Сканер портов в личном кабинете Ростелекома

    Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере. Так как добиться от Ростелекома вменяемой информации практически нереально, решил указать про данную проблему на Хабре, чтобы хабровчане были в курсе, что можно ожидать весьма сомнительное поведение даже от крупных и серьёзных игроков.

    А теперь, собственно детали.

    Придя утром на работу, я обнаружил в логе системы замечательные строчки от VNC:

    Connections: rejecting blacklisted connection: 127.0.0.1::22715

    Т.е. кто-то с локалхоста пытается залезть на порт 5900, значит это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

    Раз коннекшен блокируется, надо сделать так, чтобы кто-то сидел на нём. Самый простой способ для меня оказался в том, чтобы поднять на ноде интеллектуальный tcp-сервер, который ничего не делает и просто держит соединение.

    server.listen(5900, function () {});

    Посмотрел, кто туда подключился, оказалось, что это Firefox:



    Дальше я пошёл выяснять, какой же из табов или расширений фаерфокса это делает. Оказалось, что ни about:peformance, ни about:networking не показывают id процесса, который может делать сетевые запросы. Зато я выяснил, что это основной процесс браузера, а не дополнительный для вкладок или расширений, что затруднило выяснение вредителя (да, у меня как всегда открыта куча вкладок и найти нужную — достаточно тяжело).

    Но с помощью терпения, я нашёл замечательную вкладку, в девелоперской консоли которой оказались замечательные строчки:



    И этой вкладкой оказался Личный кабинет Ростелекома. После этого выяснилось, что запросы идут следующего вида:



    14 достаточно интересных портов:
    Порт Описание
    5900 VNC
    6900 Bittorrent
    5650 Pizza trojan
    5931 ?
    5938 TeamViewer
    5939 ?
    3389 RDP
    8080 HTTP
    51 F**k Lamers Backdoor
    443 HTTPS
    80 HTTP
    22 SSH
    445 SMB
    5985 Microsoft Windows Remote Management

    Большинство портов — это средства для удалённого управления компьютером. Выходит, далее следует ожидать попыток проникновения на эти порты снаружи. Зачем это может быть?

    У меня в голове следующие варианты:

    1. Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян
    2. Это осознанное решение Ростелекома и попытка сделать что-то нехорошее пользователю
    3. Это осознанное решение Ростелекома и попытка собрать данные о пользователе

    При этом мой компьютер не находится в сети Ростелекома, так что данные действия выглядят весьма и весьма грязно.

    UPD: Дополнение от sashablashenkov
    Судя по этой странице, это какой-то Dynatrace Real user monitoring

    Dynatrace is the only vendor to capture the full visibility of customer experience across every digital transaction. No sampling of data, Dynatrace gives you a complete picture, from the frontend to the backend.
    Monitor user journeys
    Replay individual customer transactions for rapid problem handling
    Dynatrace provides a single problem notification that identifies the root cause of the problem
    Identify and resolve technical issues proactively

    Но зачем оно сканирует порты — не понять


    UPD2: runalsh уточнил, что это не Dynatrace, а group-ib

    Ещё немножко деталей. Скрипт находится по адресу:

    https://lk.rt.ru/ruxitagentjs_ICA2SVfhqrux_10169190521113456.js

    Т.е. это не какие-то внешние счётчики или аналитика, а собственный скрипт.

    Данный скрипт обфусцирован и функция, обращающаяся к портам выглядит как-то так:

    Aa: function () {
            var a = this.Tg();
            this.Qh(a);
            for (var e = 0; e < this.Ye.length; e++) (function (c, f) {
              if (!d.F.N(f.Gg, c) || !d.T.jh() || d.T.wb() || d.T.dc()) {
                var e = (new Date).getTime(),
                g = d.D.mb(Oa(1939), window.location[Ma(1402)] + $e(1358) + c),
                k;
                g.then(function () {
                  clearTimeout(k);
                  f.Ec(c, ua(1117), (new Date).getTime() - e, a)
                }).then(void 0, function () {
                  clearTimeout(k);
                  f.wc[c] ? delete f.wc[c] : f.Ec(c, Lb(1430), (new Date).getTime() - e, a)
                });
                k = G(function () {
                  f.wc[c] = !0;
                  g.te().abort();
                  f.Ec(c, Mc(1251), (new Date).getTime() - e, a)
                }, f.$e || 10000)
              }
            }) (this.Ye[e], this)
          },

    В массиве Ye, как раз и содержатся данные 14 портов, инициализируется он таким образом:

    this.Ye = b[Uh(1218)];

    Т.е. кроме минификации, в Ростелекоме добавили ещё и обфускацию, значит они подозревали, что делают что-то не очень хорошее, и надо бы это скрыть.

    Что с этим делать дальше, я не знаю. Понятно, что стоит настроить браузеры для защиты от подобного (удивительно, но Firefox почему-то пропустил порт 5900, хотя решил заблокировать другие). Писать в Ростелеком — смысла нет, ибо ответы у них всегда однотипные и не отличаются какой-то разумностью.

    Ну а всем остальным знать, что сканирование портов может быть не только на подозрительных сайтах, но и таких приличных, как Ростелеком.

    Ответ Ростелекома:
    Пресс-служба Ростелекома сообщила, что скрипт используется как «антифрод-система для предотвращения онлайн-мошенничества» путем анализа пользовательской сессии. Эта система действительно собирает данные об активности пользователей и ищет «индикаторы компрометации их устройств».

    В компании пояснили, что антифрод-систему пришлось внедрить в связи с участившимися в последнее время попытками мошенничества в отношении лицевых счетов абонентов и бонусных программ Ростелекома.
    Поделиться публикацией

    Комментарии 194

      +7

      Справедливости ради это беда не только Ростелекома, но и многих отечественных веб-сервисов. Как минимум такой же у хедхантера видел недавно и пишут в интернетах, что сбер так делает.

        +21
        Это не беда, и не только отечественных веб-сервисов. Это целенаправленный сбор информации в рамках концепции Digital Identity. Там собирается в кучку вообще всё, включая мета-информацию о TCP-трафике от клиента на всех уровнях, от L3 до L7. TTL приходящих пакетов, размеры MSS, MTU и так далее по уровням вверх.

        Ростелек, видимо, решил набор пассивно собираемых данных пополнить активным сканированием ещё.
          0

          Не понял вашего комментария, к чему он, какое отношение имеет к веь-сервису и почему я минус словил. Переформулирую — тот же набор портов точно также сканирует и hh со сбером. Очевидно, что встраивают один и тотже скрипт или крайне схожего поведения. Зачем не ясно, но очень интересно было бы узнать.

            +28
            Я вроде русским по-белому написал — скорее всего, это сбор информации со стороны Ростелека (а также упомянутых Вами контор) для создания идентификаторов пользователей в рамках концепции Digital Identity. Этим занимаются практически все крупные конторы, имеющие веб-сервисы/сайты на вооружении.

            Банками декларируется, например, что Digital ID может помочь бороться с мошенничеством. Технически это реализуется следующим образом — когда пользователь пользуется сайтом для совершения банковских операций, сайт тащит всю информацию, до которой он только может дотянуться, и составляет цифровой отпечаток конкретного устройства, а также связывает потом его с конкретным аккаунтом (пользователь же не просто на сайт зашёл, ему там кредсы придётся ввести). Если цифровой отпечаток устройства у этого аккаунта сильно поменяется — это дополнительный индикатор в оценке пользовательских транзакций в системе анти-фрода, например.

            Для чего это нужно Ростелеку — не знаю. Но, например, цифровые отпечатки и их привязки к реальным ФИО/иными идентифицирующим признакам из реальной жизни можно продавать заинтересованным лицам. Тем же банкам.

            P/S/: Минус — это не от меня.
              –1
              Digital ID может помочь бороться с мошенничеством
              Это все миф, не один банк от Ваших денег отказываться не будет. Ситуация наоборот противоположная на Вас хотят еще больше заработать, хотя бы на вашей статистике.
              На месте автора я бы написал заявление в прокуратуру ст. 137 и ст.138 УК РФ еще не отменили.
                +5
                Почему же, как один из параметров оценки риска транзакции собранный набор данных вполне себе полезен. Другое дело, что большой объём информации — это всегда палка о многих концах, и использовать её можно по-разному. Как во благо пользователей, так и во вред.
        0
        А в чем смысл то так делать? Это как-то объясняют? Для меня это выглядит как в лучшем случае злонамеренные сотрудники собирают данные по портам для дальнейших атак/сдачи КГБ
          +2
          Объясняют заботой о пользователе. Якобы, если какой-нибудь «интересный» порт отказывается открытым, сердобольный сайт предупреждает о возможном заражении компьютера.
          Например, чтобы человек не вводил данные банковской карты. Мало ли какие кейлоггеры засели.

