Сервисы
Serious Mann
12 176

Нашел на GitHub код, который проводит SMS-атаки

Клиенты начали жаловаться, что не могут зарегистрироваться на сайте доставки через сообщение. Тогда я разобрался почему.

В закладки
Слушать

Предисловие: мы не спеша разрабатываем свой мозг для доставки суши, обкатывая всё это дело на живой компании. По делу мы не понаслышке знакомы с технологиями, знаем их и умеем. Поэтому обойти мимо не случилось. А вышло вот что.

Как и любой компании по доставке еды, у моей «Царицы Роллов» (не спрашивайте о странном названии, долгая история) на сайте стоит авторизация через SMS. Сфера у нас очень конкурентная, каждый процент конверсии на счету, поэтому авторизация через SMS — наше всё.

Так вот буквально с недельку назад пишет мне в Telegram старший администратор о том, что пошли жалобы от клиентов о том, что не могут зарегистрироваться на сайте. А без регистрации не видать скидки как ушей, поэтому клиенты негодуют.

Как и везде, SMS с сайта мы отправляем через API стороннего сервиса, на балансе которого должны всегда лежат деньги. Это и было первое, о чем я подумал: закончились деньги.

Догадки подтвердились. Я, дабы оперативно восстановить авторизацию, с карты закинул на баланс SMS-провайдера 5000 рублей и выкинул из головы.

На следующий день ситуация повторилась — снова звонки клиентов. Снова та же тема. Захожу в кабинет — вижу на счёте ноль.

Сразу заподозрил неладное. Мы не «Додо», и даже несмотря, что в наше время SMS — штука дорогая, у нас 5000 рублей ну если не на месяц, но на пару недель с запасом точно должно хватить. А тут суток не прошло. Полез ковырять отчёты по отправкам. Вижу, все SMS израсходованы на получение пароля. Очень странно.

Бегло пробежал глазами номера, и понял, что там отборная солянка из российских, казахстанских и украинских номеров. Стал догонять, что работает какой-то софт.

Первым делом, конечно, надо было остановить вакханалию, так как потерять 5000 рублей это не беда, а вот хапнуть клиентского негатива — вещь опасная. А голодный человек, который не может добраться до своих баллов в кабинете, спасибо точно не скажет.

Выключил отправку SMS, прикрутил Google-капчу на кнопку отправки (та бесячая штука, которая просит найти пожарный гидрант или автобус на картинках). Включил SMS обратно, закинул денег на баланс — расход прекратился. Не удивительно, Google-капчу как бы матом ни ругали, но обойти её большинство рукожопов не может, нейросеть такую на коленке не каждый набросает.

Ну а клиенты, естественно, пусть и с небольшим теперь геморроем, но доступ к функциональности получили. В принципе капча в таких делах вещь нужная, но, как повелось на рынке, — она снижает конверсию, а чтобы кто-то бомбил зачем-то отправку SMS, с таким я еще не встречался. Но мне так это было бессмысленно, особенно для такой небольшой даже по тюменским меркам компании, как моя ЦР.

Какой тут может быть смысл? Только один. Вредить. Ладно, копнём дальше. График нагрузки на сервер показал, что запросов идёт много и начались они несколько дней как, постепенно нарастая.

Рост нагрузки на сайт

Как я понял, софт отправляет аналогичные форме на сайте POST-запросы, поэтому повесил на этот запрос скрипт, который чекает IP-адрес запроса и записывает в базу. Список в базе стал быстро расти. Поначалу на глаз показалось, что запросы идут с десятка проксей, но когда счёт пошел на десятки тысяч, понял, что дело серьёзнее.

Написал небольшой анализатор, который считает количество запросов с каждого IP, и если их набирается больше 12 в сутки (вряд ли нормальный человек по 12 раз в сутки пароль меняет), заносит IP адрес в таблицу заблокированных и при следующем обращении к сайту наглухо блокирует доступ.

Естественно, без косяков не обошлось, и поначалу скрипт написал косячно, из-за чего заблокировал API телефонии и банка. Но быстро довёл до ума.

Список заблокированных IP стал также быстро расти.

Почему-то я сначала думал, что единственный мотив этим заниматься был у кого-то из местных конкурентов, которые так отреагировали на наше увеличение рекламной активности — пару раз уже пакостили. Поэтому думал, что, скорее всего, прокси будет пара десятков.

Но и тут моё удивление не закончилось. На текущий момент в списке заблокированных уже 8000 IP-адресов. И список продолжает расти. То есть софтина работает на широкую ногу.

Причем, судя по темпам запросов, задачи провести DDoS-атаку не было, а задача стояла именно в скрутке SMS на левые номера, так как запросы отправлялись достаточно медленно и размеренно.

