Net.Posse Antidialer - Esperimento 1 (ufafe.com)

© 2003-2006 by Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).

Indagine iniziale: 3/11/2003. Ultimo aggiornamento: 15/10/2006.

Introduzione

Il 3/11/2003 è stato avviato il primo test della Net.Posse, eseguendo un'interdizione dell'URL http://www.ufafe.com/plus/get_dialer.php, che era promosso da un'ondata di spam che dichiarava falsamente che venivano offerte "5 connessioni gratuite della durata di 20 minuti ciascuna". Simultaneamente ho inviato la seguente segnalazione all'hosting provider di Ufafe.com, che è (era) hairyglove.com.

Sirs,

The domain ufafe.com, which I understand is hosted by you, contains an abusive dialer program targeted at Italian users. This program alters the dialup settings of Internet users and reroutes them to a premium-rate telephone number on the Italian telephone network.

This is a violation of your terms, since you forbid "malicious software" and "trojan horses, viruses, spy-ware, malware".

I urge you to proceed accordingly, as many Italian users are reporting this scam and incurring in illegal telephone charges.

For your information, the dialer is located at http://www.ufafe.com/plus/get_dialer.php

Also, the registrant of the domain ufafe.com has given you clearly false details. There is no "York 99854 GB" address in York, United Kingdom (I know, because I happen to live there). Also, there is no "+44.00000000" in the British telephone system. This would seem to indicate that the owner of ufafe.com is not to be trusted.

Should you need any further details, please do not hesitate to contact me by e-mail or by phone on [mio numero di telefono].

Sincerely,

Paolo Attivissimo

Inoltre il servizio whois rivelava che "ufafe.com" era stato registrato a nome di "john Pefar Miuko", che dichiarava di risiedere a "York 99854 GB" (sarà un caso, visto che io abito proprio a York?) e dichiarava un numero di telefono palesemente fittizio (+44.00000000). Ho pertanto inviato la seguente protesta a Internic.net, presso http://reports.internic.net/cgi/rpt_whois/rpt.cgi.

There is no "York 99854" address in the United Kingdom (I know, I live in York).

There is no such phone number as "+44.00000000"

The site ufafe.com is currently disseminating a dialer malware that targets Italian users and reprograms their dial-up settings, reconnecting them to a premium-rate number.

Explanation: This site clearly has been set up using bogus data with fraudulent intent. The dialer located at the site is causing fraud to Italian Net users. I urge you to take all appropriate action to disable this scammer.

Should you need further details or wish to speak to me, my number is [mio numero di telefono].

Sincerely,

Paolo Attivissimo

Internet Journalist

Pochi minuti dopo, il sito è stato disattivato permanentemente dal provider perché ha riconosciuto la presenza del dialer, che era in violazione delle sue regole di utilizzo. Pertanto ha rimosso il sito.

Non si può quindi essere certi che l'interdizione della Net.Posse abbia avuto effetto, anche se è ragionevole supporre che il picco di traffico causato dall'interdizione eseguita con wget abbia contribuito a far balzare agli occhi del provider la minaccia.