          Весьма сомнительная услуга, конечно.
            +5
            автор открыл 1 из портов и «принял» подключение, что то я не увидел в статье информации о том, что сайт его предупредил об этом
          +6
          А разве такие запросы вообще проходят? Вроде cors вон во всю ругается и не пускает дальше?
          И не увидел 4го варианта: Ростелеком ломанули, и выложили такой полу-вредоносный скрипт.
            0
            Запрос на порт 5900 прошёл. Сейчас выясню, это от Firefox идут какие-то проверки на доступность CORS, или он сам по себе пропускает данный порт.
              0
              Идёт запрос на https://localhost:port/ и Firefox это пропускает.
                +13
                Нет, ФФ (как и хром) сначала кидает pre-flight запрос OPTIONS по запрошенному урлу и ждёт заголовки с CORS. И только если на порту нормально настроен CORS, и правилами такое соединение разрешено, только тогда выполняется основной запрос, который просил скрипт.
                  0

                  ну а в чем смысл такой проверки? я не думаю что зловреды и прочии сервисы будут cors прописывать. или тут важен сам факт как быстро ответили?

                    +1
                    прописать должен сервис, находящийся на локалхосте. Если это какой-нить тупой веб-интерфейс к торренту или подобному, там могут и разрешать CORS со статусом «ну кто же локалхост ломать будет». А в целом — по обсуждению именно факт скорости ответа.
                      0
                      Смысл в том, что на локалхосте может висеть очень много веб- и типа-веб админок, авторы/юзеры которых считают, что «мы же принимаем соединения только с 127.0.0.1, зачем нам пароли и вот это всё». Вплоть до железок типа принтеров и т.п. Собственно, в статье ищут открытые радмины с тимвьюерами. Дальше факт их наличия можно определить по скорости ответа.
                        +3
                        Важен сам факт времени ответа. Корпорация Intel и их CPU продолжает нам это доказывать периодически на своём примере. Чтобы люди научились понимать что такое timing pattern attacks.
                  +6

                  Запросы проходят, но ответы скрипт не получает. Чтобы узнать, разрешён ли CORS, браузеру необходимо сделать запрос и проверить заголовки ответа.

                    0
                    А не может ли скрипт измерить время до получения отказа и сделать какие-то выводы из этого? (вон, там в исходниках какие-то манипуляции с Date проводятся, может, это оно и есть?)
                      +1

                      Думаю да, проверил с WebSocket — если порт закрыт ответ приходит за 900-1100 ms, а иначе как сервер ответит (обычно очень быстро, например 0 или 100).


                      Но если они просто порты сканят, то почему не через ws? Можно всю локалку сканировать.

                        0
                        Для ws нужен сначала http сервер, который ответит, что ws поддерживаются
                  +11
                  Зашёл проверить в кабинет, что там. Запустил логгер в ublock, а вредонос оказывается уже был забанен.
                  Что сообщил uBlock
                  Фильтр /ruxitagentjs_
                  Список фильтров EasyPrivacy
                  Контекст lk.rt.ru
                  Сторона(1) rt.ru ⇒ rt.ru
                  Тип script
                  URL hxxps://lk.rt.ru/ruxitagentjs_ICA2SVfhqrux_10169190521113456.js


                  Поверхностный поиск по слову «ruxitagentjs» выдаёт ссылки на datamining и статистику. Вероятно, это стандартная навесная приблуда, используемая много где. Не зря она в правиле по ключевому слову без контекста в EasyPrivacy прописана. Расходимся.
                    +12
                    Ну собственно без блокировщика рекламы и резателя скриптов по интернетам ходить уже практически невозможно…
                      +7

                      Сейчас в любой области ты или максимально обвешанный экипировкой и опытом космодесантник, или на тебе нажмваются непонятным для тебя образом

                        0
                        Сорян за оффтоп. Какие нынче резатели скриптов котируются?
                          0
                          NoScript, ScripSafe и куча других пользуйтесь и выбирайте что вам больше нравится.
                        0
                        Извиняюсь за нубский вопрос, а где это глянуть? Мой uBlock Origin утверждает что ничего не заблокировано, да и NoScript молчит… Правуда, я просот на главную страничку ростелекома вошёл, в кабинет не логинился…
                          0
                          Надо логиниться и в ublock д.б. включена подписка на EasyPrivacy List
                        +5

                        Судя по этой странице, это какой-то Dynatrace Real user monitoring


                        Dynatrace is the only vendor to capture the full visibility of customer experience across every digital transaction. No sampling of data, Dynatrace gives you a complete picture, from the frontend to the backend.
                        • Monitor user journeys
                        • Replay individual customer transactions for rapid problem handling
                        • Dynatrace provides a single problem notification that identifies the root cause of the problem
                        • Identify and resolve technical issues proactively

                        Но зачем оно сканирует порты — не понять

                          +4
                          А может быть по списку открытых портов оно тупо формирует цифровой слепок компьютера и позволяет его идентифицировать даже без куков.
                            +12

                            Т.е. это как если вам предложат в госконторе идентифицировать вас не по паспорту, а клизмой?

                              0
                              Не одной клизмой и анализом полученного содержимого, но заодно (и одновременно) посмотрят размер и цвет глаз, форму уха, размер ноги, отпечаток большого пальца правой руки и мизинца левой руки. Вот это и будет «отпечаток» :)
                                +1
                                Причём размер глаз/ноги и форму ушей измерять будут тоже клизмой. А потом всё это добро на бумагу перенесут, для получения отпечатка.
                                +1
                                Это чтобы следить, что неавторизованные юзеры делают и следят не на одном, а на куче сайтов. Т.е. после настоящей авторизации, можно будет проследить ваш путь до неё.
                            +5
                            Как вариант — скрипт чекает известные порты и по ответу на запрос может делать вывод о том, что комп пользователя заражен или подвержен заражению.
                              +2
                              Именно так подобное свинство объясняет сбербанк.
                              +6
                              Always Secure Your localhost Servers

                              Решение — uMatrix со следующими правилами:
                              * localhost * block
                              * 127.0.0.1 * block
                              * 192.168.1.1 * block
                              и тд
                                0
                                Спасибо за рецепт, отличная штука.
                                +9
                                Там же есть скриптик, который сливает данные вот сюда. В списке клиентов очень говорящий перечень компаний :)
                                  0
                                  а какой именно скриптик?
                                    +3
                                    Возможно, этот
                                      0
                                      Да, именно оно. У меня его adguard залочил, но стало интересно, что за контора такая.
                                        0
                                        У меня неделю назад на Я.Деньги такое же было (при оплате картой скорей всего). Тоже вышел на скриптик, сейчас уже не вспомню какой и где именно. Но у меня долбился на локальный адрес по WSS протоколу.
                                    +9
                                    Вообще, из этого поста мне удивительно и ново только одно — кто-то считает Ростелеком приличным. Сканирование локальных портов — это вполне себе не новость, это даже Роскомнадзор делает. И вообще, любой веб-разработчик имеет в браузере пользователя больше прав, чем этот самый пользователь, и лучше знает, что и зачем делать.

                                    А без сарказма — мне действительно интересно, можно ли с этим что-то сделать, кроме как добавив этот (и все остальные подобные и последующие скрипты — много их) в запрет в плагинах блокировок JS (без которых в интернете вообще работать уже нельзя). И надеяться, что его функционал не перекинут куда-то в скрипт, отвечающий за прорисовку интерфейса. Потому что репутационные риски работают только для стартапов.
                                      +14
                                      кто-то считает Ростелеком приличным

                                      Ну, он приличный в контексте того, что это не какой-то сайт однодневка со статьями про увеличение различных органов и платными подписками.
                                        +6

                                        Так и в чём между ними разница, в конечном итоге?

