Как я ощутил на себе кибератаку в действии. И при чём тут вакцины от коронавируса?
Предыстория подопытного кролика
Когда только появился Спутник на клинических испытаниях, я в числе первых пошёл добровольцем-испытателем вакцины.Там встретил таких же как я, идейных экспериментаторов. Потом через Интернет нашли ещё и ещё. Среди нас оказались учёные, врачи, специалисты по статистике и другие такие же добровольцы.
Мы самоорганизовались и стали изучать своими силами вакцины. Оказалось это особенно важно в условиях огромного потока дезинформации в Интернете и СМИ. Так сложился у нас коллектив из волонтёров. Когда в стране началась гражданская вакцинация, информации о местах и условиях вакцинации было мало как и самой вакцины. Тогда мы сделали сеть чатов в мессенеджере "Телеграм" по разным городам и координировали там уже гражданскую вакцинацию. Затем стали собирать информацию о побочных явлениях, уровне антител, о том кто как переносит коронавирус после прививки.Потом появилось несколько вакцин. Сеть чатов росла и ширилась, рос коллектив администраторов. Думаю это тема для отдельного поста - наша история, текущий статус и какие планы на будущее.
Я член команды админов из той системы чатов v1v2 по вакцинации и лично моя зона ответственности – «ЭпиВакКорона», вакцина ГНЦ «Вектор» Роспотребнадзора.
Если коротко, то в процессе независимой проверки вакцин мы выяснили, что Спутник-V отлично работает и побочные явления приемлемые, а их разработчик центр им. Гамалея говорит правду в СМИ про свою вакцину и её характеристики. Ковивак (им. Чумакова) работает существенно хуже – формирует антитела далеко не у всех и на низком уровне. А вот «ЭпиВакКорона», скорее всего, вовсе не получилась. Подробнее у нас на сайте https://epivakorona.com/. «ЭпиВакКорона» не даёт никакой известной защиты от коронавируса (наш препринт на эту тему и упрощенная версия). Какие-то антитела от неё в 70% появляются в организме человека, но они не способны связываться с коронавирусом.
В нашем чате https://t.me/epivakorona около 8500 человек, интересующихся нашими исследованиями и данным препаратам. И вот на днях на нас напала неизвестная группа лиц весьма своеобразным способом. Стоит кому-то написать сообщение в чате, как на сотовый телефон человека обрушивается сотни SMS-ок и телефонные звонки с разных номеров. Проведя небольшое исследование и ряд экспериментов удалось вычислить схему действия. В нашем чате под видом обычного пользователя сидит бот. Он следит за сообщениями и как кто-то пишет новое, смотрит уникальный номер пользователя. Это внутренний номер, который не равен вашему нику или номеру телефона. Он не меняется, если вы меняете ник или номер телефона в Телеграме.
Далее по данному внутреннему номеру участник "пробивается" по публичным базам данных. Доступ к ним есть через ботов в Telegram, например, через такие боты как @Quick_OSINT или «Глаз бога».
Мой профиль там выглядит так:
Если напрямую в профиле указан номер сотового телефона или он «пробивается» по базе, то на данный телефонный номер начинается спам-атака. Иногда сразу, иногда спустя время. Когда я запустил в чат фейковый аккаунт с новым открытым номером, SMS-атака началась через час. Но иногда начинается мгновенно.
На одного пользователя атака длится примерно час. Интересен сам механизм атаки.
Приходят сотни сообщений такого вида:
Смотрим, что же это за сайты и бренды и сразу находим источник SMS, например, сервис Sravni.ru:
Общее для них всех – отсутствие капчи (защита от роботов) и задержки между попытками. Можно в больших объёмах отправлять SMS одному и тому же человеку. При этом генератор случайных чисел каждый раз вставляет новый временный пароль и анти-спам фильтры не распознают это как спам. Программа хакеров под видом человека "заходит" на такой сайт, "вводит" туда номер телефона жертвы и отправляет ему SMS с временным пин-кодом. Много раз в минуту! Промсвязьбанк отправил мне 88 SMSок за одну минуту!
При этом часть сервисов генерирует вместо SMS - звонок на сотовый телефон. По задумке авторов сайтов пользователь должен ввести в поле авторизации 4-5 последних цифр номера, с которого звонили, для подтверждения своего номера телефона и входа в закрытую часть сервиса (например, в личный кабинет).
Цена каждой SMS около 2 рублей (цена уже уточнена, её мне сказала техподдержка одного из сайтов, у которых есть защита от такого злоупотребления). На одного человека генерируется примерно 200 SMS. В чате у меня онлайн сидит обычно 1000 – 1500 человек. Из них постят сообщения ~500 пользователей. Телефон доступен «на глаз» у 2/3 из них в профиле или в открытых базах. Атака возобновляется примерно раз в 2-3 часа. Грубый подсчёт даёт расход на оплату SMS около 200 000р. - 400 000р. в день без учёта налогов. Это цена головотяпства разработчиков сайтов, на которых не стоит защита от такой эксплуатации сервиса и за это платят ничего не подозревающие хозяева сайтов-доноров.
