«Расскажи об атаке публично — и она может продолжаться бесконечно»

Основатель сервиса Callibri Иван Шкиря — о типах онлайн-атак на компанию, способах защиты от них и собственном опыте борьбы со злоумышленниками.

Иван Шкиря

Сделали бизнес и можно жить спокойно? Как бы не так. Любой маломальский успех моментально становится мишенью для огромного количества изощренных атак со стороны конкурентов.

Про некоторые, такие как классические наезды через органы (СЭС, ОБЭП, налоговая, пожарники) или старый добрый рэкет и рейдерский захват, известно практически все: как предугадать, как подготовиться, как бороться. Но есть и такие угрозы, про которые не говорят. Извращения, запугивание, порнография, психологическая ломка. Этот материал про них.

Подобные угрозы легко могут навалиться на вас и ваших сотрудников разом. Чтобы вы могли последовательно и спокойно разбираться с каждой из них, я решил поделиться опытом нашей компании.

Уверен, вы слышали или даже были жертвой (а может, и заказчиком) DDoS-атаки. При желании вы можете найти информацию про TDoS в интернете. Но про SDoS и PDoS вам не расскажет никто. Никто, кроме меня и этого материала. Во-первых, это новые виды атак, во-вторых, они по определению не предполагают публичной огласки, а в-третьих, я придумал их сам для упрощения рассказа.

Мой бизнес — сервисы, повышающие конверсию сайта и объединяющий все виды обращений: звонки, чаты, заявки, соцсети, мессенджеры, email, — в единый интерфейс. Так вот, мой бизнес пережил все виды этих атак.

Всё началось пару лет назад, когда мы выпустили на рынок свой онлайн-консультант. Его выход был достаточно громким для маленькой неизвестной компании — и этим он привлёк внимание. Да настолько, что на вторую неделю с момента анонса на нас посыпались различные DoS-атаки.

Denial of Service переводится как «отказ в обслуживании». Это и есть конечная цель атаки — сделать так, чтобы ваш бизнес не смог нормально функционировать. А первая литера говорит о типе атаки.

DDoS

D — Distributed. Распределённая.

Если сильно упростить, то идея в следующем: на ваш информационный ресурс (сайт, сервер) начинают поступать подставные обращения с различных устройств, в количестве, на порядки превышающем стандартные значения.

Эти обращения всеми мыслимыми способами замаскированы под сообщения от реальных пользователей. Выглядит это так, словно тысячи и миллионы пользователей, распределенные с точки зрения географии, устройств, и других параметров, пытаются взаимодействовать с вашим сайтом.

Распределённость — это основной фактор, который мешает отразить атаку. Очень сложно выявить единый паттерн, на основании которого можно блокировать обращения так, чтобы не задеть реальных клиентов.

А пока вы ищете это решение, ваш сайт или дико тормозит из-за загруженности, или вообще отключен. Это стандартная реакция хостинга (компании, на оборудовании которой опубликован находится ваш сайт) — ведь атака забивает именно их каналы, и страдают все клиенты хостинга. Но у него, в отличие от вас, есть единый паттерн — это ваш сайт. Поэтому они его блокируют, чтобы атака не задела других клиентов.

Как минимизировать риски от DDoS-атак:

  • С технической точки зрения: постоянно проверять сервис на уязвимости и повышать безопасность. На уровне сервиса использовать все возможные алгоритмы автоматической блокировки. На уровне ЦОДа или хостинга — уточнить санкции при DDoS-атаке, подключить возможные опции защиты. Провести обучение и проверку технического персонала на действия в условиях атаки.
  • С точки зрения клиентского сервиса: вы должны быть готовы к тому, что сервис всё равно ляжет. Нужно предусмотреть альтернативные способы оказания услуг.
  • С точки зрения PR: у вас должен быть готов пресс-релиз и каналы посева публикации на случай атаки. Поверьте, в момент аварии все будут заниматься тушением «пожаров» и времени взвесить все «за» и «против» не будет. Действовать придется быстро.

