Spaceship Blog

E-posta spam'inin evrimi

İlk spam e-posta, 1978 yılında Gary Thuerk tarafından yaklaşık 400 kişiye gönderildi. E-posta, DECSYSTEM-20 bilgisayarları için bir broşür içeriyordu. İnanılmaz derecede başarılı oldu ve yaklaşık 13 milyon dolar satış getirdi. Ayrıca e-postayı müşterilere ulaşmak ve ürün satmak için yeni bir kanal olarak öne çıkardı.

E-posta spamine bakmanın iki yolu vardır.

  1. Gelen kutunuza düşüyor, sil'e tıklıyorsunuz, bunda bu kadar büyütülecek ne var?

  2. Gelen kutunuzun ve içine düşenlerin ön cephede yer aldığı uluslararası bir kedi-fare oyunu; büyük teknoloji şirketleri, devlet kurumları ve suç örgütleri güvenliğiniz, dikkatiniz ve banka hesabınız için savaş veriyor.

İkinci bakış açısı kulağa dramatik gelebilir, ama size birkaç baş ağrısından ve belki biraz paradan tasarruf ettirecekse, anlamaya değer, değil mi?

Şey… her şey konserve et kutusuyla ilgili bir şakayla başlıyor.

Spam e-posta nedir ve neden buna spam denir?

Spamın olabileceği birçok şey vardır: reklamlar, dolandırıcılıklar, gereksiz bültenler, liste uzayıp gider. Ama spamın olmadığı tek şey davet edilmiş olmasıdır. Yazın ilk anılışında ortaya çıkan bir sivrisinek sürüsü gibi, spam neredeyse her zaman toplu halde gelir. Talep edilmemiştir, istenmez ve fazlasıyla sinir bozucudur.

Peki ama neden adını domuz omzu ve jambondan yapılan bir konserve et kutusuyla paylaşıyor? Bunun için, “spam” kelimesinin tekrar tekrar, neredeyse delilik noktasına kadar tekrarlandığı ünlü bir Monty Python skeçine teşekkür edebiliriz. Bu, “spam”i durmaksızın gelen ve istenmeyen şeylerin sembolü haline getirdi. 1993'te zeki bir internet kullanıcısı bu fikri aldı ve tekrarlanan gönderi selini spam olarak tanımladı; voilà, isim kaldı.

Ama tuhaf kökenlerine rağmen, kelimenin kendisi spamın ne kadar zarar verici olabileceğini ya da ondan kurtulmanın ne kadar zor olduğunu yansıtmaz –. Sivrisinekler gibi, spam e-postalar da cihazlarınızda büyük hasara yol açabilecek tehlikeli içerikler taşır. Gelen kutunuzun şüpheli reklamlarla dolmasının kişisel verileriniz için oluşturduğu riski ve bunun getirebileceği migreni saymıyoruz bile. Ama tarihi anlamak yardımcı olur. Spamın gelen kutunuza nasıl girdiğini anlayabilirseniz, onu dışarıda tutma konusunda daha iyi iş çıkarırsınız.

Spam Türü

Örnek

Reklam spamı

Promosyon e-postaları

Kimlik avı

Sahte banka giriş e-postaları

Kötü amaçlı yazılım spamı

Kötü amaçlı ekler

Dolandırıcılık e-postaları

Sahte piyango veya miras dolandırıcılıkları


İlk spam e-posta ne zaman gönderildi?

Peki spam posta nereden geliyor? İlk spam e-postanın internet daha ortada yokken gönderildiğini öğrenince şaşırabilirsiniz. Gizemli bir suç grubundan gelmedi, yeni bir bilgisayar serisini satmaya çalışan tek bir pazarlamacıdan geldi ve ister inanın ister inanmayın, milyonlar kazandırdı.

1978'de pazarlama müdürü Gary Thuerk, internetten önce gelen askeri ağ ARPANET üzerinden yaklaşık 400 kişiye bir e-posta gönderdi. Mesajı, yeni DECSYSTEM-20 bilgisayarlarıyla ilgili bir sunum için tanıtım niteliğindeydi. E-posta yaklaşık 13 milyon dolar satış getirdi, ancak onu alan neredeyse herkesi de rahatsız etti.

