Привет! Сегодня у нас экскурсия по зоопарку, потому что практическая польза от поста будет примерно такая же. Когда я рассказывал про то, как и какие данные у нас запрашивают внутренние органы, встал вопрос, что вообще может твориться мошеннического или просто подозрительного на хостинге.
С удовольствием рассказываю.
Коротко — чаще всего из незаконного попадаются виртуальные АТС с подменой номера — это те, где к телефону можно позвать Ефремова, и вас поймут. На втором месте у нас спамеры, в основном — почтовые. Третье место делят мамкины дидосеры и пираты.
Копаясь в этом всём, я, например, с удивлением узнал, что одна из самых ценных баз для телефонных мошенников и спамеров — это уже однажды кинутые граждане. Возможно, это связано и с тем, что лох — это диагноз. Но чаще речь про продолжение мошенничества: звонят или пишут про то, что вот полгода назад вас ввели в заблуждение мошенники, мы из МВД, расследовали случай, вам положена компенсация прямого и морального вреда, пришлите реквизиты карты. Потом эти же базы используются по третьему разу, когда пишут уже представляясь не МВД, а какой-нибудь контролирующей организацией — от службы внутренних расследований до самого кабинета президента или Спортлото.
▍ Спам
Что такое спам, вы прекрасно знаете, потому что сталкиваетесь с ним каждый день, скорее всего. Логика действий очень простая: мошенник арендует виртуальную машину, где-то берёт базу почтовых ящиков и начинает слать на них всякое и разное. Чаще всего это просто реклама, и такое блокируется автоматически по абьюзам на наш хостинг — это крупные организации говорят, мол, с ваших IP рассылается всякое непотребство. У нас запрещена несогласованная массовая рассылка писем с VDS-хостинга по оферте. Понятно, что если кто-то строит площадку для отправки email, он предупреждает. Если речь про собственную клиентскую базу, то там обычно нет жалоб на спам (ну или их минимум) — или же рассылки слишком малы, чтобы кого-то заинтересовать. Могу сказать, что на практике отправка любого письма от пары тысяч копий будет заметна, если посыпятся абузы.
Кроме «обычного» рекламного спама попадаются и мошеннические письма. Последние случаи, которые мы разбирали по обращению органов, — это письмо якобы от «Озона» (на самом деле от мошенников) про то, что вы заказали товар, оплата прошла, всё в порядке. Если это не вы, нажмите сюда, чтобы отменить. При переходе по ссылке открывалась платёжная форма, в которую надо было ввести реквизиты карты и код из SMS, чтобы получить компенсацию. Логичный результат заполнения этой фишинговой формы — с карты происходило несколько списаний.
Видел похожую маскировку под Госуслуги, недавно ещё под Авито маскировались. Судя по текстам писем, базы в достаточной степени таргетированные, то есть спамеры-мошенники знают хотя бы что-то про пользователя. Например, тот факт, что он недавно что-то заказывал. Возможно, оттуда же, откуда ваш номер узнают мошенники при доставке СДЭКом (про временные совпадения ходит много слухов, но прямое следствие не доказано).
Кроме почты ведутся массовые рассылки в вотсап, вайбер и другие мессенджеры. Но с почтой мошенники работают гораздо чаще, потому что мессенджеры обладают хоть какой-то централизованной архитектурой и способны анализировать и вычищать спам довольно быстро и точно. А вот в почте всё происходит куда сложнее и медленнее и во многом опирается на систему ханипотов и жалоб пользователей, что даёт куда большую доставляемость. Ещё в почте есть много трюков вроде визуальной подмены имени отправителя на кого-то в домене пользователя (вроде сообщений от корпоративной технической службы про устаревание пароля почты, который надо срочно обновить) и прочие особенности довольно-таки старого протокола. Почта как явление системно больна из-за того, что придумывалась во времена динозавров Интернета, и с тех пор не сильно поменялась, разве что обросла костылями.