И это логично, поскольку устрой они DDoS, на неё внимание обратят сразу, а тут фактически незаметно до тех пор, пока не улетит SMS-бюджет. А некоторые крупные компании закидывают на баланс сотни тысяч и вряд ли каждый день заходят и проверяют состояние счёта. Как правило, делается это достаточно редко.

На моём уровне проблема была решена, ущерб минимальный, клиенты теперь ищут гидранты на капче, и вот я успокоился, хотя каждый день нет-нет да зайду проверить состояние SMS-счёта. И с ним всё норм. Нагрузка на сайт упала, не критичная, запросы на отправку SMS как шли, так и идут, но теперь большая часть IP блокируется, а пока еще не заблокированные — бьются о скалы Google-капчи.

Но неожиданное открытие сделал «Яндекс.Вебмастер». Нужно было поработать по SEO-шке и сделать уже, наконец, турбо-страницы на «Яндексе», чтобы позиции приподнять. Так вот, по старой дедовской привычке захожу во входящие ссылки посмотреть и вижу входящую ссылку с GitHub.

Ссылка с GitHub на сайт доставки суши в Тюмени. Странно?

Оказалось, что ссылка это ведёт на гитхабовский репозиторий, в котором в вопросах размещен длинный список компаний.

Как видно из списка, кто-то заморочился и пробежался по суши- и пицца-сайтам рунета и собрал списки, многие из сайтов которых наверняка обладают огромными SMS-бюджетами (тот же «Суши-мастер» с сетью в несколько сотен заведений, «Авто.ру», Fix Price, «Суши-вок», и много кто ещё) .

Как оказалось, в репозитории лежит написанный на Python SMS-бомбер, который и занимается этой вредоносной деятельностью.

Так что, друзья, обязательно хорошо защищайте свои веб-ресурсы.

В мире есть люди, которым не дано понять, что, пытаясь опустить других, сам выше не станешь. Мелкие пакостники, которые тем не менее могут нанести пусть не смертельный, но неприятный ущерб.

Не знаю, под какую статью УК попадает это злодеяние, состава кражи или мошенничества тут нет, вероятно, хулиганство какое-то нибудь.

Если кто-то из знакомых управляет какими-то компаниями из списков, напишите, пожалуйста, им, чтобы обратили внимание.

Держите ухо востро! Ну и репостните по возможности.

{ "author_name": "Serious Mann", "author_type": "self", "tags": ["sms","guthub"], "comments": 145, "likes": 170, "favorites": 115, "is_advertisement": false, "subsite_label": "services", "id": 130521, "is_wide": false, "is_ugc": true, "date": "Fri, 29 May 2020 04:46:45 +0300", "is_special": false }
Объявление на vc.ru
0
145 комментариев
Популярные
По порядку
Написать комментарий...
40

Всё вокруг кричит Вам убрать авторизацию через смс и эту дурацкую капчу, но вы твёрдо стоите на своём, забавно. Зачем мне регистрироваться, если я просто хочу суши заказать? Нужен мобильный клиентов? Так они укажут его, когда доставку будут оформлять. Уберите вы это мракобесие со своего сайта и всем станет проще. Когда малый бизнес предлагает разгадать мне капчу я иду к конкуренту заказ делать. Ну а то что вы ошибочно (да да, я уверен что в тысячах адресов есть обычные люди) баните некоторых своих клиентов по IP , просто высший пилотаж. Вы уже просто сразу закройтесь и все. Синк эбаут ит. Взгляните как можно работать на доставку без регистрации и смс https://. Маленькая кафешка из трёх заведений. И скидка у меня от них есть. Я просто при заказе указываю свой номер телефона и все, скидка падает в виде бонусов автоматом. Все просто.

Ответить
16

ошибка выжившего :). Он переживает за "постоянных" клиентов, у которых кабинет со скидками. Сколько людей просто плюнет, видя дурацкие заборы и пойдет к другим - об этом он не знает, они же не стали его клиентами.

Ответить
3

Маркетолог из автора никакой. 
Любой СЕОшник, сказал бы - убрать к едрене фене гемор с смс, и не надо прикрываться тут псевдоудобством или псевдозащитой накопленных баллов. А тож, все хакеры мира, так и думают, как взломать аккаунты этой сушильни и присвоить накопленные баллы клиентов. 
Ещё бы двухфакторную аутентификацию запилил бы, клиенты были бы рады. 
Я понимаю - банковские продукты, там это оправдано, но применять решения с смс на такой ерунде просто накладно. 
Лучше эти 5 тыс как премию повару выдели, он бы лучше работать стал, клиенты были бы довольны и продолжали приносить свои деньги. 

Ответить
14

Согласен, странный подход. Во-первых, вместо капчи для начала надо открыть для себя мир CDN-frontend-экранов, которые знают "мирные эндпоинты" это отсеит нагрузку и прмитивный бот трафик на 99%

Далее, зачем давать "восстановление пароля" на номера, которые не зареганы в юзербейс?

Дайте смс на произвольный номер только при регистрации и через cdn, все что валидацию по cdn не прошло, через капчу (вообще это сценарий из коробки).

А recovery делайте по почте или на номер из юзербейс.

Ответить
4

И действительно, обычно проверяют есть ли телефон в базе клиентов, а потом уже отправляют СМС

Ответить
11

Клиентам ничего не мешает делать заказ без регистрации во-первых, все данные также фиксируются по номеру телефону. Но если человек получает пароль и авторизуется на сайте, ему доступна ещё история заказов, хранение адресов доставки, бонусная система и плюс раньше была еще реферальная система по типу приведи друга и получай проценты с его заказов.

Ответить
3

В пиццерии, где я заказываю, все это определяют по номеру телефона с которого я звоню. Мне нужно лишь сказать, какую пиццу я буду. Если номер другой, то достаточно сказать свой основной и все будет ок. Регистрации мне не нравятся абсолютно, но если у вас от них конверсия выше, то никого не слушайте.

Ответить
2

Тоже такая мысля пришла. В нашей деревне (1млн жителей) заказываю в двух пиццериях, НИКАКИХ смс не требуют, при этом личный кабинет есть))) Программисты наверное посмышленнее...

Ответить
0

У Санрайза я бы личный кабинет всё же сделал, чтобы помнить адрес и историю заказов.

Ответить
0

С капчей и чтобы наверняка с идентификацией через сетчатку глаза ;)

Ответить
0

Я, с точки зрения пользователя, рассказываю, что мне неудобно на сайте — Вы сейчас над клиентами и их потребностями потешаетесь. Тупиковый путь.

Ответить
38

Может это сам смс шлюз так свой доход увеличивает или тот кто вас по рефералке привел?)) Кем пользуетесь?

Ответить
11

Берите выше - мобильные операторы! На скриншоте подозрительно много номеров МТС... Это МТС! Точно МТС!

Ответить
36

Просто очень настойчивый пользователь 

Ответить
27

то заносит IP адрес в таблицу заблокированных, и при следующем обращении к сайту наглухо блокирует доступ.

Так делать ни в коем случае нельзя. Во-первых, у вас несколько клиентов могут сидеть под одним IP за натом (например в организации или в некоторых интернет-провайдеров так) - если вы так одного заблокируете, то заблокируете всех. Еще есть серые IP. Сегодня злоумышленник воспользовался симкой мегафона, вы его IP забанили. Теперь сегодня у меня IP вчерашнего злоумышленника - но я то хороший человек, ничего такого не делал, почему я доступа не смогу получить к вашему сайту?

Гугл каптчи было бы достаточно.

Ответить
8

Причем невидимой капчи, которая отображалась бы только при доступе из тора или других подозрительных действиях

Ответить
–5

У нас чувствительная отрасль, база клиентов постоянная, если не смогут зайти на сайт - будет отклик. Пока ни одного обращения не было. Так что норм.

Ответить
17

Я попадал под такие баны: офисную подсеть целиком внесли в фильтр. В итоге просто заказал в другом месте с тоже хорошими суши: было тупо лень тратить время на какие-то звонки

Ответить
5

На мыло таких разрабов )) Понаделают из г и палок на джумле или битриксе, дыр понаоставляют, а потом пытливые школоло засыпают своих друзей 1000 смсок с кучи сайтов с кодами "какими то пиццерий" и разгрести этот ад на телефоне то, ещё удовольствие, и ржут як кони друг на другом. А вы и дальше можете искать конспирологические версии, пока по человечески сценарий аутентификации не разрулите.

Ответить
2

еще как можно.
смотрите в локатор.
видите папуа-новая гвинея.
баните всю подсеть.

доброе утро

Ответить
4

Добро пожаловать в Интернет.
Ваша Царица Роллов работает в Тюмени, вот и фильтруйте номера по региональной принадлежности. Или проверяйте номера через HLR-запрос.

Например, на скриншоте фигурирует номер 9177527601. Согласно выгрузке из базы Россвязи (https://rossvyaz.ru/deyatelnost/resurs-numeracii/vypiska-iz-reestra-sistemy-i-plana-numeracii?searched=true&code=917&number=7527601&operator=), номер закреплен за МТС, регион - Башкортостан. Вы работаете в этом регионе?

Ответить
25

телефонное рабство отменили и теперь ты можешь по всей стране кататься со своей симкой. Людям при переезде симку минять чтобы роллы заказать?

