Часть выходных улетела на помощь друзьям, которые оказались в весьма неприятной ситуации. Ну, я решил ещё потратить немного времени на написание статьи, наверное по теме информационной безопасности. Сначала я планировал две статьи: краткую и полную. Но понял, что не смогу подготовить хороший технический материал по ИБ. В общем, будет сразу «два в одном», первая часть без сетевых технологий – как рассказ для своих, вторая часть - история моего расследования.
Первая часть, занудная, но поучительная
Итак, последний месяц у меня был очень интенсивным – резкое завершение проектов для выхода на новую работу, погружение обратно в ЦОДы, подготовка к двум конференциям и т.д. Я даже хромать начал – но это, наверное, из-за самокатов. В дополнение, в течение этого месяца произошло три инцидента с довольно близкими мне людьми. К счастью, инциденты не между мной и ними, а с их смартфонами и персональными данными.
Все инциденты были связаны с воровством контактов из смартфона жертвы. (Но в одном случае это не точно, т.к. могла использоваться база из CRM).
Вообще, для понимания сюжета лучше назвать субъекта Приманкой.
Контакты: это может быть список контактов в Телеграме или даже список участников конференции, где был спикером Приманка.
Атака: может включать в себя обзвон и сообщения по контактам с различными целями.
Цели: получить деньги, доступ в сервисы, например Госуслуги, вытащить контакты других жертв, а так же превратить жертву в очередную Приманку.
Что я наблюдал во всех случаях: в Телеграме создаются группы от имени Приманки, туда добавляются те, кто может знать Приманку и там же размещается призыв голосовать за Приманку в конкурсе лучший врач, лучший учитель, лучший полицейский и т.д. Злоумышленники от имени субъекта просят пройти по ссылке для голосования.
Фишинг: По ссылке открывается веб-сайт с названием похожим на telegram.org или gosuslugi, страница выглядит правдоподобно и всё, что просят мошенники – это для защиты от обмана при голосовании ввести свой номер телефона, далее SMS-ку и прочее. И люди вводят…
Нормальные люди, честно желающие проголосовать за врача, который помог им выжить или учителя или хорошего коллегу-полицейского, или за начальника (не буду больше давать идей преступникам). В общем, далее жертва передаёт доступ к своему Телеграму, аккаунту Госуслуг, банку, отдаёт другие доступы и часто сама становится приманкой. А контакты жертвы-приманки становятся новыми целями.
Я не буду в короткой версии рассказывать, как я гасил сайты мошенников – это всё, что мне досталось, когда я узнал об инцидентах.
Пара соображений. Первое: я убедился, что действительно против российских граждан работают криминальные организации, оформленные на у…ских граждан. Они мимикрируют под хостинг для сайтов, под игровые платформы, мессенджеры, VPN-сервисы.
Надеюсь, что вы уже вспомнили, как много существует VPN-приложений? И что есть даже бесплатные… Но про такой VPN, который используется для обхода блокировок, нельзя рассказывать до 1 сентября 2029 года. Поэтому, если есть возможность, не пользуйтесь тем, что может причинить вам ущерб.
Второе, это рекомендации: не соглашайтесь с утверждением, что «все данные и так кому надо известны», это не так. Не реагируйте импульсивно, не проходите сразу по ссылкам от кого-либо, связывайтесь с приславшим вам что-то подозрительное через другие каналы связи, лучше через другого человека. Не вводите номер телефона и подтверждения на сайтах, куда пришли первый раз и вообще случайно.
В Телеграме скройте номер телефона от незнакомых людей в настройках конфиденциальности. При первом подозрении на использование вашего аккуанта кем-либо смотрите список всех активных подключений и завершайте все неизвестные и подозрительные, это в разделе Настройки → Устройства. Включите двухфакторную аутентификацию (двухэтапную проверку). Она добавляет дополнительный пароль (облачный пароль), который потребуется вместе с кодом из СМС, чтобы войти в аккаунт. Это существенно усложнит взлом, даже если злоумышленник получил код из СМС. Для этого нужно зайти в Настройки → Конфиденциальность → Облачный пароль и задать сложный надёжный пароль.
Вторая часть, о том, как я вспоминал сетевые технологии
Вдруг кому-то пригодится это как инструкция, а кто-то дополнит мой опыт хорошими соображениями.
В фейковые ТГ-группы выкладываются ссылки, сокращённые с помощью tinyurl.com, которые не ответили, но одну из ссылок погасили быстро (abuse@tinyurl.com).
Далее – домены. Это были имена в домене RU (в моём случае регистратор reg.ru, abuse@reg.ru и немного странная переписка) и в домене REST (support@webnic.cc и их очень быстрая реакция). Параллельно ушли заявки в НКЦКИ (через Доменный Патруль https://tldpatrol.ru/).
Потом я смотрел на DNS, который был на cloudflare, но я тогда не нашёл, что на https://www.cloudflare.com/ru-ru/ есть чат-бот поддержки. На письмо про DNS запись на фишинговый сайт abuse@cloudflare.com мне ничего не ответили.
IP адреса вели на мелких хостеров, мимикрирующих под российские ИП, но их AS были выделены юрлицам в юрисдикции UK, а до 2022 года были у компаний в другой юрисдикции. По адресам регистрации этих фирм стало ясно, что там целое гнездо, где почти все учредители — это у-ские граждане. Могли быть, конечно, любые граждане, но тут уже «всё стало понятно». Ради какого-то интереса я написал в их поддержку некоторые запросы с почты в домене .com, но не получил ответов. В интернет-реестр RIPE NCC я писать не стал. Не думаю, что моя жалоба будет для RIPE каким-то основанием в отзыве IP адресов, переданных злоумышленникам. На этом этапе я отправил результаты моего «расследования» в НКЦКИ.
Кажется, что я ещё куда-то репортнул эти URL как фишинговые, уточнив с Perplexity, но не протоколировал свои действия, т.к. делал всё «на коленках».
Соображения:
Про «будьте осторожнее» я писать не буду. Я знал, что всё не очень хорошо, но не хотел задумываться, что вокруг меня ботнеты на смартфонах с «бесплатными» приложениями.
Про регистраторов и домены – их, доменов типа telegram.org-что-то.ru, просто огромное кол-во. Не знаю, почему регистраторы не препятствуют работе всяких org-xyz.ru, org-org.ru, особенно если резолвится что-то, типа telegram.org-xyz.ru, т.е. светится очевидный фишинг. Аналогично, при обнаружении формы сбора данных на домене, DNS "из списка", IP "из недружественной локации" и прочего, заявка в НКЦКИ должна улетать автоматом. Мне кажется и регистратор и хостеры должны быть в этом заинтересованы. Снова кажется )
Что делать, если это случилось?
В случае обнаружения фишинга, добавления вас в такую группу или если вы случайно стали Приманкой, скорее всего ваш первый шаг это форма https://tldpatrol.ru/phones/, сообщение в НКЦКИ, например: «фишинговая ссылка такая-то, прошу принять меры по блокировке».
Боюсь, что это далеко не руководство по устранению неисправности, но и такого у меня под рукой не было. Может быть дополню, что именно писать иностранным хостерам и регистраторам, т.к. не очень представляю действия и возможности НКЦКИ в случаях, если фишинг живёт на иностранных ресурсах.
