home *** CD-ROM | disk | FTP | other *** search

---

/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / scientology / spam-team-faq

< prev

Wrap

Internet Message Format  |  1997-04-19  |  22KB

---

1. Path: senator-bedfellow.mit.edu!faqserv
2. From: tbetz@pobox.com
3. Newsgroups: ca.usenet,la.news,la.general,alt.bbs.internet,alt.internet.services,news.admin.net-abuse.announce,misc.news.internet.announce,alt.religion.scientology,misc.answers,alt.answers,news.answers
4. Subject: "What is Scientology?" (ARSBOMB) Spam Team FAQ for Los Angeles Area ISPs
5. Supersedes: <scientology/spam-team-faq_858696304@rtfm.mit.edu>
6. Followup-To: news.admin.net-abuse.misc
7. Date: 18 Apr 1997 09:28:29 GMT
8. Organization: none
9. Lines: 437
10. Approved: news-answers-request@MIT.EDU
11. Expires: 1 Jun 1997 09:13:16 GMT
12. Message-ID: <scientology/spam-team-faq_861354796@rtfm.mit.edu>
13. NNTP-Posting-Host: penguin-lust.mit.edu
14. Summary: This posting describes the circumstances surrounding the 
15.          "What Is Scientology" Spam Attack on the Usenet Newsgroup
16.          alt.religion.scientology, the potential consequences for ISP
17.          admins who host the WIS Spam Team, and the means by which ISP
18.          admins may prevent their suffering those consequences.
19. X-Last-Updated: 1997/04/12
20. X-Summary: It should be read by anyone operating an Internet Service 
21.          Provider or Internet-connected Bulletin Board System in the Los 
22.          Angeles, California area, or by anyone who wonders who's posting 
23.          all those excerpts from the book "What Is Scientology?" to
24.          alt.religion.scientology over and over and over and over and over 
25.          and over and over and over and over and over and over again.
26. Originator: faqserv@penguin-lust.MIT.EDU
27. Xref: senator-bedfellow.mit.edu alt.bbs.internet:65175 alt.internet.services:99104 misc.news.internet.announce:439 alt.religion.scientology:276472 misc.answers:5764 alt.answers:25551 news.answers:100095
28.  
29. Archive-name: scientology/spam-team-faq
30. Posting-Frequency: monthly, on or about the 15th of the month
31. Last-modified: 1997/04/11
32. Version: 1.7 -- Final
33. URL: http://www.panix.com/~tbetz/WIS_Spam_Team_FAQ.html
34.  
35. PREFACE:
36. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
37.  
38. Because the Spam Team stopped its attack sometime in December, 1996, and 
39. (as of the second week of April, 1997) they have shown no sign of 
40. restarting it, this is the final appearance of this monthly FAQ on Usenet.  
41.  
42. I shall retire it after this posting.
43.  
44. Because of its value to novice ISPs as a reference for spammer-
45. fighting techniques, I shall maintain a copy of the 22 Dec 1996 release 
46. posted below at <http://www.panix.com/~tbetz/WIS_Spam_Team_FAQ.html> 
47. for the indefinite future.   
48.  
49. Should the attack recommence, I shall, of course, resume posting the FAQ.
50.  
51. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
52.  
53.  
54. The "What Is Scientology?" Spam Team FAQ for Los Angeles Area ISPs
55.  
56. Version 1.7  -- 22 Dec 1996
57.  
58.     Do you run an Internet Service Provider or Internet-connected
59.     Bulletin Board Service in the metro Los Angeles area?
60.  
61.     Has a woman (or two women) come to your office recently to
62.     open a temporary SLIP or PPP account "for my son" or "for my
63.     brother who will be staying with me for a month on vacation"
64.     -- happy, maybe even insisting, on paying for the month in
65.     cash, or paying for the account using a credit card with a name 
66.     on it other than the name they give for the account holder?
67.  
68.     Has a man called you and asked you to set up a temporary 
69.     account "for a friend who is coming to visit?"
70.  
71.     The odds are extremely good that this account is about to be
72.     abused by the "What Is Scientology?" Spam Team, as part of 
73.     an ongoing theft-of-service and denial-of-service attack on a
74.     Usenet Newsgroup.
75.  
76.     Do yourself a big favor; go lock the account they opened -- 
77.     then come back and read the rest of this FAQ.
78.  
79. *-----------------------------------------------------------------*
80.  
81. This FAQ attempts to answer the following questions:
82.  
83. 1)  What is the "What Is Scientology?" Spam Attack?
84.  