Это самый простой вид атаки. Сервисов и продуктов, помогающих защититься, — море. В нашем мире DDoS-атака — это обыденная реальность. Часто такие атаки не имеют цели насолить именно вам. Может быть, молодые хакеры балуются и проверяют свои способности. Такие атаки должна отрабатывать автоматика. Но от реальных заказных атак защититься автоматикой на 100% не получится. Будьте готовы.

TDoS

T — Telecommunication. Атака на телефонные номера. Идея та же, что и в DDoS. На ваш телефонный номер поступает огромное количество звонков — десятки, а то и сотни в секунду. Иногда это называют фродом. Опасен этот тип атаки следующим:

  • неработоспособность номеров, подвергшихся атаке;
  • блокировка номеров оператором связи;
  • огромные счета за связь.

В этом раскладе блокировка оператором — хороший вариант, так как часто TDoS-атаки происходят на федеральные номера 8800.

Напомню, все входящие звонки на номера 8800 оплачивает абонент. И если блокировка не сработает, то счет на сотни тысяч рублей — это ещё хороший исход. TDoS-атаки, в отличие от DDoS, случайными и баловскими не бывают. Такая атака имеет цену и заказчика. Если такое произошло — готовьтесь. Скорее всего, беда не придет одна.

Как минимизировать риски от TDoS-атак:

  • Проработать с оператором условия блокировки при фроде. У некоторых операторов отсутствует, у некоторых умышленно отключена.
  • Узнать скорость работы биллинга и блокировки. У некоторых операторов блокировки происходят раз в день, у других и того реже, а тут буквально каждый час на вес золота.
  • Необходимо иметь резервные номера от другого оператора, которые нигде не светятся. Это ничтожные затраты — всего пара тысяч в месяц, а возможность не останавливать обслуживание бесценна.

Фактически DDoS и TDoS — это одно и то же. В первом случае огромное количество обращений валится на сервер, во втором — звонков на номера телефонов. Основная цель обоих видов атак — заблокировать ресурсы жертвы и — отчасти — потрепать нервы ваших сотрудников.

Но это стандартные атаки. Мы как технологическая компания к ним всегда готовы. Конечно, они опасны и могут подпортить и жизнь, и материальное положение, и, что самое главное — эмоциональное состояние сотрудников. С ними понятно, как бороться и что делать.

Но после того, как мы отбили несколько волн технологических нападений, на нас совершили атаку, к которой ни я, ни мои менеджеры не были готовы. Да вообще к такому никто и никогда не может быть готов.

PPDoS

P — personal, P — psychology.

Дело в том, что большая часть входящих обращений в нашу компанию поступает через онлайн-консультанта, который так не понравился нашим конкурентам. В чате отвечают мои менеджеры. На тот момент в отделе работали только девушки, причём на сайте в разделе «О нас» были их фотографии, фамилии и имена.

И вот в один прекрасный день (на самом деле не такой уж и прекрасный) в чат начали сыпаться хамские обращения. Не просто хамские, а такие, не реагировать на которые невозможно. Это были не просто оскорбления, там были угрозы физического и сексуального насилия. Нападавшие писали, симулируя «кавказский акцент», с особым цинизмом, смакуя детали.

После десятого обращения за полчаса мы поняли, что это не обыкновенный школьник-хулиган, и стали отбиваться. Оказалось, что одновременно работали три человека со специально оборудованных машин. Постоянно менялись все параметры сессий, от IP-адреса до браузеров, ОС и Mac-адресов, потому осуществлять проактивные блокировки не представлялось возможным.

Технически это была та же DDоS, но вместо пакетов летели оскорбления, а мишенью были не сервера, а мои люди. Но мы отбивались. На следующий день атаки не прекратились, а только набрали обороты. Просто приведу список того, что было за эти дни:

  • Угрозы насилия с детальным описанием всех действий.
  • Угрозы жизни и здоровью сотрудников и их близких.
  • Атакующие отправляли в чат фотографии своих гениталий с вытекающей из них «белой жидкостью» на фоне фотографий сотрудников и соответствующими комментариями.
  • В чат сыпались фотографии нашего офиса с приписками: «Мы тебя ждем в своей приоре, выходи».

