Spammers/ L'incredibile ritorno di Ultranet

Spammano in tutto il mondo e con DirectLine hanno iniziato da settimane l'invasione della rete italiana. Una mole di messaggi che ha pochi precedenti. Ecco tutti i dettagli

Roma - Cosa fare quando uno spammer incallito riesce, con la complicità dei suoi provider, a moltiplicare la "capacità di fuoco" spammando in tutto il mondo? Mentre i gruppi anti-spam s'ingegnano per tenere lontane le bordate di Ultranet, di cui Punto Informatico si è già occupato, la stessa azienda riprende la sua attività di spamming internazionale, usando un volto diverso e cambiando mailbox di riferimento e messaggio. Ma senza cambiare la tecnica, che è quella di spedire quante più email possibili a non importa chi, con un livello di "invasività" che ha pochi precedenti.

Non contenta di essersi creata una pessima fama, Ultranet torna alla carica in queste settimane anche sulla rete italiana, spammando, firmandosi DirectLine, la mailbox di migliaia di utenti. Infinite le segnalazioni giunte in redazione in questi giorni e imponente lo spam individuato sui newsgroup. Ci è voluto poco per individuare la mail spammatoria in gruppi di discussione che nulla hanno a che fare con le pseudo-offerte della fantomatica azienda di origine canadese. Questi alcuni gruppi: it.hobby.scuba, cz.comp.ibmpc, soc.culture.venezuela, muc.lists.debian.user, linux.debian.legal, it.lavoro.mlm, it.hobby.viaggi.

Naturalmente l'email è anche oggetto di analisi nei gruppi che si occupano degli abusi contro la rete e gli utenti, come l'italiano it.news.net-abuse, dove esperti del calibro di Furio Ercolessi ricostruiscono le mosse di questo spammer. Uno spammer che da tempo è all'attenzione del Mail Abuse Prevention System (MAPS), l'organismo anti-spam che gestisce la RBL, lista di indirizzi IP "da bloccare".
Il primo spam a vasto raggio di Ultranet risultava difficile da contrastare per il rapporto a doppio filo che legava l'azienda a Bell Nexxia, il provider canadese che offriva i suoi servizi secondo qualcuno sotto forma di "pink contract". Una formula che indica un rapporto sotterraneo tra il fornitore e il cliente, dove il primo finge pubblicamente di combattere lo spam ma, in realtà, protegge le attività spammatorie del cliente. Casi di "pink contract" che hanno fatto rumore ce ne sono stati ma non è facile avere le prove dell'esistenza di un rapporto del genere.

Il tono delle discussioni che, dalla Germania agli Stati Uniti, si svolgono sul tema Ultranet-DirectLine è accesissimo. L'azienda non sembra interessarsene, segno che, forse, può contare su un consistente ritorno dall'invio di centinaia di migliaia di messaggi non richiesti ad altrettante caselle di posta elettronica.

L'ultimo messaggio in italiano giunto agli utenti del nostro paese parla di incredibili tariffe telefoniche, rese ancora più incredibili, in effetti, dalla cattiva fama che circonda l'azienda, dalla strategia di marketing totalmente irrispettosa delle regole della convivenza in rete e dai numeri verdi messi in calce al messaggio. Numeri che, quando Punto Informatico li ha chiamati, danno due generi di risposte: "Grazie per aver chiamato DirectLine internazionale, non siamo disponibili per ricevere la vostra chiamata, se volete lasciare un messaggio premete cancelletto". La seconda versione del messaggio registrato spiega che non sono disponibili ma che si può "lasciare nome e recapito telefonico e sarete ricontattati". In modo da dare agli spammer qualcosa più di una semplice e-mail copiata dai siti o dai newsgroup da dove quest'azienda pare aver rastrellato i dati delle sue vittime.

Quei due numeri sono anche citati, naturalmente, come "contatto telefonico" nel sito web di Ultranet Telecom. Il sito web è intestato al "presidente" Namsoo Oh! (1179a King Street West - Toronto, Ontario M6K 3C5 - Canada).

