home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / net-abuse-faq / harvest < prev    next >
Encoding:
Internet Message Format  |  2004-04-18  |  21.2 KB
  1. Path: senator-bedfellow.mit.edu!dreaderd!not-for-mail
  2. Message-ID: <net-abuse-faq/harvest_1082200966@rtfm.mit.edu>
  3. Supersedes: <net-abuse-faq/harvest_1079601013@rtfm.mit.edu>
  4. Expires: 31 May 2004 11:22:46 GMT
  5. X-Last-Updated: 2003/06/08
  6. Organization: none
  7. Newsgroups: alt.stop.spamming,alt.privacy,news.admin.net-abuse.email,alt.answers,news.answers
  8. From: uriraz@private.org.il (Uri Raz)
  9. Subject: FAQ: How do spammers get people's email addresses ?
  10. Followup-To: news.admin.net-abuse.email,alt.privacy
  11. Approved: news-answers-request@MIT.EDU
  12. Summary: This FAQ lists all the ways spammers use to collect E-mail addresses, to the best of my knowledge. The main purpose of this FAQ is to make people aware of spammers' harvesting techniques as a first step toward protecting themselves.
  13. Originator: faqserv@penguin-lust.MIT.EDU
  14. Date: 17 Apr 2004 11:29:02 GMT
  15. Lines: 479
  16. NNTP-Posting-Host: penguin-lust.mit.edu
  17. X-Trace: 1082201342 senator-bedfellow.mit.edu 568 18.181.0.29
  18. Xref: senator-bedfellow.mit.edu alt.stop.spamming:23795 alt.privacy:156885 news.admin.net-abuse.email:2163300 alt.answers:72525 news.answers:270058
  19.  
  20. Posting-Frequency: monthly
  21. Copyright: (c) 1999-2002 Uri Raz
  22. Maintainer: Uri Raz <uriraz@private.org.il>
  23. Last-modified: 19/Mar/2002
  24. Archive-Name: net-abuse-faq/harvest
  25. URL: http://www.private.org.il/harvest.html
  26.  
  27.  There are many ways in which spammers can get your email address. The
  28.  ones I know of are :
  29.  
  30.    1. From posts to UseNet with your email address.
  31.  
  32.       Spammers regularily scan UseNet for email address, using ready made
  33.       programs designed to do so. Some programs just look at articles
  34.       headers which contain email address (From:, Reply-To:, etc), while
  35.       other programs check the articles' bodies, starting with programs
  36.       that look at signatures, through programs that take everything that
  37.       contain a '@' character and attempt to demunge munged email addresses.
  38.  
  39.       There have been reports of spammers demunging email addresses on
  40.       occasions, ranging from demunging a single address for purposes
  41.       of revenge spamming to automatic methods that try to unmunge email
  42.       addresses that were munged in some common ways, e.g. remove such
  43.       strings as 'nospam' from email addresses.
  44.  
  45.       As people who where spammed frequently report that spam frequency to
  46.       their mailbox dropped sharply after a period in which they did not
  47.       post to UseNet, as well as evidence to spammers' chase after 'fresh'
  48.       and 'live' addresses, this technique seems to be the primary source
  49.       of email addresses for spammers.
  50.   
  51.    2. From mailing lists.
  52.  
  53.       Spammers regularily attempt to get the lists of subscribers to
  54.       mailing lists [some mail servers will give those upon request],
  55.       knowing that the email addresses are unmunged and that only a few
  56.       of the addresses are invalid.
  57.  
  58.       When mail servers are configured to refuse such requests, another
  59.       trick might be used - spammers might send an email to the mailing
  60.       list with the headers Return-Receipt-To: <email address> or
  61.       X-Confirm-Reading-To: <email address>. Those headers would cause some
  62.       mail transfer agents and reading programs to send email back to
  63.       the <email address> saying that the email was delivered to / read at 
  64.       a given email address, divulging it to spammers. 
  65.      