Как завершилось

Продолжалась эта история в течение 14 дней. Три человека, точнее нелюдя, изо дня в день занимались только этим. На 15 день как отрезало. Видимо, время оплаченного заказа подошло к концу, и мы продолжили спокойно жить и работать. В общем-то, мы вышли без потерь и стали ощутимо сильнее, чем до этого. Как с точки зрения работы с негативом, так и в техническом плане.

Что интересно

Атака была спланирована. Нападавшие знали все болевые психологические точки, были неплохо оснащены технически. Самое страшное — что они были «отбитыми» на всю голову. Тогда мне казалось, что это дело рук заключенных. Страшно представить, что такие субъекты могут жить на свободе. Но факт есть факт — это была хорошо спланированная специально подготовленными интернет-бойцами операция. Значит, есть рынок подобных услуг, и пострадавших может быть весьма и весьма много.

Что плохого

  • Во-первых, это чертовски деморализует. Меня — взрослого мужика, — такие диалоги вводили в состояние легкого шока, что уж говорить про девушек? Реакцией нормального человека может быть только желание сбежать куда подальше. Никто не должен такого терпеть.
  • Во-вторых, страдали клиенты. Им приходилось подолгу ждать ответа. Ведь три человека, которые постоянно пишут в чат, съедают очень много времени. Причем на второй день нападающие поняли свою ошибку и начали прикидываться клиентами, задавать «нормальные» вопросы, уточнять детали работы — и только потом выдавали себя.

Как реагировали

  • Определили цели атаки, всю дальнейшую работу выстраивали через призму противодействия этим целям.
  • Научились блокировать такие чаты. Кстати, просто игнорировать — это неправильное поведение. Как только нападающий замечает, что ему не отвечают, он надевает «новое обличие» — и снова в бой. Вы должны понимать, что ему заплатили и он будет работать до тех пор, пока деньги не кончатся. Поэтому когда менеджер блокировал чат, он переставал видеть сообщения атакующего, а вот наш бот продолжал общение с ним, поддерживая иллюзию нападения. Это сильно облегчало жизнь.
  • Провели обучение со специалистами по работе с негативом. Думали подключать психологов, но обошлись своими силами. Определили суть и цель атак, разобрали психологию нападающих и осознали, что ничего реального в этих угрозах нет.
  • В органы не обращались. Личный опыт показал, что наши «защитники» работают только по чьему-либо заказу и с целью обобрать, а не защитить. Поэтому никаких попыток писать заявления я не предпринимал. Но, возможно, я ошибаюсь.
  • Нигде не говорили и не писали об этом. Не кормили тролля, не хотели показывать, что нас это волнует. Я был уверен, что заказчик этой атаки меня читает в Facebook. Вообще я впервые рассказываю про эту историю публично.

Что хорошего

  • Мы сильно повысили безопасность собственного продукта и написали с десяток различных блокировок от спамеров.
  • Провели обучение менеджеров и довели их стрессоустойчивость до 80 уровня.
  • Узнали, что наш продукт чертовски хорош.
  • Узнали, до какой низости могут упасть люди ради денег.

Повторюсь, с такой проблемой может столкнуться любой бизнес, и потому мне хотелось бы дать рекомендации тем, кто вдруг окажется в подобной ситуации.

Как минимизировать риски от PPDoS-атак:

  • Обучите менеджеров работе с негативом, с неадекватом, с хамством.
  • Поставьте умную блокировку от нападающих. Используйте ботов.
  • Не обо всем надо говорить. Я до сих пор считаю, что начни мы сразу выносить эту историю на публику, атака могла бы продолжаться бесконечно.
  • Не тратьте время на войну, если понимаете её бессмысленность.
  • Не вступайте в диалог с атакующими, так вы дадите им понять, что они смогли вас задеть.
  • Обратитесь к специалистам по работе с негативом, вы должны успокоить своих работников.
  • Не принимайте все близко к сердцу, именно этого и добиваются нападающие. Оценивайте ситуацию спокойно.
  • Поблагодарите всех сотрудников, которые оказались в этой ситуации.

SDoS

S — social. Атака через социальные сети. Осуществлялась одновременно с PPDoS-атакой. Но нападающие действовали другими методами и били по другим болевым точкам.

