«Расскажи об атаке публично — и она может продолжаться бесконечно»

Основатель сервиса Callibri Иван Шкиря — о типах онлайн-атак на компанию, способах защиты от них и собственном опыте борьбы со злоумышленниками.

Сделали бизнес и можно жить спокойно? Как бы не так. Любой маломальский успех моментально становится мишенью для огромного количества изощренных атак со стороны конкурентов.

Про некоторые, такие как классические наезды через органы (СЭС, ОБЭП, налоговая, пожарники) или старый добрый рэкет и рейдерский захват, известно практически все: как предугадать, как подготовиться, как бороться. Но есть и такие угрозы, про которые не говорят. Извращения, запугивание, порнография, психологическая ломка. Этот материал про них.

Подобные угрозы легко могут навалиться на вас и ваших сотрудников разом. Чтобы вы могли последовательно и спокойно разбираться с каждой из них, я решил поделиться опытом нашей компании.

Уверен, вы слышали или даже были жертвой (а может, и заказчиком) DDoS-атаки. При желании вы можете найти информацию про TDoS в интернете. Но про SDoS и PDoS вам не расскажет никто. Никто, кроме меня и этого материала. Во-первых, это новые виды атак, во-вторых, они по определению не предполагают публичной огласки, а в-третьих, я придумал их сам для упрощения рассказа.

Мой бизнес — сервисы, повышающие конверсию сайта и объединяющий все виды обращений: звонки, чаты, заявки, соцсети, мессенджеры, email, — в единый интерфейс. Так вот, мой бизнес пережил все виды этих атак.

Всё началось пару лет назад, когда мы выпустили на рынок свой онлайн-консультант. Его выход был достаточно громким для маленькой неизвестной компании — и этим он привлёк внимание. Да настолько, что на вторую неделю с момента анонса на нас посыпались различные DoS-атаки.

Denial of Service переводится как «отказ в обслуживании». Это и есть конечная цель атаки — сделать так, чтобы ваш бизнес не смог нормально функционировать. А первая литера говорит о типе атаки.

D — Distributed. Распределённая.

Если сильно упростить, то идея в следующем: на ваш информационный ресурс (сайт, сервер) начинают поступать подставные обращения с различных устройств, в количестве, на порядки превышающем стандартные значения.

Эти обращения всеми мыслимыми способами замаскированы под сообщения от реальных пользователей. Выглядит это так, словно тысячи и миллионы пользователей, распределенные с точки зрения географии, устройств, и других параметров, пытаются взаимодействовать с вашим сайтом.

Распределённость — это основной фактор, который мешает отразить атаку. Очень сложно выявить единый паттерн, на основании которого можно блокировать обращения так, чтобы не задеть реальных клиентов.

А пока вы ищете это решение, ваш сайт или дико тормозит из-за загруженности, или вообще отключен. Это стандартная реакция хостинга (компании, на оборудовании которой опубликован находится ваш сайт) — ведь атака забивает именно их каналы, и страдают все клиенты хостинга. Но у него, в отличие от вас, есть единый паттерн — это ваш сайт. Поэтому они его блокируют, чтобы атака не задела других клиентов.

Как минимизировать риски от DDoS-атак:

Это самый простой вид атаки. Сервисов и продуктов, помогающих защититься, — море. В нашем мире DDoS-атака — это обыденная реальность. Часто такие атаки не имеют цели насолить именно вам. Может быть, молодые хакеры балуются и проверяют свои способности. Такие атаки должна отрабатывать автоматика. Но от реальных заказных атак защититься автоматикой на 100% не получится. Будьте готовы.

T — Telecommunication. Атака на телефонные номера. Идея та же, что и в DDoS. На ваш телефонный номер поступает огромное количество звонков — десятки, а то и сотни в секунду. Иногда это называют фродом. Опасен этот тип атаки следующим:

В этом раскладе блокировка оператором — хороший вариант, так как часто TDoS-атаки происходят на федеральные номера 8800.

Напомню, все входящие звонки на номера 8800 оплачивает абонент. И если блокировка не сработает, то счет на сотни тысяч рублей — это ещё хороший исход. TDoS-атаки, в отличие от DDoS, случайными и баловскими не бывают. Такая атака имеет цену и заказчика. Если такое произошло — готовьтесь. Скорее всего, беда не придет одна.