Ответить
0

нельзя. Номер можно сохранить внутри региона. Ну так у биллайна, мегафона. 

Ответить
7

И как это я 10 лет живу в другом регионе со старой симкой

Ответить
1

Сим то все принадлежит региону в котором вы ее купили

Ответить
1

С современными тарифами и связью через интернет это  не доставляет проблем. 

Ответить
3

Кто у тебя заберет симку в другом регионе? Роуминг отменили, теперь все симки работают везде

Ответить
1

Так у всех операторов.
Другое дело будет обидно приехать в командировку в Тюмень и не сделать свой заказ

Ответить
11

Лучше модифицировать схему. Тем, кто из не родного региона, показывать капчу, а кто из родного региона не показывать. Будет и нашим и вашим)) 

Ответить
1

правильно, но гемор

Ответить
5

Живу в Москве с Томской симкой. В интернет выхожу через Нидерландский ВПН. Как быть?:)

Ответить
5

не видать вам Царицы :(

Ответить
2

Ну как так то? Я писал  этот комментарий 

Ответить
0

Кейс рабочий, однако не во всех случаях) 
У меня например номер московский, а живу в Питере.
Просто в Москве тарифы были ооочень выгодные и пребывая в командировке успел приобресть)

Это Теле2, они на тот момент только на рынок заходили супер активно 

Ответить
–1

Плохой вариант. Живу с питерским мтсовским номером, уведенным в йоту в вечном роуминге. 

Ответить
0

«Йота» давно региональные тарифы давно отменила, я в Москве плачу 280 рублей за 350 минут и безлимитный интернет.

Ответить
0

Как вы это смогли? См.скриншот

Ответить
0

На скриншоте какой-то новый тариф, где минуты можно выбирать сколько хочешь, как я понимаю. У меня так.

Ответить
2

Ну тогда классно быть вами, достаточно всего лишь пропутешествовать обратно во времени и перейти на старый тариф Yota заранее. @Yota @Yota — официально @Yota Admin можете дать пояснения? У меня тариф для смартфона, если это важно.

Ответить
5

Юрий, друзья, всем привет! Пояснительная бригада на месте.

Сперва отметим про региональные условия: сейчас их действительно уже нет, и по всей России остается один-единственный пакет - тот, который был подключен в домашнем регионе сим-карты.

Из-за технических особенностей не удалось автоматически переключить все-все сим-карты с региональных условий на обычные, поэтому если условия всё еще региональные - мы можем помочь с переходом. Для этого нужно прислать нам в ВК (vk.me/yota) описание ситуации, а также свой номер.

Что касается конкретно вопроса Юрия про разные условия. Наша последняя тарифная линейка подразумевает конструктор - гибкую настройку минут и трафика с точностью до единицы. Именно это и видно на скриншоте Юрия. Ознакомиться с актуальной ценовой политикой этой линейки всегда можно на нашем сайте: yota.ru/voice

На скриншоте Arthur N видим архивные условия, которые настраивались не так гибко: 350, 600 минут и т.д. Увы, такие пакеты сейчас недоступны для подключения, ими продолжают пользоваться те, у кого они уже были подключены. Так что без машины времени тут, к сожалению, действительно не обойтись :(

Ответить
0

Это тариф для смартфона или планшета?

Ответить
0

Смартфона.

Ответить
0

КАК? Москва, старый тариф с безлимитным интернетом, 480р. @Yota @Yota — официально @Yota Admin говорят, что разница может быть из за регионов. Где была куплена ваша ? 

Ответить
0

Да, это точно из-за региона. Моя куплена в Башкортостане.

Ответить
0

Да причем тут роуминг, я про то, что банить/ограничивать по региональной привязке номера плохая идея.

Ответить
0

отменили же роуминг еще год назад

Ответить
0

Привет! Роуминг сейчас отменен, так что не такой он уж и вечный. Пришлите, пожалуйста, нам в VK (vk.me/yota) свой номер и описание ситуации. Поможем с переходом на актуальные домашние условия 👌🏻

Ответить
9

Пфф, комментаторы.
Не надо искать заговора или тайного смысла там, где его нет. Здесь налицо просто малолетние долбоёбы. Погуглите "смс бомбер", а ещё лучше "site:pikabu.ru смс бомбер". Улюлюкающее быдло даже не задумывается о том, что каждая смс стоит под 2 рубля, ведь платят в конечном счёте не они. Если их ткнуть носом, ответом будет: "Чего, блядь? Не обеднеют!", я пробовал.
Под раздачу попадают никак не защищённые API отправки СМС (капчей, CSRF или иным способом).

