Ich bekomme auf verschiedene Adressen zig Spam- bzw. Scam-Mails pro Tag. Verschiedene Spamfilter sortieren sie aus. Aber mich hat etwas verwundert …
Contents
Meine Beobachtung
Ab und an gucke ich aber in die Junk-Folder, z.B., weil ich befürchte, dass etwas falsch positiv eingestuft wurde. Und dabei fällt mein Blick auf in jeder Hinsicht schlechte Mails:
- Grammatik und Rechtschreibung sind teils unterirdisch, bis zur Unverständlichkeit.
- Die Semantik ist oft nicht erkennbar — ich weiß gar nicht, was die Mail von mir will. Manchmal ist nicht Mal ein Link enthalten.
- Schon im Betreff werden Sonderzeichen verwendet, die nicht darstellbar sind.
- Betreff und Inhalt passen nicht zusammen (Subject: „Ukrainische Schönheiten warten“, Inhalt: Du hast ein iPhone gewonnen!).
- Absendende Mailadresse und unterzeichnende Person passen nicht zusammen (von Kati Meier, aber gezeichnet als MRS SANDERSON).
- usw.
Das alles führt mich zur Vermutung: Es geht bei diesen Mails nicht darum, dass sie „funktionieren“, also dass ich auf etwas hereinfalle und dann abgezockt werde. Denn sonst würde mehr Aufwand für Inhalt, Design, Glaubwürdigkeit etc. aufgewendet. Bei diesen Mails ist nicht einmal wahrscheinlich, dass jede 100.000ste empfangende Person darauf hereinfällt. Man müsste zufällig jemanden mit 4,00 Promille erwischen, der dennoch seine Kreditkartendaten eingeben kann.
Aber worum geht es dann?
Ein paar Vermutungen:
- Adressen verifizieren: Es geht eigentlich um Adresshandel. Wer versehentlich remote content aus der Mail nachlädt, verifziert seine Adresse, und damit wird sie wertvoller. (Was die Kaufenden dann damit anfangen, ist eine andere Frage. Vielleicht gut gemachten Scam hinschicken?)
- Wachsamkeit senken: Wenn man täglich 33 schlechte Scam-Mails erhält, fühlt man sich überlegen und lässt die Deckung fallen. Kommt dann mal eine gute, fällt man leichter darauf rein.
- Die McAfee-Verschwörung: Eigentlich geht es darum, Userinnen und User permanent mit den „Gefahren des Internets“ zu konfrontieren. Auch, wenn sie das durchschauen, haben sie dann ein erhöhtes Sicherheitsbedürfnis, dem sie mit kommerzieller Software begegnen können. Dazu passt auch, dass ich mindestens eine „Rechnung Nr.5751306 fur abgelaufene ᗰᑕᗩᖴEE-Antivirus“ am Tag bekomme: Das verankert den Namen. Der Schlangenöl-Industrie würde ich das auch absolut zutrauen.
- Es geht um etwas ganz, ganz anderes. Irgendjemand hat ein Interesse, den weltweiten Mail-Verkehr aufzublähen oder so. Troll-Farmen testen damit ihre Software. Ich weiß auch nicht.
Was sagt die Literatur zur Qualität von Spam & Scam?
Ich bin, wie sich herausstellt, nicht der erste, der sich diese Frage stellt. Da draußen finden sich diverse „Artikel“ zum Thema, die einem dann meistens Software Lösungen gegen Scam verkaufen wollen. Dort gibt es eine mindestens partiell sinnvolle Theorie.
Die offizielle Variante
However, the reason why phishing emails have so many typos is simple—they’re intentional and are included by design. The scammer’s goal is to send phishing emails to a very gullible, innocent victim. If they have typos, they’re essentially weeding out recipients too smart to fall for the scam. (Quelle)
Diese offizielle Erzählung (auch z.B. bei Business Insider) erscheint mir aber nicht vollständig. Sie erklärt *relativ* schlechte Scams, bei denen man vielleicht wirklich versucht, nur sehr dumme Opfer rauszufiltern. Aber es erklärt nicht die völlig brenolen Mails, die z.T. nicht einmal einen Link enthalten. Und es hat vielleicht vor einigen Jahr(zehnt)en funktioniert, als Scam/Spam noch „neu“ war — aber ich bezweifle, dass man damit heute überhaupt noch Leute erwischt. Klar, niemand will lange Konversationen mit Leuten, die am Ende nicht auf den Scam reinfallen, aber bei der beschriebenen Qualität wären wir bei einem Treffer pro 10.000.000 Mails oder so.
Weitere Ideen
They might include typos to bypass your email inbox’s security filters or to make messages seem more relatable or authentic. (Quelle)
Ich glaube, das Argument zieht nicht mehr; mein Thunderbird-Junk-Filter erkennt seit Jahren quasi alles recht zuverlässig. Ab und an kommt eine neue Masche, aber das ist in zwei Klicks trainiert. Weiter:
Sometimes, the sender [might not speak the language](https://rehack.com/featured/anti-phishing-training-how-to-stop-phishing-in-its-tracks/) they’re writing in, which explains typos, grammatical errors and strange phrases or sentences. (Quelle)
Das finde ich unwahrscheinlich, zumindest, seit es Google Translate, DeepL etc. gibt. Da fällt immer ein besserer Text raus als das.
Warum ist „Nigeria“-Scam erfolgreich?
Es gibt ein Microsoft-Paper „Why do Nigerian Scammers Say They are from Nigeria?“ (Dabei fällt auf, dass Microsoft diese Seiten mit WordPress betreibt. Interesting.)
Antwort: „By sending an email that repels all but the most gullible the scammer gets the most promising marks to self-select, and tilts the true to false positive ratio in his favor.“ D.h., man gibt sich als nigerianisch aus, weil das niemand glaubt. Hm. Glaub ich so nicht.
Und nun?
Ich teile zumindest den Part der „offiziellen Geschichte“, dass die Typos und Fehler keine Fehler sind, sondern intendiert. Aber das erklärt das Phänomen, finde ich, nur partiell. Am sympathischsten finde ich ja die Idee, dass die Antiviren-Industrie da Stakes drin hat. Eigentlich sollte man das mal erforschen, aber vermutlich ist die Frage schwer zu operationalisieren. Und noch schwerer dürfte es sein, Täter und Opfer zu finden, die davon erzählen.