Bedrägeriet brukar kallas "pump and dump" eftersom det handlar om att pumpa upp en liten aktiebubbla och sedan sälja av. Ungefär 7 % av all skräppost är den här typen av bedrägerier.

Affärsidén går ut på att bedragaren investerar i en lågprisaktie och sedan skickar ut stora mängder skräppost för att lura andra att köpa. Budskapet [MP3] är att kursen kommer att stiga på upp på grund av någon omständighet som bara bedragaren känner till. När de godtrogna mottagarna köper så passar bedragaren på att sälja.

TechWorld Säkerhet: "Commtouch uppger att filerna oftast är runt 85 kilobyte stora, men uppåt 147 kilobyte har rapporterats. Ämnesraden är oftast något i stil med "Re" eller "Fwd". Den bifogade filen kan ha känslobetonade namn, som dadsong.mp3, oursong.mp3 eller weddingsong.mp3, namn på kända artister eller låtar som santana.mp3, bspears.mp3 och sayyourname.mp3, eller andra ljud av olika slag, så som coolringtone.mp3 och answeringmachine.mp3." (Min fetning)

Trenden att bilagorna i skräpposten blir allt större är ett problem i sig självt. På grund av de enorma volymerna som skräpposten utgör innebär även en liten ökning i den genomsnittliga meddelandestorleken en kraftig belastning på e-postsystemen.

Det bästa skyddet man kan ha som mottagare är försiktighet och sunt förnuft. Eftersom skräpposten vanligtvis är på engelska har vi som svenskar en extra fördel. Men nätfiske-attackerna mot Nordea visar att detta kan vara en falsk säkerhet. Tänk kritiskt och dubbelkolla hellre en gång för mycket.

Fyra femtedelar är skräp

Rapporten gäller tredje kvartalet 2007 och baseras på statistik från 35 miljoner användare i 130 länder. Statistiken visar att ca 80 % av e-posttrafiken som når systemen en genomsnittlig dag innehåller oönskad reklam. Under kortare perioder av ökad aktivitet kan denna andel stiga till över 95 %.

Nära en tredjedel av all skräppost innehåller reklam för läkemedel. På andra plats kommer reklam för det som rapporten lite diplomatiskt kallar "sexual enhancers" och på tredje plats hittar man reklam för fastighetslån och krediter. Totalt är strax över hälften av all skräppost sexrelaterad på ett eller annat sätt.

Reklam i PDF och Excel ökar kraftigt

Reklamnissarna för en ständig kapprustning mot skräppostskydden och hittar på allt fulare knep för att ta sig fram till inkorgen. I rapporten beskrivs de vanligaste metoderna som används just nu och det är faktiskt en riktigt fascinerande läsning.

Några metoder som är på uppgång är att bädda in reklam i PDF-dokument och Excel-kalkyler som på vid första påseende ser ut att vara vanlig normal affärskorrespondens. Eftersom användningen av dessa format är så utbredd i företagsvärlden kan en allt för aggressiv filtrering orsaka betydande problem.

Skadlig kod: länkar istället för bilagor

En del av skräpposten används också för att sprida skadlig kod. Trojaner kan till exempel gömmas i vanliga Office-dokument som utnyttjar säkerhetshål i Microsoft Office. En annan metod är att skicka med trojanen i ett lösenordsskyddat arkiv som e-postservern inte kan kontrollera.

Ett gott tecken är att sådana angrepp inte är lika framgångsrika som förr eftersom många användare har lärt sig att vara försiktiga med främmande bilagor. Tyvärr har angriparna redan anpassat sig och lockar med gratis spel eller roliga videofilmer om mottagaren bara besöker en speciell webbadress. Väl på sidan utnyttjas olika säkerhetsbrister i webbläsaren för att installera skadlig kod på maskinen.

Ett enda sådant angrepp kan utnyttja över 11 000 kapade datorer som utrustats med små webbservrar för att kunna leverera angriparens trojan. En annan oroväckande trend är att hackare tar sig in och lägger till enskilda sidor på välkända "säkra" webbplatser.

Botnets i superdatorklass

Verktyget som göra allt detta möjligt är de miljontals kapade hem- och företagsdatorer som står uppkopplade i gigantiska botnets. Det är vanligtvis Windowsmaskiner som har blivit infekterade med en mask/trojan som i tysthet lämnar över kontrollen över maskinen. Dessa trojaner har blivit allt mera avancerade och kan många gånger undgå upptäckt en längre tid.