Ответить
1

я на пикабу не бываю увы или ах

Ответить
8

Кстати капча третьей версии тихо-мирно показывается в уголочке... А иногда даже и это можно скрыть. Но запросы, между тем, ей верифицируются. И если это нелюдь, то в запросе это видно и такой запрос к серверу можно исключить. Сам пользуюсь этим механизмом.

Ответить
1

Да, я в курсе. Делал наскоряк т.к. с этой знаком, а с новой тихой капчей надо разбираться ещё что там на дак

Ответить
4

Да с ней не надо разбираться))), вы просто в настройках рекапчи (в панели гугла) ставите галочку в другой строчке , все остальное делает гугл...

Ответить
7

А почему не сделать CSRF и на этом успокоится? Добавьте в скрипт Get запрос кода для авторизации POST запроса - если Вас ломают массово как одного из списка - то такой фильтр уберет на 100 процентов проблему

Ответить
4

уберет на 100 процентов проблему

Еще две строчки кода в бомбере и 100% превращаются в 0%

Ответить
1

Я же написал, что если ломают массово, и нет задачи крякнуть Царицу Роллов - то никто и заморачиваться не будет. Бомбер, скорее всего, был написал на заказ и никто не будет его адаптировать. А вот есть следят плотно - то тут могут и DDOS запустить, и полицию натравить

Ответить
1

На первой стадии можно просто сделать доп. поле и ключ

Ответить
7

Как версия -   как раз жертва не вы , а получатели.
Цель этого По - недорого "достать" жертв, присылая им  СМС из разнообразных источников.
Поэтому авторы и ищут недозакрытые сервисы, через которых их и можно делать.

Ответить
0

Похоже на то.

Ответить
–9

Ссылку на тот проект на гитхаб дайте - лень искать.

Ответить
5

Очень правильно на картинках рисовать баттоны и не делать их кликабельными ;)

Ответить
2

бывает всякое ) такая лайф

Ответить
5

После такой развязки не нахожу слов - офигеть)

Ответить
4

Конкуренты развлекаются или смс-шлюз доход себе увеличивает.

Вы бы номера телефонов на скрине заблюрили бы.
Ну и политику обработки собранных данных прикрутили на сайте.

Ответить
0

есть такая, висит на морде

Ответить
2

Сказ о том, как бюджеты отрабатывать. Вопрос, как всегда один: кому выгодно?(;

Ответить
0

Точно выгодно смс-провайдеру, но сомневаюсь, что это они будут заниматься такой деятельностью.

Ответить
4

То есть левыми подписками операторы активно занимаются, а нагреть сотни компаний на раздутый на смс-бюджет - нет?)

Ответить
2

Клиент может же поменять смс-провайдера, тогда вообще никакого бюджета не будет.

Ответить
1

с другой стороны - это я попал на десятку тыс руб учитывая микро размер компании. А есть фед.сети, у которых счет может выскочить на сотни. Так что может быть вполне логично.

Ответить
0

вряд ли

Ответить
0

это разработка школотронов для спама смс хозяевам номеров. причем, бомбер ничего не расходует.

Ответить
0

Интересная штучка, слишком даже, для простого спама. Да и тут она запрашивает СМС, а не спамит ими

Ответить
2

ну и на сео ты решил плюнуть после всего? 

Ответить
0

Не, сеошка в процессе переделки, так что пока вылетают всякие нюансы

Ответить
2

По сеошке вам структуру надо пересмотреть. Раздел роллов лучше сделать разделом, сейчас это просто пункт в меню. Наборы лучше назвать сетами. Много можно чего по сайту сказать, говорю вам как человек продвигающий 2 сети. Пишите в ЛС отвечу

Ответить
0

дело говоришься @amspb в телеге напиши, готов обсудить

Ответить
2

Добро пожаловать в клуб: очень хорошо что вы так легко отделались,  некоторым не повезло куда больше - были попадания на куда большие суммы.
Что с этим делать? 
1. Привязка к сессии - обязательно https only cookie, без этого - рубим
2. Обязательно несколько шагов и форм, плавающих: вставьте банальное 'мы вас любим' с кнопкой 'продолжить' для каждого 5-10го клиента -  отсечете сразу половину таких колхозных скриптов, без всякой капчи
3. CSRF-токен на каждую форму, генеренные id управляющих элементов - не должно быть способа дернуть отправку заказа или восстановление пароля через один единственный POST-запрос или каким-то очевидным разбором html

Вообщем не должно быть простого способа вас попользовать,  если натянуть вашу систему доставки будет стоить 5 000 долларов - все, вы защищены. 

Ответить
0

все это обходится питоном. scraper и готово.

