenden; für 10 Mio Adressen ca. 150 USD (die sich allenfalls über einen längeren Zeitraum und mehrere Spamruns amortisieren lassen). Im Spam-Business treiben sich hauptsächlich Abzocker und Betrüger herum (das Forum ist denn auch voll von Warnungen und Befürchtungen vor Scammern…). Angesichts dessen müssen die Kosten prinzipiell mit einem Faktor erhöht werden – 1,5 scheint realistisch zu sein (jeder zweite Kauf bringt nicht das gewünschte Ergebnis). Damit kommt man auf externe Kosten von (300+150) * 1,5 = 675 USD. Dazu kommt allenfalls noch Spam-Software (die hingegen häufig geklaut sein dürfte), eigene Internetanschlüsse und Transaktionsgebühren, womit ungefähr die Hälfte des Umsatzes weg sein dürfte.
Somit gilt auch für Spammer, was für kleinere Selbständige in der IT-Branche als Richtwert gelten kann: jeden Franken, den man als Verdienst will, muss man doppelt Verdienen. Bei dem Beispiel oben sind übrigens noch keine Steuern und Sozialabgaben enthalten…
Weitere Datenpunkte
Spammer brauchen unter Umständen noch weitere Mittelsmänner zur Verschleierung ihrer Tätigkeiten. Am ausgeprägtestens ist das bei Geldtransaktionen. Paypal und Western Union scheinen unter den Beteiligten des Spam-Business gängie Zahlungsmethoden zu sein; des öfteren scheinen sie auch “anonyme Kreditkarten” zu verwenden – das sind entweder gefälschte Kreditkarten oder, eher harmlos, gar keine Kredit- sondern Debitkarten (allerdings mit gefälschten Namen/Adressen).
Im Zahlungsverkehr mit den Kunden dienen in aller Regel Kreditkarten. Programmierer, welche Schnittstellen bauen, um eine direkte Verbindung zwischen dem Endkunden und dem Cardprocessor im Hintergrund zu verhindern, scheinen recht gefragt zu sein.
Die Spam-Industrie
Spam ist nicht mehr (nur) ein “Bizniz” von einigen skrupel- und hirnlosen Trailerpark-Bewohnern in Arizona, Florida, Regensdorf oder Wilen. Es ist eine gut organisierte Industrie mit bemerkenswerter krimineller Energie. Der Versand von Mails, also das, was die Betroffenen am Ende der Nahrungskette erleiden müssen, ist dabei nicht der entscheidende Ansatzpunkt für die Bekämpfung. Viel entscheidender ist meiner Ansicht nach ein Vorgehen auf drei Ebenen:
- Technische Massnahmen: Ganz klar sind Spamfilter (Blocklisten, statistische Filter, ...) weiterhin die einfachsten Methoden, auf die man nicht verzichten sollte. Die Filter sollten allerdings zurückhaltend konfiguriert werden, um nicht mehr Schaden anzurichten als sie Nutzen bringen.
- Aufbrechen der kriminellen Strukturen: Die Komplizenschaft zwischen Providern und “Hostern” muss bekämpft werden. Dazu braucht es Druck aus der Netzgemeinschaft auf die Nestbeschmutzer in den eigenen Reihen (jaja, ein frommer Wunsch) sowie strafrechtliche Verfolgung. “Korruption” wäre zum Beispiel ein guter, in vielen Jurisdiktionen auch strafrechtlich verwertbarer, Ansatz.
- Geldströme: Die meisten Umsätze von Spammern untereinander und mit den “Kunden” dürften eher selten in Steuererklärungen oder Mehrwertsteuerabrechnungen auftauchen; bei den sagenhaften Umsätzen, mit denen manche Spammer prahlen, dürfte da eine lohnenswerte Summe für Finanz-, Zoll- und Steuerverwaltungen herausschauen.
Die Bekämpfung der “Mailer”, diejenigen am Ende der Nahrungskette, wird man durch direkte Bekämpfung nicht wirklich los. Sie handeln nicht rational (denn bei einer rationalen Betrachtung würde ihnen klar werden, dass sie betriebswirtschaftlich unrentabel arbeiten), und sind somit auch den klassischen Anreizmechanismen (Strafandrohung, gesellschaftliche Ächtung) gegenüber nur begrenzt empfänglich.
Einen sehr informativen Artikel über das Spammer-Business hat Mathias Leisi mit Spam Biz geschrieben. Er stellt dabei die einzelnen Teile der 'Szene' vor und versucht Kennzahlen zu entwickeln, um zu erkennen wieviel Geld im Spiel ist und kommt zu dem...
Tracked: Sep 13, 17:01
Matthias Leisi hat das Spam Business analysiert. Lesenswert. Via Joern....
Tracked: Sep 14, 19:14
Weil ich mich dafür (oder besser dagegen) interessiere: Matthias Leisis Analyse des Spam-Business. (via Martin Röll)
Tracked: Sep 14, 22:33
analysiert bei . [via rll ]
Tracked: Sep 15, 18:29
Eine lesenswerte Analyse des SpamBiz zeigt das Geschäftsmodell der Spammer. Wer sich schon immer mal fragte, wie ein Spammer oder die dunklen Gestalten im Hintergrund sich ihre Dienste bezahlen lassen, wird hier fündig. Der Artikel zeigt auch, dass es sich hierbei um eine gut organisierte Industrie mit bemerkenswerter krimineller Energie handelt.
Tracked: Sep 16, 09:48
Matthias Leisi hat in seinem Blog einen interessanten Artikel über das Spam Biz geschrieben. Es geht allerdings nicht um die Frage, wie man selbst ins Geschäft einsteigen kann, sondern ist eine nüchterne Analyse, wie sich ein Spammer finanziert und warum sich mit Spam Geld verdienen lä�t.
Tracked: Sep 17, 16:22
Der Artikel ist zwar schon etwas älter, aber Matthias Leisi beschreibt in seinem Artikel Spam Biz sehr ausführlich das Spam Business. Methoden, Fachbegriffe und vor allem Verdienstmöglichkeiten. Aber nicht, das hier jemand anfängt sich ernsthaft Gedanken
Tracked: Oct 07, 22:49
Der Artikel ist zwar schon etwas lter, aber Matthias Leisi beschreibt in seinem Artikel Spam Biz sehr ausfhrlich das Spam Business. Methoden, Fachbegriffe und vor allem Verdienstmglichkeiten. Aber nicht, das hier jemand anfngt sich ernsthaft Gedanken drbe
Tracked: Oct 08, 14:28
I’ve previously written about the spamming industry, especially the cooperation between virus writers and spam senders. Unknown authors conducted an analysis of the Sobig worm and identified the individual likely responsible for that particular malw
Tracked: Oct 31, 21:43