המסר העיקרי הוא - הודעות הספאם גורמות לבזבוז זמן יקר בארגונים ולפגיעה מצטברת בפרודוקטיביות העובדים שלהם. הטכניקות להפצת הספאם משתנות ומשתכללות ללא הרף ומנסות להדביק כל הזמן את התפתחות תוכנות הספאם כדי להערים עליהן. מודעות להיקפי התופעה ומכלול נזקיה, מחייבת התייחסות רצינית ומתן מענה אמיתי לאיום זה.
נתוני חברות האבטחה מעידים על עלייה מדאיגה בתעבורת הספאם. בספטמבר 2006, תפסו הודעות ספאם 85.58% מהודעות הדואר (SoftScan). בזבוז זמן עובדים במחיקת הודעות מיותרות, בארגון שאינו מוגן היטב מספאם, מתבטא באובדן פרודוקטיביות מצטבר, יקר ונרחב.
מעבר לזמן המתבזבז על מיון ומחיקת דואר לא רצוי, עלולים לאבד דואר לגיטימי עקב שימוש לא מדויק בתוכנות סינון וכן לפתוח פתח לנזקים נוספים, עקב התפתות עובדים להיענות לדיוור פרסומי לא מורשה.
המגמות הבולטות
מגמות מרכזיות בספאם, כוללות: שימוש בתמונות כדרך להערמה על מסנני הספאם; ריבוי ושינוי כתובות השולח; שימוש במחשבי זומבי הנשלטים מרחוק; שינויים ברמת הענישה והתייחסות רצינית יותר של ממשלות במדינות רבות; שינוי בפיזור מקורות הספאם (אם בעבר רוב הספאם הגיע ממדינות המערב ומארצות הברית, כיום הם מגיעים ממדינות רבות במזרח אירופה, באסיה ומסין).
עדכון אחרון כולל שימוש נרחב בקובצי PDF.
כל המגמות האלו מובילות לשינויים והתפתחויות רבים במלחמה בספאם. כך למשל: תוכנות דואר רבות מציעות כיום יכולות הגנה מספאם בצורה מובנית (כמו Thunderbird). יאהו ו-AOL מתכננות ליצור סביבה נקייה מספאם באמצעות תשלום סמלי שיגבה משולחים, שאינם ספאמרים, אשר מעוניינים שהודעותיהם ישלחו מבלי לעבור דרך מסנני הספאם של החברה כך שלא יחסמו בטעות. The Can-Spam act הוא חוק אנטי ספאם אמריקאי מ-2003, שמתבטא בהדרגה בשטח.
בין האירועים הבולטים בתחום נזכיר את Blue security, חברה ישראלית שניסתה להשיב מלחמה כנגד הספאמרים ושלחה תלונה אוטומטית לאתר הספאמר בתגובה לכל הודעת ספאם. התוצאה הייתה מתקפה קשה על שרתיה, עד שהחליטה להפסיק את פעילותה ושינתה כיוון עסקי. פרשת Spamhaus היא אירוע בולט נוסף, בו נתבעה חברת האנטי ספאם הבריטית על שהכניסה לרשימה השחורה שלה את חברת e360 Insight, ונקנסה ב-11.71 מיליון דולר. Spamhaus הודיעה שלא תפעל לפי הוראת בית המשפט האמריקאי, מאחר והיא חברה בריטית.
התפשטות התופעה, מעידה גם על כך שלא מעט ארגונים משתמשים בספאם לשיווק. צעד זה פוגע בהם בטווח הארוך, במיוחד במדינה קטנה כישראל.
אל מול האיומים, מציעות חברות האבטחה שלל פתרונות, המסייע לצמצם את התופעה, גם אם לא לבטל אותה לחלוטין.
המוצרים המובילים
כפי שהזכרתי, יש סל רחב של פתרונות להתמודדות עם הספאם שהולך ומשתכלל בהדרגה. באופן מיוחד נזכיר את: טרנד מיקרו (Trend Micro) המציעה פתרון אבטחה ארגוני בשם NeatSuite; מיקרוסופט רכשה את Sybari, שכעת מפתחת עבורה שורת כלים לסינון ספאם, בהתבסס על תוכנת Antigen; מק'אפי מציעה את McAfee SpamKiller for Mail Servers החוסם את הודעות הספאם כבר בשרתי דואר מסוג Microsoft Exchange או Lotus Domino; קומטאץ' (Commtouch) מציעה פתרון אנטי ספאם אשר על פי מחקרים שונים הוא בעל שיעור טעויות הזיהוי הנמוך בתעשייה; Barracuda Networks מציעה פתרון בשם Spam network appliance הכולל מערך Raid של 4 דיסקים בקיבולת GB300 ותמיכה בעד 25,000 משתמשים פעילים; CA מציעה אתeTrust Anti Spam; Clearswift מציעה את MIMEsweeper SMTP appliance, התקן מבוסס לינוקס, בעל יכולת לעבד אלפי הודעות בזמן אמת ולדחות שולחים לא רצויים; Spam alarm היא תוכנה בסיסית לסינון ספאם; SpamPal הוא פתרון חינמי ויעיל לסינון ספאם. מסמן דואר החשוד כספאם ומשאיר לשיקול המשתמש, כיצד לטפל בהודעות אלו.