Как минимизировать риски от TDoS-атак:

Фактически DDoS и TDoS — это одно и то же. В первом случае огромное количество обращений валится на сервер, во втором — звонков на номера телефонов. Основная цель обоих видов атак — заблокировать ресурсы жертвы и — отчасти — потрепать нервы ваших сотрудников.

Но это стандартные атаки. Мы как технологическая компания к ним всегда готовы. Конечно, они опасны и могут подпортить и жизнь, и материальное положение, и, что самое главное — эмоциональное состояние сотрудников. С ними понятно, как бороться и что делать.

Но после того, как мы отбили несколько волн технологических нападений, на нас совершили атаку, к которой ни я, ни мои менеджеры не были готовы. Да вообще к такому никто и никогда не может быть готов.

P — personal, P — psychology.

Дело в том, что большая часть входящих обращений в нашу компанию поступает через онлайн-консультанта, который так не понравился нашим конкурентам. В чате отвечают мои менеджеры. На тот момент в отделе работали только девушки, причём на сайте в разделе «О нас» были их фотографии, фамилии и имена.

И вот в один прекрасный день (на самом деле не такой уж и прекрасный) в чат начали сыпаться хамские обращения. Не просто хамские, а такие, не реагировать на которые невозможно. Это были не просто оскорбления, там были угрозы физического и сексуального насилия. Нападавшие писали, симулируя «кавказский акцент», с особым цинизмом, смакуя детали.

После десятого обращения за полчаса мы поняли, что это не обыкновенный школьник-хулиган, и стали отбиваться. Оказалось, что одновременно работали три человека со специально оборудованных машин. Постоянно менялись все параметры сессий, от IP-адреса до браузеров, ОС и Mac-адресов, потому осуществлять проактивные блокировки не представлялось возможным.

Технически это была та же DDоS, но вместо пакетов летели оскорбления, а мишенью были не сервера, а мои люди. Но мы отбивались. На следующий день атаки не прекратились, а только набрали обороты. Просто приведу список того, что было за эти дни:

Продолжалась эта история в течение 14 дней. Три человека, точнее нелюдя, изо дня в день занимались только этим. На 15 день как отрезало. Видимо, время оплаченного заказа подошло к концу, и мы продолжили спокойно жить и работать. В общем-то, мы вышли без потерь и стали ощутимо сильнее, чем до этого. Как с точки зрения работы с негативом, так и в техническом плане.

Атака была спланирована. Нападавшие знали все болевые психологические точки, были неплохо оснащены технически. Самое страшное — что они были «отбитыми» на всю голову. Тогда мне казалось, что это дело рук заключенных. Страшно представить, что такие субъекты могут жить на свободе. Но факт есть факт — это была хорошо спланированная специально подготовленными интернет-бойцами операция. Значит, есть рынок подобных услуг, и пострадавших может быть весьма и весьма много.

Повторюсь, с такой проблемой может столкнуться любой бизнес, и потому мне хотелось бы дать рекомендации тем, кто вдруг окажется в подобной ситуации.

Как минимизировать риски от PPDoS-атак:

S — social. Атака через социальные сети. Осуществлялась одновременно с PPDoS-атакой. Но нападающие действовали другими методами и били по другим болевым точкам.

А было следующее: в социальной сети «ВКонтакте» создавались множественные паблики, посвященные моим людям и мне лично. В них публиковались тонны порнографического контента с нашими пририсованными головами, пошлыми текстами и прочей подобной непотребщиной. Появлялись фальшивые аккаунты наших сотрудников, с нашими фотографиями и с пошлым, оскорбительным контентом.

Сначала мы попытались блокировать эти страницы и аккаунты через администрацию «ВКонтакте». Но если таковая и существует, то ей было абсолютно плевать на то, что творится на страницах этой социальной сети. Это расстроило и удивило. Поэтому мы выбрали стратегию игнорирования. Все сотрудники перестали выходить во «ВКонтакте» до момента окончания атаки, SMM-специалист следил и подчищал грязь, которую пытались разместить в официальных аккаунтах.

Закончилось всё так же внезапно, как и началось. Одновременно с PPDoS-атакой. Тут у меня советов, как поступать, нет. Если они есть у вас — поделитесь. Надеюсь, что сейчас администрация «ВКонтакте» относится к таким ситуациям внимательнее.

На этом считаю разбор современных видов атак оконченным. Если подвести краткий итог, то вот как надо действовать во время любого нападения: