«Расскажи об атаке публично — и она может продолжаться бесконечно»

Основатель сервиса Callibri Иван Шкиря — о типах онлайн-атак на компанию, способах защиты от них и собственном опыте борьбы со злоумышленниками.

Иван Шкиря
Иван Шкиря

Сделали бизнес и можно жить спокойно? Как бы не так. Любой маломальский успех моментально становится мишенью для огромного количества изощренных атак со стороны конкурентов.

Про некоторые, такие как классические наезды через органы (СЭС, ОБЭП, налоговая, пожарники) или старый добрый рэкет и рейдерский захват, известно практически все: как предугадать, как подготовиться, как бороться. Но есть и такие угрозы, про которые не говорят. Извращения, запугивание, порнография, психологическая ломка. Этот материал про них.

Подобные угрозы легко могут навалиться на вас и ваших сотрудников разом. Чтобы вы могли последовательно и спокойно разбираться с каждой из них, я решил поделиться опытом нашей компании.

Уверен, вы слышали или даже были жертвой (а может, и заказчиком) DDoS-атаки. При желании вы можете найти информацию про TDoS в интернете. Но про SDoS и PDoS вам не расскажет никто. Никто, кроме меня и этого материала. Во-первых, это новые виды атак, во-вторых, они по определению не предполагают публичной огласки, а в-третьих, я придумал их сам для упрощения рассказа.

Мой бизнес — сервисы, повышающие конверсию сайта и объединяющий все виды обращений: звонки, чаты, заявки, соцсети, мессенджеры, email, — в единый интерфейс. Так вот, мой бизнес пережил все виды этих атак.

Всё началось пару лет назад, когда мы выпустили на рынок свой онлайн-консультант. Его выход был достаточно громким для маленькой неизвестной компании — и этим он привлёк внимание. Да настолько, что на вторую неделю с момента анонса на нас посыпались различные DoS-атаки.

Denial of Service переводится как «отказ в обслуживании». Это и есть конечная цель атаки — сделать так, чтобы ваш бизнес не смог нормально функционировать. А первая литера говорит о типе атаки.

DDoS

D — Distributed. Распределённая.

Если сильно упростить, то идея в следующем: на ваш информационный ресурс (сайт, сервер) начинают поступать подставные обращения с различных устройств, в количестве, на порядки превышающем стандартные значения.

Эти обращения всеми мыслимыми способами замаскированы под сообщения от реальных пользователей. Выглядит это так, словно тысячи и миллионы пользователей, распределенные с точки зрения географии, устройств, и других параметров, пытаются взаимодействовать с вашим сайтом.

Распределённость — это основной фактор, который мешает отразить атаку. Очень сложно выявить единый паттерн, на основании которого можно блокировать обращения так, чтобы не задеть реальных клиентов.

А пока вы ищете это решение, ваш сайт или дико тормозит из-за загруженности, или вообще отключен. Это стандартная реакция хостинга (компании, на оборудовании которой опубликован находится ваш сайт) — ведь атака забивает именно их каналы, и страдают все клиенты хостинга. Но у него, в отличие от вас, есть единый паттерн — это ваш сайт. Поэтому они его блокируют, чтобы атака не задела других клиентов.

Как минимизировать риски от DDoS-атак:

  • С технической точки зрения: постоянно проверять сервис на уязвимости и повышать безопасность. На уровне сервиса использовать все возможные алгоритмы автоматической блокировки. На уровне ЦОДа или хостинга — уточнить санкции при DDoS-атаке, подключить возможные опции защиты. Провести обучение и проверку технического персонала на действия в условиях атаки.
  • С точки зрения клиентского сервиса: вы должны быть готовы к тому, что сервис всё равно ляжет. Нужно предусмотреть альтернативные способы оказания услуг.
  • С точки зрения PR: у вас должен быть готов пресс-релиз и каналы посева публикации на случай атаки. Поверьте, в момент аварии все будут заниматься тушением «пожаров» и времени взвесить все «за» и «против» не будет. Действовать придется быстро.

Это самый простой вид атаки. Сервисов и продуктов, помогающих защититься, — море. В нашем мире DDoS-атака — это обыденная реальность. Часто такие атаки не имеют цели насолить именно вам. Может быть, молодые хакеры балуются и проверяют свои способности. Такие атаки должна отрабатывать автоматика. Но от реальных заказных атак защититься автоматикой на 100% не получится. Будьте готовы.

TDoS

T — Telecommunication. Атака на телефонные номера. Идея та же, что и в DDoS. На ваш телефонный номер поступает огромное количество звонков — десятки, а то и сотни в секунду. Иногда это называют фродом. Опасен этот тип атаки следующим:

  • неработоспособность номеров, подвергшихся атаке;
  • блокировка номеров оператором связи;
  • огромные счета за связь.

В этом раскладе блокировка оператором — хороший вариант, так как часто TDoS-атаки происходят на федеральные номера 8800.

Напомню, все входящие звонки на номера 8800 оплачивает абонент. И если блокировка не сработает, то счет на сотни тысяч рублей — это ещё хороший исход. TDoS-атаки, в отличие от DDoS, случайными и баловскими не бывают. Такая атака имеет цену и заказчика. Если такое произошло — готовьтесь. Скорее всего, беда не придет одна.