                                          0
                                          Данные в вашей статье говорят как раз в пользу того, что РТК даже хуже.
                                          0
                                          А зачем вы хотите что-то с этим сделать? Любая страница может делать GET-запросы на любые адреса. Так работает интернет. Скрипты тут вообще не обязательны, можете написать <img src="https://127.0.0.1"> и запрос уйдёт без всяких скриптов. Подозреваю, что с помощью какого-нибудь srcset можно тайминги определять вообще без JavaScript. Если ublock может блокировать сайты по IP, можно попробовать заблокировать все запросы на не-публичные IP-адреса.
                                            0
                                            А без сарказма — мне действительно интересно, можно ли с этим что-то сделать, кроме как добавив этот (и все остальные подобные и последующие скрипты — много их) в запрет в плагинах блокировок JS (без которых в интернете вообще работать уже нельзя). И надеяться, что его функционал не перекинут куда-то в скрипт, отвечающий за прорисовку интерфейса. Потому что репутационные риски работают только для стартапов.
                                            Поставить браузер в контейнер, например lxc/lxd.
                                              –2
                                              ходите через оперу-мини (или подобные, которые рендерят страницу на сервере) и будет вам счастье. вообще, смешно, конечно, выглядят попытки «заблочить вредный скрипт» и т.п. свои локальные уязвимости не хотите лучше заблочить? я, например, не собираюсь ничего блочить, даже после того, как узнал, что какой-то скрипт может пробить мои порты. ну пробил он их и что? не жарко и не холодно от этого. содержите свою систему в порядке и не нужно будет беспокоиться по поводу скриптов.
                                                +3

                                                Ну, раз вам не жарко и не холодно (особенно не жарко) — я вам сейчас скину файлик, запустите его у себя, и пусть работает. Вам ресурсов не жалко, а мне прибыль пойдёт.
                                                Но вообще, тут, видимо, недопонимание. Вредоносность этого скрипта не в том, что он ищет уязвимости (он этого не делает). Вредоносность его в том, что он делает какие-то свои вещи в своих целях на моём компьютере, пользуясь моими ресурсами, и в этом ничем не отличается от майнера.

                                                  0

                                                  по поводу майнинга скажу так, что есть ряд сайтов, которые в своем джаваскриптовом коде содержат что-то подобное. и я, вы не поверите, все равно захожу на эти сайты и пользуюсь их функционалом, даже несмотря на то, что они в этот момент пользуются моими ресурсами. так устроен мир: что-то берешь, а что-то отдаешь. при этом, конечно, нигде на сайте не написано, что они делают. но лично я готов закрыть на это глаза. есть платные аналоги, где ничего не майнят, но цена намного выше стоимости ресурсов моего компа.

                                                    0
                                                    Все бесплатные ресурсы стоят денег. Вопрос лишь в том, а не слишком ли высока цена? Особенно, если вычитают втихаря, скрывая прайс.
                                                  +1
                                                  содержите свою систему в порядке и не нужно будет беспокоиться по поводу скриптов.
                                                  Наличие ssh, http, torrent — система не в порядке?
                                                    0

                                                    ssh закрывается паролем или сертификатом, http на post запросы закрывается паролем. torrent то чем не угодил?

                                                      0
                                                      ssh закрывается паролем или сертификатом
                                                      От zero day?

                                                      И зачем кому-то постороннему знать — открыт ли у меня ssh, http или любой другой порт? Я не хочу, чтобы посторонние люди шарились и проверяли мой собственный компьютер.

                                                      А злоумышленники наверняка научаться менять дефолтные порты. Впрочем, честные люди тоже, так как постоянные атаки ботов им тоже не нужны.
                                                +6
                                                Это не сами банки или сервисы сканят, а зловреды из group-ib (пример — ibjs.group-ib.ru/openbank-6ff5172109.js )
                                                То же самое на сайте банков (ОАО ВТБ, ФК Открытие, ЯндексДеньги и тд), например, вот ФК Открытие www.banki.ru/services/responses/bank/response/10225412 — там же в комментариях разбор что за скрипты и на каких они доменах.
                                                Позже написал запросы составителям списков блокировки рекламы и они таки включали, пример коммита github.com/AdguardTeam/AdguardFilters/commit/78a9f4e300d1ef0d786fb0175c976b903666b031, репорт тут github.com/AdguardTeam/AdguardFilters/issues/28073
                                                  +2
                                                  Вообще скрипт инициатор вот: ibjs.group-ib.ru/rostelekom-c390131903.js
                                                  Не понятно почему все грешат на Dynatrace.
                                                    0
                                                    скрипт действительно любопытный.
                                                    зачем ib-group собирает что-то с полями, похожими на «логин», «пароль», капча-код" итд?
                                                      +3
                                                      Там дальше по коду видно, что они анализируют, как пользователь вводит свои credentials: печатает на клавиатуре или вставляет из буфера обмена, нажимает ли Enter в конце или кликает мышью и т.д. Это все — часть цифрового отпечатка пользователя.
                                                      P.S. Наконец хоть кто-то обнаружил, чем на самом деле занимается Group-IB.
                                                        –4
                                                        Чем они занимаются, рассказывается у них на сайте. Весьма полезными вещами иногда: Исследование Group-IB: результаты финала 6-го сезона «Голос.Дети»

                                                        А сбором личной информации занимаются ростелеком, сбер и другие клиенты, пользуясь предоставленным Group-IB инструментарием.
                                                          +2
                                                          А сбором личной информации занимаются ростелеком, сбер и другие клиенты, пользуясь предоставленным Group-IB инструментарием.

                                                          Вообще-то сбором информации занимаются именно они. Обо этом понятно написано к описанию их продукта(-ов).
                                                          К слову личной и говорить что она обезличена придираться не надо.

                                                            –1
                                                            Вы связали клиента скотчем и разогреваете паяльник. Кто в данном случае занимается сбором информации: продавец канцтоваров, или магазин «Радиодетали»?
                                                              +1

                                                              Читайте описание продукта(-ов) там все написано. Тут не скотч и не паяльник.

                                                                +1
                                                                Плохая аналогия подобна котёнку с дверцей.
                                                                И скотч, и паяльник имеют сотни полезных и добронамеренных для их пользователя применений, поэтому к их продавцам никаких вопросов быть не может.
                                                                Собиралка цифрового отпечатка пользователя вообще не имеет ни одного полезного для этого самого пользователя применения. Пользу она принесет только тем, кто на этом пользователе зарабатывает. Разумеется пользователи негодуют, что тут странного?
                                                                  –1
                                                                  Да, аналогия с автоматом Калашникова была бы уместней, но мне показалась банальной.
                                                                    –1
                                                                    Продукт IB, как и оружие, направлен на защиту своих клиентов (интернет-сервисов). Он не помогает зарабатывать на нас, не передаёт данные рекламным агентствам (надеюсь). Он помогает экономить заработанное, защищая клиентов от непредвиденных трат, связанных с мошенничеством и взломами пользователей.

                                                                    Польза конкретно для нас с вами, соглашусь, неочевидна.
                                                                    0
                                                                    Дубль
                                                                +3
                                                                Касперский передает любые подозрительные файлы, найденные у юзверя на локальном диске к себе, IB записывает отпечаток юзверя, при этом имея доступ к логину и паролю. Все воимя безопасности! :)

                                                                Но нужна ли нам такая безопасность?
                                                            +6
                                                            Если встроен скрипт от Group-IB, то это почти точно их сервис "Secure Bank"/"Secure Portal"

                                                            Скрипт встраивается в личный кабинет и собирает сведения об устройстве пользователя, составляет его «цифровой отпечаток».
                                                            В дальнейшем, это используется безопасниками Банков в целях антифрода.
                                                              0
                                                              Личный кабинет РТК — это не банк, правда?
                                                              С каким фродом и кто тут борется?
                                                              Мне не понятно, зачем скрипту считывать что я пишу в поля ввода: у меня есть менеджер секретов, я буду выглядеть как бот для этого скрипта/автоматики за ним?
                                                                +1
                                                                Это всё неважно. Функция реализована? Реализована. В акте приёмки ставим галочку и несём в бухгалтерию на оплату.
                                                                  0
                                                                  Мне кажется бороться они пытаются с чем-то вроде этого
                                                                    0
                                                                    Ну, т.е. разделить логин и пароль от интернета и личного кабинета ростелекому в голову не пришло, а подобная гениальная идея, основанная на эвристиках им показалась гораздо лучше.
                                                                    0
                                                                    Хороший манагер продаст что угодно и кому угодно. Плевать, что не бангк, продажники Group-IB таки малаттцы
                                                                  0
                                                                  В начале января Adblock Plus отказался включать домен в черные списки.
                                                                  Возможно, после этой статьи на Хабре мы всё-таки увидим правило ||group-ib.ru^$third-party в EasyList и прочих.
                                                                    0
                                                                    Для uBlock Origin подскажете правило или синтаксис?
                                                                      0

                                                                      Такой же.
                                                                      В UBO в FF уже добавлен в AdGuard Tracking Protection, вроде этот список включён по умолчанию

                                                                  +4
                                                                  Наш городской провайдер собирал аналогичные данные, правда не через браузер, а отдельным сервером.
                                                                  Но делалось это чтобы предупредить юзера о возможном заражении вирусами, между делом — предлагая подписку на антивирус или бесплатное лечение в офисе (Где ставили Trial тогоже антивируса).
                                                                  Тоесть чистый маркетинг и немного заботы о юзерах.
                                                                    +6
                                                                    Бинго! Ответ Ростелекома на репост этой статьи:

                                                                    «здравствуйте! Если у вас есть подозрения на несанкционированный доступ в личный кабинет, то обязательно сообщите об этом в личные сообщения группы, указав номер лицевого счета и ФИО владельца договора. Наша компания также предлагает воспользоваться антивирусами на выгодных условиях: 30 дней можно пользоваться услугой без абонентской платы. В дальнейшем проходит пролонгация и стоимость будет зависеть от выбранного вами антивируса.
                                                                    Защитная программа дает возможность:
                                                                    — Защиты от всех видов интернет-угроз, атак, спама, фишинга.
                                                                    — Защита от утечек конфиденциальной информации.
                                                                    — Автоматическое обновление баз.
                                                                    — Постоянный сетевой контроль.»

