Net.Posse Antidialer - Esperimento 3: yodahosting.com/"Inforete"

© 2006 by Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).

Indagine iniziale: 1/12/2003. Ultimo aggiornamento: 15/10/2006.

Prima parte: indagine

A fine novembre 2003 mi sono arrivate numerosissime segnalazioni di un e-mail spammatorio inviato da una sedicente testata "Inforete News" e intitolato "Speciale: finisce l'era di internet via alla nuova rete". Il testo del messaggio sembrava un articolo che parlava di una "nuova Internet" e includeva l'invito a "leggere l'articolo" cliccando su un link.

In realtà, cliccando sul link si veniva portati al sito http://members.yodahosting.com/inforete, che come accennato dalla newsletter SalvaPC n. 74 di venerdì 28/11/2003 (http://salvapc.com)

"in alcune sue parti e' platealmente copiato dalla home page di Punto Informatico. Naturalmente Punto Informatico non ha nulla a che vedere con quel sito e con lo spam ne' tantomeno con questo o con qualsiasi altro dialer e si riserva quindi di procedere legalmente contro gli autori del plagio."

Il plagio perpetrato ai danni di Punto Informatico era evidentissimo: c'erano persino link (falsi) intitolati "forum PI". Il sito conteneva un dialer multinazionale, che veniva attivato (se usavate Internet Explorer) cliccando sul link "Prova subito una dimostrazione in anteprima di OWN™" o su qualsiasi altro link presente nella pagina-civetta.

[pagina civetta di "Inforete"]

La pagina-civetta di Yodahosting.com/inforete reclamizzata dal messaggio spammatorio.

Per accedere al dialer usando browser che non supportano gli "avvisi di protezione", ormai usati sempre più spesso dai dialer per invogliare gli utenti occorreva invece accedere a un link nascosto, rilevabile soltanto esaminando manualmente l'HTML della pagina Web, ossia http://members.yodahosting.com/inforete/login.exe, a conferma del principio generale che usare un browser diverso da Internet Explorer è una Buona Cosa nella lotta ai dialer.

I dati contenuti nel dialer facevano riferimento alla "Metalnov Construct SRL, Galati, RO". Galati è una località rumena (http://www.romaniatourism.com/galati.html) per cui RO è forse un'abbreviazione di "Romania". Tuttavia in Google non c'era traccia di una società rumena di questo nome, salvo in un dialer precedente già discusso dalla mia newsletter qui.

Accettando l'avviso di protezione che porta al dialer e leggendone le condizioni, come ho fatto sul mio computer sacrificale (Linux con Windows 98 eseguito in una finestra di VMware), si scopriva che "il costo della chiamata internazionale è satellitare 00881xxxxxx ed ha un costo di euro 2,45 al minuto compresa IVA +31,50 centesimi di euro scatto alla risposta compresa iva durata massima della connessione 20 minuti."

Le istruzioni italiane del dialer erano molto ambigue sui contenuti: dicevano soltanto che si trattava di un "servizio destinato ad un pubblico adulto" e affermavano che "il programma può impostare come home page un sito di advertising. Il programma è facilmente rimovibile ed ha il nome di 'Connector' andando su 'Pannello di Controllo' 'Installazione Applicazioni'". Ortografia e sintassi lasciavano un po' a desiderare: le sto riportando pari pari.

Le istruzioni inglesi spiegavano più chiaramente che si trattava di "visual images, verbal descriptions and audio sounds of a sexually oriented, frankly erotic nature, which may include graphic visual depictions and descriptions of nudity and sexual activity" ossia "immagini visive, descrizioni verbali e suoni audio [perché, esistono suoni di altro tipo?] di natura francamente erotica e ad orientamento sessuale, che possono includere rappresentazioni visive grafiche e descrizioni di nudità e attività sessuale". Un lungo giro di parole, insomma, per dire che è un sito porno. Pane al pane, vino al vino, e sparadialer allo sparadialer.

Le istruzioni per Australia, Giappone, Grecia, Hong Kong, Norvegia e Svezia erano tutte uguali, tutte in inglese e parlavano soltanto di accesso tramite una numerazione 906 che faceva riferimento al Regno Unito: davano insomma l'impressione di essere false.

Le istruzioni per Spagna e Svizzera, invece, erano più specifiche: per la Spagna, parlavano di 0,90 euro + IVA a inizio chiamata più 0,85 euro/minuto più IVA oppure 0,91 euro/minuto più IVA a seconda degli orari, e indicavano una "tarificacion especial 906 nivel 3".

Le istruzioni svizzere chiarivano che si trattava di un sito all'interno del quale "si trovano materiali quali foto, video, audio, testi e connessioni a web camera dal vivo e/o registrate a carattere esplicitamente sessuale e che comprendono situazioni di argomento etero, omo e transessuale. Tali materiali non sono sottoposti a nessuna forma di censura" e specificavano che il "programma si connette al Web mediante un codice telefonico Emsat" (Emsat è un circuito di telefonia satellitare) e che "il costo della chiamata è di CHF 4.23 al minuto IVA inclusa."

I numeri composti dal dialer (stando perlomeno a quanto indicato dal dialer -- non ho verificato con i toni del modem) erano i seguenti: per la Spagna, 906-032445; per la Svizzera, 0906-0345088; per l'Italia 00881-839171067.

E qui viene il bello. Notate infatti l'assenza di numerazione 899 per l'Italia: questo è un dialer che punta esclusivamente a un numero internazionale, per cui non è illegale: perlomeno non viola le leggi che regolamentano i numeri 899 e che vietano servizi erotici, osceni o pornografici, come spiegato qui.

Oltretutto il dialer era molto esplicito nell'indicare i costi di connessione, è disinstallabile come dichiarato ed effettivamente non nascondeva i numeri composti. Pertanto da questo punto di vista non gli si poteva neppure contestare l'inganno o la mancanza di trasparenza, caratteristiche di tanti altri dialer.

Tutto in regola, quindi? Un dialer inattaccabile perché fuori dalla giurisdizione italiana e onesto perché diceva quanto costa?

Niente affatto. Restavano infatti i reati tutt'altro che trascurabili di plagio (nei confronti di Punto Informatico) e di pubblicità ingannevole: l'e-mail spammatorio non indicava affatto di essere una pubblicità di un sito porno a pagamento, e oltretutto faceva sembrare inizialmente che si trattasse di una prova della "nuova Internet" citata dall'articolo presente nella pagina iniziale del sito, quando in realtà non era così.

La cosa si faceva interessante quando si andava a visitare il provider che a un primo esame sembra ospitare la pagina sparadialer, ossia yodahosting.com: vi si trovava una pagina sgrammaticatissima che usava marchi e immagini della Lucasfilm (Guerre Stellari), apparentemente senza autorizzazione (ma solo apparentemente, come chiarito in seguito), per pubblicizzare il proprio servizio e dichiarava di essere intestata a "SW Pro Hosting Inc. 9370 Wilshire Blvd. Beverly Hills, CA 90212".

[schermata di Yodahosting.com]

La schermata di Yodahosting.com

Cliccando su "Contact Us" si trovava un indirizzo di e-mail al quale segnalare abusi (abuse@yodahosting.com). Il servizio Whois rivelava che Yodahosting.com era registrato a nome della SW Pro Hosting e ne forniva anche un numero di telefono (+1.8005150447). Ma non era il caso di contattare questi signori: non era da escludere che fossero in combutta con i signori di Inforete.

Meglio andare, come sempre, a monte e trovare il vero hosting provider. Visualroute ha fornito l'indirizzo IP di yodahosting.com: 66.250.87.36, che era un indirizzo gestito da Cogent Communications, 1015 31st Street, NW, Washington DC (cogentco.com), il cui indirizzo di Abuse era abuse@cogentco.com.

Valutazione

Questo sito sparadialer era illegale in quanto effettuava pubblicità ingannevole secondo quanto indicato dall'Autorità Garante della Concorrenza e del Mercato, il cui provvedimento n. 12276 del 24/07/2003 chiarisce che chi promuove un servizio che usa dialer deve indicare chiaramente i costi anche nella pubblicità del servizio. Non è sufficiente indicarli nel dialer medesimo o nelle "condizioni di contratto" da qualche parte nel sito: l'indicazione deve essere fornita durante il "primo contatto" con il potenziale consumatore, quindi per esempio anche nei banner pubblicitari presenti nei siti Web. Tale indicazione non era presente né nello spam, né nel sito: compariva soltanto cliccando sui link per scaricare il dialer.

Certo il sito era tecnicamente al di fuori della giurisdizione italiana. Ma le norme d'uso di Cogent Communications, pubblicate presso Cogentco.com, proibivano specificamente attività in violazione delle leggi statunitensi e di altri paesi, compresa la violazione del copyright.

Pertanto il sito era contestabile in quanto in violazione delle norme d'uso del suo provider.

Seconda parte: azione

Il 29/11/2003 ho mandato il seguente messaggio a Cogent Communications:

Sirs,

The domain yodahosting.com, which I understand is hosted by you, contains a dialer program. This program alters the dialup settings of Internet users and reroutes them to a premium-rate telephone number. Moreover, it contains images trademarked by Lucasfilm, Ltd. and therefore is committing a blatant copyright violation.

The dialer is a violation of Italian laws on plagiarism and advertising, since the page

http://members.yodahosting.com/inforete

is plagiarized from a leading Italian Webzine (Punto Informatico, http://www.punto-informatico.it/) and purports to be a "magazine" offering a "trial of the new Internet". Instead it contains only links to the dialer program, which is stored here:

http://members.yodahosting.com/inforete/login.exe

This plagiarism, false advertising and copyright violation is entirely incompatible with your AUP, which states:

"violation of any local, state, federal, or non-United States law or regulation (including rights protected by copyright, trade secret, patent or other intellectual property or similar laws or regulations)"

I urge you to proceed accordingly, as many Italian users are reporting this scam and incurring illegal telephone charges.

Should you need any further details, please do not hesitate to contact me by e-mail or by phone on [mio numero di telefono].

Sincerely,

Paolo Attivissimo

Internet Journalist

Riassumendo, li ho avvisati che il loro cliente yodahosting.com ospitava uno sparadialer e stava violando le leggi sul copyright a danno della Lucasfilm e a danno di Punto Informatico mediante plagio, tutte cose incompatibili con il loro regolamento.

Risultati

L'1/12/2003 l'accesso alla pagina principale di Yodahosting.com (quella contenente le immagini della Lucasfilm) è stato chiuso, ma la pagina contenente il dialer (http://members.yodahosting.com/inforete) è rimasta accessibile nonostante le promesse dell'hosting provider.

Sono stato contattato il giorno stesso da un rappresentante di Cogent, che mi ha comunicato che a seguito della mia segnalazione, Cogent aveva provveduto a disattivare l'account di Yodahosting.com. Tuttavia le sue sottopagine contenenti dialer sono rimaste accessibili.

Il rappresentante di Cogent ha dichiarato che Cogent aveva contattato la Lucasfilm a proposito dell'ipotesi di violazione del copyright, che mi sembrava abbastanza scontata data la presenza di immagini dei film di Guerre Stellari senza alcuna indicazione dei copyright. Chiunque abbia un sito che parla anche solo di striscio di Guerre Stellari sa quanto la Lucasfilm è pignola nell'esigere la chiara indicazione del proprietario dei diritti.

Invece la Lucasfilm ha risposto a Cogent che i signori di Yodahosting avevano chiesto i diritti di riproduzione e li avevano ottenuti: quindi la mia presunzione di violazione dei diritti d'autore era errata. Per citare Luke Skywalker, "Starò più attento...".

Restava comunque l'accusa di pubblicità ingannevole, ed è stata questa la ragione per la quale Cogent ha agito, riservandosi tuttavia prudentemente la facoltà di approfondire la questione in sede legale per appurare se si è davvero trattato di pubblicità ingannevole. Su questo aspetto credo che gli amici di Punto Informatico avranno parecchio da contribuire, visto che il messaggio spammatorio era un chiaro plagio di loro materiale.

A proposito del caso Inforete, ricevo da un lettore (bebe) la precisazione che l'indirizzo del mittente citato nello spam è "inforrete.com" (con due R) e non c'entra nulla con il sito Inforete.com, che il lettore ha contattato ricevendo chiara smentita di ogni coinvolgimento. Si tratta insomma di un altro tranello di questo spammer, che causa danni a chi non c'entra nulla.

Sviluppi ulteriori

Il 4 dicembre 2003, il sito sparadialer è stato "bucato" da un intruso che ne ha alterato la pagina

http://members.yodahosting.com/inforete/

il cui contenuto è stato sostituito da una scritta:

"Attacco portato da hackers non pazienti
Per gli utenti ignari: questi era una pagina truffa con un dialer a pagamento.
Ti abbiamo beccato e stiamo venendo a prenderti!!!
Guai ai truffatori, brutto lamer del cacchio!
The Doc on The Rock"

Vorrei chiarire subito che l'attacco -- perché questo è un attacco, portato sì contro un sito truffaldino, ma comunque un attacco illegale, scorretto e non etico -- non è opera mia (non ne sono capace) né è stato suggerito o istigato da me.

Anche se sicuramente la comunità di Internet ora corre un rischio truffa in meno, non approvo assolutamente questo tipo di azione. E' un gesto vandalico fatto a fin di bene, ma pur sempre un gesto vandalico.

Il giorno dopo (5 dicembre 2003) la scritta era stata sostituita da questa:

"If you are a visitor you don't have to believe everything they send you.
This site has ben logged (IP 66.250.87.36) and reported to american, canadian, italian and brazilian authority.
Alerted has been also the Internet provider serving this site (Cogent Communication Inc.).
We are coming to take you!
The Doc on the Rock"

Al controllo successivo, effettuato l'8 dicembre 2003, il sito Yodahosting.com era accessibile come pagina principale (http://yodahosting.com) e come sottopagine, ma la sottosezione inforete era scomparsa. In particolare, il dialer non era più accessibile presso http://members.yodahosting.com/inforete/login.exe.

Il caso è quindi da considerarsi chiuso salvo novità.