Ingezonden persbericht

News Flash

Taalgebruik in spamberichten volgt zelfde patroon
Bepaalde woorden komen steeds terug in spamberichten

Brussel, 23 maart 2010 - Over het internet circuleren zeer diverse soorten spam, maar toch kan men in deze chaos bepaalde patronen herkennen. Een van de manieren om dergelijke patronen te vinden, is door naar de woorden te kijken die het meeste voorkomen in spam. Als we een willekeurig staal nemen van spam die in een bepaalde week wereldwijd wordt verspreid, dan zien we een allegaartje aan onderwerpen. Bij nader toekijken, merken we dat bepaalde woorden toch vaker voorkomen dan andere. We kunnen dit grafisch op de volgende manier
weergeven (hoe groter een woord, hoe vaker het voorkomt):
Het valt op dat de meest voorkomende woorden vrij algemeen zijn, maar wel bijna altijd oproepen tot onmiddellijke actie. De lezer moet het gevoel krijgen dat het dringend is. 5 van de 6 meest gebruikte woorden worden bijvoorbeeld gevolgd door een uitroepteken. Spammers willen ons graag doen geloven dat de situatie dringend is. Hoe minder de lezer over de inhoud nadenkt, hoe kleiner de kans dat hij beseft dat iemand hem probeert op te lichten.

De diverse botnets onderscheiden zich door hun profiel van de algemene spam. Hun woordkeuze is meestal beperkter, omdat zij een kleiner aantal onderwerpen behandelen. De verklaring ligt in de manier waarop botnets worden gebruikt. Spammers betalen botnetbeheerders of "herders" (die via botnets malware verspreiden en de geïnfecteerde computers controleren) voor het gebruik van hun botnet. Botnets kunnen immers veel grotere mailvolumes uitsturen dan individuele spammers. Bovendien is bij een botnet de kans dat de spammer wordt opgespoord en vervolgd veel kleiner. Er is immers niet één enkele spambron te vinden. Aangezien alleen de hoogste bieders het botnet mogen gebruiken, verzendt een botnet in een bepaalde periode mails over slechts enkele onderwerpen, afkomstig van het beperkte aantal spammers dat in staat is om voor het gebruik van het botnet te betalen. De onderstaande afbeeldingen bevatten de meest voorkomende woorden van 4 van de 5 belangrijkste botnets en een voorbeeld van een e-
mail van elke botnet.

Bobax is lichtjes verschillend van de eerste drie, aangezien er in deze spam meer woorden voorkomen. Toch valt het nog op dat de meeste spam van deze botnet over een specifiek thema gaat.

Cutwail, de laatste van de 5 belangrijkste botnets, gaat anders tewerk dan de overige 4. Deze botnet beperkt zich niet tot een klein aantal onderwerpen, waardoor sommige woorden veel meer voorkomen dan andere, maar verzendt bijna gelijke aantallen spamberichten over zeer diverse onderwerpen. De reden hiervoor zou kunnen zijn dat Cutwail niet alleen in overvloed standaard spamberichten verstuurt, maar zich ook leent voor de verspreiding van veel malware. Cutwail is bijvoorbeeld verantwoordelijk voor de meeste e-mails die de Bredolab-malwarereeks proberen te verspreiden. En als je malware verspreidt, is het logisch dat je vaak van onderwerp verandert. Het onderwerp dient immers om de aandacht van de internetgebruikers te trekken, dus hoe meer verschillende onderwerpen je gebruikt, hoe groter de kans dat de e-mail (en de attachment ervan) worden geopend. Andere botnets proberen daarentegen iets te verkopen. Het onderwerp moet dus gaan over het aanbod en hoewel de formulering wel kan verschillen, gaat het meestal over dezelfde woorden in een andere volgorde of met andere beelden.

Bij Cutwail-spam valt op dat de woorden onderling veel minder in grootte verschillen dan bij de andere botnets en dat er ook veel meer woorden in deze spam voorkomen:

Het voorbeeld van Cutwail laat ook zien dat er aan de tekst van hun e-mails veel meer aandacht wordt besteed. De spam van de andere grote botnets wil de gebruiker alleen maar naar een website lokken. Er zit dan ook heel weinig tekst in, één of twee regels, en een link. Maar Cutwail wil iets anders bereiken. Zij moeten de lezer zover krijgen dat hij de attachment opent. De mail moet er dus zo echt en betrouwbaar mogelijk uitzien. Soms kopiëren ze zelfs tekst uit echte e-mails of van websites voor eigen gebruik. Daarom zijn de e-mails die Cutwail gebruikt om malware te verspreiden langer en in behoorlijk Engels opgesteld. In Cutwail-spam is de variëteit van de woorden ook groter.

Over Symantec
Symantec is wereldwijd leider in infrastructuursoftware die bedrijven en consumenten meer vertrouwen geeft in de huidige wereld van het internet. Het bedrijf helpt klanten bij de beveiliging van hun infrastructuur, informatie en interacties door middel van software en services die een oplossing bieden voor de risico's van beveiliging, beschikbaarheid, IT-naleving en -prestaties. Het hoofdkantoor van Symantec is gevestigd in Cupertino, Californië en het bedrijf heeft vestigingen in 40 landen. Meer informatie op: www.symantec.com

###