  66.       A different technique used by spammers is to request a mailing
  67.       lists server to give him the list of all mailing lists it carries
  68.       (an option implemented by some mailing list servers for the
  69.       convenience of legitimate users), and then send the spam to the
  70.       mailing list's address, leaving the server to do the hard work
  71.       of forwarding a copy to each subscribed email address.
  72.  
  73.       [I know spammers use this trick from bad experience - some spammer
  74.        used this trick on the list server of the company for which I work,
  75.        easily covering most of the employees, including employees working
  76.        well under a month and whose email addresses would be hard to find
  77.        in other ways.]
  78.   
  79.    3. From web pages.
  80.  
  81.       Spammers have programs which spider through web pages, looking for
  82.       email addresses, e.g. email addresses contained in mailto: HTML
  83.       tags [those you can click on and get a mail window opened]
  84.  
  85.       Some spammers even target their mail based on web pages.
  86.       I've discovered a web page of mine appeared in Yahoo as some spammer
  87.       harvested email addresses from each new page appearing in Yahoo and
  88.       sent me a spam regarding that web page.
  89.  
  90.       A widely used technique to fight this technique is the 'poison' CGI
  91.       script. The script creates a page with several bogus email addresses
  92.       and a link to itself. Spammers' software visiting the page would
  93.       harvest the bogus email addresses and follow up the link, entering
  94.       an infinite loop polluting their lists with bogus email addresses.
  95.  
  96.       For more information about the poision script, see
  97.        http://www.monkeys.com/wpoison/
  98.  
  99.    4. From various web and paper forms.
  100.  
  101.       Some sites request various details via forms, e.g. guest books &
  102.       registrations forms. Spammers can get email addresses from those
  103.       either because the form becomes available on the world wide web,
  104.       or because the site sells / gives the emails list to others.
  105.  
  106.       Some companies would sell / give email lists filled in on paper
  107.       forms, e.g. organizers of conventions would make a list of
  108.       participants' email addresses, and sell it when it's no longer needed.
  109.  
  110.       Some spammers would actually type E-mail addresses from printed 
  111.       material, e.g.  professional directories & conference proceedings.
  112.  
  113.       Domain name registration forms are a favourite as well - addresses are
  114.       most usually correct and updated, and people read the emails sent to
  115.       them expecting important messages.
  116.  
  117.    5. Via an Ident daemon.
  118.  
  119.       Many unix computers run a daemon (a program which runs in the 
  120.       background, initiated by the system administrator), intended to
  121.       allow other computers to identify people who connect to them.
  122.  
  123.       When a person surfs from such a computer connects to a web site
  124.       or news server, the site or server can connect the person's computer
  125.       back and ask that daemon's for the person's email address.
  126.  
  127.       Some chat clients on PCs behave similarily, so using IRC can cause
  128.       an email address to be given out to spammers.
  129.  
  130.    6. From a web browser.
  131.  
  132.       Some sites use various tricks to extract a surfer's email address
  133.       from the web browser, sometimes without the surfer noticing it.
  134.       Those techniques include :
  135.  
  136.        1. Making the browser fetch one of the page's images through an
  137.           anonymous FTP connection to the site.
  138.  
  139.            Some browsers would give the email address the user has 
  140.            configured into the browser as the password for the anonymous
  141.            FTP account. A surfer not aware of this technique will not
  142.            notice that the email address has leaked.
  143.  
  144.        2. Using JavaScript to make the browser send an email to a chosen
  145.           email address with the email address configured into the browser.
  146.  
  147.            Some browsers would allow email to be sent when the mouse 
  148.            passes over some part of a page. Unless the browser is properly
  149.            configured, no warning will be issued.
  150.  
  151.        3. Using the HTTP_FROM header that browsers send to the server.
  152.  
  153.            Some browsers pass a header with your email address to every web
  154.            server you visit. To check if your browser simply gives your
  155.            email address to everybody this way, visit
  156.             http://www.privacy.net/analyze/
  157.  