                                                                    (если что, я не имею никакого отношения к ним, просто пофанился)
                                                                      0
                                                                      (Лавров.jpg)
                                                                        0
                                                                        «Наша компания также предлагает воспользоваться антивирусами на выгодных условиях» — похоже, тут-то и порылась собака. Сначала создают проблему, а потом предлагают за деньги её решить.
                                                                      0
                                                                      Вот это уже от них подозрительно при заходе через не сильно старый браузер 2018 г., замаскированный под firefox 48, хотя всем остальным сайтам его версия пофиг:

                                                                      «Сожалеем, но Единый личный кабинет несовместим с некоторыми версиями браузеров

                                                                      Для корректной работы рекомендуем установить современный браузер, поддерживающий HTML 5, CSS 3 и JavaScript, например: Mozilla Firefox v.51 и выше, Google Chrome v.56 и выше, Opera v.43 и выше, Internet Explorer v.11 и выше, Safari v.11 и выше, Яндекс браузер v.18 и выше, Edge v.15 и выше, Спутник v.4.1 и выше.»
                                                                        0
                                                                        Какая-то часть ихнего ЛК прекрасно работает в старой древней опере, которая ещё presto.
                                                                          +1
                                                                          Обычная унылая проверка по UA. Ну не освоили они изящную деградацию, что с них взять.
                                                                            +2
                                                                            Впервые столкнулся с этим термином в таком переводе на русский язык, раньше встречал только «постепенную деградацию», никогда не задумывался, как прекрасно он звучит.
                                                                            Спасибо, вы сделали мой день.
                                                                              0
                                                                              А что такое проверка по UA?
                                                                          +16
                                                                          Сканированием портов Ростелеком занимается давно. Странно, что заметили только сейчас.
                                                                          На за Ростелекомом, как впрочем и за всеми крупными гос и около госорганизациями много и других неприятных дел. Так, зайдя в личный кабинет видишь, что ты «должен». Когда выясняешь с оператором, выкладываешь чеки, квитанции, долга нет. На вопрос, откуда долг идет стандартный ответ — ну, так программа составлена, что авансовый платеж (!) долгом считает и не сразу обновляет данные. Им что, госдеп программу пишет?
                                                                          И это не говоря о том, что тарифы они не забывают поднимать. Мало того, они могут какой тариф объявить старым (например тариф «сельский») и отправить его в архив… с поднятием цены с 250 до 700 рублей в месяц! Пользователю об этом не скажут. И только через пару месяцев, когда пользователю в очередной квитанции укажут долг в 1 — 2 тысячи, он станет в курсе.
                                                                          И вот я, инвалид 1 гр, на клюшках, еду в райцентр менять тариф. Грязно всё это.
                                                                          И ко всему этому «вишенка на торте». Помните анекдотичную реплику — «Ваш звонок очень важен для нас»? Так вот, на сайте Ростелекома, пользователю регулярно предлагают заполнить анкету «качества обслуживания». Я понимаю, что это издевка на нами и представляю, как ржало руководство, вводя эту анкету.
                                                                            0
                                                                            Это еще не смешно. Смешно, когда лизинговая компания говорит что ближайшая очередь на ТО только через две недели, сразу после разговора присылая СМС с линком на анкету о качестве пунктов эдак в двадцать — причем если его не открыть, через час позвонит оператор и будет задавать те же вопросы устно.
                                                                              +6
                                                                              Сказать оператору, что его звонок очень важен для вас, и вы рассмотрите его вопросы
                                                                              когда нибудь.
                                                                              После.
                                                                              Может быть…
                                                                              +3
                                                                              Я давно держусь подальше от всего, что начинается на Рос*.
                                                                              +2
                                                                              А вот ещё в копилочку «грязных делишек» от РТК. Я обычно оплачиваю счета за интернет не глядя особо на сумму (в рамках разумного). Но однажды заметил таки, что в последние месяцы плачу многовато (примерно на пару сотен больше). Глянул детализацию и оказалось, мне подключили удобную услугу, являющуюся подпиской на антивирус Касперского. При том, что у меня устройств с windows уже много лет в доме не появлялось, т.е. особой надобности в антивирусе не имею. Написал в поддержку — говорят, что подключили «демо-версию» услуги, а я от неё не отказался по истечению бесплатного периода. Я даже специально проверил почту и смс, и не нашел ни единого уведомления об этом — ни о подключении, ни об окончании бесплатного периода. В общем, классика. Даже мобильные операторы, перестали так делать.

                                                                              Позже узнал, что у одного моего друга была точно такая же ситуация.
                                                                                +1
                                                                                О, спасибо! Надо проверить! Они задрали звонить мне с этим предложением. Я им несколько раз сказал, вычеркните меня из базы! Бестолку. А теперь значит насильственно стали включать…
                                                                                P.S. Зашел сейчас в свой кабинет. Нет, слава богу, на касперского не подписали. Но мой тарифный план отправили в архив. Из предложенных, нет ничего дешевле 500 рублей.
                                                                                Господи, как им денег-то хочется, готовы уже пенсионеров/инвалидов душить тарифами!
                                                                                  0
                                                                                  Архивным тарифным планом можно пользоваться, пока не сменишь его.
                                                                                    0
                                                                                    Можно. Вот только «хозяин» может увеличить его стоимость в два-три раза (что и было сделано с тарифом «сельский», см. первый комментарий). И тогда получиться, что реальные тарифные планы стали дешевле архивного.
                                                                                    А ведь смысл в выборе тарифа «Сельский», как раз был в его дешевизне, подходящей под пенсию по инвалидности!
                                                                                  +1
                                                                                  У меня тоже так было. Поругался, деньги вернули на лицевой счет.
                                                                                    +1
                                                                                    Ровно такая же ситуация. Написал им гневное письмо и деньги сразу вернули.
                                                                                  +22
                                                                                  Все это особенно занятно смотриться на фоне истории с обереганием персональных данных, как в РФ так и с GDPR. И предупреждениями в пол-экрана о том что «сейчас мы сохраним ваши куки».
                                                                                    0
                                                                                    Что дозволено Юпитеру, не дозволено быку.
                                                                                    0
                                                                                    Думаю не стоит здесь прикручивать теорию заговора. Скорее всего все значительно проще.
                                                                                    Вероятно это или часть готового решения которое по древней традиции тяп ляп и в продашкше впилил разработчик сайта, из серии, мне нужен слайдер, а вот же целый фрэймворк в котором оно есть.
                                                                                    Или, возможно они таким образом собирают информацию для службы поддержки, по сути перечисленные порты могут оказывать влияние на процесс поддержки, тот же торрент может отъедать канал и у пользователя будет тормозить видео или заикаться вайбер, при это большая часть пользователей это никак у себя не свяжет и будет обращаться в службу поддержки.
                                                                                      0

                                                                                      Тот же торрент прекрасно фиксируется у оператора нагрузкой на канал и кучей сессий установленных.


                                                                                      Не надо так то уж прям :)

                                                                                        0
                                                                                        Думаю это информация может быть не доступна оператору поддержки первой линии, а нагрузка на канал, может генерироваться чем угодно. Торренты, насколько я помню, работают по udp, а это позволят полностью забить канал в отличии от tcp с его windows size и остальной трафик просто не пройдет. А так это сразу видно, пользователь использует торренты, посоветовать закрыть торрент клиент, часть проблем сразу отсекли.
                                                                                          0

                                                                                          Вообще если первая линия не может решить вопрос — переключают на вторую.


                                                                                          Это обычно не проблема — а те уже видят всё.


                                                                                          буквально только что вполне вменяемо общался с ТП, правда онлаймовской…


                                                                                          Девочка на первой линии как только услышала про счетчики FCS error — без разговоров переключила на вторую линию где подтвердили проблему и создали заявку на мастера.

