GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-12-30) - page 1 of 10
 
___________________________________________________________________
Spamnesty - A Bot to waste spammers' time
325 points by dgellow
https://spa.mnesty.com/
___________________________________________________________________
 
dgellow - 1 hours ago
OP here. Just to clarify, because I see a lot of congratulations. I
just shared the project, I'm not the author.Based on the GitLab
project, the author seems to be @stavros:-
https://gitlab.com/stavros/Spamnesty- https://twitter.com/stavros-
https://www.stavros.io/
 
  StavrosK - 26 minutes ago
  Yep, that's me!
 
maxyme - 4 hours ago
I love the use of the subdomain and email sp@mnesty.com to hide the
name from spammers. But won't human spammers eventually figure out
what mnesty.com is and stop responding?
 
  StavrosK - 4 hours ago
  Sure, but the goal is to waste their time a bit, you can't fool
  them forever anyway.
 
    kevin_nisbet - 4 hours ago
    True, but also being a bit more random where it's not trivial
    to filter the bot on the spammers side would make it just a
    little bit harder to ignore.
 
      StavrosK - 3 hours ago
      That's true. Unfortunately, it's not trivial to add more
      domains, as you'd need to own them all (to add DNS records
      for sending and receiving). I wanted to accept donations at
      some point, in the form of pointed DNS records, but realized
      that I couldn't do that without owning the domain, as if the
      domain lapsed or was transferred, Spamnesty wouldn't know and
      it would keep sending email from that domain, to no avail.
 
        robryk - 2 hours ago
        You could check if the MX records still point at your
        service, or, better yet, send a test e-mail to that domain
        every so often and see if it reaches your service.
 
          StavrosK - 2 hours ago
          Indeed, but it's added complexity and I'm not sure how
          many people would bother setting the DNS records I asked
          for. I might try it at some point, though.
 
          Operyl - 2 hours ago
          This is HN, I?m sure there?s plenty of us who have spare
          unused domains that would do it.
 
        gerdesj - 1 hours ago
        You could request people to home sub-domains or even
        register full domains for you and populate MX records etc.
        You simply have to test the domain records before sending.
        You could periodically generate a TXT record, say annually,
        that should be updated.I already support several projects
        like this.
 
        kevin_nisbet - 2 hours ago
        Out of curiosity, have you ever tried to track any stats
        about how often it reaches a spammer, whether it's
        interacting with the same spammer multiple times, etc?While
        I think the donating of DNS records is an interesting idea,
        I personally wouldn't want to risk giving permission to an
        outside party for the domains I use, and I don't think it
        would be worthwhile to try and correctly maintain a domain
        just as a donation.
 
          StavrosK - 2 hours ago
          I don't have any stats, no. I assume most spammers are
          using random domains, so they wouldn't be very accurate
          anyway.
 
leeoniya - 2 hours ago
oldie but goodie: https://m.youtube.com/watch?v=cIVfrBFc5og
 
a12jun - 2 hours ago
I saw www.rescam.org on here a while ago, definitely worth a visit!
 
nhooyr - 3 hours ago
I love it.
 
thescribe - 4 hours ago
I have been using this site for about a month on every piece of
spam that tells me to write back. But, I have not gotten any
responses. How are they even making money if they don't respond to
clearly interested potential customers?
 
  laurent123456 - 3 hours ago
  This website has been around for a while (it's the seventh time
  it's posted here) so it's possible spammers have blacklisted the
  domain by now.
 
    StavrosK - 3 hours ago
    Oh wow, seventh? I think it's the second time I see it. Didn't
    I only build it a few months ago?EDIT: Oh huh, it's been more
    than a year: https://www.stavros.io/posts/spamnesty-waste-
    spammers-time/ How time flies.
 
  repsak - 3 hours ago
  ?Nigerian Prince? Email Scammer Arrested in Louisiana -
  https://news.ycombinator.com/item?id=16035183;-)
 
scottmac13 - 4 hours ago
This is the email version of when Telemarketers call me and ask to
"speak with someone in the house between the ages for x-y" to which
I say, "sure just a sec", then put the phone down on the desk and
walk away.
 
  lisper - 4 hours ago
  You're lucky that your spam calls come from a human.  All I get
  is bots calling to tell me I've won a free cruise.
 
    arawde - 4 hours ago
    I've found that if I don't recognize the number, I answer the
    phone and don't say anything. If no voice comes over the line
    within 5-10 seconds, I hang up.
 