  158.       It's worth noting here that when one reads E-mail with a browser
  159.       (or any mail reader that understands HTML), the reader should be
  160.       aware of active content (Java applets, Javascript, VB, etc) as 
  161.       well as web bugs.
  162.  
  163.       An E-mail containing HTML may contain a script that upon being
  164.       read (or even the subject being highlighted) automatically sends
  165.       E-mail to any E-mail addresses. A good example of this case is the
  166.       Melissa virus. Such a script could send the spammer not only the 
  167.       reader's E-mail address but all the addresses on the reader's
  168.       address book. 
  169.        http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
  170.  
  171.       A web bugs FAQ by Richard M. Smith can be read at
  172.        http://www.tiac.net/users/smiths/privacy/wbfaq.htm
  173.  
  174.    7. From IRC and chat rooms.
  175.  
  176.       Some IRC clients will give a user's email address to anyone who cares
  177.       to ask it. Many spammers harvest email addresses from IRC, knowing that
  178.       those are 'live' addresses and send spam to those email addresses.
  179.  
  180.       This method is used beside the annoying IRCbots that send messages
  181.       interactively to IRC and chat rooms without attempting to recognize
  182.       who is participating in the first place.
  183.  
  184.       This is another major source of email addresses for spammers, especially
  185.       as this is one of the first public activities newbies join, making it
  186.       easy for spammers to harvest 'fresh' addresses of people who might have
  187.       very little experience dealing with spam.
  188.  
  189.       AOL chat rooms are the most popular of those - according to reports
  190.       there's a utility that can get the screen names of participants in
  191.       AOL chat rooms. The utility is reported to be specialized for AOL due 
  192.       to two main reasons - AOL makes the list of the actively participating
  193.       users' screen names available and AOL users are considered prime
  194.       targets by spammers due to the reputation of AOL as being the ISP of
  195.       choice by newbies. 
  196.   
  197.    8. From finger daemons.
  198.  
  199.       Some finger daemons are set to be very friendly - a finger query
  200.       asking for john@host will produce list info including login names
  201.       for all people named John on that host. A query for @host will
  202.       produce a list of all currently logged-on users.
  203.  
  204.       Spammers use this information to get extensive users list from hosts,
  205.       and of active accounts - ones which are 'live' and will read their 
  206.       mail soon enough to be really attractive spam targets.
  207.  
  208.    9. AOL profiles.
  209.  
  210.       Spammers harvest AOL names from user profiles lists, as it allows them
  211.       to 'target' their mailing lists. Also, AOL has a name being the choice 
  212.       ISP of newbies, who might not know how to recognize scams or know how 
  213.       to handle spam.
  214.  
  215.   10. From domain contact points.
  216.  
  217.       Every domain has one to three contact points - administration,
  218.       technical, and billing. The contact point includes the email
  219.       address of the contact person.
  220.  
  221.       As the contact points are freely available, e.g. using the 'whois'
  222.       command, spammers harvest the email addresses from the contact points
  223.       for lists of domains (the list of domain is usually made available to
  224.       the public by the domain registries). This is a tempting methods for
  225.       spammers, as those email addresses are most usually valid and mail
  226.       sent to it is being read regularily.
  227.  
  228.   11. By guessing & cleaning.
  229.  
  230.       Some spammers guess email addresses, send a test message (or a real
  231.       spam) to a list which includes the guessed addresses. Then they
  232.       wait for either an error message to return by email, indicating that
  233.       the email address is correct, or for a confirmation. A confirmation
  234.       could be solicited by inserting non-standard but commonly used
  235.       mail headers requesting that the delivery system and/or mail client
  236.       send a confirmation of delivery or reading. No news are, of coures,
  237.       good news for the spammer.
  238.  
  239.       Specifically, the headers are -
  240.        Return-Receipt-To: <email-address>      Send a delivery confirmation
  241.        X-Confirm-Reading-To: <email-address>   Send a reading confirmation
  242.  