▍ DDoS
Здесь одна из самых частых историй — это то, что люди не запускают слабые DoS с домашних машин, но зато покупают виртуальный сервер и начинают действовать с него. Из тех обрывков знаний, которые у меня есть, складывается впечатление, что люди просто искренне не понимают, что это не совсем законно. То есть догадываются, что делать из дома такое нельзя, но не понимают, что делать с сервера, который оплачен со своей кредитной карты, — тоже так себе идея. В основном этим балуются школьники, которые пытаются ронять игровые серверы.
Более серьёзные DDoS идут, когда происходит что-то важное для атакующего, и наши серверы становятся только маленькой частью большой атакующей сети. Попадаются случаи, когда атакуют с демо-серверов (регистрируются с американского номера и берут пробный период), попадаются ситуации, когда серверы покупаются, ещё реже — когда взламывается условно-добропорядочный клиент, имеющий дыры в своём ПО.
На DDoS реагирует большое количество защит. У нас есть автоматическая детекция как входящих, так и исходящих атак. Сначала режется трафик по полосе пропускания, потом наступает блокировка и мы начинаем разбираться с клиентом, что это было. Входящую атаку важно блокировать потому, что у нас всё же VDS, то есть каждый физический сервер представляет собой коммунальную квартиру, и если из канализации топит одного жильца, то это коснётся всех на сервере. Поэтому отсечка виртуальной машины срабатывает раньше, чем она кладёт по ресурсам весь сервер или сеть. Есть услуга подключения DDoS-защиты в плане очистки трафика, а не просто отсечки машины (это то, что часто не докупают школьники на свои игровые серверы).
По DDoS-атакам приходят обычно месяца через три-четыре, по киберпреступлениям (когда уронили чей-то важный ресурс) — бывает, и через полгода. Но один раз пришли ровно на следующий день после начала атаки. Это было около года назад на выборы, когда атака пошла сначала на инфраструктуру, которая была там задействована. У нас сработала система защиты, автоматически пресекла атаку — но часть трафика, естественно, прошла, потому что это не мгновенное действие. Наш узел был одной из небольших частей большой распределённой сети для мощной атаки. Но сотрудник с угрожающей корочкой появился у нас на пороге уже за 1 минуту до начала следующего официального рабочего дня и лично вручил запрос. И пояснил, что это срочно. Мы погрепали логи, рассказали, как работает система защиты, пояснили, что да, был такой сервер, в нашей части атака была автоматически предотвращена, выгрузили данные биллинга (как было запрошено). В общем, дали очень подробный технический ответ с цитированием кусков документации. После этих комментариев вопросов к нам больше не возникло.
▍ Пираты и глобальное потепление
Глобальное потепление выражается в том, что если раньше у клиента в офисе мог стоять обычный обогревательный прибор в серверной, то при переходе в облако обогревательных приборов в виде ядер процессора становится больше. Первый невинный способ стать пиратом — это иметь софт, лицензируемый поядерно, и затащить его в облако, не читая соглашение. В худшем случае по соглашению все ядра облака будут признанными рабочими, в ситуации получше — только ядра сервера с виртуальной машиной.
На практике чаще возникает другая ситуация такого опосредованного пиратства: речь про незнание того, как правильно менять лицензии MS на другие такие же лицензии MS при переезде в облако. Дело в том, что лицензии напрямую не переносятся, и использовать тот же ключ от вашего прикладного ПО уже нельзя. Нужно использовать специальный сервис MS — License Mobility. Процедура там не то чтобы сложная, но муторная, слегка бюрократическая, и, главное, непонятная и неизвестная. То есть чтобы просто узнать, что нужно сделать именно так, надо уже либо один раз попасть на проверку от MS, либо же иметь специальные знания в юридической или MS-сфере. Ну или вдумчиво и дотошно дочитать лицензионное соглашение (точнее, несколько, включая частное под софт и общее) до конца. Как известно, это делает каждый пользователь софта MS в среднем за 1,1 секунды.