                                                                                        –1
                                                                                        Может, банальное разгильдяйство? Дебажили что-то с Dynatrace'ом, забыли выпилить отладочные файлы — теперь это на проде. Банально себя же и смотрели по этим портам, имхо.
                                                                                        +6
                                                                                        *подбирая челюсть*
                                                                                        А давно из джаваскрипта можно подключаться к локальным tcp-сервисам?
                                                                                          –1
                                                                                          По комментариям складывается следующая картина: можно получить ошибку, но при этом понять, есть что-то на данном порту или нет (ну и есть запросы на 80-ый, 443-ий, 8080-ый, 5985-ый порты, которые вполне http). Дальше можно уже завести отдельный сканер и посмотреть что там детальнее, или же просто выяснить информацию о пользователе.
                                                                                            +2
                                                                                            Логика банка по отношению к клиентам:
                                                                                            — запущен тимвьювер на 80 порту? — блочим сервисы ДБО!
                                                                                            — запущен радмин на 3389? — блочим сервисы ДБО!
                                                                                            и т.д.
                                                                                              +3

                                                                                              Л-логика банка, да и вообще любая — тут отсутствует как класс.
                                                                                              Это МОЙ компьютер, и что у меня на каком порту — не дело банка, от слова совсем.

                                                                                                0
                                                                                                Логика: раньше вы заходили в свой интернет-банк/личный кабинет из окружения, где, предположительно, не был запущен TeamViewer. А теперь заходите из окружения, где он запущен. Есть вероятность, что это уже не вы? Небольшая, но есть. Одного этого факта недостаточно для блокировки трансакции, но в сочетании с другими правилами антифрода может быть и да.
                                                                                                  +2

                                                                                                  Никакой вообще взаимосвязи что это я или не я.


                                                                                                  Запущен != установлен.


                                                                                                  А запущен он может быть или выключен в абсолютно любое время дня и ночи, по необходимости, как говорится — при чем моей, а не банка…

                                                                                                0

                                                                                                Сразу вспоминается Play Protect, логика (а точнее, её отсутствие) та же самая.

                                                                                              +2
                                                                                              из джаваскрипта можно подключаться к локальным tcp-сервисам?
                                                                                              Обычно браузер блокирует. Но с помощью нехитрого трюка, это обходится
                                                                                              habr.com/en/company/fbk_cs/blog/439522
                                                                                                0
                                                                                                Да уж, есть над чем подумать.
                                                                                              0
                                                                                              Т.е. кроме минификации, в Ростелекоме добавили ещё и обфускацию, значит они подозревали, что делают что-то не очень хорошее, и надо бы это скрыть.

                                                                                              Я могу ошибаться, но минификация не включает разве частичную обфусикацию? На мой взгляд, скрывать ничего не хотели, да и смысла как такого нет
                                                                                                +4
                                                                                                Частичную. Названия переменных теряются, лишние пробелы вырезаются, но тут именно обфускация. Например, если взять эту строчку:
                                                                                                window.location[Ma(1402)] + $e(1358) + c)

                                                                                                То видно явное скрытие намерений, для минификации есть другие решения.
                                                                                                  0

                                                                                                  Ma(1402) — константа, в которой лежит 'href', 'origin', 'protocol' или другое необходимое название поля из window.location.
                                                                                                  $e(1358) — глобальная переменная/константа с частью урла (например, //localhost, либо текущий ip).
                                                                                                  c — переменная из фукнции с номером порта (если this.Ye действительно хранит список портов).


                                                                                                  Ну и где тут обфускация, которая что-то запутывает?

                                                                                                    +2
                                                                                                    Вы молодец, распутали это. Но это обфускация, поскольку константы обычно задаются по-другому, и никто в здравом уме не будет гадить в window.location, доставая аргументы через вызов функций. Для минифиации достаточно Что-то типа такого: Ma_1402 — и проще и быстрее. Ну и ниже другие примеры приведены из файла.

                                                                                                    Возьму свои слова обратно, посыплю голову пеплом и обновлю статью, если покажете библиотеку для минификации, которая сделает подобный треш с нормальным кодом.
                                                                                                  +10
                                                                                                  А бешенное количество данных, закодированных едва ли не десятком разных способов (от base64 до String.fromCharCode, и прочих «69d»:[40,42,49,52]) — это тоже «скрывать ничего не хотели»? Вообще, интересный экземпляр для любителей покопаться в обфусцированном js-коде…
                                                                                                  +1

                                                                                                  Около года назад мне стать на эту же тему не пропустили. У РТ спрашивать бесполезно, в ответ мычат и шлют ржачные исследования типа "удалось выяснить что 127.0.0.1 это.....". По факту это часть системы мониторинга ру сегмента от ,group-ib где то должен быть ответ от их суппорта.

                                                                                                    +3
                                                                                                    Ловил аналогичное в сбербанк-онлайне. На порту 7070 отвечал AnyDesk, который почему-то запрашивал у браузера сертификат, а на порту 5938 сидел тимвьювер, у которого при коннекте отваливалась активная сессия. Запретил подобные запросы пользовательскими правилами блокировщика рекламы.
                                                                                                      –4

                                                                                                      Казалось бы, при чем здесь Джордж Оруэлл...

                                                                                                        0
                                                                                                        Сейчас хоть кого-то можно удивить сайтами с js, которые майнят криптовалюту? Это примерно тоже самое.
                                                                                                        Однозначно зловред, дополнительно нагружающий систему, снижающий производительность, сажающий аккумулятор и наносящий вред экологии.
                                                                                                          0
                                                                                                          Кто пользуется firejail-ом можно запустить firefox в режиме с запретом на соединения по локалке и локалхосту
                                                                                                          /usr/bin/firejail --net=eth0 --netfilter=/etc/firejail/nolocal.net firefox
                                                                                                          в nolocal.net добавить дроп пакетов идущих на 127.0.0.0/8
                                                                                                            +1
                                                                                                            ИМХО, всё значительно проще. Не надо напрямую спрашивать у РТ «зачем», надо им позвонить или написать и попросить проверить ЛК, т.к. их, похоже, взломали и «взломанный» сайт занимается сканированием портов и ещё какой-то подозрительной активностью!..
                                                                                                            Если их завалить подобными «предупреждениями» — что-то в итоге ответят: отмазку придумают или тупо признаются в слежке за пользователями, например…
                                                                                                              +2
                                                                                                              Они ответят что ничего подозрительного не нашли и скорее всего это у вас компьютер заражен. А если завалить, то еще и о кибер атаке заявят.
                                                                                                              0
                                                                                                              А можно ли при помощи DNS rebinding слать произвольные данные в TCP порт из локальной сети жертвы?
                                                                                                              Или обязательно пойдут HTTP заголовки вначале?
                                                                                                                0
                                                                                                                Более-менее нормальными способами — нельзя. Можно попробовать с помощью QUIC(-over-tcp) и webrtc. Но там тоже шансов не много.
                                                                                                                  0
                                                                                                                  И то хорошо, а то было бы совсем стремно.
                                                                                                                0
                                                                                                                С каких пор РК приличный? Огромные компании не являются приличными просто от того что они приличные. Более того, у них рычагов давления в сотни раз больше (прикрытие нуждами миллионов пользователей и законами)
                                                                                                                  0
                                                                                                                  Прочитал, как Роскомнадзор.
                                                                                                                  И подумал, что у граждан России — теперь есть ещё и личный кабинет в Роскомнадзоре.
                                                                                                                    +1
                                                                                                                    Есть, Госуслуги называются. Скоро туда добавят информацию, сколько раз пользовался Телеграмом (запрещенный в России мессенджер) и сколько за это должен заплатить.
                                                                                                                    +12
                                                                                                                    5939 — это тоже Teamviewer.
                                                                                                                    5931 — AMMYY admin Remote Control.

                                                                                                                    Как ты выше правильно сказали, это часть системы антифрода от GroupIB. Так как Ростелеком сам процессит банковские карточки, то по требованием PCI DSS обязан иметь некий антифрод. В данном случае GroupIB им (и другим банкам и процессингам) продало средство скоринга на основе сканирования портов и предположения о зловредах. Скорее всего транзакция, сделанная с открытым плохим портом типа Radmin или Ammy, будет заблокирована до телефонного звонка, в ходе которого подтвердят легитимность транзакции.

                                                                                                                    CRS действительно не даёт соединяться с локальными сервисами, но по таймингам видно, что закрытые порты возвращают ответ за 1000ms, открытые — в пределах 100-200ms. По этим таймингам вижу, что скрипт корректно определил у меня Teamviewer на 5939, RDP на 3389, http и https на 80, https на 445. Неправильно определён только 22 ssh порт, который закрыт, так как это Windows машина, и telnet не подключается к нему.
                                                                                                                      –3

                                                                                                                      Мой опыт работы по поддержке ДБО, в том числе борьбы с мошенниками, говорит что лазанье на компьютерах пользователей сети интернет которые не совершают в данный момент операцию через систему ДБО никаким боком к антитфроду.


