home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / scientology / spam-team-faq < prev   
Encoding:
Internet Message Format  |  1997-04-19  |  21.6 KB
  1. Path: senator-bedfellow.mit.edu!faqserv
  2. From: tbetz@pobox.com
  3. Newsgroups: ca.usenet,la.news,la.general,alt.bbs.internet,alt.internet.services,news.admin.net-abuse.announce,misc.news.internet.announce,alt.religion.scientology,misc.answers,alt.answers,news.answers
  4. Subject: "What is Scientology?" (ARSBOMB) Spam Team FAQ for Los Angeles Area ISPs
  5. Supersedes: <scientology/spam-team-faq_858696304@rtfm.mit.edu>
  6. Followup-To: news.admin.net-abuse.misc
  7. Date: 18 Apr 1997 09:28:29 GMT
  8. Organization: none
  9. Lines: 437
  10. Approved: news-answers-request@MIT.EDU
  11. Expires: 1 Jun 1997 09:13:16 GMT
  12. Message-ID: <scientology/spam-team-faq_861354796@rtfm.mit.edu>
  13. NNTP-Posting-Host: penguin-lust.mit.edu
  14. Summary: This posting describes the circumstances surrounding the 
  15.          "What Is Scientology" Spam Attack on the Usenet Newsgroup
  16.          alt.religion.scientology, the potential consequences for ISP
  17.          admins who host the WIS Spam Team, and the means by which ISP
  18.          admins may prevent their suffering those consequences.
  19. X-Last-Updated: 1997/04/12
  20. X-Summary: It should be read by anyone operating an Internet Service 
  21.          Provider or Internet-connected Bulletin Board System in the Los 
  22.          Angeles, California area, or by anyone who wonders who's posting 
  23.          all those excerpts from the book "What Is Scientology?" to
  24.          alt.religion.scientology over and over and over and over and over 
  25.          and over and over and over and over and over and over again.
  26. Originator: faqserv@penguin-lust.MIT.EDU
  27. Xref: senator-bedfellow.mit.edu alt.bbs.internet:65175 alt.internet.services:99104 misc.news.internet.announce:439 alt.religion.scientology:276472 misc.answers:5764 alt.answers:25551 news.answers:100095
  28.  
  29. Archive-name: scientology/spam-team-faq
  30. Posting-Frequency: monthly, on or about the 15th of the month
  31. Last-modified: 1997/04/11
  32. Version: 1.7 -- Final
  33. URL: http://www.panix.com/~tbetz/WIS_Spam_Team_FAQ.html
  34.  
  35. PREFACE:
  36. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
  37.  
  38. Because the Spam Team stopped its attack sometime in December, 1996, and 
  39. (as of the second week of April, 1997) they have shown no sign of 
  40. restarting it, this is the final appearance of this monthly FAQ on Usenet.  
  41.  
  42. I shall retire it after this posting.
  43.  
  44. Because of its value to novice ISPs as a reference for spammer-
  45. fighting techniques, I shall maintain a copy of the 22 Dec 1996 release 
  46. posted below at <http://www.panix.com/~tbetz/WIS_Spam_Team_FAQ.html> 
  47. for the indefinite future.   
  48.  
  49. Should the attack recommence, I shall, of course, resume posting the FAQ.
  50.  
  51. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
  52.  
  53.  
  54. The "What Is Scientology?" Spam Team FAQ for Los Angeles Area ISPs
  55.  
  56. Version 1.7  -- 22 Dec 1996
  57.  
  58.     Do you run an Internet Service Provider or Internet-connected
  59.     Bulletin Board Service in the metro Los Angeles area?
  60.  
  61.     Has a woman (or two women) come to your office recently to
  62.     open a temporary SLIP or PPP account "for my son" or "for my
  63.     brother who will be staying with me for a month on vacation"
  64.     -- happy, maybe even insisting, on paying for the month in
  65.     cash, or paying for the account using a credit card with a name 
  66.     on it other than the name they give for the account holder?
  67.  
