Nei due casi visti finora, poteva anche essere che gli spammer fossero "pesci piccoli" che, di notte in uno stanzino, fanno girare il loro software con un normale collegamento dial-up. Ogni tanto, costoro devono cercare un nuovo provider e, una volta esauriti tutti quelli della loro zona, si spera che considerino l'eventualità di cambiare mestiere.
In questo caso vedremo degli spammer decisamente più industrializzati e con una presenza in rete assai meglio organizzata. Un caso tecnicamente non più complesso dei precedenti (anzi, per certi aspetti più semplice), ma certamente più delicato sul piano delle azioni da intraprendere. Si tratta di un caso che evidenzia come, spesso, sia importante e decisivo lo sforzo collettivo e la pressione esercitata dalla comunità antispam.
In questo caso ho ricevuto diversi messaggi di spam, che non sto a riprodurre tutti. Il primo di questi, però, merita senz'altro la riproduzione integrale: è interessante leggerlo, per rendersi conto fino a quale punto certuni possano arrivare.
Return-Path: <ALEX@gisnet.net>
Received: from fes3.cs.mio-isp.it (mail2.mio-isp.it [194.243.xxx.yyy])
by mbox.altronome-mioisp.it (8.8.5/8.8.5) with ESMTP id JAA25885;
Fri, 24 Apr 1998 09:28:51 +0200 (METDST)
From: ALEX@gisnet.net
Received: from 153.35.239.202 (1Cust74.max13.san-francisco.ca.ms.uu.net [153.35.239.202])
by fes3.cs.mio-isp.it (8.8.4/8.8.4) with SMTP
id JAA24820; Fri, 24 Apr 1998 09:28:42 +0200 (MET DST)
Date: Fri, 24 Apr 1998 09:28:42 +0200 (MET DST)
Message-Id: <199804240728.JAA24820@fes3.cs.mio-isp.it>
To: .WKYS@fes3.cs.mio-isp.it
Subject: 40 MILLION EMAIL ADDRESSES CHEAP PRICE!!!
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
X-UIDL: ee953a7b8cd8798f43436464d00bb190
40 MILLION EMAILS FOR SALE super low price!
Our Fresh Addresses Will Bring You
Incredible Results!
http://207.93.198.x/webhost
If you REALLY want to get the word out regarding
your services or products, Bulk Email is the BEST
way to do so, PERIOD! Advertising in newsroups is
good but you're competing with hundreds even THOUSANDS
of other ads. Will your customer's see YOUR ad in the
midst of all the others?
Bulk Email will allow you to DIRECTLY contact your
potential customers. They are much more likely to
take the time to read about what you have to offer
if it was as easy as reading it via email rather
than searching through countless postings in
newsgroups.
There is a secret to effective Bulk Email...HIGH
QUALITY LISTS! There are SO many companies offering
bulk email lists that are months old and it's not
uncommen for HALF of those addresses to be outdated
and undeliverable. Also, most companies offer lists
that they have compiled from addresses extracted from
newsgroups, THE WORST PLACE TO GET ADDRESSES FROM!
Why? Simple, most people that post messages in news-
groups KNOW that their addresses might be extracted
so they use FAKE addresses resulting in undeliverable
messages.
You can now get FRESH, HIGH QUALITY lists of addresses
that have NOT been extracted from newsgroups! Our lists
are compiled of addresses that we have extracted from
member directories and help forums where you CAN NOT
use fake email addresses! Also, our lists are LESS than
1 month old and are CONSTANTLY updated to remove dupes
and undeliverables!
Our emails can be downloaded at a web site or be shipped to your home in disks. Our emails are in text
form, one line per email. This form is compatible with Pegasus, Eudora, Microsoft email programs, and
many other popular email softwares.
We believe that if you have a great product or service for everyone, you should let everyone know. Do it
cost effectively today! Sending emails doesn't cost you one cent! In just one night, millions of people will
know about your company or your corporation. Market your company by reaching 40,000,000 (40 million)
fresh customers for only $79.00!!!!
Special Sale! Buy the 40 Million email addresses today and receive Email Xxxxxx Professional Version
FREE! Email Xxxxxx Pro is 4 programs in one! (This message is sent by Email Xxxxxx. You can too send
out mass sales letters professionally.)