85. 2)  Who is the "What Is Scientology?" Spam Team?
86.  
87. 3)  How does the "What Is Scientology?" Spam Team work?
88.  
89. 4)  Where does the "What Is Scientology?" Spam Team operate?
90.  
91. 5)  What ISPs have been victimized by the "What Is Scientology?" 
92.     Spam Team?
93.  
94. 6)  Does the "What Is Scientology?" Spam Team ever just leave 
95.     an ISP?
96.  
97. 7)  What will happen if I just ignore the "What Is Scientology?" 
98.     Spam Team while it's using my system?
99.  
100. 8)  Spamming isn't illegal.  Why should I care about the 
101.     "What Is Scientology?" Spam Team?
102.  
103. 9)  I think the "What Is Scientology?" Spam Team may have purchased 
104.     an account on my system.  What should I do?
105.  
106. 10) I'm getting reports from people about the "What Is Scientology" 
107.     Spam Team using my system, but I don't know what to do.  How can 
108.     I identify which accounts they are using?  How can I stop them
109.     from spamming?
110.  
111. *-----------------------------------------------------------------*
112.  
113. 1)  What is the "What Is Scientology?" Spam Attack?
114.  
115. Put simply, the "What Is Scientology?" (WIS) Spam Attack is an 
116. apparent attempt by someone -- either the Church of Scientology, its
117. employees or its sympathizers -- to stifle the speech of people who
118. discuss, on the Usenet Newsgroup alt.religion.scientology, the past
119. and present wrongful practices and criminal acts of the Scientology
120. organization, its leadership, its corporate entities, and its
121. employees.
122.  
123. This attack has been in progress since May 19, 1996, and more 
124. than 100,000 posts have been flooded into alt.religion.scientology to
125. date, in an apparent effort to "harass and discourage[1]" the regular
126. participants in the ongoing discussions there.
127.  
128. More information may be obtained at the following URLs:
129.  
130.   http://wpxx02.toxi.uni-wuerzburg.de/~krasel/CoS/spam/info.html
131.   http://www.now.com/issues/15/44/News/feature.html
132.   http://pathfinder.com/Netly/daily/960923.html
133.  
134. 2)  Who is the "What Is Scientology?" Spam Team?
135.  
136. The WIS Spam Team appears to consist of at least three people;  a man
137. of undetermined age, a young woman, and an older woman. Investigators
138. have yet to make a complete identification, though certain names seem
139. to keep coming up in the investigation.  In the month of October 1996, 
140. the Spam Team appears to have developed new cover stories, and have 
141. been using these new stories to open accounts.  They may also have 
142. recruited new personnel.  As investigation turns up new cover stories, 
143. they will be included in future versions of this FAQ.
144.  
145.  
146. 3)  How does the "What Is Scientology?" Spam Team work?
147.  
148. The WIS Spam Team's _modus_operandi_ (M.O.) is fairly invariant.  As
149. described in the opening paragraphs of this FAQ, they typically open a 
150. temporary SLIP/PPP account on an ISP, paying for a month in advance.  
151. The account may remain idle for weeks, while the WIS Spam Team abuses
152. other system's accounts in the following manner:
153.  
154.     They find several open NNTP servers they can abuse.   Once
155.     they begin to abuse an NNTP server, they will continue to
156.     post through it (using multiple forged From: addresses) between a
157.     dozen and 2000 articles a night, repeating sets of about 700
158.     different articles (usually excerpts from the book "What Is
159.     Scientology?", or old Scientology press releases, always
160.     advertising several official Scientology Web sites), at a rate of
161.     up to ten per minute.  They have been known to post 10,000
162.     articles non-stop over a single weekend, sometimes using more 
163.     than one account simultaneously.
164.  
165.     They will not stop until forced to stop, either by the
166.     victimized NNTP server being closed to them, or by losing
167.     their account when the ISP identifies it.  Some ISPs have
168.     reported closing more than one account at a time, either
169.     paid for in cash or using a third-party's credit card bearing a
170.     name other than the name given by the account holder. Addresses
171.     and phone numbers given by the WIS Spam Team are invariably phony.
172.  
173.     Put simply, they lie. They are reported to be very convincing liars.
174.  
175. When the other accounts are closed by the other ISPs, your system's turn
176. comes around.
177.  
178.  
179. 4)  Where does the "What Is Scientology?" Spam Team operate?
180.  
181. At present, the WIS Spam Team operates out of somewhere in the 
182. metropolitan Los Angeles area.  There have been small spams not 
183. following the standard MO run out of other locations (including
184. one using bitwise.net in Boston, and small spams from AOL) but 
185. they seem to be attempts at distraction from the standard pattern.