  68.     Has a man called you and asked you to set up a temporary 
  69.     account "for a friend who is coming to visit?"
  70.  
  71.     The odds are extremely good that this account is about to be
  72.     abused by the "What Is Scientology?" Spam Team, as part of 
  73.     an ongoing theft-of-service and denial-of-service attack on a
  74.     Usenet Newsgroup.
  75.  
  76.     Do yourself a big favor; go lock the account they opened -- 
  77.     then come back and read the rest of this FAQ.
  78.  
  79. *-----------------------------------------------------------------*
  80.  
  81. This FAQ attempts to answer the following questions:
  82.  
  83. 1)  What is the "What Is Scientology?" Spam Attack?
  84.  
  85. 2)  Who is the "What Is Scientology?" Spam Team?
  86.  
  87. 3)  How does the "What Is Scientology?" Spam Team work?
  88.  
  89. 4)  Where does the "What Is Scientology?" Spam Team operate?
  90.  
  91. 5)  What ISPs have been victimized by the "What Is Scientology?" 
  92.     Spam Team?
  93.  
  94. 6)  Does the "What Is Scientology?" Spam Team ever just leave 
  95.     an ISP?
  96.  
  97. 7)  What will happen if I just ignore the "What Is Scientology?" 
  98.     Spam Team while it's using my system?
  99.  
  100. 8)  Spamming isn't illegal.  Why should I care about the 
  101.     "What Is Scientology?" Spam Team?
  102.  
  103. 9)  I think the "What Is Scientology?" Spam Team may have purchased 
  104.     an account on my system.  What should I do?
  105.  
  106. 10) I'm getting reports from people about the "What Is Scientology" 
  107.     Spam Team using my system, but I don't know what to do.  How can 
  108.     I identify which accounts they are using?  How can I stop them
  109.     from spamming?
  110.  
  111. *-----------------------------------------------------------------*
  112.  
  113. 1)  What is the "What Is Scientology?" Spam Attack?
  114.  
  115. Put simply, the "What Is Scientology?" (WIS) Spam Attack is an 
  116. apparent attempt by someone -- either the Church of Scientology, its
  117. employees or its sympathizers -- to stifle the speech of people who
  118. discuss, on the Usenet Newsgroup alt.religion.scientology, the past
  119. and present wrongful practices and criminal acts of the Scientology
  120. organization, its leadership, its corporate entities, and its
  121. employees.
  122.  
  123. This attack has been in progress since May 19, 1996, and more 
  124. than 100,000 posts have been flooded into alt.religion.scientology to
  125. date, in an apparent effort to "harass and discourage[1]" the regular
  126. participants in the ongoing discussions there.
  127.  
  128. More information may be obtained at the following URLs:
  129.  
  130.   http://wpxx02.toxi.uni-wuerzburg.de/~krasel/CoS/spam/info.html
  131.   http://www.now.com/issues/15/44/News/feature.html
  132.   http://pathfinder.com/Netly/daily/960923.html
  133.  
  134. 2)  Who is the "What Is Scientology?" Spam Team?
  135.  
  136. The WIS Spam Team appears to consist of at least three people;  a man
  137. of undetermined age, a young woman, and an older woman. Investigators
  138. have yet to make a complete identification, though certain names seem
  139. to keep coming up in the investigation.  In the month of October 1996, 
  140. the Spam Team appears to have developed new cover stories, and have 
  141. been using these new stories to open accounts.  They may also have 
  142. recruited new personnel.  As investigation turns up new cover stories, 
  143. they will be included in future versions of this FAQ.
  144.  
  145.  
  146. 3)  How does the "What Is Scientology?" Spam Team work?
  147.  
  148. The WIS Spam Team's _modus_operandi_ (M.O.) is fairly invariant.  As
  149. described in the opening paragraphs of this FAQ, they typically open a 
  150. temporary SLIP/PPP account on an ISP, paying for a month in advance.  
  151. The account may remain idle for weeks, while the WIS Spam Team abuses
  152. other system's accounts in the following manner:
  153.  
