Spammer con sito web

Caso pratico num. 5



In molti casi, può anche essere che gli spammer siano "pesci piccoli" che, di notte in uno stanzino, fanno girare il loro software con un normale collegamento dial-up. Ogni tanto, costoro devono cercare un nuovo provider e, una volta esauriti tutti quelli della loro zona, si spera che considerino l'eventualità di cambiare mestiere.

In questo caso vedremo degli spammer un po' più industrializzati e con una presenza in rete meglio organizzata. Un caso tecnicamente non più complesso dei precedenti (anzi, per certi aspetti più semplice), ma certamente più delicato sul piano delle azioni da intraprendere. Si tratta di un caso che evidenzia come, spesso, sia importante e decisivo lo sforzo collettivo e la pressione esercitata dalla comunità antispam.

In questo caso ho ricevuto diversi messaggi di spam, che non sto a riprodurre tutti. Il primo di questi, però, merita senz'altro la riproduzione integrale: è interessante leggerlo, per rendersi conto fino a quale punto certuni possano arrivare.

Return-Path: <ALEX@gisnet.net>
Received: from fes3.cs.mio-isp.it (mail2.mio-isp.it [194.243.xxx.yyy])
    by mbox.altronome-mioisp.it (8.8.5/8.8.5) with ESMTP id JAA25885;
    Fri, 24 Apr 1998 09:28:51 +0200 (METDST)
From: ALEX@gisnet.net
Received: from 153.35.239.202 (1Cust74.max13.san-francisco.ca.ms.uu.net [153.35.239.202])
          by fes3.cs.mio-isp.it (8.8.4/8.8.4) with SMTP
      id JAA24820; Fri, 24 Apr 1998 09:28:42 +0200 (MET DST)
Date: Fri, 24 Apr 1998 09:28:42 +0200 (MET DST)
Message-Id: <199804240728.JAA24820@fes3.cs.mio-isp.it>
To: .WKYS@fes3.cs.mio-isp.it
Subject:  40 MILLION EMAIL ADDRESSES  CHEAP PRICE!!!
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
X-UIDL: ee953a7b8cd8798f43436464d00bb190

40 MILLION EMAILS FOR SALE  super low price!

Our Fresh Addresses Will Bring You 
Incredible Results!


http://207.93.198.x/webhost

If you REALLY want to get the word out regarding
your services or products, Bulk Email is the BEST 
way to do so, PERIOD! Advertising in newsroups is 
good but you're competing with hundreds even THOUSANDS
of other ads. Will your customer's see YOUR ad in the 
midst of all the others?

Bulk Email will allow you to DIRECTLY contact your
potential customers. They are much more likely to
take the time to read about what you have to offer 
if it was as easy as reading it via email rather
than searching through countless postings in 
newsgroups.

There is a secret to effective Bulk Email...HIGH
QUALITY LISTS! There are SO many companies offering 
bulk email lists that are months old and it's not
uncommen for HALF of those addresses to be outdated
and undeliverable. Also, most companies offer lists
that they have compiled from addresses extracted from
newsgroups, THE WORST PLACE TO GET ADDRESSES FROM!

Why? Simple, most people that post messages in news-
groups KNOW that their addresses might be extracted
so they use FAKE addresses resulting in undeliverable
messages.

You can now get FRESH, HIGH QUALITY lists of addresses
that have NOT been extracted from newsgroups! Our lists
are compiled of addresses that we have extracted from 
member directories and help forums where you CAN NOT
use fake email addresses! Also, our lists are LESS than
1 month old and are CONSTANTLY updated to remove dupes
and undeliverables! 

Our emails can be downloaded at a web site or be shipped to your home in disks.  Our emails are in text 
form, one line per email.  This form is compatible with Pegasus, Eudora, Microsoft email programs, and 
many other popular email softwares. 

We believe that if you have a great product or service for everyone, you should let everyone know.  Do it 
cost effectively today!  Sending emails doesn't cost you one cent!  In just one night, millions of people will 
know about your company or your corporation.  Market your company by reaching 40,000,000 (40 million) 
fresh customers for only $79.00!!!!


Special Sale!  Buy the 40 Million email addresses today and receive Email Xxxxxx Professional Version 
FREE! Email Xxxxxx Pro is 4 programs in one!  (This message is sent by Email Xxxxxx.  You can too send 
out mass sales letters professionally.)