      StavrosK - 3 hours ago
      Isn't there a registry where you can opt to not be disturbed
      there? We have it here and I signed up, and calls eventually
      stopped. I also love terrorizing spam callers with "give me
      your name and company name, this call is illegal". They
      usually get flustered and hang up.
 
        lisper - 3 hours ago
        > Isn't there a registry where you can opt to not be
        disturbed there?There is, and I signed up for it.  When I
        did, I got an order of magnitude more calls.  I eventually
        had to change my phone number.> I also love terrorizing
        spam callers with "give me your name and company name, this
        call is illegal". They usually get flustered and hang
        up.That doesn't work on bots.
 
      sergers - 4 hours ago
      I have heard of these automated systems wait for a sound
      before it logs you as reachable for further annoyances.If I
      do answer, I stay silent even muting my phone. Usually call
      just hangs up.I get the cruise every few months, from a
      spoofed local numbers. As soon as I say hello, the automated
      recording went off.I had a friend who liked playing around,
      and drafted fake PayPal confirmations and western union
      statements as proof he sent the scammers money. They were
      confused why they didn't have his funds asking him to triple
      check recipient info and resend, which he would send another
      fake confirmation.They would eventually catch on cussing him
      out after weeks
 
  nsb1 - 3 hours ago
  At this point, I've basically stopped answering my cell if I
  don't recognize the number.  If it's important, they'll leave me
  a voicemail (it never is.).One other thing I did was ported my
  landline over to callcentric.com, where for $3.50/month or so, I
  can 'firewall' all calls coming to that number, making it safe to
  give out to anyone.  Their call treatments allow me to, by
  specific number or patterns (800*), drop, send to voicemail, play
  the "number disconnected" tone, forward, etc.   It's great - no
  more calls I don't want.
 
    nvr219 - 3 hours ago
    I use google voice call announce for anyone not in my contact
    list
 
      r00fus - 2 hours ago
      Is that a GV setting?  Is it available on iOS?
 
        nvr219 - 19 minutes ago
        Yes absolutely.  I use the iOS app but I configured the
        whole thing on my laptop using the website.switch to
        "legacy google voice" and then go to settings:
        https://i.imgur.com/wbaV75e.png
 
phantom_oracle - 2 hours ago
As someone else mentioned here, the only risk is that spammers will
blacklist mnesty.com .There should be some type of domain rotation
(or you can test spoofing, just to see if spammers use the same
anti-spoof software everyone else does), just like how spammers do
so.As an aside, kudos for using gitlab instead of github.
 
  StavrosK - 25 minutes ago
  I love Gitlab, I put most of my projects there these days and
  mirror them on Github.
 
kl94 - 4 hours ago
I have the feeling that all of this is going to finish bot against
bot.
 
ChuckMcM - 2 hours ago
So it would be hilarious if you connected the spam asking for
manuscripts[1] to the fake manuscript generating code [2]. We would
end up with bot published journals.[1]
https://spa.mnesty.com/conversations/cjubnfdx/[2]
https://pdos.csail.mit.edu/archive/scigen/
 
  StavrosK - 20 minutes ago
  Oh God, I have to do this now.
 
superasn - 4 hours ago
Well done. It does get the spammers frustrated. I remember reading
about a similar thing[1] where instead of emails it was automated
telephone replies and the scammers were cussing at the bots and
generally super confused.It did also manage to flood their phone
lines making their call center useless for a while.[1]
https://motherboard.vice.com/en_us/article/bj8wg4/we-talked-...
 
  jdietrich - 4 hours ago
  Some magnificent genius has created the perfect bot for hooking
  predatory telemarketers. "Lenny" is a slightly confused elderly
  man with poor hearing. He wanders off topic, he isn't sure what
  you just said and he is absolute catnip for crooks. If you
  haven't heard a call to Lenny, you're in for an absolute treat.
  This call from a tech support scammer lasts an exhausting 31 minu
  tes:https://www.youtube.com/watch?v=UJTxkPLVxrchttps://www.reddit
  .com/r/itslenny/
 