  154.     They find several open NNTP servers they can abuse.   Once
  155.     they begin to abuse an NNTP server, they will continue to
  156.     post through it (using multiple forged From: addresses) between a
  157.     dozen and 2000 articles a night, repeating sets of about 700
  158.     different articles (usually excerpts from the book "What Is
  159.     Scientology?", or old Scientology press releases, always
  160.     advertising several official Scientology Web sites), at a rate of
  161.     up to ten per minute.  They have been known to post 10,000
  162.     articles non-stop over a single weekend, sometimes using more 
  163.     than one account simultaneously.
  164.  
  165.     They will not stop until forced to stop, either by the
  166.     victimized NNTP server being closed to them, or by losing
  167.     their account when the ISP identifies it.  Some ISPs have
  168.     reported closing more than one account at a time, either
  169.     paid for in cash or using a third-party's credit card bearing a
  170.     name other than the name given by the account holder. Addresses
  171.     and phone numbers given by the WIS Spam Team are invariably phony.
  172.  
  173.     Put simply, they lie. They are reported to be very convincing liars.
  174.  
  175. When the other accounts are closed by the other ISPs, your system's turn
  176. comes around.
  177.  
  178.  
  179. 4)  Where does the "What Is Scientology?" Spam Team operate?
  180.  
  181. At present, the WIS Spam Team operates out of somewhere in the 
  182. metropolitan Los Angeles area.  There have been small spams not 
  183. following the standard MO run out of other locations (including
  184. one using bitwise.net in Boston, and small spams from AOL) but 
  185. they seem to be attempts at distraction from the standard pattern.
  186.  
  187. WIS Spam Team accounts have been closed all over the L.A. area, 
  188. after being used by the WIS Spam Team to post thousands of articles 
  189. to alt.religion.scientology, using NNTP servers all over the world[3].
  190.  
  191.  
  192. 5)  What ISPs have been victimized by the "What Is Scientology?" 
  193.     Spam Team?
  194.  
  195. directnet.com, westworld.com, wdc.net, barepower.net, netroplex.com,
  196. interline.net, instanet.com, linkonline.net, loop.com, k-net.net,
  197. dsphere.com, wavenet.com, internetconnect.net, cyberesc.net, 4link.net 
  198. and annex.com are just a FEW of the ISPs who have suffered from hosting 
  199. WIS Spam Team accounts.
  200.  
  201.  
  202. 6)  Does the "What Is Scientology?" Spam Team ever just leave 
  203.     an ISP?
  204.  
  205. No.  Once begun, these attacks will continue for days (sometimes
  206. weeks) at a time.  To my knowledge, the WIS Spam Team has never just 
  207. left an ISP.  They only stop when the ISP closes their account.
  208.  
  209.  
  210. 7)  What will happen if I just ignore the "What Is Scientology?" 
  211.     Spam Team while it's using my system?
  212.  
  213. Because the newsgroup under attack, alt.religion.scientology, is one
  214. of the most-read Usenet newsgroups, the hounds of virtual hell come
  215. down on the WIS Spam Team's unfortunate ISP for the duration of the
  216. attack.  Complaints come pouring in by email, fax, and telephone,
  217. along with megabytes of Spam article headers -- which may be useful to
  218. match logs against posting times when one tries to identify the
  219. offending account, but which tend to clog system administrators'
  220. inboxes.
  221.  
  222. Some systems have had to spend WEEKS (and hundreds of person-hours)
  223. identifying the offending account, all the while suffering flames --
  224. by email and posted all over Usenet -- from victimized readers of
  225. alt.religion.scientology, and from other anti-net-abuse activists. 
  226. It's unpleasant, to say the least.
  227.  
  228. Also, ISPs that demonstrate an inability or unwillingness to stop the
  229. WIS Spam Team's attacks often attract the attention of unsavory
  230. commercial Usenet spammers, who flock to those ISPs in the hope of
  231. perpetrating their own spams unhindered.  Such customers, and the
  232. complaints they inevitably generate, are more trouble than the income
  233. from them is worth.  Their activity is likely to further damage your
  234. system's reputation, and you may lose many of your respectable
  235. customers as a result.