Email Xxxxxx is an extremely fast mass emailer (150,000 emails per hour with modest Pentium) that does
four things:
1) Collects email addresses from newsgroups, web sites, or from AOL member files by key words and by
specific interests.
2) Mail out your sales letters with automated friendly addressing (example: Dear John, Dear Nancy, etc.)
Ramdomizes from and to field. One push of a button does it all. Guarantee no cut and paste.
3) Have capability to remove email addresses of people who don't like emails.
4) Post your sales letters to THOUSANDS OF NEWSGROUPS WITH A PUSH OF A BUTTON --- within HALF
AN HOUR!!
Email Xxxxxx and Email Addresses are your best sales tools! If you have a good product, you will be rich
in no time.
Call today (415)nnn-n825. All for $79. Not a penny extra.
Call today (415)nnn-n825. Technical support available 24 hours. Emails are updated regularly.
We can accept Visa or Master Card.
http://207.93.198.x/webhost
Or, simply print this form and fill it out. Mail it along with $79 check or money order to:
Alex Chiu
PO BOX jkjkjkj
San Francisco CA 94116
(415) nnn-n825
Upon the receipt of your payment, you will immediately be instructed via email or by phone on how to
download the fresh email addresses.
Name: _________________________________
Address: ________________________________________
_________________________________________________
Telephone number: ___________________________
Email address: ______________________________
-----------------------------------------------------
------------------------------------------------------
Don't want to email millions of people yourself? No problem. I can do it for you professionally! I mail out
two million emails for you within 3 days for $129!! Tell me what kind of customer you would want, and I will
set the target with my highly targeted list. A mere $129 service includes:
Email two million people. (targeted prospects)
Post advertisement on 2000 newsgroups.
telephone recommendations and technical support on how to make money on the internet.
I guarantee you this is a great way to start your own company on the internet. Few months later, you will
be like me making $5000 a month with internet! Call (415) nnn-n825 if you have any question.
Tralasciamo il lato comico della cosa, ossia venire a proporre a me di diventare uno spammer, e passiamo agli aspetti tecnici. L'indagine degli header è molto semplice: il tipo era collegato su un dial-up della UU Net (uno dei maggiori provider americani), dalla zona di S. Francisco. Non ha usato relayer né altri server SMTP: il software di cui si è avvalso (e che offre in omaggio ai suoi clienti) effettua quindi tutte le operazioni necessarie per l'invio a tutti i destinatari. Software di questo genere (in pratica, una specie di server SMTP con funzioni specifiche per l'invio massiccio di spam) viene normalmente definito "rapid fire" o RFMS (rapid fire mail server program) o anche "direct-to-MX", in quanto agisce collegandosi direttamente al mail exchanger di ciascun destinatario.
Riguardo ai reclami, è ovvio che dovremo scrivere alla UUnet (il cui indirizzo abuse non è standard: al tempo di questo spam era fraud@uu.net, tempo dopo è stato cambiato in abuse-mail@uu.net). Però stavolta c'è qualcosa di più. La cosa nuova è che, stavolta, nello spam viene pubblicizzato un sito web.
Quando si riceve spam pubblicizzante un sito web, non basta colpire l'account da cui è stato inviato il messaggio. Bisogna anche informare l'organizzazione che ospita o che fornisce connettività al sito in questione, con l'obiettivo di ottenerne la chiusura o, almeno, la diffida a pubblicizzarlo mediante spam. Se infatti l'account usato per spammare venisse anche chiuso ma il sito rimanesse, sarebbe da prevedersi la continuazione dello spam tramite nuovi account usa e getta. E' pure importante visitare il sito per meglio capire chi si ha di fronte: si possono scoprire altre cose interessanti. Per esempio, se sul sito figurasse un banner della LinkExchange sarebbe il caso di informare anche quelli della LinkExchange, che revocherebbero la affiliazione a quel sito. Va naturalmente tenuto presente che la maggior parte dei servizi di free hosting non ammettono che i siti da loro ospitati siano pubblicizzati con spam: in questi casi non è impossibile ottenere una sollecita cancellazione del sito in questione. A volte si scopre che il sito pubblicizzato non è che una paginetta-schermo (detta click-through) con sopra il link, più o meno indiretto, al sito vero e proprio. E' una astuzia talvolta messa in atto per fare in modo che eventuali provvedimenti che venissero presi riguardassero solo una pagina facilmente riallestibile su un altro servizio di hosting, senza impattare quindi sul sito principale. In questi casi, per fare le cose per bene occorrerebbe risalire fino al sito vero e proprio e colpire quello per primo. Magari, sarebbe utile includere nel report al provider del sito principale anche l'html della paginetta-schermo, nell'eventualità che, quando il reclamo venisse esaminato, la paginetta fosse già stata chiusa.