Когда вы покупаете бывший в употреблении ноутбук с рук, и там стоит Windows, вы ведь тоже должны либо покупать её отдельно, либо получать на неё права. А лицензируется она на покупателя, и при продаже на вторичном рынке нужно передать не только, скажем, ноутбук, но и документы о покупке, в которых будет чётко прописано, что куплено с такой-то ОС (которая, конечно, должна соответствовать установленной), должны быть на месте все стикеры с ключами и прочие документы, которые прилагались к софту. Как правило, никто об этом не думает и такие доки не хранит. В итоге юридически верно передать лицензию без покупки новой крайне сложно. В целом, если вы посмотрите на соглашения MS, то увидите, что по их логике мир должен представлять собой идеальное полицейское государство, где все за всех отвечают, ведётся постоянная слежка и за каждое действие есть наказание. В случае хостинга это выражается в том, что хостинг должен обеспечить непрерывный мониторинг того, что стоит у пользователя. А в российском законодательстве от хостера не требуется трогать содержимое виртуальных машин — начиная с гостевой ОС и ниже. То есть мы принципиально не можем знать, что там внутри VD-сервера. То есть в международном праве MS составили соглашение, которое было оттранслировано в Россию, где оно вступило в конфликт с российским правом. В итоге это противоречие решается следующим костылём: мы должны оттранслировать в своей оферте (EULA) тезисы лицензии MS, плюс можем делать запрос на доступ на арендованную машину в случае обнаружения состава преступления. То есть если кто-то стуканёт в MS про пиратский софт либо MS по каким-то признакам решит, что возможно наличие пиратского ПО в организации, то мы должны провести аудит ВМ.
На практике выглядит это так:
- Мы получаем запрос на то, что на такой-то машине есть признаки пиратского софта.
- Предупреждаем владельца машины, что в течение N дней будет начата проверка и мы получим гостевой доступ на его ВМ.
- Владелец машины тут же либо покупает лицензию, либо сносит пиратский софт, либо делает ещё что-то разумное при виде предстоящей проверки.
- Проверка выполняется.
MS прекрасно понимают, что если делать всё на 100% буквально по соглашению, то их клиенты просто разбегутся. И, как вы, возможно, понимаете, в цивилизованных странах решение «стереть софт на время проверки» не используется, поэтому у нас тут как в джентльменском клубе. Но, конечно, бывает так, что люди попадаются на том самом пиратстве по незнанию, когда ключи с десктопа или физического сервера были импортированы на виртуальный.
Классические же пираты просто выкладывают варез, фильмы разных студий, книги и прочее, напихивая баннеров чуть ли не больше, чем визуальное поле посетителя их сайта. Потому что монетизация у пиратов идёт именно с рекламы. Потом нам опять пишут из Сони со словами «А вот у вас тут «Аватара» показывают», мы пишем владельцу ВМ, он убирает «Аватара». Почему бы это не делать в Голландии, где такая деятельность не подпадает под проверки, — я не знаю. Тем более что у нас есть ЦОД в Амстердаме.
▍ Сайты с незаконным содержимым
Бывают фишинговые сайты, копирующие какие-то крупные известные ресурсы. Бывают всякие онлайн-казино, странные криптовалютные биржи и прочее. Но больше всего мне запомнился случай с одним молодым человеком, который, по мнению пограничников, развернул у нас на хостинге биржу по обмену криптовалют на разные запрещённые вещества.
Почему пограничники? Потому что, похоже, они начали раскручивать это дело с того, что задержали партию на границе. Возможно даже, что в ком-то. Богатый внутренний мир курьера довёл их до биржи, где это предполагалось обменять или как-то ещё реализовать. А поскольку погранслужба у нас — это ФСБ, они обратились к своим «белым шляпам», и дальше понеслись запросы. В такой ситуации всё обычно очень точно, юридически корректно и оперативно. Кончилось тем, что они посадили подозреваемого в СИЗО на время следствия, а затем пришли к нам с санкцией суда и специальной железкой по типу файрвола, которая должна была слушать весь трафик данной машины. По факту оказалось, что герой истории зашифровал всю виртуалку, ключи, естественно, хранил отдельно и вообще оказался более чем разбирающимся в том, как работают интернеты. Несколько месяцев с его биржи собирали зашифрованный трафик, сделки там, вроде бы, шли довольно активно, барыги чатились, но открыть это, насколько я знаю, не удалось. Посадили его дальше СИЗО или нет, я не знаю. Это был, пожалуй, самый тяжёлый случай за всю историю.