186.  
187. WIS Spam Team accounts have been closed all over the L.A. area, 
188. after being used by the WIS Spam Team to post thousands of articles 
189. to alt.religion.scientology, using NNTP servers all over the world[3].
190.  
191.  
192. 5)  What ISPs have been victimized by the "What Is Scientology?" 
193.     Spam Team?
194.  
195. directnet.com, westworld.com, wdc.net, barepower.net, netroplex.com,
196. interline.net, instanet.com, linkonline.net, loop.com, k-net.net,
197. dsphere.com, wavenet.com, internetconnect.net, cyberesc.net, 4link.net 
198. and annex.com are just a FEW of the ISPs who have suffered from hosting 
199. WIS Spam Team accounts.
200.  
201.  
202. 6)  Does the "What Is Scientology?" Spam Team ever just leave 
203.     an ISP?
204.  
205. No.  Once begun, these attacks will continue for days (sometimes
206. weeks) at a time.  To my knowledge, the WIS Spam Team has never just 
207. left an ISP.  They only stop when the ISP closes their account.
208.  
209.  
210. 7)  What will happen if I just ignore the "What Is Scientology?" 
211.     Spam Team while it's using my system?
212.  
213. Because the newsgroup under attack, alt.religion.scientology, is one
214. of the most-read Usenet newsgroups, the hounds of virtual hell come
215. down on the WIS Spam Team's unfortunate ISP for the duration of the
216. attack.  Complaints come pouring in by email, fax, and telephone,
217. along with megabytes of Spam article headers -- which may be useful to
218. match logs against posting times when one tries to identify the
219. offending account, but which tend to clog system administrators'
220. inboxes.
221.  
222. Some systems have had to spend WEEKS (and hundreds of person-hours)
223. identifying the offending account, all the while suffering flames --
224. by email and posted all over Usenet -- from victimized readers of
225. alt.religion.scientology, and from other anti-net-abuse activists. 
226. It's unpleasant, to say the least.
227.  
228. Also, ISPs that demonstrate an inability or unwillingness to stop the
229. WIS Spam Team's attacks often attract the attention of unsavory
230. commercial Usenet spammers, who flock to those ISPs in the hope of
231. perpetrating their own spams unhindered.  Such customers, and the
232. complaints they inevitably generate, are more trouble than the income
233. from them is worth.  Their activity is likely to further damage your
234. system's reputation, and you may lose many of your respectable
235. customers as a result.
236.  
237.  
238. 8)  Spamming isn't illegal.  Why should I care about the 
239.     "What Is Scientology?" Spam Team?
240.  
241. Small-scale spamming may not be illegal;  but the kind of spam-flood
242. the WIS Spam Team engages in -- attempting to make impossible the
243. regular use of alt.religion.scientology -- falls in the category of
244. Denial Of Service Attack, which is clearly illegal under 18 USC sec.
245. 1030 [4].  (By the way, section 1030(g) provides for civil actions by
246. injured parties, so once the Spam Team is caught, there is likely to
247. be a long list of Federal civil suits brought against them, as well.) 
248.  
249. Furthermore, by using NNTP servers other than those belonging to their 
250. ISPs to post thousands of articles without authorization from the owners 
251. of those servers (usually making use of little-known security holes in 
252. INN to post through NNTP servers not intentionally left open[5] -- the 
253. equivalent of picking the lock of a stranger's door to go into his 
254. house and make prank phone calls from the stranger's phone), the WIS 
255. Spam Team is committing Theft Of Services, also illegal under state 
256. laws in every one of the United States.
257.  
258. To compound their criminality, in the course of their attacks, the WIS
259. Spam Team has been known to post (unauthorized, of course) through
260. .gov and even .mil NNTP servers -- which is Unauthorized Use of
261. Federal Computing Resources, illegal under 18 USC section 1030(a)(3).
262.  
263. The US Department of Energy is currently investigating just such
264. abuses of Federal computing systems at Lawrence Berkeley Laboratory.
265.  
266.  
267. 9)  I think the "What Is Scientology?" Spam Team may have opened 
268.     an account on my system.  What should I do?
269.  
270. The FBI is also investigating this ongoing attack.  If you think you
271. may have innocently opened an account for the "What Is Scientology"
272. Spam Team, give a call to one of the following FBI agents, each of
273. whom has been briefed on this case:
274.  
275.    Agent Hugh McLean                  Agent Charles Neal
276.    Phone: 1-202-324-9164              Phone: 1-310-996-3854
277.    Fax:    1-202-324-6363
278.  