De kapade maskinerna koordineras och tilldelas olika arbetsuppgifter, som t.ex. att skicka skräppost, utföra överbelastningsangrepp, fungera som servrar för olagligt material eller infektera fler maskiner. Sammantaget är beräkningskapaciteten och bandbredden hos dessa zombies jämförbar med världens ledande superdatorer.

Ett grundläggande problem med dagens e-postsystem är att man kan ange vem som helst som avsändare. Spammare utnyttjar systematiskt denna svaghet för att ta sig igenom skräppostfiltren genom att ange falska avsändare som innehåller väletablerade domännamn.

Förutom att spammarna ger någon annan skulden för utskicken så innebär det också att den angivna avsändaren får en störtflod av e-post som av en eller annan anledning inte har nått fram. Varje mottagare som inte existerar rapporteras som en "studs" till den påstådda avsändaren.

Eftersom spammarna använder egna e-postservrar för att skicka ut sitt skräp är det inte så mycket man kan göra åt saken. Man får helt enkelt försöka filtrera bort så mycket som möjligt av skräpet automatiskt. Majoriteten är också ganska lätt att filtrera bort, men tyvärr finns det alltid en liten risk att ett och annat riktigt meddelande också stryker med. I så fall ber jag om ursäkt.

Trots ny lagstiftning är skräpposteländet värre än någonsin. Inte ens de fall där avsändaren är stora välkända svenska företag har lagen någon märkbar effekt.

Computer Sweden: "Konsumentverket har fått 72 121 anmälningar om obeställd e-postreklam sedan spamlagen trädde i kraft för tre år sedan. Av dem har en enda lett till rättsliga åtgärder. [...] I september 2004 hotade Konsumentverket företaget Novamedia Bingolotto med 200 000 kronor i vite för att ha skickat spam, ett ärende som lades ner sedan företaget lovat bättring. [...] 2005 kontaktade Konsumentverket elva svenska företag som bröt mot bestämmelserna, men efter att företagen skyllt på tekniska problem eller bristande kontroll lämnades ärendena utan någon ytterligare åtgärd."

Av detta kan man dra slutsatsen att det tydligen är fritt fram för svenska företag att skicka skräppost utan att de behöver oroa sig för några större konsekvenser. De som åker fast kan bara skylla på oförstånd eller något lynnigt datorsystem.

Med ett så respektlöst hanterande av över 70 000 klagomål är det totalt meningslöst att anmäla skräppost till Konsumentverket. Då kan man använda tiden bättre genom att lära sig hur man filtrerar bort vissa avsändare i sitt e-postprogram.

Det var väl ingen (som förstår hur nätet fungerar) som förväntade sig att den svenska skräppostlagen skulle ha någon som helst inverkan på skräppost från utlandet. Men den svenska oförmågan att hålla rent framför egen dörr är rent skrattretande.

Min gissning är lagförslaget mot överbelastningsattacker kommer att visa sig precis lika verkningslös.

Licensen OSP innebär att vem som helst får använda tekniken utan kostnad, så länge man går med på att teckna ett licensavtal och inte har någon rättstvist med Microsoft. Om detta är tillräckligt för att standarden ska gå att använda med programvara som utvecklas under GPL återstår att se. Men det är nog en förutsättning för att Sender ID ska bli riktigt användbart i praktiken.

MARID-gruppen övervägde redan för två år sedan Sender ID som en Internetstandard för att bekämpa skräppost. Det verkade vara en bra lösning som kombinerar det bästa från Sender Policy Framework (SPF) och Microsofts Caller ID.

Problemet var bara att Microsoft påstod sig ha flera breda mjukvarupatent på tekniken bakom Caller ID. De vägrade att släppa kravet att varje utvecklare måste teckna ett eget licensavtal för att få implementera den blivande standarden. Frågan om patent- och licenskraven lär enligt ryktet ha gått hela vägen upp i hierarkin och avgjorts av Bill Gates själv.

Arbetsgruppen gav till sist upp när det visade sig att Microsofts patent även kunde omfatta tekniken i konkurrerande SPF. Så det blev ingen gemensam standard för hur man ska bekämpa skräpposten.

Nu försöker Microsoft åter att få acceptans för sin skräppost-teknik. Kanske lyckas det att sy ihop något som alla kan leva med denna gång. Synd att det inte gick att komma överrens redan för två år sedan.