Tomáš Charvát je majitelem společnosti Excello a přední expert na český boj se spammery. Služba VirusFree, kterou mimo jiné provozuje, je druhým největším příjemcem e-mailů v ČR a 3. největším na Slovensku. Společně jsme prošli témata jako jsou začátky antispamu v Čechách, množství odesílaných a příchozích e-mailů, doručitelnost e–mailů, kyber útoky, spamové pasti nebo jak počasí ovlivňuje intenzitu komunikace. Rozhovor si také můžete poslechnout jako podcast.
Nacházíme se ve vašem sídle na Václavském náměstí, jako první otázka mě napadá, co je vlastně předmětem vašeho podnikání?
Firma se jmenuje Excello a VirusFree je produkt, kvůli kterému byla v roce 2006 založená. Dodnes je jedním z nejdůležitějších. Excello je společnost, která se pohybuje v cyber security. Staráme se o bezpečnost firem. Produkt VirusFree měl na začátku stejnou ambici, jako má dodnes, a to poskytnout bezpečnost e-mailové komunikace firmám, které nemají na to, aby si vyvinuly vlastní řešení.
Co je posláním VirusFree?
Posláním je ochránit e-mailovou komunikaci společnosti. E-mail je nástroj, který všichni používáme denně pro komunikaci. Smyslem služby je, aby e-maily, které nám chodí, byly čisté. Abychom nedostávali spamy, viry nebo výhružné e-maily o tom, jak nás někdo natočil na kameru a chce po nás peníze. Naopak, cílem je, aby nám chodily e-maily, které chceme. Druhá polovina služby je opačným směrem – když my někomu píšeme e-mail, služba dělá všechno pro to, aby se správně doručil do inboxu a neztratil se.
Co stálo za první myšlenkou vytvořit aplikaci nebo rozhraní, které zabrání útokům?
První poptávka prvního zákazníka. Před 15 lety jsem byl v situaci, kdy jsem byl zodpovědný za správu sítě ve firmě a šéf řekl, že množství spamu v inboxu je neúnosné. Vymyslel jsem řešení, stálo mě to opravdu hodně nervů a úsilí a po dokončení implementace jsem věděl, že už to v životě nechci dělat. Bylo to těžké a složité. Zkoušel jsem si to na zkušebním prostředí, abych neohrozil produkční server.
Představa ohrožení produkčního serveru byla tak strašná, že jsem vymyslel spuštění přes server testovací. Tam se zrodila myšlenka. Ten večer jsem vyprávěl kamarádovi z IT, že to musím přenášet na produkční server a nechce se mi. Kamarád řekl, že řeší to samé a zeptal se, jestli by to přes můj testovací server nemohl spustit taky. V tu chvíli mi došlo, že těch, kteří nechtějí být odborníkem na antispam, bude víc. Nakonec jsem se do oblasti antispamu dostal na delší dobu a do větší hloubky.
Takže z první myšlenky: nechci, nikdy nebudu, se zrodilo menší poslání.
Zrodilo se menší poslání, dnes už větší poslání, které chrání miliony lidí a musím říct, že je to obor, který mě neuvěřitelně překvapil tím, jak je pestrý, složitý, zábavný a dynamický.
Nedávno jsem slyšel, že z České republiky odchází každý 160. spam a jsme v tomto proti světu poměrně produktivní.
Těžko říct, já vidím to, co útočí na české, slovenské a chorvatské uživatele. Česká republika se, co se týče produkce spamu, rozhodně nedostává do top 10.
Největší zdroje spamu jsou dva. Prvním zdrojem jsou infikované počítače nebo telefony uživatelů – botnety. Druhým zdrojem jsou černí e-mailoví marketéři, kteří sice nezneužívají počítače, ale nemají žádné souhlasy a stojí za hranicí zákona a regulí. Když se podíváme na množství infikovaných strojů, které šíří spamy, je jich absolutně nejvíc v Číně, Rusku a pak Vietnam, Taiwan, hodně zemí z Asie. ČR tam nefiguruje a třeba US taky ne. U černých komerčních spammerů, kteří si pronajímají server a nezneužívají někoho jiného, se těžko určuje, kdo za tím stojí.
Kolik přes vás projde e-mailů?