  243.       Another method of confirming valid email addresses is sending HTML
  244.       in the email's body (that is sending a web page as the email's content),
  245.       and embedding in the HTML an image. Mail clients that decode HTML,
  246.       e.g. as Outlook and Eudora do in the preview pane, will attempt fetching
  247.       the image - and some spammers put the recipient's email address in the
  248.       image's URL, and check the web server's log for the email addresses of
  249.       recipients who viewed the spam.
  250.  
  251.       So it's good advice to set the mail client to *not* preview rich media
  252.       emails, which would protect the recipient from both accidently confirming
  253.       their email addresses to spammers and viruses.
  254.  
  255.       Guessing could be done based on the fact that email addresses are
  256.       based on people's names, usually in commonly used ways
  257.       (first.last@domain or an initial of one name followed / preceded by
  258.       the other @domain)
  259.  
  260.       Also, some email addresses are standard - postmaster is mandated by
  261.       the RFCs for internet mail. Other common email addresses are
  262.       postmaster, hostmaster, root [for unix hosts], etc.
  263.       
  264.   12. From white & yellow pages.
  265.  
  266.       There are various sites that serve as white pages, sometimes named
  267.       people finders web sites. Yellow pages now have an email directory
  268.       on the web.
  269.  
  270.       Those white/yellow pages contain addresses from various sources,
  271.       e.g. from UseNet, but sometimes your E-mail address will be 
  272.       registered for you. Example - HotMail will add E-mail addresses to
  273.       BigFoot by default, making new addresses available to the public.
  274.  
  275.       Spammers go through those directories in order to get email addresses.
  276.       Most directories prohibit email address harvesting by spammers, but as
  277.       those databases have a large databases of email addresses + names,
  278.       it's a tempting target for spammers.
  279.  
  280.   13. By having access to the same computer.
  281.  
  282.       If a spammer has an access to a computer, he can usually get a list
  283.       of valid usernames (and therefore email addresses) on that computer.
  284.  
  285.       On unix computers the users file (/etc/passwd) is commonly world
  286.       readable, and the list of currently logged-in users is listed via 
  287.       the 'who' command.
  288.  
  289.   14. From a previous owner of the email address.
  290.  
  291.       An email address might have been owned by someone else, who disposed
  292.       of it. This might happen with dialup usernames at ISPs - somebody
  293.       signs up for an ISP, has his/her email address harvested by spammers,
  294.       and cancel the account. When somebody else signs up with the same ISP
  295.       with the same username, spammers already know of it.
  296.  
  297.       Similar things can happen with AOL screen names - somebody uses a
  298.       screen name, gets tired of it, releases it. Later on somebody else
  299.       might take the same screen name.
  300.  
  301.   15. Using social engineering.
  302.  
  303.       This method means the spammer uses a hoax to convince people
  304.       into giving him valid E-mail addresses.
  305.  
  306.       A good example is Richard Douche's "Free CD's" chain letter.
  307.       The letter promises a free CD for every person to whom the letter is
  308.       forwarded to as long as it is CC'ed to Richard.
  309.  
  310.       Richard claimed to be associated with Amazon and Music blvd, among
  311.       other companies, who authorized him to make this offer. Yet he
  312.       supplied no references to web pages and used a free E-mail address.
  313.  
  314.       All Richard wanted was to get people to send him valid E-mail addresses
  315.       in order to build a list of addresses to spam and/or sell.
  316.  
  317.   16. Buying lists from others.
  318.  
  319.       This one covers two types of trades. The first type consists of buying
  320.       a list of email addresses (often on CD) that were harvested via other
  321.       methods, e.g. someone harvesting email addresses from UseNet and sells
  322.       the list either to a company that wishes to advertise via email
  323.       (sometimes passing off the list as that of people who opted-in for
  324.       emailed advertisements) or to others who resell the list.
  325.  