Questo spam di Ultranet-DirectLine avviene da una mailbox, directline@yesic.com, che sembra appoggiarsi su una "simpatica tecnologia": Punto Informatico ha infatti inviato un'email a quella mailbox per chiedere chiarimenti sullo spam e la risposta, dopo qualche ora, è consistita in una nuova copia del messaggio di spam originario.

Per difendersi, oltre a configurare filtri personalizzati sui propri programmi di posta o sui server, può essere senz'altro utile contattare i propri fornitori d'accesso per chiedere loro di bloccare ogni email proveniente dagli indirizzi noti di Directline-Ultranet. Segnalazioni sono peraltro già partite da tempo verso le organizzazioni anti-spam e i provider che supportano fino a questo momento l'attività spammatoria di Directline.
TAG: mondo
12 Commenti alla Notizia Spammers/ L'incredibile ritorno di Ultranet
Ordina
  • Ultranet e' stata fermata da MAPS in un intervento effettuato verso fine luglio/inizio agosto.

    Chiunque riceva altro spam da questi signori puo' contattarmi per coordinare la riapertura del caso, con listing RBL a questo punto quasi scontato.

    non+autenticato
  • Vista l'entità del problema i sottoscrittori sono ancora pochi per cui... datevi da fare!

    Io ho già dato.Ficoso)
    non+autenticato
  • Stiamo ricevendo una montagna di spam su un certo numero di domini la cui posta in arrivo ci viene reidirizzata su un unico indirizzo email (forwarding).

    Lo spammatore, che vende indirizzi, sembra utilizzare un SW che modifica la provenienza di ogni messaggio, ed i filtri inseriti sul server della casella a cui i messaggi vengono reindirizzati ( utilizzando elimina messaggi from *@mail3.9netway.com ), non funzionano mentre funziona blocca mittente in OE. Il problema è che se non scarichi la posta tutti i giorni, te la fanno scoppiare.

    Due esempi di header:

    Return-Path: <postmaster@mail3.9netway.com>
    Received: from m.dnsix.com (64.75.34.135) by mailrelay2.wind.it (5.5.029)
            id 3B27925C003AD9AC for abcd@wind.it; Thu, 21 Jun 2001 11:40:18 +0200
    Received: from serveur-nt-1 (unknown [206.231.215.34])
        by m.dnsix.com (dnsix/kiwi) with ESMTP
        id ECA60613F; Thu, 21 Jun 2001 02:08:59 -0700 (PDT)
    Received: from ....
    From: postmaster@mail3.9netway.com
    Message-Id: <200106210907.FAA02738@serveur-nt-1>
    Date: Thu, 21 Jun 2001 05:02:04 -0400
    To: MasterCD2001-LastChance@yahoo.com
    Subject: MasterCD 2001 Disc - BTOB Customer Contacts
    -----------

    Return-Path: <postmaster@mail3.9netway.com>
    Received: from m.dnsix.com (64.75.34.135) by mailrelay2.wind.it (5.5.029)
            id 3B27925C003AE896 for efgk@wind.it; Thu, 21 Jun 2001 11:46:20 +0200
    Received: from ms.kookje.co.kr (unknown [203.251.118.5])
        by m.dnsix.com (dnsix/grape) with ESMTP
        id 720036C82; Thu, 21 Jun 2001 02:15:01 -0700 (PDT)
    Received: from ........
    From: postmaster@mail3.9netway.com
    Posted-Date: Thu, 21 Jun 2001 18:21:52 +0900 (KST)
    Message-Id: <200106210921.SAA26145@ms.kookje.co.kr>
    Date: Thu, 21 Jun 2001 05:23:16 -0400
    To: MasterCD2001-LastChanceOffer@excite.com
    Subject: Master CD 2001 - Business To Business Customer Prospects

    Il problema mi sembra serio perchè, se questo deficiente ne trova altri dieci come lui tra i 28.000.000 di indirizzi che spamma, si blocca tutto.

    Avete qualche idea di come bloccare questi incoscienti ( sembrano coreani).

    p.s. : temo che in certi casi le MAPS e RBL non funzionino. E dato che il pericolo per tutti è serio credo che sarebbe opportuno creare un sito autofinanziato da tutti (es. 1$ l'anno) su cui porre taglie sugli spammatori, da raggiungere fisicamente per spezzargli gambe e braccia.