                                                                                                                      Часть описанного может иметь отношение к антифроду только после начала и во время операции через личный кабинет абонента.


                                                                                                                      Притом личный кабинет абонента — это перечисление денег жестко закрепленному лицу, зачем спрашивается?


                                                                                                                      У меня вот для банков и операций виртуальная машина, а для личных кабинетов физическая машина — что все в виртуалки переносить? (если смириться с такой политикой разных объектов)

                                                                                                                        –1

                                                                                                                        И к прилетевшим минусам


                                                                                                                        Программами удаленными доступами любит пользоваться поддержка банка, т.к по телефонному разговору им тяжело работать, раньше до примерно 2010 года большинство обращений решалось только телефонным разговором или выездом на место, т.к. программы удаленного доступа были не очень распространены, или вообще запрещены к использованию на рабочих местах.


                                                                                                                        И


                                                                                                                        Скорее всего транзакция, сделанная с открытым плохим портом типа Radmin или Ammy, будет заблокирована до телефонного звонка, в ходе которого подтвердят легитимность
                                                                                                                        транзакции.

                                                                                                                        это бред, банку обычно все равно как совершается подключение. А совершать банком телефонные звонки еще больший бред т.к. усложнение работы операционистов и увеличение затрат (аля снижение прибыли) (за исключением больших сумм, но там другие правила проверки)

                                                                                                                          +1
                                                                                                                          Программами удаленными доступами любит пользоваться поддержка банка, т.к по телефонному разговору им тяжело работать, раньше до примерно 2010 года большинство обращений решалось только телефонным разговором или выездом на место, т.к. программы удаленного доступа были не очень распространены, или вообще запрещены к использованию на рабочих местах.


                                                                                                                          В большинстве случаев обнаруженный открытый порт, характерный для программы для удаленного управления компьютером, – это лишь один из признаков, а не немедленная блокировка учетной записи. Еще в том же 2010 году многие организации работали с системами ДБО через терминальный сервер (по RDP).

                                                                                                                          это бред, банку обычно все равно как совершается подключение. А совершать банком телефонные звонки еще больший бред т.к. усложнение работы операционистов и увеличение затрат (аля снижение прибыли) (за исключением больших сумм, но там другие правила проверки)


                                                                                                                          Кому-то все равно, а кому-то нет. Тем более, есть юридические риски (например, часть 15 статьи 9 ФЗ «О НПС»). Про «еще больший бред» комментировать даже не буду. ;-)
                                                                                                                            –2
                                                                                                                            а не немедленная блокировка учетной записи

                                                                                                                            Вы какую учетную запись блокировать собрались? И с чего ее собрались блокировать?


                                                                                                                            Еще в том же 2010 году многие организации работали с системами ДБО через терминальный сервер (по RDP)

                                                                                                                            Вы про что речь ведете? Видели толстых клиентов? Когда весь функционал у клиента находится в его инфраструктуре, весь обмен банком с клиентом осуществляется посредством пакетов информации, и банковские сотрудники вообще не видят что творится у клиента?


                                                                                                                            Я сказал что поддержка разных банков с определенного времени начала усиленно использовать перечисленные программы удаленного доступа Teamviewer, AMMYY admin Remote Control… и прочие. А до этого большинство обращений в поддержку банка осуществлялось поддержкой на слух, не видя рабочий экран у пользователя. И использование сторонних программ поддержка начала применять и для толстых и для тонких клиентов.


                                                                                                                            Работа через терминальный сервер по RDP конечно возможна сотрудниками организации. В организации определенный компьютер используется для связи с банками, а сотрудники к нему подключаются со своих компьютеров посредством RDP. Но вот чтобы поддержка банка подключилась удаленно к компьютеру клиента через RDB, а не более простым способом — ни разу не видел.
                                                                                                                            И чтобы клиенты работали на терминальном сервере банка (по RDP) не разу не встречал.
                                                                                                                            При этом работа через RDP и терминальный сервер частенько была проблемной из-за систем криптозащиты используемой для подписания документов.


                                                                                                                            В поле я работал с обоих сторон и около 20 лет, у вас какое-то другое поле.

                                                                                                                              +1
                                                                                                                              Вы какую учетную запись блокировать собрались? И с чего ее собрались блокировать?


                                                                                                                              Никакую. Просто кто-то считает, что одного из «подозрительных» признаков уже достаточно для блокировки со стороны банка. Я же написал, что нет. Перечитайте еще раз.

                                                                                                                              Вы про что речь ведете? Видели толстых клиентов? Когда весь функционал у клиента находится в его инфраструктуре, весь обмен банком с клиентом осуществляется посредством пакетов информации, и банковские сотрудники вообще не видят что творится у клиента?


                                                                                                                              Речь шла и про тонкие клиенты в том числе. Тут тип клиента роли не играет.

                                                                                                                              И чтобы клиенты работали на терминальном сервере банка (по RDP) не разу не встречал.


                                                                                                                              Вы читать умеете? На стороне клиента банка стоит терминальный сервер, где есть клиент системы ДБО. Бухгалтер подключается к этому терминальному серверу и работает. Это не сервер банка, это сервер организации – клиента банка. И с него ведется работа с системой ДБО. Именно так, как вы описали в том же абзаце чуть выше.

                                                                                                                              И уже из-за наличия таких конфигураций один лишь факт работы на компьютере программы-сервера для удаленного управления (который определяется по открытому порту) не может играть решающей роли.

                                                                                                                              Более того, «антифрод»-скрипты умеют не только определять открытые порты, но и определять (с некоторой вероятностью, но все же довольно точно), что клиент работает в браузере через RDP/VNC и т. п.

                                                                                                                              В поле я работал с обоих сторон и около 20 лет, у вас какое-то другое поле.


                                                                                                                              Я работал именно в этом поле, в одной из компаний, которая в обсуждении здесь упоминалась.
                                                                                                                                –2
                                                                                                                                Просто кто-то считает, что одного из «подозрительных» признаков уже достаточно для блокировки со стороны банка.

                                                                                                                                Комментируя и пытаясь опровергнуть мое сообщение, а так же поставленные минусы, а не того кто это написал?


                                                                                                                                Так что на это
                                                                                                                                Скорее всего транзакция, сделанная с открытым плохим портом типа Radmin или Ammy, будет заблокирована до телефонного звонка, в ходе которого подтвердят легитимность транзакции.


                                                                                                                                мой комментарий
                                                                                                                                А совершать банком телефонные звонки еще больший бред т.к. усложнение работы операционистов и увеличение затрат (аля снижение прибыли) (за исключением больших сумм, но там другие правила проверки)

                                                                                                                                после вашего
                                                                                                                                Кому-то все равно, а кому-то нет. Тем более, есть юридические риски (например, часть 15 статьи 9 ФЗ «О НПС»). Про «еще больший бред» комментировать даже не буду.


                                                                                                                                Будем считать что операционисты в банках совершают звонки по изменению у клиента? Или нет?
                                                                                                                                Ох как бы меня послали все операционисты с которыми работал после таких заявлений. Проверить что ли по знакомым в организациях как часто им звонят из банков...


                                                                                                                                (например, часть 15 статьи 9 ФЗ «О НПС»

                                                                                                                                конечно она есть, вот только принималось не только для снижения банковских рисков. Может ткнете где в пункте 15 про такой сбор данных оператором.


                                                                                                                                К чему RDP когда мной было написано на комментарий "Teamviewer, AMMYY admin Remote Control.про… сделанная с открытым плохим портом типа Radmin или Ammy" про программы удаленного доступа, не про RDP?


                                                                                                                                И уже из-за наличия таких конфигураций один лишь факт работы на компьютере программы-сервера для удаленного управления (который определяется по открытому порту) не может играть решающей роли.

                                                                                                                                Все комментарии на которые вы отвечали были про программы удаленного доступа, где RDP совсем не упоминалось.


                                                                                                                                Речь шла и про тонкие клиенты в том числе. Тут тип клиента роли не играет.

                                                                                                                                Очень большую имеет роль. Работа толстых клиентов посредством обмена пакетами просто не позволяют применять те скрипты о которых речь. Там нету ни браузера, ни поведения пользователя, а только несколько параметров.
                                                                                                                                И антифроды там совсем не эти скрипты по которые речь.


                                                                                                                                Вы читать умеете?

                                                                                                                                Конечно умею. Я вон сколько написал на что получил ответ "Именно так, как вы описали в том же абзаце чуть выше", но опровергаете только то где написал что в это не верю.


                                                                                                                                И уже из-за наличия таких конфигураций один лишь факт работы на компьютере программы-сервера для удаленного управления (который определяется по открытому порту) не может играть решающей роли.

                                                                                                                                Да неужели. Пусть у клиента работали по RDP, но если внезапно на компьютере стала активна программа "типа Radmin или Ammy", а обычно ее нету — то нужно брать на заметку.