А было следующее: в социальной сети «ВКонтакте» создавались множественные паблики, посвященные моим людям и мне лично. В них публиковались тонны порнографического контента с нашими пририсованными головами, пошлыми текстами и прочей подобной непотребщиной. Появлялись фальшивые аккаунты наших сотрудников, с нашими фотографиями и с пошлым, оскорбительным контентом.

Сначала мы попытались блокировать эти страницы и аккаунты через администрацию «ВКонтакте». Но если таковая и существует, то ей было абсолютно плевать на то, что творится на страницах этой социальной сети. Это расстроило и удивило. Поэтому мы выбрали стратегию игнорирования. Все сотрудники перестали выходить во «ВКонтакте» до момента окончания атаки, SMM-специалист следил и подчищал грязь, которую пытались разместить в официальных аккаунтах.

Закончилось всё так же внезапно, как и началось. Одновременно с PPDoS-атакой. Тут у меня советов, как поступать, нет. Если они есть у вас — поделитесь. Надеюсь, что сейчас администрация «ВКонтакте» относится к таким ситуациям внимательнее.

На этом считаю разбор современных видов атак оконченным. Если подвести краткий итог, то вот как надо действовать во время любого нападения:

  • Помните, что от всех атак защититься не получится. Будьте начеку.
  • Поймите цели нападающих. В нашем случае это были деморализация и снижение работоспособности отделов.
  • Противодействуйте целям атакующих. Не реагируйте на провокации.
  • Заранее планируйте все возможные риски и подготовьте план защиты.
  • Резервируйте всё, что можно резервировать.
  • Если цель атаки — деморализация, то не выносите сор из избы до завершения конфликта. Не кормите троллей и заказчиков.
  • Выпейте напиток покрепче, когда все закончится. Вы это заслужили.
0
28 комментариев
Написать комментарий...
Re-l Mayer

Кстати, автор явно в интернете нормально не работал даже. Даже в играх - просто игроки есть "отбитые" как он назвал :) И реально кажется будто с зеками в дотку гоняешь.

Ответить
Развернуть ветку
Alexandr Safronov

Тролли в игрушках не шлют фотки сотрудников, над которыми уже надругались. Ну и было сказано, что под атаку в большинстве попали девушки, которых это куда сильнее впечатляет и пугает.

Ответить
Развернуть ветку
Никита Хисматов
...когда менеджер блокировал чат, он переставал видеть сообщения атакующего, а вот наш бот продолжал общение с ним, поддерживая иллюзию нападения. Это сильно облегчало жизнь

норм ход :)

Ответить
Развернуть ветку
Eugen Dubovik

да, какая то дичь. я бы был в ступоре если бы попал в такую тему. ну и мне кажется зря в органы не обратились

Ответить
Развернуть ветку
Александр Аббасов

Тут проблема нехватки конкретики о нападающих. Никто не будет ради этого гонять фсб-ный фургончик, трафик слушать. Просто потому, что это временное явление. Они не просто прекратили деятельность через 2 недели. Процесс инициируют в полиции, а довести до конца не смогут из-за нехватки данных. Но если есть конкретика - все реально. По личному опыту знаю.

Ответить
Развернуть ветку
Maksim Georgiev

И что бы вы в заявлении написали? Что вам в интернет чат на сайте злые дагестанцы угрозы пишут? Смешно!

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Alexandr Safronov

Вот несколько пруфов, нет тут никакой выдумки.

Ответить
Развернуть ветку
Тимофей Васильев

Пипидос значит... Звучат угрожающе, наверно оооочень опасный атак, очень опасный!

Ответить
Развернуть ветку
Yan

ГРязно-грязно работают сучата.
Вы уж там держитесь, ребятки)

Ответить
Развернуть ветку
Владимир

Продайте ЦП свой спам-фильтр👇 😆

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Флейм

Заказчик травли был каким-то глупеньким: какой смысл резко деморализовывать? Ведь цель не парализовать работу на пару дней, а долгосрочно расстроить работу в коллективе, снижать эффективность и объём их клиентов. Сделать так, чтобы они долго не замечали внедрённых стратегических пакостей. Я скорее поверю в то, что это какой-то психологический тренинг)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Андрей Унтерзегер

Автор сам еще тот тролль, достаточно вспомнить историю с Гандапасом. Человек пиарит себя на всякой ерунде.
А сервис калибри редкостная гадость. С такими ценами, такой уровень сервиса... Примерно раз в год думаю попробовать, начинаю общаться, изучать условия, вспоминаю прошлый опыт... Ну какой руководитель, такая и компания.

Ответить
Развернуть ветку
Andrew Nenakhov

В истории с Гандапасом ославил себя сам Гандапас, устроивший дикую истерику из-за того, что кто-то про него что-то обидное в интернете написал.

Ответить
Развернуть ветку
Alexandr Safronov

Андрей, по поводу пиара и троллинга, если бы мы хотели пропиариться, то не делали бы никаких рекомендаций в материале и не рассказывали о том, что такое в принципе может произойти с любой компанией, и что рынок подобных услуг существует.
И нам очень жаль, что вы разочаровались нашим продуктом, поверьте, ни вам, ни нам не выгодна ситуация, чтобы вы остались недовольны нашим сервисом. Нам тоже важно понять, в чем проблема. Все предложения по улучшению сервиса мы всегда внимательно рассматриваем и принимаем по адресу: [email protected]. Очевидно, что произошло какое-то недопонимание, которое можно решить.

Ответить
Развернуть ветку
Re-l Mayer

Я бы опубликовал все в паблик и дело с концом. И пополнял бы потом доску позора. И клиенты бы тоже офигивали, да и пусть весь интернет офигивает :) и так далее

Тот кто работает с интернетом или ведет что-то публичное - каждый месяц встречает такого ракала который завидует троллит и пакостит.

А еще можно вычислить источники и сделать аналогичный сервис - бесплатно. Пусть припекает у тролля. В идеале с годами можно полностью отобрать у них хлеб и написать потом публично так же - все по справедливости :)

Ответить
Развернуть ветку
Margarita Zamolodskaya

Рынок подобных услуг был и есть, конечно. Но чего я не увидела в статье так это того, что было реально сделано за 2 недели, чтобы вычислить поганца. Это очень странно.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Margarita Zamolodskaya

А полиция-то тут каким местом?) Смысла нет туда обращаться. Они и десятой части из обращения не поймут. Обращаться нужно туда же откуда всё это и тянется. И найти можно. Было бы желание. Хотя чаще всего и этого не требуется, потому что вариантов "кто" мало и они известны ещё до атаки. Внезапностей не бывает, увы.

Ответить
Развернуть ветку
Константин Быстряков

А сколько было реальных желающих (имеющих весомую мотивацию и ресурсы) устроить такую атаку на компанию автора ?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Ivan Shkirya
Автор

У меня был оператор связи и я отлично представляю как работает СОРМ. Собственно потому и не полезли. Нашу бы работу это парализовало наглухо

Ответить
Развернуть ветку
anntttoooonnnnn

Расскажите, как он работает?

Ответить
Развернуть ветку
Роман Князев

Надеюсь, что сейчас администрация «ВКонтакте» относится к таким ситуациям внимательнее.

нет, сейм щит в меньшем масштабе был пару лет назад и вроде год назад у меня.

Ответить
Развернуть ветку
Ника Бойе

Увы, нет :) Максимум могут посоветовать "относиться проще ко всему", и подчистить фейковые страницы.

Ответить
Развернуть ветку
Andrew Nenakhov

Думаю, что это Гандапас мстил

Ответить
Развернуть ветку
Ivan Shkirya
Автор

Не, это было за год да той истории))

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Иван Ломаев

Общаясь с китайцами вот что заметил. В онлайне это всегда девушка, довольно приятная. В реале - всегда парень. Т. е. эта девушка может быть и работает в данной компании, но не по моим скучным техническим вопросам). Т. е. люди работают по-легенде. Да и любой вменяемый клиент-сервис это всегда легенда, маска, иллюзия. Как и у журналистов. Кому нужны в онлайне реальные Маши с их обычной жизнью и обычными проблемами? Если "золотой голос" в 99% случаев королеве красоты не принадлежит, а онлайн - это фикция. Опять же, боты - какой смысл левого клиента из онлайна сразу цеплять на специалиста?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
25 комментариев
Раскрывать всегда