  236.  
  237.  
  238. 8)  Spamming isn't illegal.  Why should I care about the 
  239.     "What Is Scientology?" Spam Team?
  240.  
  241. Small-scale spamming may not be illegal;  but the kind of spam-flood
  242. the WIS Spam Team engages in -- attempting to make impossible the
  243. regular use of alt.religion.scientology -- falls in the category of
  244. Denial Of Service Attack, which is clearly illegal under 18 USC sec.
  245. 1030 [4].  (By the way, section 1030(g) provides for civil actions by
  246. injured parties, so once the Spam Team is caught, there is likely to
  247. be a long list of Federal civil suits brought against them, as well.) 
  248.  
  249. Furthermore, by using NNTP servers other than those belonging to their 
  250. ISPs to post thousands of articles without authorization from the owners 
  251. of those servers (usually making use of little-known security holes in 
  252. INN to post through NNTP servers not intentionally left open[5] -- the 
  253. equivalent of picking the lock of a stranger's door to go into his 
  254. house and make prank phone calls from the stranger's phone), the WIS 
  255. Spam Team is committing Theft Of Services, also illegal under state 
  256. laws in every one of the United States.
  257.  
  258. To compound their criminality, in the course of their attacks, the WIS
  259. Spam Team has been known to post (unauthorized, of course) through
  260. .gov and even .mil NNTP servers -- which is Unauthorized Use of
  261. Federal Computing Resources, illegal under 18 USC section 1030(a)(3).
  262.  
  263. The US Department of Energy is currently investigating just such
  264. abuses of Federal computing systems at Lawrence Berkeley Laboratory.
  265.  
  266.  
  267. 9)  I think the "What Is Scientology?" Spam Team may have opened 
  268.     an account on my system.  What should I do?
  269.  
  270. The FBI is also investigating this ongoing attack.  If you think you
  271. may have innocently opened an account for the "What Is Scientology"
  272. Spam Team, give a call to one of the following FBI agents, each of
  273. whom has been briefed on this case:
  274.  
  275.    Agent Hugh McLean                  Agent Charles Neal
  276.    Phone: 1-202-324-9164              Phone: 1-310-996-3854
  277.    Fax:    1-202-324-6363
  278.  
  279. And in the meantime, if you haven't already done what I suggested
  280. earlier, save yourself a whole lot of wasted time and trouble.
  281.  
  282. Lock the account now.
  283.  
  284. If you suspect IN THE SLIGHTEST that you may be a victim of the "What
  285. Is Scientology" Spam Team, or if you have opened an account in a
  286. manner that fits the M.O. described above, lock the suspect account.  
  287.  
  288. Just lock it. 
  289.  
  290. Don't send a warning or an inquiry.  These criminals do not respond 
  291. to warnings or inquiries. The WIS Spam Team, after they have received
  292. past warnings or inquiries, just remained logged on to the ISP's system 
  293. 24 hours a day, pumping out the spam as long as they could get away with 
  294. it, until the account was finally locked and their access was revoked.
  295.  
  296. If you lock the account and your suspicions are correct, you will probably
  297. not hear from the WIS Spam Team again.  Once an account is locked, they do
  298. not complain;  when the jig is up, they just move on to another unfortunate 
  299. provider.  While they have recently begun to return to providers where 
  300. they had once before held accounts, it was only after having been elsewhere 
  301. for several months.
  302.  
  303. If someone calls to complain about the locked account, the odds are
  304. good (unless the WIS Spam Team changes its M.O., which IS possible)
  305. that it's a legitimate account, and you can simply fix the "technical
  306. problem" and everything will probably be all right.
  307.  
  308. But please don't take any unnecessary chances.  A few minutes of
  309. prevention here can save you many hours of cure.
  310.  