Ответить
1

А уровнем выше scraper есть например Selenium, с полной симуляцией действий пользователя, тк там браузер полноценный под капотом. Даже движения мышкой можно эмулировать, весь js код будет работать, даже плагины внешние, например для ЭЦП.
И на это тоже есть свои средства защиты и обороны.
Cуть же в том чтобы уровень защиты соответствовал объекту защиты, чтобы пользователей не задолбать в процессе.

Ответить
0

золотые слова. Пока всё проще, но! Друг, свяжись со мной в телеге @amspb , буду рад общению.

Ответить
2

Обычно в любом действии есть какой то мотив. Например, всплеск кликов на рекламу диванов был вызван флешмобом, некоторые сайты страдают, т.к. попали как пример в курсы по веб-скраппингу и т.п.
Предположим, что мотивов здесь минимум два. Первый - заказ конкурентов, а скрипт просто содержит список таких же "заказанных" у этого "исполнителя", который даже не справился сделать репозиторий приватным для такого кода.
Второй мотив может быть у того, кому платите за смс. Не хотите провести анализ "коллег" в списке в скрипте? Возможно все вы используете один смс-шлюз, который таким простым способом обеспечивает накрутку?

Ответить
2

Молодца, хорошо капнул и других предупредил 

Ответить
2

Сделай авторизацию через чат-бота. И скликивать нечего и дополнительный бесплатный канал для рассылок клиентам.
Что-то типа: http://supertest.servicebot.online/

Ответить
0

почему?

Ответить
2

Не понял, а что пишут про схему авторизации по номеру смс типо зло?
Все каршеринги - на такой. Все доставки еды, деливери, яндекс еда, самокат, хз что ещё - на такой. Вк, ок, куча соцсетей, вб, озон и прочего - на авторизации по смс. Да, для получения скидки новорегам по еде как защита это уже не ахти как работает, хитропопые арендуют смс активацию в сервисах на 15 минут. Но тем не менее, в чем зло то по существу? 

Ответить
0

сам не пойму. номер телефона - самый ясный ID сегодня. уникальный, конструктивный, рабочий. тут все ссат на чипирование - но каждый живет под номером уже сейчас. 

Ответить
1

Авторизация по телефону — единственное правильное решение. Юзеру не нужно помнишь ни логин, ни пароль — ввёл телефон и зарегистрировался/авторизовался.

Автор явно с головой подошёл к решению, но можно было сделать проще — отправлять запросы к смс-оператору с сервера. Юзер на клиенте вводит номер телефона, жмёт получить код — сервер обрабатывает номер и делает запрос. А запросы вашего сервера скрыты от глаз. Таким образом, вы героически решили проблему, которая вытекает из другой — не нужно слать запросы к другим сервисам с клиента.

Ответить
1

Кто-то из сотовых операторов похоже сделал))

Ответить
1

вряд ли, не их уровень

Ответить
1

Как я понял, софт отправляет аналогичные форме на сайте POST-запросы

Внимательно изучите полностью содержимое GET/POST запросов, возможно это спамботы ищут дырявые смс-шлюзы и пытаются через них спам рассылать.

И да, подобная схема регистрации/авторизации -  зло :)

Ответить
1

СМС-бомбер в последнее время разрекламировали на пикабу.
Реальный кейс - народ читает пост про "плохого" человека, кто-то в комментах предлагает использовать на нем смс-бомбер, вот вам и "скрутка" получилась из тысячи хомячков которые пытаются кому-то насолить.

Ответить
0

зумеры в питончик пытаются 

Ответить
0

пикаду аудитория малая нынча

Ответить
1

Жалобу на репозиторий наверное стоит послать.

Ответить
0

я послал

Ответить
1

Довольно популярный вид баловства, во многих сайтах, API запросы голыми отсылаются на сервер.
Плюсую, что гугл капчи более чем хватило бы для защиты.

Ответить
0

Согласен, но сначала было непонятно - по каким запросам атака, надо было кикнуть всех сверхактивных. Пока от клиентов ни одной жалобы не было. 

Ответить
1

зачем вам сдалась эта гуглкапча - и передавать ей номера пользователей.. поставьте альтернативную капчу с тонкой настройкой сложности, сейчас развивается, там автобусы, велосипеды, зонтики ))) ее Privacy Pass от cloudflare поддерживает..