Hodně, chráníme 5 milionů koncových schránek a e-mailová aktivita je silně závislá na počasí. Nejvíc si lidi posílají e-maily v zimě kolem vánoc. Velký podíl kromě lidské komunikace má i e-mailový marketing. Nejméně e-mailů se posílá teď kolem prázdnin, teď máme propad. Rozdíl je přibližně 100 %. Provoz je teď na polovině toho, co bude na přelomu nového roku.
Jaké % je těch špatných e-mailů? Kolik jich denně zahodíte?
Denně doručíme přibližně 20 milionů e-mailů, které se doručují do inboxu nebo do spamu. E-mailů, které k nám směřují nebo by chtěly být doručeny, je mnohem víc. Číslo záleží na sezóně a na tom, jak agresivní je momentálně útočník. Osciluje mezi 60 – 120 miliony e-mailů za jeden den. Když je sezóna spamu a sezóna e-mailového marketingu, chodí na nás 120 milionů za den, ze kterých musíme vybrat 20. Ty pak doručíme do inboxu nebo do spamu.
A s tím zbytkem se stane co?
Zbytek zmizí v propadlišti dějin. Pokud e-mail doručuje server, vrátí ho odesílateli a ten se dozví, že e-mail nebyl doručen. Pokud ho doručuje infikovaný počítač botnetem, nedozví se nic.
Jak často se stane, že odhalíte velký kyberútok?
Média preferují specifické typy kybernetických útoku. Jsou útoky, které jsou hodně vidět a útoky, které jsou hodně nebezpečné. Ty, co jsou vidět, jsou případy, kdy začnou strašit botnety. V našem podání to znamená, že do nás začnou sypat e-maily a chtějí naše uživatele zahltit. Zažili jsme i 20-40 milionů pokusů zaslání e-mailů za hodinu. Intenzita každý rok roste. Nebezpečným typem útoků jsou cílené útoky na konkrétní firmy. Dneska se běžně stává, že útočníci dlouhodobě sledují komunikaci mezi dvěma firmami a ve správný okamžik se v komunikaci objeví faktura, které vypadá jako běžně, jen číslo účtu je jiné. E-mail většinou nepřichází z mailserveru, ale třeba z Brazílie. Stejný odesílatel, příloha, stejné obrázky, na první pohled to nikdo nemá šanci odhalit. Většinou si všimnou maximálně účetní nebo antispam, jelikož jde e-mail z jiného zdroje.
Druhý nejnepříjemnější útok v letošním roce – zneužití ukradené e-mailové korespondence mezi dvěma firmami. Zažili jsme to i my, konkrétně já. Máme servery v data centru, se kterým běžně komunikujeme a řešíme agendu. Řešili jsme naše připomínky k fakturaci. V dubnu se objevil e-mail, ve kterém byla historie toho, co jsme si psali s účtárnou a byla připsaná jediná věta: Zasíláme fakturu. Ta byla v jiném formátu, než obvykle, proto jsem ji ani neotvíral a rovnou poslal k analýze. Zjistilo se, že druhé firmě někdo hacknul servery a ukradl komunikaci o fakturách a reklamaci. Navázal na ni tím, že mi poslal, opět z Brazílie, e-maily, které já jsem opravdu v minulosti psal někomu a vložil mi do toho něco navíc. Jestli to byla falešná faktura nebo vir, to už jsem nezjišťoval. Tím, že e-mail přišel z Brazílie, byl podezřelý, systém to poznal a vyhodnotil jako spam.
I když byl e-mail označený spamem, byl jsem hodně na vážkách, jestli ho otevřít nebo poslat na analýzu. Tohle je asi nejnepříjemnější, co jsem zatím zažil – někdo kompromituje účty, zneužije informace a běžný člověk to nemá šanci poznat.
Pokud člověk neví, že se něco takového může stát, nemůže mu to docvaknout. Když se na to podívám ze svého pohledu, nikdy bych to v tom neviděl a nenapadlo by mě to. Takže chápu, že lidé fakturu zaplatí a tím to skončí, peníze jsou nenávratně ztraceny.