  311. If the holder of the suspect account does call and complain
  312. (especially if the account hasn't been used yet) it's probably a good
  313. idea to ask for (and make a record of) a telephone number you can call
  314. back for confirmation that the person calling is indeed the account
  315. holder.  You can say that the callback is a necessary security
  316. measure.  
  317.  
  318. Then call that number, and confirm that the person who called you is
  319. actually at that number, before unlocking the account.  The WIS Spam
  320. Team will not give you a legitimate phone number (except, perhaps, the
  321. number of a public pay telephone) to call back, because it might be
  322. used later to identify them.
  323.  
  324. If you want to confirm the legitimacy of the telephone number, and you
  325. don't have access to a reverse telephone directory or a CD-ROM
  326. telephone directory, your telephone company will probably tell you if
  327. a particular telephone number is indeed that of a public pay telephone.
  328.  
  329. 10) I'm getting reports from people about the "What Is Scientology" 
  330.     Spam Team using my system, but I don't know what to do.  How can 
  331.     I identify which accounts they are using?  How can I stop them
  332.     from spamming?
  333.  
  334. There are a number of ways you can identify the accounts the Spam 
  335. Team is using:
  336.  
  337. A) When they set up the account (or accounts) they are using, these 
  338.    people gave your staff false names and telephone numbers.  The 
  339.    account may have been opened by one or two women who came into 
  340.    your office and paid cash for a brother/son who was going to visit 
  341.    them for a month;  or a man may have called and opened an account 
  342.    over the phone with a promise to send in a check that has not come;
  343.    or a man may have called up and asked you to set up an account 
  344.    "for a friend who was coming to visit"; or they may simply have 
  345.    opened a "free trial account", if you happen to offer them.
  346.  
  347.    They were using a credit card (in a name different from the names
  348.    they gave for themselves and the account holder) for a while, but
  349.    they stopped that practice around July or August of 1996 -- though 
  350.    they may start doing that again at any time, especially if you 
  351.    require a credit card number to open a free trial account.
  352.  
  353.    To identify which accounts are likely to be the Spam Team's, go 
  354.    through your recent new accounts, within the last month or so.  
  355.    Find out which of them fit these patterns.  Try calling the numbers 
  356.    they gave you at different times of the day.  If you get no answer, 
  357.    or if you get a message that it is a bogus number (or an office of 
  358.    the Church of Scientology), or if the phone company tells you it 
  359.    is a telephone booth, lock the account.
  360.  
  361. B) A harder (but surer) way is by gathering spam headers and checking
  362.    the logs for the dialups listed in the NNTP-Posting-Host: header
  363.    lines against the posting times in those headers, to determine which
  364.    user matches all the times.  This method is a lot more work, and it
  365.    takes longer, but once you make the connection, it is certain.
  366.    Then shut that account down. This is the system that several ISPs
  367.    have used.
  368.  
  369. C) The third way may inconvenience some of your legitimate users
  370.    who may legitimately use outside NNTP servers, but if all else
  371.    fails, you may have to do what some other victimized ISPs have
  372.    done -- ask your provider to filter outgoing NNTP connections
  373.    from your site.
  374.  
  375. D) This Spam Team usually likes to operate through the night,
  376.    because the small ISPs it likes to abuse tend not to have staff 
  377.    monitoring systems late at night, and they are less likely to 
  378.    get caught.  During times when the Spam Team is likely to be 
  379.    active, use network monitoring tools like "netstat" under SunOS 
  380.    to check what ports are active between your dial-in server and 
  381.    the NNTP ports on other machines. A perl or shell script run 
  382.    from "cron" could easily log this activity with a minimum of 
  383.    mess.
  384.  
  385. E) Obtain the Caller-ID information from your dial-in lines. 
  386.    The Hylafax freeware for UNIX systems (you can find it at 
  387.    <ftp://ftp.sgi.com/sgi/fax> provides both dial-in and fax-
  388.    in/out software that's very powerful and very friendly. It 
  389.    automatically collects Caller-ID from any modems that support 
  390.    the feature.  It also easily supports mailfax gateways for 
  391.    your users (billed to their accounts with a bit of programming 
  392.    added) or only your staff, for faxing forms and bills to your 
  393.    customers. It also handles configuring modems for dialup and 
  394.    PPP rather well.
  395.  