Ответить
0

Спасибо. Буду знать. +++

Ответить
1

1. За публикацию скрина с номерами (кто бы и по какой причине за ними не прятался) Роскомнадзор "грохнет" Вашу "сушильню", ибо у Вас наверняка есть соглашение о нераспространении персональных данных.
2. Вы на 100% уверены, что среди этих номеров, нет реального клиента, который прочтет эту статью и засудит ваши суши к чертовой бабушке? 
3. Кто мешает восстанавливать пароль только для зарегистрированных клиентов. 
4. Нафига вообще этот гемор с регистрацией и восстановлением пароля по смс. 
как только меня на левом сайте просят ввести номер, я ухожу с него, т.к статистика показывает, что после таких регистраций увеличивается поток спама. Позвонив как-то с совершено нового номера в известную и раскрученную пиццерию в нашем регионе, я начал получать спам с указанием моего имени, что на 100% доказывает причастность таких контор в распространении персональной информации. Еще раз позвонил, но в тех поддержку, сказал что подам заяву в суд и в ФАС ибо задрали, 
и как ни странно, спам прекратился, надо же, какое совпадение. 
Даже Вы не постеснялись выложить номера, что уж говорить про тех, кто ими торгует. 
Кто его знает, может даже это и ваша "сушильня" тоже страдает такой фигней, ведь зачем то кровь из носу вам нужны номера клиентов. 
5. Почитайте, что такое серый IP у мобильных операторов, есть внешний IP- белый, на котором может просидеть десяток, а то и сотня абонентов за сутки, есть внутренний - серый. 
И на каком основании Вы заблокировали всех остальных абонентов сидящих на одном и том же внешнем IP? 
И это всë, из за отсутствия желания найти более оптимальное и простое решение. 

Ответить
0

"Как и любой компании по доставке еды, у моей «Царицы Роллов» (не спрашивайте о странном названии, долгая история) "

Так почему «Царица Роллов»?

Ответить
1

Был другой проект, который умер в войне с роспотребнадзором из-за неправильно установленной вытяжки ( рпн про из-за нарушение выключает компанию, после 3х раз ликвидирует). После войны с юрлицом умер товарный знак, надо было выкручиватья, родилось вот это. Вариантов других не было. 

Ответить
0

В далекие нулевые у меня на одном из сайтов стояла регистрация по смс в другом формате. 

На сайте выходил цифровой код из 6 цифр
Клиент отправлял его через смс на мой номер. 
Бот обрабатывал входящие смс через обычный юсб модем билайна. Там все писалось в базу данных в модеме, и нужно было просто ее читать.

Спамили номер мой конечно крепко. чего только не отправляли ... Один даже чел частушки матерные отправлял.

Ответить
1

Раньше были времена, а теперь мгновения  =)  таким знакомствам рад, есть что со мной связь в телеге @amspb, всегда рад общению с птеродактилями ( к коим и себя отношу )

Ответить
0

А сэйлфи с паспортом через MMS не нужно было отправить на этот номер?

Ответить
0

кто-то помнит ммс )

Ответить
0

Смысл SMS-бомбера в том, чтобы насолить какому-то конкретному номеру бесконечным потоком SMS. Бороться с этим тяжело потому что SMS - технология 80х годов, когда слово "спам" даже не было в ходу. Ещё пару лет этого вала "предложений" и "акций", и SMS будет просто заблокирована по умолчанию, как функция.

Как клиент всяких онлайн-магазинов, я вижу, что многие идут другим путём. Вместо бесящих гидрантов, вводят номер в базы вайбера, и если он там есть, то присылают свои авторизации туда.

Ответить
1

С точки зрения владельца бизнеса, дело только в том, что через его API происходит несанкционированная рассылка сообщений. Технически массовость этого явления пресечь не проблема - вешай капчу и дело с концом. Да только для рядовой сушильни это значит отсечь часть народу, которая эти капчи в гробу вертела, и заказы будут уходить.
СМС или вайбер - дело десятое, и в любом случае такие шалости стоят денег, на которые попадает владелец.

Ответить
0

Ну ладно тебе, задетектить спам на эндпоинт апи - совсем простая задача. Начиная с csrf, заканчивая cf и прочими решениями. А по всему сайту капчу смысла нет, если только ты не аптека и тебе надо уберечь свои прайсы от парсинга. Хотя и это успешно решается.

Ответить
0

cloudflare вам в помощь, да всякий fail2ban. описанные проблемы давно решены в том числе бесплатными сервисами

Ответить
0

С cloudflare трафик может упасть: рядовому покупателю суши будет не очень интересно разбираться, почему вместо сайта на весь экран какая-то херня и капчу требует. Насколько я помню, он при каждом входе на сайт требует её ввести, раздражает жутко. Поэтому капча при оплате всё же дружелюбнее  

Ответить
1

по умолчанию он фильтрует только серверные прокси

Можно включить DDOS режим и тогда будет просить капчу у всех

Ответить
0

он не требует каждого раза ввода, если трафик не серый.