Email Xxxxxx is an extremely fast mass emailer (150,000 emails per hour with modest Pentium) that does 
four things:

1) Collects email addresses from newsgroups, web sites, or from AOL member files by key words and by 
specific interests.
2) Mail out your sales letters with automated friendly addressing (example: Dear John, Dear Nancy, etc.) 
Ramdomizes from and to field.  One push of a button does it all. Guarantee no cut and paste.
3) Have capability to remove email addresses of people who don't like emails.
4) Post your sales letters to THOUSANDS OF NEWSGROUPS WITH A PUSH OF A BUTTON --- within HALF 
AN HOUR!!

Email Xxxxxx and Email Addresses are your best sales tools! If you have a good product, you will be rich 
in no time.

Call today (415)nnn-n825.  All for $79. Not a penny extra.

Call today (415)nnn-n825.  Technical support available 24 hours. Emails are updated regularly. 

We can accept Visa or Master Card. 


http://207.93.198.x/webhost

Or, simply print this form and fill it out.  Mail it along with $79 check or money order to:

Alex Chiu
PO BOX jkjkjkj
San Francisco CA  94116
(415) nnn-n825

Upon the receipt of your payment, you will immediately be instructed via email or by phone on how to 
download the fresh email addresses.


Name: _________________________________

Address: ________________________________________

_________________________________________________

Telephone number: ___________________________

Email address: ______________________________

-----------------------------------------------------

------------------------------------------------------

Don't want to email millions of people yourself?  No problem.  I can do it for you professionally!  I mail out 
two million emails for you within 3 days for $129!!  Tell me what kind of customer you would want, and I will 
set the target with my highly targeted list.  A mere $129 service includes:

Email two million people. (targeted prospects)
Post advertisement on 2000 newsgroups.
telephone recommendations and technical support on how to make money on the internet.

I guarantee you this is a great way to start your own company on the internet.  Few months later, you will 
be like me making $5000 a month with internet!  Call (415) nnn-n825 if you have any question.

Tralasciamo il lato comico della cosa, ossia venire a proporre a me di diventare uno spammer, e passiamo agli aspetti tecnici. L'indagine degli header è molto semplice: il tipo era collegato su un dial-up della UU Net (uno dei maggiori provider americani), dalla zona di S. Francisco. Non ha usato relayer né altri server SMTP: il software di cui si è avvalso (e che offre in omaggio ai suoi clienti) effettua quindi tutte le operazioni necessarie per l'invio a tutti i destinatari. Software di questo genere (in pratica, una specie di server SMTP con funzioni specifiche per l'invio massiccio di spam) viene normalmente definito "rapid fire" o RFMS (rapid fire mail server program) o anche "direct-to-MX", in quanto agisce collegandosi direttamente al mail exchanger di ciascun destinatario.

Si tratta di un tipo di programmi che, in certi periodi, ha conosciuto grande popolarità presso gli spammer, erroneamente convinti che bastasse non usare nessun server per essere impossibili da individuare. L'avvento delle liste dei blocchi di indirizzi IP adibiti a dial-up (di cui la prima fu MAPS-DUL) diede un primo colpo alla pratica del direct-to-MX, in quanto consentì di bloccare molto facilmente questo tipo di connessioni. Un altro grosso colpo venne dalla tendenza, adottata soprattutto da molti grossi provider americani, di attuare il "port 25 filtering", ossia bloccare a livello dei router di frontiera qualsiasi tentativo di connessione dai propri nodi dial-up alla porta 25 di qualsiasi indirizzo di altre reti. Il port 25 filtering è una soluzione discutibile, in quanto esistono anche usi legittimi di mailserver esterni alla rete del provider cui si è connessi, tuttavia ha consentito a varie reti di risolvere situazioni a cui l'abuse desk non riusciva più a far fronte.

Riguardo ai reclami, è ovvio che dovremo scrivere alla UUnet (il cui indirizzo abuse non è standard: al tempo di questo spam era fraud@uu.net, tempo dopo è stato cambiato in abuse-mail@uu.net). Però stavolta c'è qualcosa di più. La cosa nuova è che, stavolta, nello spam viene pubblicizzato un sito web.

Quando si riceve spam pubblicizzante un sito web, non basta colpire l'account da cui è stato inviato il messaggio. Bisogna anche informare l'organizzazione che ospita o che fornisce connettività al sito in questione, con l'obiettivo di ottenerne la chiusura o, almeno, la diffida a pubblicizzarlo mediante spam. Se infatti l'account usato per spammare venisse anche chiuso ma il sito rimanesse, sarebbe da prevedersi la continuazione dello spam tramite nuovi account usa e getta. E' pure importante visitare il sito per meglio capire chi si ha di fronte: si possono scoprire altre cose interessanti. Per esempio, se sul sito figurasse un banner della LinkExchange sarebbe il caso di informare anche quelli della LinkExchange, che revocherebbero la affiliazione a quel sito. Va naturalmente tenuto presente che la maggior parte dei servizi di free hosting non ammettono che i siti da loro ospitati siano pubblicizzati con spam: in questi casi non è impossibile ottenere una sollecita cancellazione del sito in questione. Anche eventuali mailbox indicate come contatto sulle pagine del sito pubblicizzato sono da colpire.