    DyslexicAtheist - 1 hours ago
    Jolly Rogers is keeping marketer calls busy in a loop.
    hilarious stuff https://news.ycombinator.com/item?id=15424031
 
    bshep - 2 hours ago
    i had a lenny bot running on my home phone line for a bit, i
    had an asterisk server with a whitelist ( i only get land calls
    from 2-3 numbers ) and recorded some hilarious calls, i even
    have a few from the church of scientology ( the prior owner of
    the number apparently was a member) and from bill collectors (
    and she also owed a bunch of medical bills )
 
    masswerk - 2 hours ago
    This is great! Instead of trying to be smart, Lenny capitalizes
    on prejudices about elderlies and possible communication
    factors regarding non-native call center operatives. It's more
    social engineering than a conversational bot. ? Well done.
 
    Tempest1981 - 3 hours ago
    Very well done. And the ducks -- hilarious! Now how do you
    scale and vary this enough, to prevent suspicion? That's the
    next step. Near the end (28 min), it felt like the caller was
    probing with "can you hear me" to collect Lenny's canned
    responses. Would it be better to hang up earlier to avoid
    suspicion?
 
      jdietrich - 3 hours ago
      "Lenny" is only 21 short recordings, stitched together into a
      crude sequence. It's a remarkably unsophisticated trick on a
      technical level. It wouldn't be difficult to produce dozens
      or hundreds of Lennies on quite a small budget. Tweak the
      script a bit, get someone on Fiverr to record it and you've
      got a new and unrecognisable Lenny MkII.
 
        QAPereo - 1 hours ago
        This sounds like something you could reasonably crowdfund,
        while delivering a really useful product.
 
        masswerk - 1 hours ago
        Maybe, rather than investing more into Lenny, create some
        more personas (voice, gender, etc) to add to the variety
        between calls? Maybe also have an option to hand a call
        over to the next persona in lengthy calls (so that the
        caller has to start all over again, in order to explain the
        issue to the "room mate", "brother", "cousin", etc)...
 
        LV-426 - 2 hours ago
        Lenny being 'just' a bunch of unchanging messages in
        unchanging order made it all the funnier and more amazing
        to me (and it was completely brilliant before I realised).I
        remember first seeing it a while ago, posted here,
        ironically (or perhaps naturally) in a thread about
        Spamnasty (also excellent).
 
zackify - 4 hours ago
Add support for SMS and it?ll be perfect.
 
  brightsize - 2 hours ago
  What sort of support?
 
chrisabrams - 4 hours ago
I read some of the conversations on the site; it?s quite
interesting that the boys managed to have the same conversation
over and over almost in the exact order.
 
evo_9 - 2 hours ago
What we really need is something like this for the phone scammers,
particularly the "IRS" scam I've been getting regulars calls from
most of this year.
 
  haldora - 2 hours ago
  Someone made a call bot called "Lenny" to fool telemarketers,
  which uses recorded messages. They put up their call logs on YouT
  ube:https://www.youtube.com/playlist?list=PLduL71_GKzHHk4hLga0nO.
  ..
 
breakingcups - 2 hours ago
I once made something very similar, back then it was called an
autobaiter by the scambaiting community. It would actually figure
out what kind of scam the spammer was pulling and adjust its script
in kind to pretend to play along with the scammers script.I should
dig that up again.
 
  StavrosK - 23 minutes ago
  Spamnesty also has multiple scripts and you select the kind of
  spam to reply to. There's an MR open for doing this
  automatically, but it's pretty big and I've put off reviewing it
  for way too long.
 
  icefo - 1 hours ago
  That sounds interesting, please do !
 
UltraFlynn - 28 minutes ago
Email isn't free. It seems like it is but actually it takes
significant resources to process all the spam. Using a bot to
create more traffic is pointless and wasteful.Yours sincerely, A
guy who runs the mail transfer agents for an email security
provider and has to deal with this every day.
 