Также с нами поделились ценой заказа подобной атаки - 4000р. за одного человека в сутки с заказчика. В чате атака идёт одновременно на множество пользователей.
Вот неполный список сайтов и организаций, которые «отличились» в качестве доноров SMS-ок:
1. Банк «ПСБ» https://www.psbank.ru/
2. Газпром-банк https://www.gazprombank.ru/
3. ООО «Сравни.ру» https://Sravni.ru/
4. ООО «Кари» https://kari.com/
5. ООО «БУКМЕКЕРСКАЯ КОНТОРА «ФАВОРИТ» https://888.ru/
6. ПАО «МТС» https://kion.ru/home
8. Сеть магазинов «Верный» https://www.verno-info.ru/
10. НТВ+
11. ООО «Винлаб-Центр» https://www.winelab.ru/
И множество мелких сайтов микрокредитных организаций. Сообщения с них отправляются хакерами без ведома этих сайтов, но за их счёт.
Работа по рассылке автоматизирована, скорее всего идёт через прокси.
Как исправить ситуацию?
На уровне сайтов:
1. Поставить задержку, чтобы нельзя было одному и тому же абоненту отправить больше, чем одно SMS в минуту.
2. После трёх таких SMS увеличивать задержку или заблокировать отправку на долгий срок
3. Добавить капчу (защиту от роботов)
4. Добавить умную защиту – например, с одного компьютера не должно быть более 3 SMS в минуту, даже на разные телефонные номера (антифрод).
На уровне оператора сотовой связи:
Расширить функционал чёрных списков, ограничить отправку подряд более 3 подобных SMS на один номер НЕ от абонентов .
На уровне пользователя:
1. Использовать двухфакторную авторизацию везде, где она есть
2. Использовать сложные, длинные пароли
3. Использовать чёрные списки от операторов сотовой связи
4. Не использовать для телеграм-чатов свой основной телефонный номер и не публиковать его нигде
5. Скрывать номер телефона в профиле в настройках безопасности
6. Не использовать один и тот же пароль в разных аккаунтах и сайтах
На уровне админов чатов– держать связь с техподдержкой телеграма, включить капчу на вход в открытых чатах. Предупреждать пользователей о необходимости прятать номер телефона в профиле.
Пост прежде всего актуален для владельцев открытых телеграм-чатов. Основная опасность такой атаки – дешевизна. Злоумышленнику почти ничего не стоит запустить и поддерживать такой скрипт, SMS-бомбинг идёт за чужой счёт.
UPDATE: по просьбам читателей добавил прямые ссылки на наши исследования.
Комментарий недоступен
1. Пост про кибер-атаку на открытую группу про вакцину "ЭпиВакКорону". Возможно атака связана с темой группы, поэтому тема вакцины имеет непосредственное отношение к теме поста.
2. Какие исследования проводили описано на нашем сайте, ссылка в посте есть. Например, https://covid19-preprints.microbe.ru/article/252
Волонтёры-учёные - вирусологи, математики, молекулярные биологи и т.д.
3. Факты приведены по ссылкам, упоминать их - для предистории. На Хабре написал пост без неё, читатели попросили сделать более подробную вводную.
4. У нас нет формального главы, можно сказать - что надо мной совет администраторов чатов, в который я вхожу. Решения принимаем коллективно путём обсуждения.
Комментарий недоступен
Сайт любительский, создан силами волонтёров.
Сегодняшний опрос пользователей нашего чата показал, что развитие сайта считают важным не более 11% аудитории.
Не хотел слишком раздувать статью. Спасибо за совет, добавлю ссылки прямо в сам материал.
Комментарий недоступен
Так ссылки и есть доказательства. Или вы предлагаете сюда запостить то, что находится по этим ссылкам?
Комментарий недоступен
Учту для следующей публикации, спасибо.
Вакцинных спамеров заспамили... досадка
Так и при чём тут вакцина от короновируса?
Выше написал.
Написать товарищу майору?
Толком никаких исследований предоставить не можете, за такое можете статью получить и соответственно отправиться в места не столь отдалённые.
Мы на связи с товарищем майором. Но вы можете и своего подключить.
Исследования чуть более простым языком описаны в "Троицком варианте"
https://trv-science.ru/2021/03/epivakkorona-trials/
Комментарий недоступен
Не искали, это почти невозможно без техподдержки телеграма. Я отправил заявку, но саппорт пока не ответил.
Да и очень просто добавить нового бота взамен заблокированного.
Ужас какой-то( вредительство.
Состою в этой системе чатов. Нравится, что можно узнать как все проходит с привками у реальных людей непосредственно от них. Очень крутое дело делаете!