  326.       The second type consists of a company who got the email addresses
  327.       legitimately (e.g. a magazine that asks subscribers for their email
  328.       in order to keep in touch over the Internet) and sells the list for
  329.       the extra income. This extends to selling of email addresses a
  330.       company got via other means, e.g. people who just emailed the company
  331.       with inquiries in any context.
  332.  
  333.   17. By hacking into sites.
  334.  
  335.       I've heard rumours that sites that supply free email addresses
  336.       were hacked in order to get the list of email addresses, somewhat
  337.       like e-commerce sites being hacked to get a list of credit cards.
  338.  
  339.  
  340.  If your address was harvested and you get spammed, the following pages
  341.  could assist you in tracking the spammer down :
  342.  
  343.   1. MindSpring's page explaining how to get an email's headers
  344.       http://help.mindspring.com/features/emailheaders/extended.htm
  345.  
  346.   2. The spam FAQ, maintained by Ken Hollis.
  347.       http://digital.net/~gandalf/spamfaq.html
  348.       http://www.cs.ruu.nl/wais/html/na-dir/net-abuse-faq/spam-faq.html
  349.  
  350.   3. The Reporting Spam page, an excellent resource.
  351.       http://www.ao.net/waytosuccess/
  352.  
  353.   4. Reading Mail headers.
  354.       http://www.stopspam.org/email/headers/headers.html
  355.  
  356.   5. Julian Haight's Spam Cop page.
  357.       http://spamcop.net/
  358.  
  359.   6. Chris Hibbert's Junk Mail FAQ.
  360.       http://www.fortnet.org/WidowNet/faqs/junkmail.htm
  361.  
  362.   7. UXN Spam Combat page.
  363.       http://www.ultradesign.com/engineering/uxn/
  364.  
  365.   8. Sam Spade, Spam hunter.
  366.       http://samspade.org/t/
  367.  
  368.   9. Penn's Page of Spam.
  369.       http://home.att.net/~penn/spam.htm
  370.  
  371.   A. WD Baseley's Address Munging FAQ
  372.       http://members.aol.com/emailfaq/mungfaq.html
  373.  
  374.   B. Fight Spam on the Internet site
  375.       http://spam.abuse.net/
  376.  
  377.   C. The Spam Recycling Center
  378.       http://www.spamrecycle.com/
  379.  
  380.   W. The Junk Busters Site
  381.       http://www.junkbusters.com/
  382.  
  383.   X. The Junk Email site
  384.       http://www.junkemail.org/
  385.  
  386.   Y. BCP 30: Anti-Spam Recommendations for SMTP MTAs
  387.       ftp://ftp.isi.edu/in-notes/bcp/bcp30.txt 
  388.  
  389.   Z. FYI 28: Netiquette Guidelines
  390.       ftp://ftp.isi.edu/in-notes/fyi/fyi28.txt
  391.  
  392.      FYI 35: DON'T SPEW 
  393.              A Set of Guidelines for Mass Unsolicited Mailings and Postings
  394.       ftp://ftp.isi.edu/in-notes/fyi/fyi35.txt
  395.  
  396.  
  397.  Several sites on the web will help in tracing spam :
  398.  
  399.   1. Sam Bretheim's list of traceroute gateways
  400.       http://www.geocities.com/Athens/4273/gateways.html
  401.      To find traceroute gateways in any country, visit here.
  402.       http://www.traceroute.org/
  403.  
  404.   2. Allwhois.com gates to whois on any domain world-wide
  405.       http://www.allwhois.com/ 
  406.  
  407.   3. A list of whois servers, collected by Matt Power
  408.       ftp://sipb.mit.edu/pub/whois/whois-servers.list
  409.  
  410.   4. Alldomains.com site - links to NICs worldwide.
  411.       http://www.alldomains.com/
  412.      A similar page can be found at
  413.       http://www.forumnett.no/domreg.html
  414.  
  415.   5. The Coalition Against Usolicited Commerical E-mail. 