279. And in the meantime, if you haven't already done what I suggested
280. earlier, save yourself a whole lot of wasted time and trouble.
281.  
282. Lock the account now.
283.  
284. If you suspect IN THE SLIGHTEST that you may be a victim of the "What
285. Is Scientology" Spam Team, or if you have opened an account in a
286. manner that fits the M.O. described above, lock the suspect account.  
287.  
288. Just lock it. 
289.  
290. Don't send a warning or an inquiry.  These criminals do not respond 
291. to warnings or inquiries. The WIS Spam Team, after they have received
292. past warnings or inquiries, just remained logged on to the ISP's system 
293. 24 hours a day, pumping out the spam as long as they could get away with 
294. it, until the account was finally locked and their access was revoked.
295.  
296. If you lock the account and your suspicions are correct, you will probably
297. not hear from the WIS Spam Team again.  Once an account is locked, they do
298. not complain;  when the jig is up, they just move on to another unfortunate 
299. provider.  While they have recently begun to return to providers where 
300. they had once before held accounts, it was only after having been elsewhere 
301. for several months.
302.  
303. If someone calls to complain about the locked account, the odds are
304. good (unless the WIS Spam Team changes its M.O., which IS possible)
305. that it's a legitimate account, and you can simply fix the "technical
306. problem" and everything will probably be all right.
307.  
308. But please don't take any unnecessary chances.  A few minutes of
309. prevention here can save you many hours of cure.
310.  
311. If the holder of the suspect account does call and complain
312. (especially if the account hasn't been used yet) it's probably a good
313. idea to ask for (and make a record of) a telephone number you can call
314. back for confirmation that the person calling is indeed the account
315. holder.  You can say that the callback is a necessary security
316. measure.  
317.  
318. Then call that number, and confirm that the person who called you is
319. actually at that number, before unlocking the account.  The WIS Spam
320. Team will not give you a legitimate phone number (except, perhaps, the
321. number of a public pay telephone) to call back, because it might be
322. used later to identify them.
323.  
324. If you want to confirm the legitimacy of the telephone number, and you
325. don't have access to a reverse telephone directory or a CD-ROM
326. telephone directory, your telephone company will probably tell you if
327. a particular telephone number is indeed that of a public pay telephone.
328.  
329. 10) I'm getting reports from people about the "What Is Scientology" 
330.     Spam Team using my system, but I don't know what to do.  How can 
331.     I identify which accounts they are using?  How can I stop them
332.     from spamming?
333.  
334. There are a number of ways you can identify the accounts the Spam 
335. Team is using:
336.  
337. A) When they set up the account (or accounts) they are using, these 
338.    people gave your staff false names and telephone numbers.  The 
339.    account may have been opened by one or two women who came into 
340.    your office and paid cash for a brother/son who was going to visit 
341.    them for a month;  or a man may have called and opened an account 
342.    over the phone with a promise to send in a check that has not come;
343.    or a man may have called up and asked you to set up an account 
344.    "for a friend who was coming to visit"; or they may simply have 
345.    opened a "free trial account", if you happen to offer them.
346.  
347.    They were using a credit card (in a name different from the names
348.    they gave for themselves and the account holder) for a while, but
349.    they stopped that practice around July or August of 1996 -- though 
350.    they may start doing that again at any time, especially if you 
351.    require a credit card number to open a free trial account.
352.  
353.    To identify which accounts are likely to be the Spam Team's, go 
354.    through your recent new accounts, within the last month or so.  
355.    Find out which of them fit these patterns.  Try calling the numbers 
356.    they gave you at different times of the day.  If you get no answer, 
357.    or if you get a message that it is a bogus number (or an office of 
358.    the Church of Scientology), or if the phone company tells you it 
359.    is a telephone booth, lock the account.
360.  
361. B) A harder (but surer) way is by gathering spam headers and checking
362.    the logs for the dialups listed in the NNTP-Posting-Host: header
363.    lines against the posting times in those headers, to determine which
364.    user matches all the times.  This method is a lot more work, and it
365.    takes longer, but once you make the connection, it is certain.
366.    Then shut that account down. This is the system that several ISPs
367.    have used.
368.  
369. C) The third way may inconvenience some of your legitimate users
370.    who may legitimately use outside NNTP servers, but if all else
371.    fails, you may have to do what some other victimized ISPs have
372.    done -- ask your provider to filter outgoing NNTP connections
373.    from your site.
374.  