A občas se ještě nainstalují viry, které tam jsou. S tím souvisí třetí nejnepříjemnější případ, který je dneska už poměrně dobře vyřešený. Existují viry, které měly v sobě báječnou myšlenku. Útočníci vzali veřejně dostupné seznamy hacknutých účtů, ať už na Facebook, Linkedin, nebo jiné služby, které měly v minulosti obrovské úniky hesel. Seznamy hesel obsahovaly e-mailové adresy lidí, kterým ta hesla patřila. Útočníci pak na ty e-mailové adresy napsali něco ve smyslu: “Přistihli jsme vás, že děláte něco špatného a abyste věděli, že mluvíme pravdu, máme vaše heslo, které je tady (z úniku, veřejného zdroje). Jestli nechcete, abychom vám něco udělali, pošlete nám bitcoiny.”
Na začátku to byla extrémně úspěšná kampaň, která vydělala sta tisíce dolarů, dělali jsme na to analýzu s výzkumným ústavem v Rakousku, publikovalo se to jako vědecký článek, na obrovském data setu, kde jsme zmapovali, jaké peníze si útočníci vydělali a kam se poslaly. Dneska už je to poměrně jednoduše detekovatelné strojem a není to tak velké téma. Patří to mezi nejošklivější útoky prostřednictvím e-mailu, které jsme viděli za poslední rok.
Často se stává, že chodí e-maily z „bank“.
Evergreen, co jsem v oboru, tak chodí. Jsou triviální na přípravu. Útočníci si z webového serveru banky stahují obrázky a loga, na které jsme zvyklí koukat, vloží je do e-mailu, který kobercovým náletem sypou všem uživatelům e-mailu v zemi. Tyhle e-maily jsou dnes lokalizované – v Česku na české banky, Slovensku slovenské… Většinou chtějí, ať uživatelé kliknou na odkaz a ať se přihlásí na falešnou stránku. Odkazy jsou pro nás jednoduše odhalitelné a když dojde náš systém k závěru, že se jedná o e-mail, který se tváří, že by mohl být z banky, jsme mnohem přísnější a tolerujeme mnohem menší množství chyb nebo excesů. Pokusy tu byly, budou, není to tak nebezpečné, jako cílené útoky (faktury, komunikace).
Co můžu dělat pro ochranu e-mailu já jako běžný uživatel, existuje něco takového vůbec?
Záleží, před čím se chce člověk chránit. E-mail má 2 roviny. V první chci, aby si moje e-maily nemohl číst nikdo jiný, chci si psát důvěrnou komunikaci s někým dalším. Pak si můžu pořídit jeden ze standardů PDP, S/MIME, využít end to end šifrování. Ani freemailový provider, ani firma, nikdo nebude nikdy schopný tyto e-maily číst. V případě, že mi takhle kamarád pošle zašifrovaný vir, antivir ho nenajde. Je to nástroj pro lidi, kteří to s ochranou myslí smrtelně vážně a hrozí jim velká škoda, protože používat S/MIME není triviální a bere to uživatelský komfort.
Druhá věc, kterou má smysl se zabývat a co chránit, je přístup do e-mailové schránky. Tady uživatel může udělat poměrně málo k tomu, aby se poměrně dobře zabezpečil. Tzn. pokud používá freemail (Google, Seznam), může aktivovat dvou krokovou autorizaci (heslo, sms). Tu vřele doporučuji, kdyby někdo odposlechl heslo ze zavirovaného počítače, pořád nebude mít kód a ten telefon. Ano, musím při přihlášení počkat na sms a přepsat číslo, ale zase mám jistotu, že když mi někdo odposlouchává počítač, do schránky se nedostane.
Co doručitelnost e-mailů?
Velké téma, které se týká velkého množství firem. Když se u nás podíváme na e-mailový provoz, který k nám míří, 60 – 75 % všech e-mailů, které chodí do inbox nebo do spamu, jsou e-maily hromadné. Hromadný e-mail je poslaný jedním odesílatelem na velkou skupinu příjemců. Skupinou se myslí nějaké stovky a výš. Hromadné e-maily, tzn. e-mailový marketing, transakční e-maily a notifikační e-maily jsou samy o sobě velkým tématem. Stojí ohromné prostředky je zpracovávat, identifikovat kontrolovat a doručovat.
Aby lidé dostávali e-maily, které potřebují dostávat, namísto těch, které nechtějí dostávat a stěžují si na ně, existují určitá pravidla. Nejen u nás, ale i ve velkých firmách pro zasílání e-mailů – Yahoo, Centrum, Seznam, Google, VirusFree. Má je každý, jsou si nápadně podobná a míří na to samé.