Spam tarihine dair bu hikâyenin en ilginç kısmı, e-postanın ne zaman gönderildiği değil, e-posta spamının arkasındaki iki ucu keskin kılıçtır. Bir yandan, yüzlerce, binlerce hatta milyonlarca kişiye gönderilen reklamlardan kazanılabilecek dudak uçuklatan miktarda para vardır. Ama spam çok açık bir şekilde sinir bozucudur. Ne yazık ki bu, spamın çalkantılı tarihi boyunca peşini bırakmayacak itme-çekme ilişkisidir.

Spam onlarca yıl içinde nasıl evrildi?

Google ve Microsoft koruması çağında büyüyecek kadar şanslıysanız, spamı gelen kutunuzdan çıkarmanın daha çok manuel bir iş olduğu internetin ilk günlerini hatırlamıyor olabilirsiniz.

E-posta spamının evrim zaman çizelgesi

Yıl

Olay

1978

Gary Thuerk ilk spam e-postayı gönderir

1994

“Green Card Lottery” spam kampanyası

1996

MAPS blackhole listelerini başlatır

2003

CAN-SPAM Act yürürlüğe girdi

2000'ler

Botnet'ler ve kimlik avı patlama yaşar

2010'lar

Yapay zekâ filtreleme gelişir

2020'ler

Yapay zekâ tarafından üretilen kimlik avı ve spam artar


1980'ler–1990'lar: E-postanın vahşi batısı

1983'te, George Orwell'in totaliter bir süper devlet öngörüsünden bir yıl önce, çok farklı bir şey şekilleniyordu. İlk kez birden fazla bağımsız ağın birbiriyle bağlanması mümkün hale geldi ve bu da bugün ağların küresel ağına, yani bizim internet demeyi sevdiğimiz yapıya temel oluşturdu.

Sonraki on yıl içinde milyonlarca yeni kullanıcı çevrimiçi oldu ve e-posta adresleri oluşturmaya başladı. “Bunu yapamazsınız” diyecek merkezi bir otorite yoktu ve e-posta temelde ücretsiz bir reklam kanalı olarak hizmet edebiliyordu. Neredeyse sıfır maliyetle binlerce, hatta milyonlarca kişiye gönderilen tek bir mesaj.

Sonuç ne oldu? 1990'larda spam patlama yaşadı ve onu kontrol etme çabaları da öyle. 1994'te avukatlar Canter & Siegel, kötü şöhretli “Green Card Lottery” reklamlarını binlerce Usenet grubunda yayımladı; bu, genellikle ilk büyük ticari spam kampanyası olarak görülür. Savunmalar da kısa süre sonra geldi. Mail Abuse Prevention System (MAPS), bilinen spam sunucularından gelen postaları engelleyen ilk Real-time Blackhole List'i 1996'da devreye aldı ve Spamhaus gibi gruplar, spam gönderenleri dışarıda tutmak için engelleme listeleri oluşturup istihbarat paylaştı.

2000'ler: Spamın karanlığa geçtiği on yıl

2000'ler milenyumun sonunu işaretlemiş olabilir, ancak birçok kişi için gelen kutularını dolduran sinir bozucu e-postaların gerçek başlangıcıydı. Google, Yahoo ve Microsoft spamı durdurma kervanına katıldı. Ama artık mesele basit reklamlar ya da çabuk zengin olma planları değildi; spam daha karanlık bir hâl alıyordu. Spam gönderenler, büyük ölçekte spam göndermek için virüs bulaşmış bilgisayarlardan oluşan ağlar olan “botnet”leri kullanmaya başlamıştı.