Обычно сайт блокируется или по инициативе Роскомнадзора (в этом случае он попадает просто в списки провайдеров, мы этого даже не видим) либо по решению суда.
Из последнего, что было крупного, — было судебное дело от магазина дорогих шампуней, которым сделали фишинговый клон. До этого была история с магазином дорогой косметики. Причём я до сих пор не знаю, продавали ли там подделки или просто брали оплату и пропадали.
▍ Мошеннические АТС
Это самый частый случай незаконного использования виртуальных серверов по нашей статистике, собранной из запросов правоохранительных органов. То есть, опять же, мы не знаем, как фактически используется наша инфраструктура, и не являемся судьями или моральными авторитетами. Мы обеспечиваем инфраструктуру. Дальше вопрос законности текущей юрисдикции, где находится ЦОД с серверами.
Мошеннические АТС — реально та история, где бы нам чисто по-человечески хотелось бы делать что-то, но мы ограничены и правилами, и законом, и здравым смыслом. Выглядит это так: регистрируются с американских номеров, оплачивают американскими пейпалами или кредитными картами, ставят виртуальную АТС, а затем к ней подключается куча людей (чаще всего из России из тех данных, что я знаю по действиям МВД). И дальше начинается обзвон с подменой номера и другими типовыми фичами мошенников.
Выявление таких АТС выглядит так: сначала они кого-то «разводят», затем пострадавший пишет заявление в полицию, затем полиция крайне оперативно ищет, что это был за номер, понимает, что это была подмена, запрашивает оператора связи, распутывает схему соединений и приходит к нам. Если не повезло, месяца три как мошенники уже не работают на нашей инфраструктуре. Если повезло, и они ещё тут, можно пробовать ловить.
Приходят к нам с запросом на данные биллинга и блокировку. Причём запрос этот мы отклоняем, потому что блокировать в России имеет право только суд и РКН. И вот в этом месте пытаемся объяснить сотрудникам МВД, как работают виртуальные серверы и инфраструктура виртуальных АТС вообще. Общий смысл в следующем: если платёжные данные такого клиента мы выгружаем, то вот в блокировке отказываем по закону. Если у сотрудников МВД есть вопросы, мы можем переадресовать их в другое ведомство повыше, и там на них подробно и очень доходчиво ответят. Но мы стараемся разъяснить и убедить, чтобы не мешать следствию. После того как становится понятно, что блокировать — это одна из самых тупых возможных идей, потому что мошенники просто свернут свою деятельность и уйдут, зная, что за ними уже вышли силы не очень быстрого реагирования. В МВД, бывает, думают, что клиент попросит возврат неизрасходованных средств после блокировки, и вот тут-то они узнают карту физлица. Возвраты в таких случаях не просят никогда. В итоге составляется правильный запрос, данные биллинга обогащаются данными, с которыми можно идти к операторам связи, чтобы понять, откуда шли подключения, — и дальше всё зависит от компетенции сотрудника, ведущего дело. И того, насколько получится посотрудничать с провайдерами и сотовыми операторами. Это, вообще-то, серьёзная проблема, потому что киберпреступлений становится всё больше, а опера занимаются ими далеко не с квалификацией white hat.
▍ Напоследок
Ещё раз хочу отправить вас в пост про то, с чем к нам приходят разные органы и как мы отвечаем в какой ситуации: что отклоняем, что обрабатываем, когда уведомляем клиента, когда не имеем права. Там очень подробно про то, почему мы делаем или не делаем то или иное действие в рамках законов.
Ну и отмечу, что ИТ-подготовка среднего школьника в плане информационной безопасности с каждым годом растёт, что мы замечаем по характеру защиты их школьной анонимности (судя по масштабу и характеру возможных правонарушений).