הטכניקות בהן נעשה שימוש, מתעדכנות ללא הרף ומנסות להדביק את קצב התפתחות דרכי ההפצה וההערמה על תוכנות הסינון. ניסיון לצמצם זאת קרוב יותר למקור, מתבטא במגמה העולמית של חקיקת חוקים נגד שליחת ספאם ותביעות משפטיות נגד ספאמרים.
חקיקה מתקדמת
במקומות רבים בעולם הוגדר הספאם כלא חוקי כבר בתחילת שנות ה-2000. בשנת 2003 נחקקו בארצות הברית שורה של חוקים אשר הגבילו משמעותית את פעילות הספאמרים ב-51 מדינות. באוסטרליה נחקקו חוקים נוקשים נגד הפצת דואר זבל ונוספו קנסות מוגדלים בשיעור של עד 1.1 מיליון דולר אוסטרלי כנגד מי שיעסוק בספאם. בישראל עדיין אין חקיקה בנושא אך ניראה תהליך של התחלת חקיקה.
כך למשל בהמשך להצעת חוק שגובשה על ידי המועצה לצרכנות ב-2003, העלה ח"כ רומן ברונפמן הצעת חוק, שאמורה הייתה להיות תיקון לחוק הפרטיות, שיעסוק בספאם, בה כל הודעת דוא"ל שנשלחה לכתובת ללא הסכמת המכותב, תחשב עבירה על החוק ופגיעה בפרטיות. הצעה חדשה יותר שהועלתה על ידי גורמים במשרד התקשורת ניסתה להרחיב את חוק התקשורת האוסר על משלוח הודעות מסחריות בפקס ללא אישור גם להודעות באימייל.
בהיעדר חוק מפורש בישראל נכנסו בתי המשפט לעובי הקורה. שני מקרים בולטים הם של לקוחה שתבעה את חברת הסלולר שלה על שקיבלה הודעות SMS לא רצויות וקיבלה פיצוי כספי על כך ותביעה של ספקית האינטרנט 012 קווי זהב כנגד מפיץ הספאם אמיר גנס. במקרה של גנס הגיעו השניים להסדר ובו 012 קווי זהב ויתרה על דרישתה לפיצוי אך על גנס וחברת ניו אפרוץ' נאסר להשתמש בשרתי 012 קווי זהב.
צפי לעתיד
דו"ח קומטאץ' מצביע על שיא של כל הזמנים בהיקפי הספאם ברבעון השלישי של 2006, עם 3.5 מיליון "תבניות התקפה" (גל ספאם מסוים) ליום. מעל 20% מכך, הוא ספאם מבוסס תמונה. הנושאים הפופולאריים ביותר הם שיווק תרופות (27%), מניות (18%), אביזרי מין (12%) והצעות פיננסיות (11%). כבר ב-2003, העריכו כי ספאם עשוי לעלות לארגונים בכל שנה $600-$1,000 למשתמש, באובדן פרודוקטיביות (Basex). Ferris Research העריכה לאחרונה, שעלות הספאם היא 50 מיליארד דולר בשנה, לכל הארגונים בעולם ביחד.
סיכום
בעוד שלא נראית באופק הכרעה לכיוון כזה או אחר, ברור שמדובר במטרד כלכלי משמעותי, שכל מנהל מחשוב חייב להתייחס אליו, ולמצוא את המינון שבו הוא רוצה ויכול להתייחס אליו.
התקציר לקוח מתוך תחקיר pCon בשם ספאם - מי ינצח?.
הרחבות, ראיונות עם מומחים, טיפים מעשיים וקישורים להעמקה ניתן למצוא בכתובת -
http://www.pcon.co.il/v5/Debrief.asp?debrief=787
למאמרים מקצועיים ואובייקטיביים נוספים של קובי שפיבק, בתחומי מידע מחשבים ואינטרנט, באתר "מאמרים" ראה - http://www.articles.co.il/author/1944
קובי שפיבק Bsc., MBA הוא העורך הראשי של תחקירי pCon ואתר pCon-line. כמי שעוסק במחשבים, על מכלול היבטיהם משנת 1976 וכן כמי שכתב וערך למעלה משמונה מאות תחקירים על כל היבטי המחשוב העיקריים, הוא נמנה על אותם אנשים בודדים בארץ ובעולם, שבאמת ובתמים, מבינים לאן הולך עולם המחשוב ומהן השלכותיו המידיות והעתידיות, על אנשים וארגונים. הוא גם פרסם מספר רב של מאמרים במרבית העיתונים הגדולים והמקצועיים, והופיע פעמים רבות בערוצי הטלוויזיה והרדיו המרכזיים. נכון להיום הוא מייעץ למרבית מנהלי המחשוב בארגונים המובילים בישראל, והוא נחשב בעיני רבים, לגורו של המחשוב העסקי.