Piccola curiosità: quando il sito di uno spammer viene chiuso, si suol dire che è stato reso 404 compliant, scherzando sul fatto che al tentativo di accederlo il browser visualizza un messaggio d'errore del web server (404 Requested page not found).
Nel nostro caso, mi sono trovato di fronte ad una pagina in cui, oltre alla foto di un giovane cinese (il nostro uomo), figuravano inviti ad entrare nel business dello spam e, in particolare, l'offerta di allestire un proprio sito presso di loro.
E' il momento di capire chi c'è dietro:
Trying 207.93.198 at ARIN
AmeriWeb (NETBLK-NETCOM-BLK2-AMERIWEB) NETCOM-BLK2-AMERIWEB
207.93.198.0 - 207.93.198.255
NETCOM On-Line Communication Services, Inc. (NETBLK-NETCOM-BLK2) NETCOM-BLK2
207.92.0.0 - 207.95.255.0
To single out one record, look it up with "!xxx", where xxx is the
handle, shown in parenthesis following the name, which comes first.
whois -h whois.arin.net !netblk-netcom-blk2-ameriweb ...
AmeriWeb (NETBLK-NETCOM-BLK2-AMERIWEB)
572 West Market Street, Suite #6
Akron, OH 44303
US
Netname: NETCOM-BLK2-AMERIWEB
Netblock: 207.93.198.0 - 207.93.198.255
Coordinator:
Eid, David (DE342-ARIN) david@LINKUS.COM
330-253-8787 (FAX) 330-253-8787
Record last updated on 23-Apr-98.
Database last updated on 24-Apr-98 16:09:31 EDT.
The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and nic.ddn.mil for MILNET Information.
Dunque, come si può vedere confermato anche da un traceroute, chi fornisce connettività al sito in questione è Netcom, un altro grosso provider americano. Visitando il sito della Netcom, fa bella mostra di sè una pagina con il regolamento antispam, il cui titolo è: "Zero tolerance": dunque dovremmo essere a cavallo. Vediamo un esempio di come scrivere il reclamo:
fraud@uu.net
Please deal [solite frasi...]
abuse@netcom.com
The web site advertised in this spam appears to be hosted or at least connected by you.
So please get rid of these spammers.
Thank you all for your care about this
[poi naturalmente il testo del messaggio completo di header]
In casi come questo è consigliabile inserire nel report anche l'output dell'ARIN da cui sia evidente il collegamento in base al netblock.
Per avere un quadro più completo sul nostro caso, occorre fare attenzione a quel LINKUS.COM che compare nell'output dell'ARIN. In un altro spam da me ricevuto pochi giorni dopo, era pubblicizzato un altro sito web il cui indirizzo ricadeva nel medesimo netblock di cui ci siamo appena occupati e per il cui dominio il database dell'InterNic riporta:
Domain servers in listed order: NS1.LINKUS.COM 207.93.198.6 NS2.LINKUS.COM 207.93.198.7
Ne abbiamo imparata un'altra: anche guardare chi fornisce servizio DNS agli spammer è importante. Il servizio DNS consente agli spammer di avere, per i loro siti, dei nomi che si possono portare dietro man mano che vengono cacciati da un provider all'altro: fornire servizio DNS ad uno spammer è altrettanto grave quanto fornirgli connettività. Nel nostro caso, LINKUS.COM risulta essere strettamente collegato (o addirittura, forse, essere la stessa cosa) con AmeriWeb, che è la vera centrale. A volte, può non essere molto semplice seguire questi collegamenti tra organizzazioni che hanno una parte nell'attività di spamming, provider seri e provider che non lo sono: il rischio è quello di inviare la segnalazione, se non allo spammer stesso, al suo migliore amico e sodale. Per essere più sicuri delle conclusioni a cui si giunge, è di molto aiuto vedere se altre vittime sono giunte agli stessi risultati. Ciò si può constatare leggendo i messaggi sul newsgroup news.admin.net-abuse.email (familiarmente detto n.a.na.e). Andando su DejaNews e cercando, su n.a.na.e, i messaggi che hanno la parola LINKUS nel subject, se ne trovano una infinità. Sono infatti moltissimi i domini di spammer ospitati da LINKUS. Seguendo n.a.na.e nel tempo, si viene anche a sapere che Netcom, pressata dai moltissimi reclami in arrivo, aveva ad un bel momento disconnesso LINKUS, per poi doverlo riconnettere in seguito ad una ingiunzione del tribunale (TRO, Temporary Restraint Order), in attesa della sentenza finale.