Ответить
0

не включайте для всех эндпоинтов сайта, включите только перед оплатой, например
добавьте csrf на форму
сделайте лимиты на отправку номеров с одного ip
сделайте блеклист номеров/ip
мониторьте заполняемость корзины перед смс
в конце концов - уберите смс-авторизацию

могу еще десяток идей накинуть также как и методов их обойти
с каждым разом обход будет стоить дороже и становиться бессмысленнее для атакующего

Ответить
0

ну хто из ауд знает такие стращные слова ? нихто

Ответить
0

поэтому давайте ещё раз изобретем кривое колесо. окей
computer science в помощь, не надо писать велоспеды не в учебных целях, всё уже придумано удобно и полноценно. вы же не кипятите воду в желудке животного или кастрюльке? есть чайник, он удобный, доступный, быстрый.

Ответить
0

@Serious Mann добавьте, пожалуйста, ссылку на репозиторий

Ответить
0

 А может сделать запрос в GitHub для блокировки контребьютеров данного проекта?
Я не думаю, что GitHub поддерживает такие вещи.

По своему опыту общения с их Support, отвечают оперативно и стараются помочь.

Ответить
0

Я написал, со всеми ссылками и описанием

Ответить
0

Там у человека как минимум парочка таких репозиториев. b0mb3r для смс спама, zoomrip для спама по зум-конференциям. Развлекается, чувак...

Ответить
0

Напоминает вот на такую схему (не реклама, специально сохранил ссылку после прочтения): https://gexr.ru/news.php?id=19

Скорее всего вместо скликивания в задании указывают оставить заявку со своего номера телефона исполнителя.

Ответить
0

эта схема до сих пор актуальна? вроде яндекс возвращает деньги за говённые клики из буксов

Ответить
0

API доступен из интернета, авторизации нет никакой (то есть любой черт может делать запросы на использование платного ресурса - смс), так сделано у кучи сайтов... В индустрии так принято что ли?

 Как и везде, SMS с сайта мы отправляем через API стороннего сервиса

Можно поподробнее про архитектуру данного решения? А то этот кейс надо описывать всё же не как «какие злые дети-хакеры, как жесток мир», а «мы продолбали, но быстро исправились вот смотрите», потому что это провал архитектуры, по моему мнению.

PS статью не мешало бы вычитать перед отправкой.

Ответить
0

Да, любой чёрт может ( мог ) сделать запрос из  интернета на восстановление пароля. Хотел было туда поставить капчу, но сам терпеть её не могу, поэтому сколько мог не ставил. И так благополучно года 2 отработал сайт в открытую.

Ответить
0

Какую авторизацию вы будете вешать на регистрацию, оло? Вдумались бы лучше в суть, прежде, чем умничать)

Ответить
0

На отправку смс-сообщений, оло. Как сказал мудрец «Вдумались бы лучше в суть, прежде, чем умничать»

Ответить
0

Пост не читал, но где ссылка не репозиторий?

Ответить
0

Лан, нашёл.

Ответить

Комментарий удален

0

Считаю довольно таки ироничным факт того, что  сайт на доставку не работает по причине "спам-рассылки по айпи" :D

UPD: по впн работает :3

Ответить
0

Что за смс-сервис то? Небось по 5 копеек за смс?)))
Пользуюсь тремя широко-известными, по 50копеек за смс, там всегда ДЛИИИНННЫЙ список заблокированных попыток,  если немного отбросить толерастию, то скажем честно, половина айпишников - амстердам, половина жофто-блокитных, вы уж извините, если тут кто есть оттуда...
Вы просто не поставили галочку "Отсеивать спам")))

Ответить
0

Тут данные просто в форму на сайте вставляют и вперед. Даже за 100 рублей смс сервис вам не поможет. 

Ответить
0

5 копеек? Потерялись вы во времени. Смс нынче в районе 2-3 рубля за шт.

Ответить
0

Опять эти ваши хакеры устроили СМС-атаку

Ответить
0

Старая история. Куча таких репозиториев на гитхабе уже давно валяется.

Ответить
0

Ну весь гитхаб никто не знает, ну вот в лоб ударился, написал. Возможно, кому-то пригодится.

Ответить
0

Спасибо, добрый человек. Запостил новость для покупателей. СМС Аэро фильтр добавили после этого. Больше атака не повторялась

Ответить
0

Вц не перестает удивлять качеством статей. Серьезно, смс бомберы открытие? Любой разработчик с смс с этим сталкивался, это типа вообще не новость. Я годами кидал ранее на эти репы в гитхабе жалобы, как видите они только живут и этим молодым реверс инженерам ниче не будет.

Ответить
0

Рекомендую установить перед сайтом WAF (Web application firewall). Есть спец. сервисы. Забанит сразу ваших 8000+ IP.

Ответить

Комментарии