    Anche se barbaro, temo sia l'unico modo per far capire che la rete è per molti non un gioco, ma l'unica possibilità di accedere a risorse altrimenti disponibili solo ai paesi + ricchi, e per questo da difendere con ogni mezzo.
    non+autenticato
  • > Return-Path: <postmaster@mail3.9netway.com>

    Questo noi lo blocchiamo dal 7 gennaio a
    livello di transazione SMTP (ossia senza che
    il messaggio venga trasmesso) sulla base di
    9netway.com nell'envelope FROM.

    Questo e' il dominio dello spammer e non una
    forgery in base ad analisi che abbiamo effettuato
    in quella data, e archiviata a
    http://groups.google.com/groups?ic=1&th=30d5313db0...

    > Avete qualche idea di come bloccare questi
    > incoscienti ( sembrano coreani).

    Io li collocherei a Providence, Rhode Island.

    > [...]
    > Anche se barbaro, temo sia l'unico modo per
    > far capire che la rete è per molti non un
    > gioco, ma l'unica possibilità di accedere a
    > risorse altrimenti disponibili solo ai paesi
    > + ricchi, e per questo da difendere con ogni
    > mezzo.

    Non scherziamo. La cosa piu' utile che puo' fare
    l'utente della rete europeo in questo momento e' contattare colui/colei che ha mandato in
    parlamento europeo per dirgli di MANTENERE
    IL REQUISITO DI OPT-IN NELLA E-PRIVACY DIRECTIVE,
    perche' l'industria degli spammers sta facendo
    una enorme lobbying per toglierlo.
    Se l'Europa sara' spammata a morte o no nei
    prossimi anni e' ADESSO nella mani dei
    parlamentari europei.
    http://www.euro.cauce.org/ per dettagli.

    ABBIAMO BISOGNO DI AVERE IL SUPPORTO LEGISLATIVO
    PER POTER REAGIRE. Se passa l'opt-out "appendiamo
    il lart al chiodo" e andiamo a casa.
    non+autenticato


  • - Scritto da: furio ercolessi
    > > Return-Path:
    > <postmaster@mail3.9netway.com>
    >
    > Questo noi lo blocchiamo dal 7 gennaio a
    > livello di transazione SMTP (ossia senza che
    > il messaggio venga trasmesso) sulla base di
    > 9netway.com nell'envelope FROM.
    >
    Utilizzando il filtro black list di inwind sembra non funzionare: un qualsiasi utilizzatore come interviene "a livello di transazione SMTP "?

    > Questo e' il dominio dello spammer e non una
    > forgery in base ad analisi che abbiamo
    > effettuato
    > in quella data, e archiviata a
    > http://groups.google.com/groups?ic=1&th=30d53

    Ho impressione che gli andrebbe data una rinfrescata: come mai gli IP di apparente provenienza nell'header di ciascun messaggio sono diversi?

    L'indirizzo postmaster@mail3.9netway.com, appare solo nel campo from: - può essere comodo metterci i dati di uno spammer noto.


    > > Avete qualche idea di come bloccare questi
    > > incoscienti ( sembrano coreani).
    >
    > Io li collocherei a Providence, Rhode Island.

    Io vedrei a chi appartiene il numero di fax a cui dicono di inviare l'ordine 401-621-7810.

    >
    > > [...]
    > > Anche se barbaro, temo sia l'unico modo
    > per
    > > far capire che la rete è per molti non un
    > > gioco, ma l'unica possibilità di accedere
    > a
    > > risorse altrimenti disponibili solo ai
    > paesi
    > > + ricchi, e per questo da difendere con
    > ogni
    > > mezzo.
    >
    > Non scherziamo.

    E chi scherza?