Hükümetler devreye girme zamanının geldiğine karar verdi. 2003'te ABD, CAN-SPAM Act'i (Controlling the Assault of Non-Solicited Pornography and Marketing) yürürlüğe koydu. Bu yasa, spam gönderenleri abonelikten çıkma taleplerine uymaya ve aldatıcı konu satırlarından kaçınmaya zorladı, ancak işin püf noktası sorumluluğun hâlâ alıcıların abonelikten çıkmasına dayanmasıydı. Avrupa ise daha katı davrandı. AB, e-posta pazarlaması için bir opt-in sistemi kurdu; bu da şirketlerin önce izin almadan ticari e-posta gönderemeyeceği anlamına geliyordu.

2000'ler, spamı tanımlayan kedi-fare oyununun gerçek patlamasına sahne oldu. Spam gönderenler yeni numaralar icat ediyor, savunmacılar da bunlara karşı koymanın yollarını buluyordu. Örneğin Bayes filtreleme, bir e-postadaki kelimeleri tarar, olasılıkları hesaplar ve bunun gereksiz posta mı yoksa gerçek mi olduğuna karar verir. İlk çıktığında, e-posta sağlayıcılarının spamı bastırabilme biçiminde bir dönüm noktasıydı. Bill Gates 2004'te spam sorununun iki yıl içinde çözüleceğini bile öngörmüştü. Ama her zamanki gibi, spam gönderenler uyum sağlamakta gecikmedi.

Spam savaşının ileri geri gidişine dair örnekler:

Modern dönem: Spam düşünmeyi öğrendiğinde

Stephen Hawking bir zamanlar insanların bir gün yapay zekâ için, köpeklerin insanlar için olduğu şey olabileceği konusunda uyarmıştı; ayıltıcı bir düşünce. Ve bu kulağa kasvetli gelse de, yapay zekânın yükselişinin buhar makinesinin icadı kadar dönüştürücü olabileceğini söylemek abartı değildir. Bu yüzden yapay zekânın, spamdan kâr etmeye çalışanlarla onu kontrol etmeye çalışanlar arasındaki mücadeleyi şekillendirmesine şaşmamak gerekir. Fark şu ki, geleneksel spam filtrelerinin aksine yapay zekâ öğrenebilir ve uyum sağlayabilir.

Buradaki ironi şu ki dolandırıcılar, spam e-postalarını geliştirmek için üniversite öğrencilerinin sınavlarını geçmekte kullandığı araçların aynısını kullanıyor. Yapay zekâ araçlarından önce spam e-postaları yazım hataları, dil bilgisi yanlışları ve bariz kırmızı bayraklarla doluydu. Şimdi ise büyük dil modelleri sayesinde kusursuz dil bilgisine, yerelleştirilmiş tona ve kişiselleştirilmiş kancalara sahip spam e-postaları toplu halde gönderilebiliyor. Dolandırıcılar 10’000 aynı e-postayı göndermek yerine 10’000 biraz farklı e-posta gönderip sansürden kaçabiliyor. Metni spam puanlamasını simüle eden modellerden geçirerek saldırganlar, mesajlarını “güvenli” görünene kadar ince ayar yapabiliyor.

E-posta devleri de aynısını yapıyor. Yapay zekâ ve makine öğrenimini yalnızca içeriği taramak için değil, gönderen davranışını, ağ sinyallerini ve hatta mesajların bağlamını analiz etmek için kullanıyorlar. Örneğin Gmail artık yeni alan adlarından gelen ani e-posta patlamaları veya bilinen kimlik avı tuzaklarını taklit eden içerikler gibi şüpheli kalıpları tespit edebiliyor ve yeni spam kampanyalarını durdurmak için gerçek zamanlı olarak uyum sağlayabiliyor.

Spamın e-posta ve işletmeler üzerinde ne etkisi oldu?

Spam postanın köken hikâyesine ve Monty Python'dan gelen adaşına dönersek, tema basitti: sinir bozucu. O zamanlar spam tam olarak böyle görülüyordu. Ancak geçen on yıllar içinde çok daha tehlikeli hale geldi. Yanlış bağlantıya tıklamak artık virüsler veya ciddi mali kayıplar anlamına gelebilir.