Dokážu to ovlivnit třeba obsahem e-mailu?
Dokážete. Pravidla pro hromadné rozesílání pokrývají všechny části e-mailového světa, které je potřeba brát v potaz. A obsah je jeden z nich. Platí klasika jako je jednoznačná identifikace odesílatele. Na první pohled musí být evidentní, kdo e-mail posílá. Dále je potřeba se vyvarovat praktik jako šedý text na bílém pozadí. Nebo odhlášení se extrémně malým fontem. Vyžadovat při odhlášení od uživatele jméno a heslo…
Pokud jste firma, pravděpodobně píšete zákazníkům / partnerům / členům spolku nebo kroužku. Myslete tedy na to, že očekávají uživatelský komfort. Jestliže se chtějí odhlásit a není to jednoduché, jdete sami proti sobě. Uživatel si bude 2x-3x týdně stěžovat a to se stane předmětem opatření u nás. Musíme zajistit jeho spokojenost a pokud ji nezajistí odhlášení, zajistíme ji my.
Definitivně.
Definitivně, no. Samozřejmě bereme v potaz, kolik % uživatelů si stěžuje, jak často, jestli to není 1 uživatel, který si stěžuje tak, že smaže 50 e-mailů od jednoho odesílatele najednou. Existují chytří lidé, kteří se snaží algoritmy manipulovat. Na ty jsme ale také připraveni.
Jsme tady od toho, že když uživatel udělá akci, nebude ji muset opakovat. Každý, kdo píše e-mail, by pravděpodobně měl chtít, aby byl uživatel spokojený. Jednoduché odhlášení je tedy v zájmu všech. Zásadní věci v obsahu jsou tedy – odhlášení bez obstrukcí, neschovávat žádné texty, odkazy, identifikovat se, kdo jsem.
Spousta lidí si myslí, že e-mail marketing je mrtvý, co si o tom myslíš ty?
No, e-mail mrtvý není, objem komunikace stále roste. E-mail se sice přestal používat na rychlé chatování, ale v transakční komunikaci je e-mail stále absolutní jednička. Neexistuje protokol, který by e-mail mohl nahradit. E-mail nemá žádného konkurenta. A bude tady bezpečně i za 10 let. Už v roce 2008 tady byly řeči, že je mrtvý. Za celou dobu se ale nic neobjevilo, nic co by mělo šanci a jen by se neprosadilo.
Jen v ČR jsme viděli za 10 let neuvěřitelný e-mail marketingový nárůst. Firmy předtím dělaly marketing s heslem: čím více, tím lépe. Lidé pak byli neskutečně zahlcení e-maily od firem, o kterých v životě neslyšeli, na téma o které vůbec nestáli. Tento trend naštěstí pomalu končí. Přišlo GDPR, které mělo svůj podíl a začal nám tady lépe fungovat úřad na ochranu osobních údajů. Vidíme rozdíl v tom, že subjekty, které rozesílají e-maily a splňují pravidla – tzn. ti, kteří to dělají dobře, neubývají a zůstávají. Ti, kteří byli agresivní a nedělali to dobře, mizí. Trh e-mail marketingu se z našeho pohledu spíš kultivuje, než že by upadal. Taky je zásadní rozdíl ve firmách, které se systematicky zabývají tím, jak to dělat správně. Přístup ke klientovi i zodpovědnosti doručení e-mailu jsou pak absolutně jiné.
Ukázalo se, že pokud se dbá na doručitelnost a užitečnost obsahu, uživatel si na e-maily nestěžuje. Naopak ho zajímá, aby nechodily do spamu nebo hromadných, ale do inboxu. Pro ty, kteří chtějí dělat e-mail marketing, je klíčové si vybrat partnera, který tomu rozumí a je nohama na zemi. Ne partnera, který slibuje hory doly, tváří se, že je nejlepší, že má velké databáze a doručí všechno a rychle.
Super, mezi těmi veřejnými seznamy, ze kterých berou lidi e-maily bůhví kde, existují spamové pasti. Máte spamové pasti?
Máme, jsou zdrojem obrovského množství dat. Chodí nám do nich všechno možné – komunikace z botnetů, z infikovaných počítačů, chodí nám komunikace z e-mailových systémů, ze kterých chodí ten černý marketing. Občas tam chodí i komunikace, která by chodit neměla. Například od dobře zavedených e-mail marketingových agentur, které si před odesílkou zapomněly zkontrolovat, jestli seznam je aktuální a není 10 let starý. I tohle tam vidíme.