Al momento della riconnessione, la Netcom stessa postò su n.a.na.e spiegando la propria posizione e chiedendo di continuare a segnalare i casi, in modo da poter portare tali reclami davanti alla corte. Il caso era legalmente difficile poiché i furbacchiotti non inviavano lo spam tramite la connessione fornita da Netcom, ma lo facevano tramite accessi forniti da altre compagnie (nella fattispecie, come abbiamo visto, UU Net, ma non solo).
Per ciò che riguarda la segnalazione inviata da me, ho ricevuto subito da entrambi conferma della ricezione del mio messaggio, con un testo standard. Il messaggio di UU Net indicava anche il "trouble ticket number" assegnato al caso da me riportato. Quando, dopo un paio di settimane, ho ricevuto un altro spam identico, nella comunicazione ad UU Net ho inserito questo messaggio:
Please dial with enclosed spam, originated by resource
1Cust222.tnt3.sfo3.da.uu.net as shown by the 'Received:' header.
Please consider that this same (well known) spammer has already sent me
similar spam from your network (trouble ticket no. UU755602), less than two
weeks ago.
In questo caso ho ricevuto una risposta probabilmente non automatica che diceva:
Dear Customer,
We have received your correspondence regarding trouble ticket UU755602.
Our records on this matter have been updated with this new information,
and any appropriate action will be taken.
Thank you.
- UUNET Customer Support
Dopo qualche tempo ho ricevuto la conferma finale che il caso era stato "investigato e gestito nella maniera prevista dagli accordi con i loro clienti". Si tratta di una frase che può significare tutto o niente, dipende da quanto è efficace la prassi che hanno previsto per gestire questi incidenti. Poiché non ci interessa entrare ora in questo argomento, limitiamoci a dire che il gruppo investigazione abusi della UUnet ha indagato sulla segnalazione giungendo, sia pure con tempi non velocissimi, alla conclusione che si tratta di un episodio su cui compete alla UUnet intervenire.
Quanto a Netcom, la cosa è rimasta a lungo in alto mare. Seguendo n.a.na.e si constatava che la pressione su Netcom era continua (arrivando fino a parlare di blacklist). Finalmente un giorno ho ricevuto questo e-mail:
Hello,
This is a general reply to complaints that have come in about linkus.com
the past few days.
The matter has been dismissed and Ameriweb (i.e. linkus.com) is no longer
a Netcom customer.
They will NOT be reconnected through our network.
Thanks for your patience
Matt
NETCOM Policy Management
Era il 15 giugno; la mia prima segnalazione a Netcom risaliva al 25 aprile.
Dalle notizie immediatamente arrivate su n.a.na.e si apprese che Linkus aveva, alla fine, rinunciato a proseguire l'azione contro Netcom, facendo così decadere il TRO. Pochi giorni dopo erano già disponibili in rete gli scan di tutti i documenti processuali, per poter esaminare come le cose si erano svolte. Molti hanno rilevato che, da parte di Netcom, la difesa avrebbe potuto essere ben più decisa e che, forse, con maggiore "volontà politica" i risultati avrebbero potuto essere ben più pronti. Può darsi; però sta di fatto che, alla fine, questa zona franca per gli spammer non è potuta sopravvivere. Ovviamente, questa conclusione non si sarebbe avuta senza la sollevazione di un così gran numero di utenti.
Ultimo aggiornamento: 25 luglio 1999