Как минимизировать риски от TDoS-атак:

  • Проработать с оператором условия блокировки при фроде. У некоторых операторов отсутствует, у некоторых умышленно отключена.
  • Узнать скорость работы биллинга и блокировки. У некоторых операторов блокировки происходят раз в день, у других и того реже, а тут буквально каждый час на вес золота.
  • Необходимо иметь резервные номера от другого оператора, которые нигде не светятся. Это ничтожные затраты — всего пара тысяч в месяц, а возможность не останавливать обслуживание бесценна.

Фактически DDoS и TDoS — это одно и то же. В первом случае огромное количество обращений валится на сервер, во втором — звонков на номера телефонов. Основная цель обоих видов атак — заблокировать ресурсы жертвы и — отчасти — потрепать нервы ваших сотрудников.

Но это стандартные атаки. Мы как технологическая компания к ним всегда готовы. Конечно, они опасны и могут подпортить и жизнь, и материальное положение, и, что самое главное — эмоциональное состояние сотрудников. С ними понятно, как бороться и что делать.

Но после того, как мы отбили несколько волн технологических нападений, на нас совершили атаку, к которой ни я, ни мои менеджеры не были готовы. Да вообще к такому никто и никогда не может быть готов.

PPDoS

P — personal, P — psychology.

Дело в том, что большая часть входящих обращений в нашу компанию поступает через онлайн-консультанта, который так не понравился нашим конкурентам. В чате отвечают мои менеджеры. На тот момент в отделе работали только девушки, причём на сайте в разделе «О нас» были их фотографии, фамилии и имена.

И вот в один прекрасный день (на самом деле не такой уж и прекрасный) в чат начали сыпаться хамские обращения. Не просто хамские, а такие, не реагировать на которые невозможно. Это были не просто оскорбления, там были угрозы физического и сексуального насилия. Нападавшие писали, симулируя «кавказский акцент», с особым цинизмом, смакуя детали.

После десятого обращения за полчаса мы поняли, что это не обыкновенный школьник-хулиган, и стали отбиваться. Оказалось, что одновременно работали три человека со специально оборудованных машин. Постоянно менялись все параметры сессий, от IP-адреса до браузеров, ОС и Mac-адресов, потому осуществлять проактивные блокировки не представлялось возможным.

Технически это была та же DDоS, но вместо пакетов летели оскорбления, а мишенью были не сервера, а мои люди. Но мы отбивались. На следующий день атаки не прекратились, а только набрали обороты. Просто приведу список того, что было за эти дни:

  • Угрозы насилия с детальным описанием всех действий.
  • Угрозы жизни и здоровью сотрудников и их близких.
  • Атакующие отправляли в чат фотографии своих гениталий с вытекающей из них «белой жидкостью» на фоне фотографий сотрудников и соответствующими комментариями.
  • В чат сыпались фотографии нашего офиса с приписками: «Мы тебя ждем в своей приоре, выходи».

Как завершилось

Продолжалась эта история в течение 14 дней. Три человека, точнее нелюдя, изо дня в день занимались только этим. На 15 день как отрезало. Видимо, время оплаченного заказа подошло к концу, и мы продолжили спокойно жить и работать. В общем-то, мы вышли без потерь и стали ощутимо сильнее, чем до этого. Как с точки зрения работы с негативом, так и в техническом плане.

Что интересно

Атака была спланирована. Нападавшие знали все болевые психологические точки, были неплохо оснащены технически. Самое страшное — что они были «отбитыми» на всю голову. Тогда мне казалось, что это дело рук заключенных. Страшно представить, что такие субъекты могут жить на свободе. Но факт есть факт — это была хорошо спланированная специально подготовленными интернет-бойцами операция. Значит, есть рынок подобных услуг, и пострадавших может быть весьма и весьма много.

Что плохого

  • Во-первых, это чертовски деморализует. Меня — взрослого мужика, — такие диалоги вводили в состояние легкого шока, что уж говорить про девушек? Реакцией нормального человека может быть только желание сбежать куда подальше. Никто не должен такого терпеть.
  • Во-вторых, страдали клиенты. Им приходилось подолгу ждать ответа. Ведь три человека, которые постоянно пишут в чат, съедают очень много времени. Причем на второй день нападающие поняли свою ошибку и начали прикидываться клиентами, задавать «нормальные» вопросы, уточнять детали работы — и только потом выдавали себя.