Ve risk altında olanlar yalnızca bireyler değil. 2000'lerden bu yana dolandırıcılar daha büyük hedeflerin peşine düşmek için karmaşık yöntemler geliştirdi. Bu planların birçoğunun, sonuçların ne kadar ciddi olabileceğini hafife alan akılda kalıcı lakapları bile var.

İşletmeleri hedef alan spam örnekleri:

Toplu spam ve dolandırıcılıklar – Toplu e-postalar, sinir bozucu reklamlardan sahte piyangolara veya “Nijeryalı prens” planlarına kadar her gün gelen kutularını doldurmaya devam ediyor. Düşük seviyelidirler ama gelen kutularını kalabalıklaştırırlar ve yine de çalışanları kandırabilirler.

Kimlik avı e-postaları – Güvenilir markaları taklit eder ve kullanıcıları sahte sitelere çeker. Bir zamanlar beceriksizce hazırlanırken, bu kimlik avı e-postaları artık cilalı, otomatikleştirilmiş ve gerçeğinden ayırt edilmesi zor hale geldi.

Hedefli kimlik avı ve whaling – Belirli çalışanları kandırmak için gerçek isimleri veya projeleri kullanan hedefli saldırılar. Üst düzey yöneticiler hedef alındığında buna “whaling” denir ve getirisi çok büyük olabilir.Business Email Compromise (BEC) – Suçlular, çalışanları para transferi yapmaya veya veri göndermeye kandırmak için CEO, tedarikçi ya da İK gibi davranır.

Kötü amaçlı yazılım ve fidye yazılımı – Spam çoğu zaman kötü amaçlı ekler veya bağlantılar taşır. Tek bir tıklama virüsleri ya da fidye yazılımını serbest bırakabilir, tüm sistemleri kilitleyebilir ve işletmelere milyonlara mal olabilir.

Ama asıl tehlike, sonuçların ölçeğinde yatıyor. Spam çok büyük ölçekte zaman kaybına neden olur. Çalışanların e-postaları ikinci kez düşünmesi ya da yöneticilerin yanlış alarmları araştırması. Bunların hepsi üretkenliği aşındırır.

Spamın gerçek maliyeti

FBI, yalnızca Business Email Compromise'ın 2013 ile 2022 arasında 50 milyar doların üzerinde kayba yol açtığını tahmin ediyor. Bu yüzden spamla mücadele gelişmeye devam ediyor. Filtreler artık anahtar kelimelerin ötesine bakarak kalıpları, ekleri ve hatta gönderen davranışını tarıyor. CAN-SPAM ve GDPR gibi yasalar, onay ve şeffaflık etrafında kurallar koyuyor. E-posta sağlayıcıları da SPF, DKIM ve DMARC gibi korumalar ekleyerek saldırganların olmadıkları biri gibi davranmasını çok daha zor hale getirdi.

Bugün spamla nasıl mücadele ediyoruz?

Modern spam filtreleri yapay zekâ ile çalışır ve makine öğrenimiyle desteklenir. Gönderen davranışını ve mesajın bağlamını analiz edebilir, ardından gerçek zamanlı olarak uyum sağlayabilirler.

Ama farkındalık hâlâ önemlidir. En iyi spam filtreleri olsa bile, çalışan eğitiminin spamı durdurmanın önemli bir parçası haline gelmesi gerekir.

Kendinizi spam e-postalardan nasıl korursunuz?

Günümüzde şirketler, insanlara yavaşlamayı, kırmızı bayrakları fark etmeyi veya harekete geçmeden önce talepleri doğrulamayı öğreten düzenli farkındalık programları yürütüyor. Bunlardan bazıları şunlardır:

Tıklamadan önce düşünün

Kendini kanıtlamış tavsiyeler burada hâlâ geçerlidir. Beklemediğiniz bir e-posta aldıysanız ve göndereni tanımıyorsanız, rastgele bir bağlantıya tıklamayın. Gerçek hedefi önce önizlemek için masaüstünde bağlantının üzerine gelebilir veya mobilde uzun basabilirsiniz. Bağlantı adresi ile gerçek adres farklıysa, bu bir kırmızı bayraktır.

Bir e-posta bağlantısına tıklamaya karar verirseniz, URL'nin yanındaki asma kilide aldanmayın; bu, sitenin güvenli olduğu anlamına gelmez. Asma kilit yalnızca birinin bağlantıyı şifrelediğini doğrular. Ne yazık ki bir kimlik avı sitesi de meşru bir site kadar kolay bir şekilde SSL sertifikası alabilir.

Göndereni doğrulayın 

Bir e-postadaki görünen ad her zaman gönderenin gerçek kimliği değildir. Bunun nedeni, herkesin bunu tamamen farklı bir şeyle değiştirebilmesidir. Gerçek kimliği doğrulamak için e-postanın geldiği tam e-posta adresini kontrol etmeniz gerekir.

Bazen bu barizdir; örneğin e-posta ucuz, tek kullanımlık ücretsiz bir e-posta hizmetinden geliyorsa. Ama her zaman bu kadar kolay değildir. Saldırganlar genellikle @p4ypal.com gibi birkaç karakteri değiştirerek e-postaları gizler. E-postanın gerçek olup olmadığından emin değilseniz, en iyisi resmî iletişim kanallarına başvurmaktır.

SPF, DKIM, DMARC sunan bir sağlayıcı seçin

Spam söz konusu olduğunda, SPF, DKIM ve DMARC e-posta kimlik doğrulamasında altın standarttır. Alan adınızdan gönderilen e-postaların gerçekten sizden mi yoksa bir taklitçiden mi geldiğini anlamanın en iyi yoludur. SPF, e-postanın sizin adınıza gönderim yapmasına izin verilen bir sunucudan geldiğini kontrol eder. DKIM, kurcalamaya dayanıklı bir imza ekler; böylece mesaj yolda sessizce değiştirilemez. DMARC ise bu ikisini bir araya getirir ve bir mesaj kontrolden geçemezse alıcı sunucuya ne yapması gerektiğini söyler.

İyi haber şu ki bunların hiçbirini elle kurmanız gerekmiyor. İyi bir e-posta sağlayıcısı bunu sizin için yapmalıdır. Bu yüzden e-postanızı nerede barındıracağınıza karar verirken, standart olarak SPF, DKIM ve DMARC desteği sunan bir sağlayıcı arayın.

2FA kullanın

2FA hesabınıza ikinci bir güvenlik katmanı ekler. İki faktörlü kimlik doğrulama anlamına gelir ve temel olarak kim olduğunuzu tek bir şey yerine iki şeyle kanıtlamak demektir. İlki parolanızdır, ikincisi ise telefonunuz, bir kimlik doğrulama uygulaması, parmak izi veya bir güvenlik anahtarı olabilir.

Bu, parolanız çalınsa bile saldırganın ikinci doğrulama biçimine sahip olmadan hesabınıza erişemeyeceği anlamına gelir. Herhangi bir 2FA, hiç 2FA olmamasından iyidir. Bunu sunan e-posta sağlayıcılarını arayın ve e-postanızdan başlayarak mümkün olan her yerde etkinleştirin.

Eklere karşı dikkatli olun

İnsanlar meraklıdır ve saldırganlar bundan faydalanır. Kendinizi korumanın en iyi yolu, beklemediğiniz e-posta eklerini açmaktan kaçınmaktır. Bunlar tanıdığınız birinden gelse bile bu geçerlidir. Çünkü hesaplar sık sık ele geçirilir ve gönderenler taklit edilir.

PDF'lere, Word ve Excel belgelerine, ZIP ve RAR arşivlerine, HTML dosyalarına, ISO disk görüntülerine ve özellikle .exe dosyalarına her zaman ekstra dikkatle yaklaşın. Şüphe duyduğunuzda, herhangi bir şeyi açmadan önce ayrı bir kanal üzerinden gönderenle teyit edin.

Ekibinizi eğitimli tutun

Sonuçta saldırılar söz konusu olduğunda son savunma hattı insanlardır. Filtreler, kimlik doğrulama ve ek taraması pek çok şeyi durdurur, ancak içeri sızan mesajlar bir insanı kandırmak için tasarlanmıştır.

İşte burada eğitim büyük fark yaratabilir. En önemlisi, şirketler dünkü saldırılar için değil, bugünün saldırıları için eğitim vermelidir. Bu da yalnızca e-posta değil; yazım hatası içermeyen yapay zekâ yazımı tuzaklar, deepfake ses ve video ile SMS, QR kodları ve MFA istemleri üzerinden yapılan dolandırıcılıklar anlamına gelir. 

Sıkça sorulan sorular

İlk spam e-postası, internetin öncülü olan ARPANET üzerinde 1978'de gönderildi. Gary Thuerk adlı bir pazarlamacı, yeni bilgisayarların tanıtımını yapmak için 400 kişiye bir e-posta gönderdi. E-posta milyonlarca dolar kazandırdı ama birçok insanı da rahatsız etti.

Spam e-posta, e-posta yoluyla aynı anda çok sayıda kişiye reklam yapmanın ucuz bir yolu olarak başladı. İlk internetin çok fazla kuralı yoktu ve neredeyse hiç harcama yapmadan binlerce gelen kutusuna ulaşmak kolaydı.

İsim, “spam” kelimesinin durmadan tekrarlandığı bir Monty Python skeçinden gelir. İlk internet kullanıcıları, istenmeyen mesajlardaki aynı tür tekrarı tanımlamak için bu terimi benimsedi.

Spam, reklamlar ve zincir mektuplar olarak başladı ve oltalama, kötü amaçlı yazılım ve büyük ölçekli dolandırıcılıklara dönüştü. Günümüzde yapay zeka, spam gönderenlerin cilalı ve kişiselleştirilmiş mesajlar yazmasına yardımcı oluyor; bu yüzden filtrelerin ayak uydurabilmek için daha gelişmiş hale gelmesi gerekti.

2000'lerin başına gelindiğinde spam, dünya genelindeki tüm e-posta trafiğinin neredeyse yarısını oluşturuyordu. Hükümetler CAN-SPAM Act gibi yasalarla devreye girdi ve Yahoo, Microsoft ve Google gibi büyük sağlayıcılar daha güçlü savunmalar geliştirdi.

Modern spam filtreleri, yalnızca anahtar kelimelerden fazlasını taramak için yapay zeka ve makine öğrenimini kullanır. Gönderen davranışına, ağ sinyallerine ve mesaj kalıplarına bakarlar; örneğin yeni bir alan adından gelen ani bir e-posta patlaması veya bilinen oltalama tuzaklarını taklit eden içerik gibi, ardından yeni spam kampanyalarını engellemek için gerçek zamanlı olarak uyum sağlarlar. 

Oltalama spam'i, sizi kötü amaçlı bir bağlantıya tıklatmak veya hassas bilgileri paylaşmanızı sağlamak için güvenilir bir marka ya da kişiyi taklit eder. Oltalama e-postaları eskiden yazım hataları ve bariz tehlike işaretleriyle doluydu, şimdi ise cilalı ve fark edilmesi zor.

Spam, reklamlar, gereksiz bültenler veya sahte piyango teklifleri gibi her türlü istenmeyen toplu e-postadır. Oltalama ise, güvendiğiniz biri gibi davranarak verilerinizi veya paranızı çalmak için tasarlanmış bir spam türüdür. Her oltalama spamdir, ancak her spam oltalama değildir.


Önerilen makaleler

Düşüncelerinizi paylaşın

10 karakterden fazla gereklidir.
Herkese açık görüntüleme için kimliğiniz.
E-posta adresinizi sağlamak isteğe bağlıdır. Üçüncü taraflarla paylaşılmayacaktır.

Blogumuzu geliştirmemize yardımcı olun

Düşüncelerinizi hızlı bir iki dakikalık anketle paylaşın.

Geçerli bir e-posta gereklidir