  416.       http://www.cauce.org/
  417.      The European CAUCE.
  418.       http://www.euro.cauce.org/en/index.html
  419.      The Coalition Against Unsolicited Bulk Email, Australia.
  420.       http://www.caube.org.au/
  421.      The Russian Anti-Spam organization.
  422.       http://www.antispam.ru/
  423.  
  424.   Y. No More Spam - ISP Spam-Blocking Interferes With Business
  425.       http://www.byte.com/columns/digitalbiz/1999/04/0405coombs.html
  426.  
  427.   Z. Removing the Spam
  428.       By Geoff Mulligan
  429.       Published by O'Reilly
  430.       ISBN 0-201-37957-0
  431.        A good book about handling spam.
  432.  
  433.  
  434.  Legal resources :
  435.  
  436.   1. FTC Consumer Alert - 
  437.       FTC Names Its Dirty Dozen: 12 Scams Most Likely to Arrive Via Bulk email 
  438.       http://www.ftc.gov/bcp/conline/pubs/alerts/doznalrt.htm
  439.  
  440.   2. Report to the Federal Trade Commision of the Ad-Hoc Working Group
  441.      on Unsolicited Commercial Mail.
  442.       http://www.cdt.org/spam/
  443.  
  444.   3. Pyramid Schemes, Ponzi Schemes, and Related Frauds
  445.       http://www.impulse.net/~thebob/Pyramid.html
  446.  
  447.   4. The AOL vs. Cyberpromo case
  448.       http://legal.web.aol.com/decisions/dljunk/cyber.html
  449.  
  450.      The AOL vs. the Christian Brothers (the apricot seeds as a cancer
  451.      cure spammers) case.
  452.       http://www.andovernews.com/cgi-bin/news_story.pl?97775/topstories
  453.  
  454.   5. "Intel scores in email suit", by Jim Hu, CNET News.com.
  455.        http://www.news.com/News/Item/0,4,29574,00.html?st.ne.ni.lh
  456.  
  457.   6. The John Marshall Law School spam page
  458.       http://www.jmls.edu/cyber/index/spam.html
  459.  
  460.   7. First amendment issues related to UBE, by Paul L. Schmehl.
  461.       http://www.utdallas.edu/~pauls/spam_law.html
  462.  
  463.   8. Hawaii's Anti-Spam Law
  464.       http://www.capitol.hawaii.gov/session1999/bills/sb651%5F.htm
  465.  
  466.   9. Washington's Anti-Spam Law
  467.       ftp://ftp.leg.wa.gov/pub/rcw/title_19/chapter_190/
  468.       http://www.wa.gov/ago/junkemail/
  469.  
  470.      Also see the WA State Resident site
  471.       http://www.wa-state-resident.com/
  472.  
  473.      A news story about a relevant court case can be found at
  474.       http://www.andovernews.com/cgi-bin/news_story.pl?156067/topstories
  475.  
  476.   A. California's Anti-Spam Law
  477.       http://www.leginfo.ca.gov/cgi-bin/postquery?bill_number=ab_1629&sess=PREV&house=B
  478.  
  479.   B. Virginia's Anti-Spam Law
  480.       http://leg1.state.va.us/cgi-bin/legp504.exe?ses=991&typ=bil&val=hb1714
  481.  
  482.   C. Nevada's Anti-Spam Law
  483.       http://www.jmls.edu/cyber/statutes/email/nvsb13.html
  484.  
  485.   D. The UK Data Protection Law
  486.       http://www.dataprotection.gov.uk/
  487.  
  488.   E. The Italian Anti-Spam Law
  489.       http://www.interlex.com/testi/dlg99185.htm
  490.  
  491.   F. The Austrian Telecm Law
  492.       http://www.parlament.gv.at/pd/pm/XX/I/texte/020/I02064_.html
  493.       http://www.bmv.gv.at/tk/3telecom/recht/tkg/inhalt.htm
  494.  
  495.   G. The Norwegian Marketing Control Act
  496.       http://www.forbrukerombudet.no/html/engelsk/themcact.htm
  497.  
  498.  
  499.