                                                                                                                                  +1
                                                                                                                                  Будем считать что операционисты в банках совершают звонки по изменению у клиента? Или нет?
                                                                                                                                  Ох как бы меня послали все операционисты с которыми работал после таких заявлений. Проверить что ли по знакомым в организациях как часто им звонят из банков...


                                                                                                                                  Простите, но: изменение одного параметра != попытка хищения. Как я уже говорил, один признак обычно не является показателем.

                                                                                                                                  конечно она есть, вот только принималось не только для снижения банковских рисков. Может ткнете где в пункте 15 про такой сбор данных оператором.


                                                                                                                                  Пункт про сбор данных лучше искать в пачке документов, регламентирующих ДБО. Начать можно с договора с банком.

                                                                                                                                  Все комментарии на которые вы отвечали были про программы удаленного доступа, где RDP совсем не упоминалось.


                                                                                                                                  Как в Windows реализован RDP? Программой, конечно же. Чем же еще? Далее читайте определение программы.

                                                                                                                                  Очень большую имеет роль. Работа толстых клиентов посредством обмена пакетами просто не позволяют применять те скрипты о которых речь. Там нету ни браузера, ни поведения пользователя, а только несколько параметров.
                                                                                                                                  И антифроды там совсем не эти скрипты по которые речь.


                                                                                                                                  В «толстый клиент» можно добавить куда больше «антифрод»-функциональности, чем в «тонкий клиент». Можно даже драйвер загрузить. Вы точно разбираетесь в теме?

                                                                                                                                  А тип действительно не важен, потому что с любым типом клиента можно работать удаленно. Сюрприз, да?

                                                                                                                                  Конечно умею. Я вон сколько написал на что получил ответ «Именно так, как вы описали в том же абзаце чуть выше», но опровергаете только то где написал что в это не верю.


                                                                                                                                  Про «веру» вы точно ничего не писали. Точно умеете читать?

                                                                                                                                  Да неужели. Пусть у клиента работали по RDP, но если внезапно на компьютере стала активна программа «типа Radmin или Ammy», а обычно ее нету — то нужно брать на заметку.


                                                                                                                                  Поздравляю, вы нашли второй признак (первым был факт наличия открытого порта): факт отсутствия открытого порта в прошлом. Попробуйте найти еще возможные признаки.
                                                                                                                            0
                                                                                                                            Лично мне несколько раз звонили что при оплате картой, что при стягивании средств картой, что при отправке средств безналом, чтобы убедиться что я инициировал транзакцию. Последний раз звонил Восточный при пополнении баланса на сайте Мегафона, просто завернули транзакцию, после звонка посоветовали повторить оплату заново, разблокировав оплату.
                                                                                                                            Любой антифрод — это компромисс между «проверять всех и всё», либо проверять только в некоторых нестандартных случаях, обзванивая клиента и добавляя в белый список связку «сайт — карта». Возможно в моём случае сработало несколько факторов — я никогда ранее не пополнял мегафон на такую сумму, и у меня открыты порты RDP и Teamviewer.
                                                                                                                              0
                                                                                                                              Возможно в моём случае сработало несколько факторов — я никогда ранее не пополнял мегафон на такую сумму, и у меня открыты порты RDP и Teamviewer.
                                                                                                                              Ключевым фактом послужило, что ваш компьютер не защищен от сканирования портов, от проникновения вредоносного скрипта через браузер.
                                                                                                                              Скажу без иронии, Вам крупно повезло, что этот скрипт анализировал только открытые порты, а не данные ваших учетных записей к примеру.

                                                                                                                              Паранойя некоторых ГосОрганов и компаний по защите информации на первый взгляд превышает все здравые границы. А по факту получается, что мы даже недооцениваем угрозу.
                                                                                                                              0
                                                                                                                              У разных банков разная политика проверки переводов. Пример: мне надо было с Альфы перевести на QIWI 25 тыс руб. Сумма максимального перевода на QIWI за одну транзакцию 15 тыс руб. Сначала перевожу 15 тыс — всё ок. Затем перевожу ещё 10 тыс — доступ в интернет банк блокируется и через пару минут звонок на мой телефон от Альфы, уточняют действительно ли я только что совершал данный перевод.
                                                                                                                          0
                                                                                                                          К сожалению, относиться к клиентам как к г-ну — это норма для Ростелекома.
                                                                                                                            +4
                                                                                                                            к господину? :)
                                                                                                                              0
                                                                                                                              Котлеты из гов. Ага
                                                                                                                            +4
                                                                                                                            1. ртк — помойка
                                                                                                                            2. давно пора браузеры в изолированных контейнерах запускать, причем по контейнеру для каждой вклаки. И удалять куки, кеш после закрытия вкладок
                                                                                                                            3. Ходить в современный web без umatrix/ublock — ну такая себе идея
                                                                                                                              0
                                                                                                                              Любимый совет от Ростелекома, установите Яндекс браузер. В этот раз более чем уверен, он будет таким-же.
                                                                                                                                0

                                                                                                                                Спокойно граждане, без паники. Вот сейчас придет EditorGIB и объяснит вам что что это все домыслы и никаких поводов для беспокойства у вас нет.

                                                                                                                                  0

                                                                                                                                  Group-IB вон что с 2016 года развертывал по банкам
                                                                                                                                  https://www.arinteg.ru/catalog/soft/1339/133845/
                                                                                                                                  Пользовательский модуль Bot-Trek SB загружается вместе с веб-страницами банка без участия клиента. Работа скрипта происходит незаметно для клиента и не сказывается на скорости загрузки страницы. Модуль… собирает идентификационные данные клиентского устройства и различные признаки работы…

                                                                                                                                  Без установки дополнительного программного обеспечения на устройства клиентов Bot-Trek Secure Bank в режиме реального времени выявляет… при которых используются следующие средства:

                                                                                                                                  Несанкционированные удаленные подключения к устройству клиента и проведение транзакции от его имени

                                                                                                                                    +1

                                                                                                                                    погоди-погоди. хочешь сказать любая вкладка может долбиться на локалхост начхав на same origin policy? вот это поворот. или это только Фокс таке позволяет?


                                                                                                                                    у тебя просто вкладка была открыта или ты еще сервис-воркеры с этого сайта поставил?


                                                                                                                                    Т.е. кроме минификации, в Ростелекоме добавили ещё и обфускацию, значит они подозревали, что делают что-то не очень хорошее, и надо бы это скрыть.

                                                                                                                                    это бред, результат обычной утилиты uglify чтобы пожать скрипт. таких "обфускированных" скриптов миллионы в интернете

                                                                                                                                      0
                                                                                                                                      Ситуация выглядит особенно комично, когда на сайтах с подобными скриптами всплывает гдпровское предупреждение — «наш сайт использует куки!».
                                                                                                                                        0
                                                                                                                                        А я бы в полицию заявление написал, т.к. имеют место действия не отличимые от приготовления к преступлению, если даже не само преступление.
                                                                                                                                          0
                                                                                                                                          Тогда и на Сбербанк заодно жалобу накатайте. Вот только толку от этого? Или Вы действительно полагаете, что это что-то даст?
                                                                                                                                          0
                                                                                                                                          Спасибо за подробное описание. Почему-то вдруг резко возникло желание запускать браузер в отдельной виртуалке на своей машине. Благо, после VT-x различий вообще особо не видно в производительности ;)
                                                                                                                                            0
                                                                                                                                            Хотелось бы еще для «ламмеров» объяснения, чем это чревато для пользователя и что можно сделать, например в хроме или Edge, для того чтобы избежать этих последствий.
                                                                                                                                              0
                                                                                                                                              В данном случае — ничего страшного, как выяснилось, просто ещё один способ слежки, возможно с последствиями, но подобные скрипты на других сайтах могут пытаться взломать компьютер/роутер (шансов не очень много, но есть). Что сделать — ставить uMatrix и писать правила
                                                                                                                                                0
                                                                                                                                                Перешел в раздел Яндекс Видео с запросом «uMatrix». Все результаты в роликах «UMATRIX РАСШИРЕНИЕ ДЛЯ ЗАРАБОТКА В ИНТЕРНЕТЕ БЕЗ ВЛОЖЕНИЙ»
                                                                                                                                                  0
                                                                                                                                                  Расширение это, расширение.
                                                                                                                                                  Для браузера.
                                                                                                                                                  Что же до заработка в интернете, тут интересно.
                                                                                                                                                  Найдите отличие, оно есть