Как реагировали

  • Определили цели атаки, всю дальнейшую работу выстраивали через призму противодействия этим целям.
  • Научились блокировать такие чаты. Кстати, просто игнорировать — это неправильное поведение. Как только нападающий замечает, что ему не отвечают, он надевает «новое обличие» — и снова в бой. Вы должны понимать, что ему заплатили и он будет работать до тех пор, пока деньги не кончатся. Поэтому когда менеджер блокировал чат, он переставал видеть сообщения атакующего, а вот наш бот продолжал общение с ним, поддерживая иллюзию нападения. Это сильно облегчало жизнь.
  • Провели обучение со специалистами по работе с негативом. Думали подключать психологов, но обошлись своими силами. Определили суть и цель атак, разобрали психологию нападающих и осознали, что ничего реального в этих угрозах нет.
  • В органы не обращались. Личный опыт показал, что наши «защитники» работают только по чьему-либо заказу и с целью обобрать, а не защитить. Поэтому никаких попыток писать заявления я не предпринимал. Но, возможно, я ошибаюсь.
  • Нигде не говорили и не писали об этом. Не кормили тролля, не хотели показывать, что нас это волнует. Я был уверен, что заказчик этой атаки меня читает в Facebook. Вообще я впервые рассказываю про эту историю публично.

Что хорошего

  • Мы сильно повысили безопасность собственного продукта и написали с десяток различных блокировок от спамеров.
  • Провели обучение менеджеров и довели их стрессоустойчивость до 80 уровня.
  • Узнали, что наш продукт чертовски хорош.
  • Узнали, до какой низости могут упасть люди ради денег.

Повторюсь, с такой проблемой может столкнуться любой бизнес, и потому мне хотелось бы дать рекомендации тем, кто вдруг окажется в подобной ситуации.

Как минимизировать риски от PPDoS-атак:

  • Обучите менеджеров работе с негативом, с неадекватом, с хамством.
  • Поставьте умную блокировку от нападающих. Используйте ботов.
  • Не обо всем надо говорить. Я до сих пор считаю, что начни мы сразу выносить эту историю на публику, атака могла бы продолжаться бесконечно.
  • Не тратьте время на войну, если понимаете её бессмысленность.
  • Не вступайте в диалог с атакующими, так вы дадите им понять, что они смогли вас задеть.
  • Обратитесь к специалистам по работе с негативом, вы должны успокоить своих работников.
  • Не принимайте все близко к сердцу, именно этого и добиваются нападающие. Оценивайте ситуацию спокойно.
  • Поблагодарите всех сотрудников, которые оказались в этой ситуации.

SDoS

S — social. Атака через социальные сети. Осуществлялась одновременно с PPDoS-атакой. Но нападающие действовали другими методами и били по другим болевым точкам.

А было следующее: в социальной сети «ВКонтакте» создавались множественные паблики, посвященные моим людям и мне лично. В них публиковались тонны порнографического контента с нашими пририсованными головами, пошлыми текстами и прочей подобной непотребщиной. Появлялись фальшивые аккаунты наших сотрудников, с нашими фотографиями и с пошлым, оскорбительным контентом.

Сначала мы попытались блокировать эти страницы и аккаунты через администрацию «ВКонтакте». Но если таковая и существует, то ей было абсолютно плевать на то, что творится на страницах этой социальной сети. Это расстроило и удивило. Поэтому мы выбрали стратегию игнорирования. Все сотрудники перестали выходить во «ВКонтакте» до момента окончания атаки, SMM-специалист следил и подчищал грязь, которую пытались разместить в официальных аккаунтах.

Закончилось всё так же внезапно, как и началось. Одновременно с PPDoS-атакой. Тут у меня советов, как поступать, нет. Если они есть у вас — поделитесь. Надеюсь, что сейчас администрация «ВКонтакте» относится к таким ситуациям внимательнее.

На этом считаю разбор современных видов атак оконченным. Если подвести краткий итог, то вот как надо действовать во время любого нападения:

  • Помните, что от всех атак защититься не получится. Будьте начеку.
  • Поймите цели нападающих. В нашем случае это были деморализация и снижение работоспособности отделов.
  • Противодействуйте целям атакующих. Не реагируйте на провокации.
  • Заранее планируйте все возможные риски и подготовьте план защиты.
  • Резервируйте всё, что можно резервировать.
  • Если цель атаки — деморализация, то не выносите сор из избы до завершения конфликта. Не кормите троллей и заказчиков.
  • Выпейте напиток покрепче, когда все закончится. Вы это заслужили.
3131
28 комментариев

Кстати, автор явно в интернете нормально не работал даже. Даже в играх - просто игроки есть "отбитые" как он назвал :) И реально кажется будто с зеками в дотку гоняешь.

10

Тролли в игрушках не шлют фотки сотрудников, над которыми уже надругались. Ну и было сказано, что под атаку в большинстве попали девушки, которых это куда сильнее впечатляет и пугает.

...когда менеджер блокировал чат, он переставал видеть сообщения атакующего, а вот наш бот продолжал общение с ним, поддерживая иллюзию нападения. Это сильно облегчало жизнь

норм ход :)

6

да, какая то дичь. я бы был в ступоре если бы попал в такую тему. ну и мне кажется зря в органы не обратились

5

Тут проблема нехватки конкретики о нападающих. Никто не будет ради этого гонять фсб-ный фургончик, трафик слушать. Просто потому, что это временное явление. Они не просто прекратили деятельность через 2 недели. Процесс инициируют в полиции, а довести до конца не смогут из-за нехватки данных. Но если есть конкретика - все реально. По личному опыту знаю.

1

И что бы вы в заявлении написали? Что вам в интернет чат на сайте злые дагестанцы угрозы пишут? Смешно!