  JumpCrisscross - 24 minutes ago
  Cool. Stop the spam and I?ll quit spamming you back.
 
shurcooL - 5 hours ago
From glancing over some conversations, it looks like the bot is
mostly talking to other bots.That said, I think it?s nice to be
able to reflect the same attack vector upon the attackers to make
the attack less efficient and hopefully less attractive.
 
  qrv3w - 4 hours ago
  It is mostly - but there are some where its obvious the spammer
  gets frustrated: "I believe you must be a fool or an idiot to
  think am here to play games." - Spammer [1].[1]:
  https://spa.mnesty.com/conversations/meqpscxa/
 
  mjs - 5 hours ago
  Many of the replies seem like they involved at least some human
  effort, although it would be nice to be sure--I wonder if there's
  some way to introduce some spammer-appropriate text captcha into
  the exchanges?
 
  pavel_lishin - 4 hours ago
  > That said, I think it?s nice to be able to reflect the same
  attack vector upon the attackers to make the attack less
  efficient and hopefully less attractive.If it's just bots
  replying - which honestly doesn't actually seem to be the case -
  I don't think it's going to make a big dent in their efficiency.
  It might backfire, though, and just cause more garbage traffic.
 
  StavrosK - 4 hours ago
  I think that's mostly because conversations in the home page are
  sorted by frecency right now. That naturally favors bots, because
  they respond more immediately.
 
alpb - 3 hours ago
It looks like in many cases [1] it's confusing the threads?
Subjects and discussions start changing after a few messages in
many threads I looked at.[1]
https://spa.mnesty.com/conversations/vkeezpyz/
 
  brightsize - 2 hours ago
  I see this all the time and have assumed it's related to
  difficulties correlating outbound messages (to the spammer) with
  responses.  Also within a message thread the service sometimes
  fails to respond to the most recent email from a spammer. An
  example thread showing both issues:
  https://spa.mnesty.com/conversations/caabzkyg/
 
    StavrosK - 20 minutes ago
    The failure to respond is because I set a limit, it stops after
    a few tens of messages to avoid endless loops with bots. The
    other messages are because it gets put into a list and just
    gets spammed, as far as I can tell.
 
sorokod - 2 hours ago
Forwarding from gmail to sp@mnesty.com results in    554
Recipients' domain disabled
 
pwaai - 3 hours ago
Had a good chuckle reading through the chat logs, but it would be
interesting to see the results using NLP to formulate new nonsense
questions aimed at the spammer.The spammer side seems to also
employ some level of bot automation, and its like two bots going at
each other with the occasional broken english comment showing
confusion and frustration....this is truly golden.
 
  StavrosK - 19 minutes ago
  MRs appreciated, but please make them in multiple short, self-
  contained pieces
 
gthinkin - 1 hours ago
This is really cool. I tried building a similar project last year
using an LSTM, but never ended up deploying it.I wonder what James
Veitch would have to say.
 
nicksergeant - 3 hours ago
Hmm. Tried it and the email bounced back with:?554 Recipients'
domain disabled?
 
  honest_george - 2 hours ago
  Same here, in Gmail.
 
    draugadrotten - 2 hours ago
    Same here, Office365.
 
      barbs - 1 hours ago
      Same here, also Gmail. Maybe it's overloaded right now?
 
  StavrosK - 23 minutes ago
  Unfortunately, Mailgun is throttling the domain due to large
  rates of mail. All we can do is wait the ban out, I'm afraid.
 
matteocontrini - 4 hours ago
This remembers me of rescam.org
 
Animats - 3 hours ago
That's a cute idea. But I wonder if the system is mis-matching
messages and replies.[1] How did a spam for fake Ray-Ban sunglasses
turn into someone wanting app development?[1]
https://spa.mnesty.com/conversations/cturvzsr/
 
  StavrosK - 28 minutes ago
  I was curious about that too and checked, but couldn't find
  anything. It goes by the X-Reply-To (IIRC) header and they
  matched.
 
  malka - 2 hours ago
  I'd bet that it is an IT company in India that had a compromised
  email server that sent spam. The mails look kinda legit, except
  for the first one.
 
nikodunk - 16 minutes ago
Just read through this one
https://spa.mnesty.com/conversations/ecfrqrps/ ? and was laughing
stitches. Great job!
 
  rafi_kamal - 6 minutes ago
  The whole conversation gives me cringe