                                                                                                                                                  Да-да, заглавная буква вместо строчной. Мимикрирующее дерьмо, конечно же. Обидно, но предупрежденный вооружен. Не перепутайте.
                                                                                                                                                    0
                                                                                                                                                    спасибо
                                                                                                                                                    «Расширение с большой буквы» конечно блокирует рекламу, если рекламодатели не заплатили разрабом расширения, но в основном мимикрирующее дерьмо занято совершенно обратным. Не блокирует рекламу, а наоборот, внедряет. А вроде в одну букву ошибка.
                                                                                                                                                      0
                                                                                                                                                      И после этого мне будут говорить о безопасности установки дополнений только из магазина ((
                                                                                                                                                        0
                                                                                                                                                        «Так говорить и вам никто не мешает» (с) известный анекдот.
                                                                                                                                                  0
                                                                                                                                                  запустить в песочнице с фильтрацией локального трафика
                                                                                                                                                  /usr/bin/firejail --net=eth0 --netfilter=/etc/firejail/nolocal.net firefox
                                                                                                                                                  0
                                                                                                                                                  Наткнулся сегодня на новость «по мотивам» данного поста и его обсуждения. Журналисты уже успели сделать катастрофу :) Тынц
                                                                                                                                                    0
                                                                                                                                                    Ой, да там такие рерайты интересные попадаются после TJ, коллекционирую уже :)
                                                                                                                                                      +1
                                                                                                                                                      > Автор: Ксения Мурашева

                                                                                                                                                      комментарии излишни
                                                                                                                                                        0
                                                                                                                                                        Дык, «ученый изнасиловал журналиста» от неё довольно частенько звучит
                                                                                                                                                        +1
                                                                                                                                                        Прелестно!
                                                                                                                                                        Ещё немного подождать и появятся заголовки «Мужчина взломал Ростелеком, сканируя эти 14 портов...» :)

                                                                                                                                                        P.S. После прочтения заголовка вспомнилась тема с «In Soviet Russia» — у нас интернет-провайдер ломает абонентов…
                                                                                                                                                          0

                                                                                                                                                          А они хабру баблишка отстегнули за использование материала с него?…
                                                                                                                                                          Или хотя-бы автору оригинала?:)

                                                                                                                                                            0
                                                                                                                                                            Думаю, что нет. Зато мне «слава и известность» :)
                                                                                                                                                              0

                                                                                                                                                              Так ведь они там написали бред полнейший к действительности вообще отношения не имеющий… по крайней мере в заголовке… :)

                                                                                                                                                          0
                                                                                                                                                          Скажите пожалуйста, как этому противостоять обычному пользователю?
                                                                                                                                                            0
                                                                                                                                                            Обычным пользователям уже несколько ответов в этой теме дали. И про firejail и про контейнеры.
                                                                                                                                                            0

                                                                                                                                                            Пройдясь по личным кабинетам совершая ежемесячные платежи возник вопрос:
                                                                                                                                                            Заявляется что это функционал антифрода при работе в личном кабинете провайдера Ростелекома где в том числе оплачиваются услуги с перечислением денежных средств ( с пластиковых карт) на жестко заданный счет владельца этого личного кабинета (юридического лица оказывающее услуги или поставляющее товар).
                                                                                                                                                            А мобильные приложения на Android разных поставщиков, магазинов, ну например сейчас есть глобальный кабинет по газу, так же используют антифрод скрипты для мобильных платформ (в описании продуктов для банков такое присутствует)?

                                                                                                                                                              0
                                                                                                                                                              Безусловно, один только Сбербанк с его сканером системы чего стоит.
                                                                                                                                                              0
                                                                                                                                                              Странно, что никто не допустил мысли о попытках идентификации ПК.
                                                                                                                                                              Поясню. Собирают инфу о разрешении экрана, об открытых портах + геолокация.

                                                                                                                                                              Меняем IP. Сколько таких машин, у которых такое же разрешение экрана и те же открытые порты?
                                                                                                                                                              Косвенно — найден тот же комп.
                                                                                                                                                                0
                                                                                                                                                                Вообще-то уже со второго комментария примерно эту мысль и высказывают. И далее тут не просто допустили мысль, а выяснили, какой скрипт, от какой конторы и в каких целях собирает инфу. Странно как раз, что вы этого не увидели.
                                                                                                                                                                  0

                                                                                                                                                                  Приложение внедряемое в банковскую инфраструктуру (или госуслуги) позволяет легко сопоставить анонимов с реальным ФИО. И этому желанию и внедрению через банки уже более 5 лет. Раньше было проще, ЦБ РФ было нужно намного меньше данных по документам которые спускались в банки для организации ими дистанционного банковского обслуживания.

                                                                                                                                                                  0
                                                                                                                                                                  Господа, а нельзя ли написать утилитку которая будет производить что-то типа атаки медленного чтения (не давать разрывать соединение отправляя по маленькому кусочку данных настолько редко на сколько это возможно, чтобы сожрать ресурсы) в случае обнаружения сканирования? Сканер же пытается установить соединение со всеми интересующими его портами по очереди? Ну так и установим и начнем туда передавать данные из /dev/random. Это-же наше личное дело что именно висит на нашем 127.0.0.1:5900 и что туда передает. Или я что-то упускаю и такой фокус не сработает?
                                                                                                                                                                    0
                                                                                                                                                                    Сам спросил — сам отвечу :-) Погуглил про работу сканеров — похоже не получится ничего. Только настраивать iptables чтоб сканер ничего не насканировал. А жаль! Было-бы весело…
                                                                                                                                                                      +2

                                                                                                                                                                      Скрипт сканера выполняется на вашей же машине. И чего вы добились бы если устроили такую атаку на собственное устройство?

                                                                                                                                                                        0
                                                                                                                                                                        Согласен, фигню сморозил. Извините. Как-то просто по привычке «если сканер, то снаружи. Если снаружи — надо думать про варианты контратаки».
                                                                                                                                                                          0
                                                                                                                                                                          Ну в данном случае контратака будет несимметричная скорее. Например, не допускать скрипт к загрузке. Или не дать ему отправить результаты.
                                                                                                                                                                          Ну и остальные, тут в комментариях уже много вариантов, вплоть до браузера в нескольких слоях виртуалок, как то яйцо из знаменитой сказки.
                                                                                                                                                                            0
                                                                                                                                                                            Хотелось бы:
                                                                                                                                                                            1. Не потерять комфорт при использовании сервисов — виртуалки мимо, ковровая блокировка JS тоже;
                                                                                                                                                                            2. Дать понять любопытным, что любопытство далеко не всегда уместно и раздражает.
                                                                                                                                                                            Сидеть и отлавливать каждый вариант любоптыного скрипта — такое себе удовольствие. А вот если бы написать софт который будет по паттернам поведения определять любопытных и не просто блокировать, а делать так, чтобы это сканирование дорого обходилось любопытствующим — вот это было бы круто!
                                                                                                                                                                              0
                                                                                                                                                                              Ну, как мы уже обсуждали, само по себе сканирование в данном случае не может обходиться дорого любопытствующим с технической точки зрения, потому что для сканирования они используют ваши же собственные ресурсы. Следовательно, решение проблемы лежит либо в политике (наказаниях рублём особо любопытных, что, впрочем, не очень-то реалистично), либо в весьма сложных (и опять же малореалистичных) манипуляциях, когда скрипт нужно автоматически переписывать так, чтобы наказание происходило когда этот скрипт попытается отправить данные.

                                                                                                                                                                              Честно говоря, тут у меня не хватает компетенции для определения хорошего ответного вектора.
                                                                                                                                                                    0
                                                                                                                                                                    Мы написали небольшую техническую статью про сканирование портов и обратный пинг. Объясняем, почему эти методы не очень эффективны для современной антифрод системы и почему мы их не используем в своем продукте. Будем рады вашим вопросам и комментариям.
                                                                                                                                                                    https://www.antifraud2.ru/articles/web-antifraud-ne-skaniruet-porty-i-ne-pinguet-polzovateley
                                                                                                                                                                      0

                                                                                                                                                                      Да, штука далеко не самая эффективная, однако стоимость качественного поддержания фичи без простукивания портов существенно выше (парсеры, фиды, задержки, детект удалёнки). Так что фича спорная, но имеет право на жизнь.

                                                                                                                                                                        0
                                                                                                                                                                        Что вы имеете в виду под парсерами и фидами в данном случае?
                                                                                                                                                                          0

                                                                                                                                                                          Парсеры списков прокси, VPN, списков дедиков с *bin’ов, форумов.

                                                                                                                                                                      0
                                                                                                                                                                      Сайт Роскомнадзора тоже что-то странное делает.

                                                                                                                                                                      Burp — проксирующий механизм, перехватывающий и обрабатывающий все поступающие от браузера запросы.
                                                                                                                                                                      xook.js — OWASP Xenotix XSS Exploit Framework

                                                                                                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                                    Самое читаемое