To, že se tam někdo jednou trefí ještě není důvod pro tvrdé závěry, i banky posílají do spamových pastí výpisy. Nedělají nic proti tomu, aby se ujistili, že jim jejich zákazník řekl správnou adresu při zakládání účtu. Občas se tam zkrátka někdo dostane, což je samo o sobě špatné, ale je potřeba hlídat, aby se tam nedostával pravidelně. Což zní trochu vtipně, protože nikdy nikomu neprozradíme, o jaké spamové pasti jde. Firmy by se ale měly zabývat tím, jak by ty pasti mohly vypadat a dávat si na to pozor. Velká nápověda je, že pokud 20 % příjemců ze seznamu, který chci použít neexistuje a emaily nešlo doručit, asi jsem doručil i do spamových pastí.
Co se stane, když trefím spamovou past? Ne tedy jen jednou, to jsi říkal, že se může stát.
Dělá se analýza toho, kdo to tam poslal, komu patří server a server dostane černý puntík. Pak se dělá analýza obsahu, kde se systém podívá na to, jaké odkazy tam jsou a kam vedou. Domény, které referují na odkazy, dostanou taky černý puntík. Sleduje se celkové množství černých puntíků. Tomu, kolik mají za to, že trefí spamové pasti, že si lidi stěžují nebo označují jako spam, se říká reputace. Když je černých puntíků dost, může se začít rozesílka přesouvat do spamu. Pokud puntíky stále přibývají nebo neubývají, jednou se může stát, že se e-maily nebudou doručovat nikam a vrátí se odesílateli. Může je pak maximálně vytisknout a poslat poštou.
Pošta má báječné opatření – stojí peníze. Kdyby posílání e-mailu stálo 20 Kč a my inkasovali za to, že ho doručíme, mohli bychom platit náklady na doručování černého spamu, ale řekněme si upřímně, kdo by poslal milionu lidem e-mail, o který nestojí, na zahradní hadice za 50 Kč a zaplatil za to doručení těch 20 milionů, který by zaplatil u české pošty. Nikdo. My bohužel tu bariéru nemáme, byly utopické myšlenky, že by se něco takového zavedlo, mně se to strašně líbilo, ale nedovedu si to představit. 🙂
Z těch množství e-mailů, o kterých jsi mluvil, si to taky nedovedu představit. Vzpomeneš si na něco v e-mail marketingu, co se vyloženě nepovedlo?
Vzpomenu, no. 🙂 Není to tak dávno, co jsme si uvědomili, že jsme s e-mailovým marketingem ještě nezačali, což je vtipné a zároveň to souvisí s tím, kdo je náš zákazník. Chtěli jsme být vždycky opatrní. Náš typický zákazník je IT manažer nebo IT ředitel. Nikdy jsme proto nedělali e-mail marketing nějak pravidelně. Je zajímavé, že nás to úplně minulo.
Už jste začali?
Už se na to připravujeme. 🙂
Ještě něco, co nepadlo?
Na trhu e-mailového marketingu je poměrně hodně firem, které poskytují služby. A je tu spousta firem, které by rády e-maily poslali. Firmy, které mají potřebu posílat e-maily často a nevědí, jestli je posílat sami nebo si na to najít partnera. Můj názor je, že pokud narazíte na pravidla hromadného odesílání a nerozumíte jim nebo se jimi nechcete zabývat, pak je to v pořádku, ale jste přesně ta firma, co by si toho partnera měla najít. Často vidíme, že firmy mají potřebu si e-mail marketing udělat na vlastní pěst a bojují s tím, je to za hranou jejich odbornosti. Navíc vůbec netuší, o čem je e-mailový marketing a co je jeho hodnota, co je zpětná vazba.
Pokud jste seriózní v e-mail marketingu, schopnost přizpůsobit se pravidlům je indikátor toho, jestli má nebo nemá smysl, abyste se tím zabývali sami. Pokud máte s e-mail marketingem potíže, nebo jste o tom nikdy neslyšeli, nebo se vám velké % e-mailů vrací, vezměte si někoho jako je SmartEmailing, zkuste si to s ním a uvidíte, jaký je to rozdíl a jaké budete mít výsledky.
