[LACNIC/Politicas] Spam from AS266488 / 170.244.6.6

[JORDI PALET MARTINEZ]

Hi Ronald,

Unfortunately, I frequently have the same problem with abuse cases from LAC region (which account for probably around 75% of the abuse cases), and most of them from Brazil.

For some time (probably years) I was summiting them to mail-abuse at cert.br and mail-abuse at nic.br (if I recall correctly the NIC.BR CERT address for abuse reporting). Also used crime.internet at dpf.gov.br. However, it didn't work ... I guess they lack of "authority" to really force the ISP to take care of the case.

This was one of the reasons I started the abuse-c policy proposal in all the regions (so to have a similar status/procedure in all them) and the LACNIC one was ratified by the board already (https://politicas.lacnic.net/politicas/detail/id/LAC-2018-5/language/sp).

I don't know if I missed it, but it will be nice to get a confirmation from the staff about when they believe this will be implemented.

However, the policy, even if not fully implemented, provides an escalation mechanism, which I guess could be in place already. Maybe the existing CSIRT can be used for that? https://csirt.lacnic.net/reportar-incidente

Could the staff confirm if the same system will be used for escalation or they are considering a different one?

I understand that the implementation of this proposal takes time, but probably LACNIC already has defined a plan, and some of the details could be presented in a webinar ASAP?

Or even better, if there is time for that, may be just a couple of slides in the policy meeting today?

Tks in advance for that! ;-)

Regards,
Jordi
@jordipalet
 
 

El 19/8/20 22:49, "Politicas en nombre de Ronald F. Guilmette" <politicas-bounces at lacnic.net en nombre de rfg at tristatelogic.com> escribió:

    Can anyone do anything to address this spamming from this Brazilian
    network?  There is no proper abuse reporting email address listed in
    the public WHOIS records for either AS266488 or for the 170.244.4.0/22
    address block.  Furthermoer the contact email address for both
    AS266488 and also for the 170.244.4.0/22 is just some throw-away
    @hotmail.com email address.

    Why does LACNIC not require ppoper abuse reporting addreses in public
    WHOIS records?

    Why does LACNIC award /22 blocks to tiny Brazillian ISPs that are
    apparently too stupid to even run their own mail server?

    Please note that this spam is written in "iso-2022-jp" character set!

    Why am I getting Japanese spam from Brazil??

    =============================================================================
    Return-Path:  <rfg at tristatelogic.com>
    X-Original-To:  rfg at tristatelogic.com
    Delivered-To:  rfg at tristatelogic.com
    Received:  from ip-170-244-6-6.minasnetarceburgo.com.br (unknown [170.244.6.6])
    	  	by segfault.tristatelogic.com (Postfix) with ESMTP id 8B3254E74
    6
    	  	for <rfg at tristatelogic.com>; Wed, 19 Aug 2020 13:17:16 -0700 (P
    DT)
    Message-ID:  <BCFE057C1847876123D8A1C59A5ABCFE at LWWTPF368GN>
    From:  <rfg at tristatelogic.com>
    To:  <rfg at tristatelogic.com>
    Subject:  =?utf-8?B?6rOE7JW97JeQIOuUsOuluCDsp4Drtogu?=
    Date:  19 Aug 2020 12:47:36 -0400
    MIME-Version:  1.0
    Content-Type:  multipart/alternative;
    	      	boundary="----=_NextPart_000_0043_01D6764C.07C1C777"
    X-Priority:  3
    X-MSMail-Priority:  Normal
    X-Mailer:  Microsoft Windows Live Mail 15.4.3508.1109
    X-MimeOLE:  Produced By Microsoft MimeOLE V15.4.3508.1109

    [ part 1 - text/html -   7KB  ]
    안녕!
    내가 지금 네 계정으로 너한테 이메일 보낸거 보여?
    그래, 뭐 간단히 말하면 내가 네 기기에 마음껏 접속할 수 있다는 소리지.


    지난 몇 달 동안 널 계속 지켜보고 있었어.
    어떻게 지켜봤냐고? 그게 말이지, 넌 네가 접속했던 성인 사이트에 있던 악성 소프트
    웨어에 감염됐거든.


    아마 무슨 소린지 잘 몰겠지만 내가 한 번 설명해볼게.
    난 트로이 목마 바이러스를 통해서 네 컴퓨터와 다른 모든 기기에도 접속할 수 있었
    던거야.
    이 말인 즉슨, 내가 원하면 언제라도 네 카메라와 마이크를 통해서 널 볼 수 있다는
    뜻이지. 그것도 너 몰래 말이야. 네 폰에 있는 연락처 뿐만 아니라 네가 남들과 주고
    받은 메세지도 볼 수 있지.

    아마 이런 의문이 들지도 몰라. “내 컴퓨터엔 백신 프로그램이 돌아가고 있는데, 어
    떻게 그게 가능하단 말이야?” 뭐, 답은 간단해.
    내 악성 소프트웨어 프로그램은 드라이버를 사용하기 때문이지. 게다가 4시간마다 그
    드라이버의 시그니처를 업데이트해서 탐지를 막기 때문에 네 악성 소프트웨어 탐지
    프로그램에 잡히지 않는다고.

    난 네가 자위하는 영상을 가지고 있어. 왼쪽 화면엔 네가 딸치는 영상이 나오고 오른
    쪽엔 네가 자위하는 동안 봤던 영상이 나오지.
    이보다 어떻게 더 나빠질 수 있을지 궁금하지? 내가 마우스를 한 번만 클릭하면 이
    영상은 네 모든 SNS와 이메일 연락망으로 보내질거야.
    네가 주고 받은 이메일이나 네가 사용하는 메신저에 접속해서 포스팅할 수도 있지.

    이런 일이 일어나는걸 막고 싶다면, 방법은 간단해. 1500달러 상당의 비트코인을 내
    비트코인 주소로 보내. (어떻게 하는지 모른다면 컴퓨터에서 “비트코인 구입”을 검색
    하도록).

    내 비트코인 주소(BTC Wallet)는 : 1EdD6foC4oBWGJPcjTAxbBi1YsPmVDUG2w

    네가 돈을 보낸게 확인되는 그 즉시 영상을 지워줄게. 그게 끝이야. 앞으로 날 볼 일
    도 없을거고.
    이 거래의 기한은 단 이틀(48시간)이야.
    네가 이 메일을 여는 순간 나에게 알람이 오고, 타이머가 작동되겠지.

    신고를 하려고 시도해봐도 이 이메일과 내 비트코인 아이디는 추적할 수 없으니 헛수
    고일거라고.
    난 이 일에 아주 오랜 시간을 투자해왔고, 실수는 절대 하지 않으니 말이야.

    만약 네가 이 메세지를 다른 사람과 공유하려고 시도했다는 걸 내가 알게 된다면, 앞
    서 말했던 것처럼 네 영상을 널리 퍼뜨리겠어.
    _______________________________________________
    Politicas mailing list
    Politicas at lacnic.net
    https://mail.lacnic.net/mailman/listinfo/politicas



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.