  396. F) Sometimes the simplest measures can be the most effective. 
  397.    If your modems are external, walk over to them and watch the 
  398.    traffic on the LED's for a while when the Spam Team is likely 
  399.    to be working.  The perpetrator is almost entirely *transmitting* 
  400.    data, for hours and hours. This is extremely unusual for dialup 
  401.    lines, which will more frequently download for extended periods.
  402.  
  403. G) You can make your system less inviting for the Spam Team if, 
  404.    in your contracts and connection messages on your systems, you 
  405.    remind users that you reserve the right to monitor their activity 
  406.    for security reasons.
  407.  
  408. Method A is generally the quickest and has proved over time to be 
  409. the most effective;  but a combination of the other methods may 
  410. prove to be most useful for you, if you are unfortunate enough to 
  411. be hosting the WIS Spam Team.
  412.  
  413. Good luck.
  414.  
  415. And be careful out there.
  416.  
  417. Footnotes:
  418.  
  419. [1] In 1955, L. Ron Hubbard wrote in
  420. _A_Manual_on_the_Dissemination_of_Material_ (one of the Sacred
  421. Scriptures of the Church of Scientology), "The purpose of a lawsuit 
  422. is to harass and discourage rather than to win. Don't ever defend. 
  423. Always attack. Find or manufacture enough threat against them to 
  424. cause them to sue for peace. ... The law can be used very easily to
  425. harass, and enough harassment on somebody who is on the thin edge
  426. anyway, well knowing that he is not authorized, will generally be
  427. sufficient to cause his professional demise. If possible, of course,
  428. ruin him utterly."   This practice continues to this day, and the
  429. present spam-flood of alt.religion.scientology is merely the latest
  430. means of harassment being employed by this cult.  For evidence that it
  431. IS the cult engaging in this harassment, I need only point out that
  432. all of the articles being spammed are (c) copyright Church of
  433. Scientology International, and no legal action is being taken against
  434. the perpetrator, while hundreds of persons who have quoted as few as
  435. seven lines of Scientology scripture on alt.religion.scientology
  436. received email from hkk@netcom.com <Helena K. Kobrin>, attorney for
  437. the Cult, threatening legal action; and several cases are now pending
  438. in Federal courts against persons who quoted larger fair-use extracts 
  439. of Cult scripture in discussion on alt.religion.scientology[2].
  440.  
  441. [2] See <http://www.tiac.net/users/modemac/cos.html>, 
  442. <http://www.cybercom.net/~rnewman/scientology/home.html> and
  443. <http://www.icon.fi/~marina/rnewman/index.htm> for more information.
  444.  
  445. [3] The WIS Spam Team has only used its own ISP's NNTP server once,
  446. after having been on that system for a month, just as the account was
  447. due to expire (and its admins had just closed a second account on the
  448. same system).  It was a sort of parting shot, one last insult added to
  449. the injury.
  450.  
  451. [4] See <http://www.panix.com/~eck/computer-fraud-act.html> for the 
  452. text of 18 USC Section 1030.
  453.  
  454. [5] All official releases of INN through 1.4sec2 allow "blind" posting 
  455. to any group on the server by anyone with posting authorization for 
  456. any group. This is fixed in more recent versions. 
  457.  
  458. The latest version is 1.5 -- See <http://www.isc.org/isc/> for details.
  459.  
  460.  
  461. -- 
  462. |We have tried ignorance       |      Tom Betz       (914) 375-1510            |
  463. |for a very long time, and     | Want to send me email? First, read this page: |
  464. |it's time we tried education. | <http://www.panix.com/~tbetz/mailterms.shtml> |
  465. |<http://www.pobox.com/~tbetz> |   I mock up my reactive mind twice daily.     |
  466.