Piccola curiosità: quando il sito di uno spammer viene chiuso, si suol dire che è stato reso 404 compliant, scherzando sul fatto che al tentativo di accederlo il browser visualizza un messaggio d'errore del web server (404 Requested page not found).

Nel nostro caso, mi sono trovato di fronte ad una pagina in cui, oltre alla foto di un giovane cinese (il nostro uomo), figuravano inviti ad entrare nel business dello spam e, in particolare, l'offerta di allestire un proprio sito presso di loro.

E' il momento di capire chi c'è dietro:

Trying 207.93.198 at ARIN
AmeriWeb (NETBLK-NETCOM-BLK2-AMERIWEB) NETCOM-BLK2-AMERIWEB
       207.93.198.0 - 207.93.198.255
NETCOM On-Line Communication Services, Inc. (NETBLK-NETCOM-BLK2) NETCOM-BLK2
           207.92.0.0 - 207.95.255.0

To single out one record, look it up with "!xxx", where xxx is the
handle, shown in parenthesis following the name, which comes first.



whois -h whois.arin.net !netblk-netcom-blk2-ameriweb ...
AmeriWeb (NETBLK-NETCOM-BLK2-AMERIWEB)
   572 West Market Street, Suite #6
   Akron, OH 44303
   US

   Netname: NETCOM-BLK2-AMERIWEB
   Netblock: 207.93.198.0 - 207.93.198.255

   Coordinator:
      Eid, David  (DE342-ARIN)  david@LINKUS.COM
      330-253-8787 (FAX) 330-253-8787

   Record last updated on 23-Apr-98.
   Database last updated on 24-Apr-98 16:09:31 EDT.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and nic.ddn.mil for MILNET Information.

Dunque, come si può vedere confermato anche da un traceroute, chi fornisce connettività al sito in questione è Netcom, un altro grosso provider americano. Visitando il sito della Netcom, fa bella mostra di sè una pagina con il regolamento antispam, il cui titolo è: "Zero tolerance": dunque dovremmo essere a cavallo. Vediamo un esempio di come scrivere il reclamo:

fraud@uu.net
Please deal [solite frasi...]

abuse@netcom.com
The web site advertised in this spam appears to be hosted or at least connected by you.
So please get rid of these spammers.

Thank you all
[poi naturalmente il testo del messaggio completo di header]

In casi come questo è consigliabile inserire nel report anche l'output dell'ARIN da cui sia evidente il collegamento in base al netblock.

Per avere un quadro più completo sul nostro caso, occorre fare attenzione a quel LINKUS.COM che compare nell'output dell'ARIN. In un altro spam da me ricevuto pochi giorni dopo, era pubblicizzato un altro sito web il cui indirizzo ricadeva nel medesimo netblock di cui ci siamo appena occupati e per il cui dominio il database dell'InterNic riportava:

   Domain servers in listed order:

   NS1.LINKUS.COM  207.93.198.6
   NS2.LINKUS.COM  207.93.198.7

Ne abbiamo imparata un'altra: anche guardare chi fornisce servizio DNS agli spammer è importante. Il servizio DNS consente agli spammer di avere, per i loro siti, dei nomi che si possono portare dietro man mano che vengono cacciati da un provider all'altro: fornire servizio DNS ad uno spammer è altrettanto grave quanto fornirgli connettività. Nel nostro caso, LINKUS.COM risulta essere strettamente collegato (o addirittura, forse, essere la stessa cosa) con AmeriWeb, che è la vera centrale. A volte, può non essere molto semplice seguire questi collegamenti tra organizzazioni che hanno una parte nell'attività di spamming, provider seri e provider che non lo sono: il rischio è quello di inviare la segnalazione, se non allo spammer stesso, al suo migliore amico e sodale. Per essere più sicuri delle conclusioni a cui si giunge, è di molto aiuto vedere se altre vittime sono giunte agli stessi risultati. Ciò si può constatare leggendo i messaggi sul newsgroup news.admin.net-abuse.email (familiarmente detto n.a.na.e). Andando su DejaNews (che al tempo era l'archivio storico di tutti i post su usenet, ruolo poi passato a Google) e cercando, su n.a.na.e, i messaggi che hanno la parola LINKUS nel subject, se ne trovavano una infinità. Erano infatti moltissimi i domini di spammer ospitati da LINKUS. Seguendo n.a.na.e nel tempo, si venne anche a sapere che Netcom, pressata dai moltissimi reclami in arrivo, aveva ad un bel momento disconnesso LINKUS, per poi doverlo riconnettere in seguito ad una ingiunzione del tribunale (TRO, Temporary Restraint Order), in attesa della sentenza finale.