    >La cosa piu' utile che puo'
    > fare
    > l'utente della rete europeo in questo
    > momento e' contattare colui/colei che ha
    > mandato in
    > parlamento europeo per dirgli di MANTENERE
    > IL REQUISITO DI OPT-IN NELLA E-PRIVACY
    > DIRECTIVE,
    > perche' l'industria degli spammers sta
    > facendo
    > una enorme lobbying per toglierlo.
    > Se l'Europa sara' spammata a morte o no nei
    > prossimi anni e' ADESSO nella mani dei
    > parlamentari europei.
    > http://www.euro.cauce.org/ per dettagli.
    >
    > ABBIAMO BISOGNO DI AVERE IL SUPPORTO
    > LEGISLATIVO
    > PER POTER REAGIRE. Se passa l'opt-out
    > "appendiamo
    > il lart al chiodo" e andiamo a casa.

    Piuttosto ovvio.

    Saluti.

    A mali estremi..
    (Mi firmo così perchè non debbo pubblicizzare nulla)

    p.s. credo che un linguaggio più corrente permetterebbe a tutti di seguire lo (thread) scambio di idee. La lettura per inferenza permette di capire il senso complessivo, ma questa "lart" da appendere al chiodo non so cosa sia e, francamente, saperlo non mi pare indispensabile ai fini del discorso.



    non+autenticato
  • - Scritto da: A mali estremi..
    >
    > Utilizzando il filtro black list di inwind
    > sembra non funzionare: un qualsiasi
    > utilizzatore come interviene "a livello di
    > transazione SMTP "?

    Spesso il FROM della transazione viene ricopiato
    negli headers in un campo di nome
    Return-Path: , oppure From senza il :
    I dettagli dipendono dal sistema di posta.

    > Ho impressione che gli andrebbe data una
    > rinfrescata: come mai gli IP di apparente
    > provenienza nell'header di ciascun messaggio
    > sono diversi?

    Perche' questo spammer utilizza relay aperti di
    terze parti.

    > L'indirizzo postmaster@mail3.9netway.com,
    > appare solo nel campo from: - può essere
    > comodo metterci i dati di uno spammer noto.

    9netway.com _e'_ lo spammer factsdisc.com
    (vedere i nameservers di factsdisc.com).

    > Io vedrei a chi appartiene il numero di fax
    > a cui dicono di inviare l'ordine
    > 401-621-7810.

    Non c'e' nessun mistero, appartiene a 9netway.com
    e si vede da tutte le parti nel record whois del
    dominio. Ribadisco che "9netway.com e' lo
    spammer", e che questa affermazione non e' oggetto
    di dibattito me bensi' la realta' Sorride

    > p.s. credo che un linguaggio più corrente
    > permetterebbe a tutti di seguire lo (thread)
    > scambio di idee. La lettura per inferenza
    > permette di capire il senso complessivo, ma
    > questa "lart" da appendere al chiodo non so
    > cosa sia e, francamente, saperlo non mi pare
    > indispensabile ai fini del discorso.

    Hai perfettamente ragione e me ne scuso.
    "lart" e' un termine di gergo che significa
    segnalazione dello spam agli ISP coinvolti.
    D'altra parte, il tracciamento dello spam ha
    degli aspetti tecnici spesso sottili che non
    possono essere trattati in questi spazietti...
    non+autenticato
  • Qualcuno conosce le reti IP di questo provider?

    Mimmus
    non+autenticato
  • - Scritto da: Mimmus
    > Qualcuno conosce le reti IP di questo
    > provider?

    Certo. Lo spazio presso Bell Nexxia e' almeno
    207.236.111.224/28, in quanto c'e' certezza che
    lo spammer ha in uso 207.236.111.226 e
    207.236.111.233; potrebbe essere un network piu'
    grande.

    Usano inoltre dello spazio IP presso C1
    Communications: 64.5.200.136/29 (con record
    su ARIN).

    I loro domini noti sono ultranet-telecom.com,
    phoneclub.net, europhoneclub.com.

    -fe
    non+autenticato
  • Ero venuto a conoscenza di Ultranet tramite Tariffe.it. Non sembra avere tariffe "incredibili", casomai buone (verso i cellulari) o pessime (per le chiamate locali). Alla fine non è altro che un reseller di Albacom (visto che uno dei suoi codici di preselezione è il 1077) come tante altre aziende.
    Questa storia dello spam comunque mi ha lasciato allibito.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)