375. D) This Spam Team usually likes to operate through the night,
376.    because the small ISPs it likes to abuse tend not to have staff 
377.    monitoring systems late at night, and they are less likely to 
378.    get caught.  During times when the Spam Team is likely to be 
379.    active, use network monitoring tools like "netstat" under SunOS 
380.    to check what ports are active between your dial-in server and 
381.    the NNTP ports on other machines. A perl or shell script run 
382.    from "cron" could easily log this activity with a minimum of 
383.    mess.
384.  
385. E) Obtain the Caller-ID information from your dial-in lines. 
386.    The Hylafax freeware for UNIX systems (you can find it at 
387.    <ftp://ftp.sgi.com/sgi/fax> provides both dial-in and fax-
388.    in/out software that's very powerful and very friendly. It 
389.    automatically collects Caller-ID from any modems that support 
390.    the feature.  It also easily supports mailfax gateways for 
391.    your users (billed to their accounts with a bit of programming 
392.    added) or only your staff, for faxing forms and bills to your 
393.    customers. It also handles configuring modems for dialup and 
394.    PPP rather well.
395.  
396. F) Sometimes the simplest measures can be the most effective. 
397.    If your modems are external, walk over to them and watch the 
398.    traffic on the LED's for a while when the Spam Team is likely 
399.    to be working.  The perpetrator is almost entirely *transmitting* 
400.    data, for hours and hours. This is extremely unusual for dialup 
401.    lines, which will more frequently download for extended periods.
402.  
403. G) You can make your system less inviting for the Spam Team if, 
404.    in your contracts and connection messages on your systems, you 
405.    remind users that you reserve the right to monitor their activity 
406.    for security reasons.
407.  
408. Method A is generally the quickest and has proved over time to be 
409. the most effective;  but a combination of the other methods may 
410. prove to be most useful for you, if you are unfortunate enough to 
411. be hosting the WIS Spam Team.
412.  
413. Good luck.
414.  
415. And be careful out there.
416.  
417. Footnotes:
418.  
419. [1] In 1955, L. Ron Hubbard wrote in
420. _A_Manual_on_the_Dissemination_of_Material_ (one of the Sacred
421. Scriptures of the Church of Scientology), "The purpose of a lawsuit 
422. is to harass and discourage rather than to win. Don't ever defend. 
423. Always attack. Find or manufacture enough threat against them to 
424. cause them to sue for peace. ... The law can be used very easily to
425. harass, and enough harassment on somebody who is on the thin edge
426. anyway, well knowing that he is not authorized, will generally be
427. sufficient to cause his professional demise. If possible, of course,
428. ruin him utterly."   This practice continues to this day, and the
429. present spam-flood of alt.religion.scientology is merely the latest
430. means of harassment being employed by this cult.  For evidence that it
431. IS the cult engaging in this harassment, I need only point out that
432. all of the articles being spammed are (c) copyright Church of
433. Scientology International, and no legal action is being taken against
434. the perpetrator, while hundreds of persons who have quoted as few as
435. seven lines of Scientology scripture on alt.religion.scientology
436. received email from hkk@netcom.com <Helena K. Kobrin>, attorney for
437. the Cult, threatening legal action; and several cases are now pending
438. in Federal courts against persons who quoted larger fair-use extracts 
439. of Cult scripture in discussion on alt.religion.scientology[2].
440.  
441. [2] See <http://www.tiac.net/users/modemac/cos.html>, 
442. <http://www.cybercom.net/~rnewman/scientology/home.html> and
443. <http://www.icon.fi/~marina/rnewman/index.htm> for more information.
444.  
445. [3] The WIS Spam Team has only used its own ISP's NNTP server once,
446. after having been on that system for a month, just as the account was
447. due to expire (and its admins had just closed a second account on the
448. same system).  It was a sort of parting shot, one last insult added to
449. the injury.
450.  
451. [4] See <http://www.panix.com/~eck/computer-fraud-act.html> for the 
452. text of 18 USC Section 1030.
453.  
454. [5] All official releases of INN through 1.4sec2 allow "blind" posting 
455. to any group on the server by anyone with posting authorization for 
456. any group. This is fixed in more recent versions. 
457.  
458. The latest version is 1.5 -- See <http://www.isc.org/isc/> for details.
459.  
460.  
461. -- 
462. |We have tried ignorance       |      Tom Betz       (914) 375-1510            |
463. |for a very long time, and     | Want to send me email? First, read this page: |
464. |it's time we tried education. | <http://www.panix.com/~tbetz/mailterms.shtml> |
465. |<http://www.pobox.com/~tbetz> |   I mock up my reactive mind twice daily.     |
466.