Al momento della riconnessione, la Netcom stessa postò su n.a.na.e spiegando la propria posizione e chiedendo di continuare a segnalare i casi, in modo da poter portare tali reclami davanti alla corte. Il caso era legalmente difficile poiché i furbacchiotti non inviavano lo spam tramite la connessione fornita da Netcom, ma lo facevano tramite accessi forniti da altre compagnie (nella fattispecie, come abbiamo visto, UU Net, ma non solo).

Per ciò che riguarda la segnalazione inviata da me, ho ricevuto subito da entrambi conferma della ricezione del mio messaggio, con un testo standard. Il messaggio di UU Net indicava anche il "trouble ticket number" assegnato al caso da me riportato. Quando, dopo un paio di settimane, ho ricevuto un altro spam identico, nella comunicazione ad UU Net ho inserito questo messaggio:

Please dial with enclosed spam, originated by resource
1Cust222.tnt3.sfo3.da.uu.net as shown by the 'Received:' header.
Please consider that this same (well known) spammer has already sent me
similar spam from your network (trouble ticket no. UU755602), less than two
weeks ago.

In questo caso ho ricevuto una risposta probabilmente non automatica che diceva:

Dear Customer,

We have received your correspondence regarding trouble ticket UU755602.
Our records on this matter have been updated with this new information,
and any appropriate action will be taken.

Thank you.
             - UUNET Customer Support

Dopo qualche tempo ho ricevuto la conferma finale che il caso era stato "investigato e gestito nella maniera prevista dagli accordi con i loro clienti". Si tratta di una frase che può significare tutto o niente, dipende da quanto è efficace la prassi che hanno previsto per gestire questi incidenti. Poiché non ci interessa entrare ora in questo argomento, limitiamoci a dire che il gruppo investigazione abusi della UUnet ha indagato sulla segnalazione giungendo, sia pure con tempi non velocissimi, alla conclusione che si tratta di un episodio su cui compete alla UUnet intervenire.

Quanto a Netcom, la cosa è rimasta a lungo in alto mare. Seguendo n.a.na.e si constatava che la pressione su Netcom era continua (arrivando fino a parlare di blacklist). Finalmente un giorno ho ricevuto questo e-mail:

Hello,

This is a general reply to complaints that have come in about linkus.com
the past few days.

The matter has been dismissed and Ameriweb (i.e. linkus.com) is no longer
a Netcom customer.

They will NOT be reconnected through our network.

Thanks for your patience

Matt
NETCOM Policy Management

Era il 15 giugno; la mia prima segnalazione a Netcom risaliva al 25 aprile.

Dalle notizie immediatamente arrivate su n.a.na.e si apprese che Linkus aveva, alla fine, rinunciato a proseguire l'azione contro Netcom, facendo così decadere il TRO. Pochi giorni dopo erano già disponibili in rete gli scan di tutti i documenti processuali, per poter esaminare come le cose si erano svolte. Molti hanno rilevato che, da parte di Netcom, la difesa avrebbe potuto essere ben più decisa e che, forse, con maggiore "volontà politica" i risultati avrebbero potuto essere ben più pronti. Può darsi; però sta di fatto che, alla fine, questa zona franca per gli spammer non è potuta sopravvivere. Ovviamente, questa conclusione non si sarebbe avuta senza la sollevazione di un così gran numero di utenti e di postmaster.

Un'altra cosa che si deve osservare è che, se le attenzioni degli antispammer si fossero rivolte solo alla connessione dial-up usata per spammare, una soluzione della vicenda probabilmente non si sarebbe mai avuta. Far saltare la connessione dial-up dello spammer è senz'altro molto utile e va fatto, tuttavia una priorità anche maggiore va attribuita all'hosting del sito e, se fornito da un altro soggetto, al servizio DNS. Questo perché, per uno spammer, è decisamente più begoso rimettere in piedi il sito trovando un altro servizio di hosting, piuttosto che procurarsi semplicemente un altro account dial-up.


Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 26 dicembre 2001

Leonardo Collinelli

e-mail