
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}


o\:* {behavior:url(#default#VML);}


w\:* {behavior:url(#default#VML);}


.shape {behavior:url(#default#VML);}


</style><![endif]--><style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Consolas;


        panose-1:2 11 6 9 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


pre


        {mso-style-priority:99;


        mso-style-link:"HTML Preformatted Char";


        margin:0cm;


        margin-bottom:.0001pt;


        font-size:10.0pt;


        font-family:"Courier New";}


span.HTMLPreformattedChar


        {mso-style-name:"HTML Preformatted Char";


        mso-style-priority:99;


        mso-style-link:"HTML Preformatted";


        font-family:"Consolas",serif;}


span.EmailStyle20


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:72.0pt 72.0pt 72.0pt 72.0pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-IN" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Handle it in a reasonable amount of time, and please prioritize phishing somewhere after the usual threat to life / child abuse type cases (which are, fortunately, comparatively rare).  Phishes put


 people at risk of losing their life savings, and especially with covid already threatening to make that happen, that’s something we must all work to prevent.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">There are providers that are good at handling abuse and responding as well (if only with boilerplate text and an automated ticket closure email, that’s fine.. as long as the threat is addressed I


 wouldn’t even need a reply) while there are others that have substantial abuse automation but are slow to respond at times, while others have no significant abuse prevention AND are slow to respond.  


<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">If, for whatever reason, the abuse load on a network goes out of control then the network does get pressured by escalation in one form or the other. Corporate contacts in this individual’s case,


 could be reports to various upstreams in some other case.   <o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US">--srs<o:p></o:p></span></p>


<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p></o:p></span></p>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:12.0pt;color:black">From:


</span></b><span style="font-size:12.0pt;color:black">Matt Corallo <nanog@as397444.net><br>


<b>Date: </b>Tuesday, 14 April 2020 at 12:41 AM<br>


<b>To: </b>Suresh Ramasubramanian <ops.lists@gmail.com><br>


<b>Cc: </b>Tom Beecher <beecher@beecher.cc>, Kushal R. <kushal.r@h4g.co>, Nanog <nanog@nanog.org>, Rich Kulawiec <rsk@gsp.org><br>


<b>Subject: </b>Re: Constant Abuse Reports / Borderline Spamming from RiskIQ<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal">I don’t really get the point of bothering, then. AWS takes about ~forever to respond to SES phishing reports, let alone hosting abuse, and other, cheaper, hosts/mailers (OVH etc come up all the time) don’t bother at all. Unless you want


 to automate “1 report = drop customer”, you’re saying that we should all stop hosting anything?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><br>


<br>


<o:p></o:p></p>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<p class="MsoNormal" style="margin-bottom:12.0pt">On Apr 13, 2020, at 11:50, Suresh Ramasubramanian <ops.lists@gmail.com> wrote:<o:p></o:p></p>


</blockquote>


</div>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<div>


<p class="MsoNormal"> <o:p></o:p></p>


<div>


<div>


<div>


<div>


<p class="MsoNormal">RiskIQ reports phish URLs for large brands <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">The life cycle of a typical phish campaign is in hours but I guess people can live with 24. If you handle the complaint only after two business days, that’s closing the barn door after the horse has bolted and crossed a state line.<o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<div>


<p class="MsoNormal">--srs<o:p></o:p></p>


</div>


</div>


</div>


<div class="MsoNormal" align="center" style="text-align:center">


<hr size="0" width="100%" align="center">


</div>


<div id="divRplyFwdMsg">


<p class="MsoNormal"><b><span style="color:black">From:</span></b><span style="color:black"> NANOG <nanog-bounces@nanog.org> on behalf of Tom Beecher <beecher@beecher.cc><br>


<b>Sent:</b> Tuesday, April 14, 2020 12:11:18 AM<br>


<b>To:</b> Kushal R. <kushal.r@h4g.co><br>


<b>Cc:</b> Nanog <nanog@nanog.org>; Rich Kulawiec <rsk@gsp.org><br>


<b>Subject:</b> Re: Constant Abuse Reports / Borderline Spamming from RiskIQ</span>


<o:p></o:p></p>


<div>


<p class="MsoNormal"> <o:p></o:p></p>


</div>


</div>


<div>


<div>


<p class="MsoNormal">I would agree that Twitter is not a primary place for abuse reporting. 


<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">If they are reporting things via your correct abuse channel and you are indeed handling them within 48 business hours, then I would also agree this much extra spray and pray is excessive. However RiskIQ is known to be pretty responsible,


 so if they are doing this they likely feel like they are NOT getting appropriate responses from you and are resorting to scorched earth. Have you attempted to reach out to them and make sure they have the proper direct channel for abuse reporting? <o:p></o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal">On Mon, Apr 13, 2020 at 1:45 PM Kushal R. <<a href="mailto:kushal.r@h4g.co">kushal.r@h4g.co</a>> wrote:<o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<div>


<div id="x_gmail-m_-8042583123750240336edo-message">


<p class="MsoNormal">All abuse reports that we receive are dealt within 48 business hours. As far as that tweet is concerned, it’s pending for 16 days because they have been blocked from sending us any emails due to the sheer amount of emails they started sending


 and then our live support chats.<o:p></o:p></p>


</div>


<div id="x_gmail-m_-8042583123750240336edo-message">


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div id="x_gmail-m_-8042583123750240336edo-message">


<p class="MsoNormal">We send our abuse reports to, but we don’t spam them to every publicly available email address for an organisation, it isn’t difficult to lookup the Abuse POC for an IP or network and just because you do not get a response in 24 hours does


 not mean you forward the same report to 10 other email addresses. Similarly twitter isn’t a place to report abuse either. <o:p></o:p></p>


</div>


<div id="x_gmail-m_-8042583123750240336edo-original">


<div>


<p class="MsoNormal"><br>


<br>


<br>


<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 3.0pt;margin-left:0cm;margin-top:6.0pt;margin-right:0cm">


<div>


<p class="MsoNormal" style="margin-bottom:12.0pt">On Apr 13, 2020 at 9:37 PM, <<a href="mailto:rsk@gsp.org" target="_blank">Rich Kulawiec</a>> wrote:<o:p></o:p></p>


</div>


<div>


<pre>       On Mon, Apr 13, 2020 at 07:55:37PM +0530, Kushal R. wrote:  >  We understand these reports and deal with them as per our policies and timelines but this constant spamming by them from various channels is not appreciated. Quoting from: <a href="https://twitter.com/RiskIQ_IRT/status/1249696689985740800" target="_blank">https://twitter.com/RiskIQ_IRT/status/1249696689985740800</a> which is dated 9:15 AM 4/13/2020: 5 #phishing URLs on admin12.find-textbook[.]com were reported to @Host4Geeks (Walnut, CA) from as far back as 16 days ago, and they are all STILL active 16 days is unacceptable. If you can't do better than that -- MUCH better -- then shut down your entire operation today as it's unworthy of being any part of the Internet community. ---rsk       <o:p></o:p></pre>


</div>


</blockquote>


</div>


</div>


</div>


</blockquote>


</div>


</div>


</div>


</div>


</blockquote>


</div>


</body>


</html>