{"id":10861,"title":"\u0417\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u0435 \u043f\u0438\u043b\u043e\u0442 \u0432 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0435 PwC Venture Hub","url":"\/redirect?component=advertising&id=10861&url=https:\/\/vc.ru\/promo\/349044-korotko-zapustit-pilot-i-poluchit-novyh-klientov-s-pwc&placeBit=1&hash=4330fcc6373e035951e6ff64a3ae572ba5f30463fe8776204270bbc0bd091c81","isPaidAndBannersEnabled":false}
Сервисы
Serious Mann

Нашел на GitHub код, который проводит SMS-атаки

Клиенты начали жаловаться, что не могут зарегистрироваться на сайте доставки через сообщение. Тогда я разобрался почему.

Предисловие: мы не спеша разрабатываем свой мозг для доставки суши, обкатывая всё это дело на живой компании. По делу мы не понаслышке знакомы с технологиями, знаем их и умеем. Поэтому обойти мимо не случилось. А вышло вот что.

Как и любой компании по доставке еды, у моей «Царицы Роллов» (не спрашивайте о странном названии, долгая история) на сайте стоит авторизация через SMS. Сфера у нас очень конкурентная, каждый процент конверсии на счету, поэтому авторизация через SMS — наше всё.

Так вот буквально с недельку назад пишет мне в Telegram старший администратор о том, что пошли жалобы от клиентов о том, что не могут зарегистрироваться на сайте. А без регистрации не видать скидки как ушей, поэтому клиенты негодуют.

Как и везде, SMS с сайта мы отправляем через API стороннего сервиса, на балансе которого должны всегда лежат деньги. Это и было первое, о чем я подумал: закончились деньги.

Догадки подтвердились. Я, дабы оперативно восстановить авторизацию, с карты закинул на баланс SMS-провайдера 5000 рублей и выкинул из головы.

На следующий день ситуация повторилась — снова звонки клиентов. Снова та же тема. Захожу в кабинет — вижу на счёте ноль.

Сразу заподозрил неладное. Мы не «Додо», и даже несмотря, что в наше время SMS — штука дорогая, у нас 5000 рублей ну если не на месяц, но на пару недель с запасом точно должно хватить. А тут суток не прошло. Полез ковырять отчёты по отправкам. Вижу, все SMS израсходованы на получение пароля. Очень странно.

Бегло пробежал глазами номера, и понял, что там отборная солянка из российских, казахстанских и украинских номеров. Стал догонять, что работает какой-то софт.

Первым делом, конечно, надо было остановить вакханалию, так как потерять 5000 рублей это не беда, а вот хапнуть клиентского негатива — вещь опасная. А голодный человек, который не может добраться до своих баллов в кабинете, спасибо точно не скажет.

Выключил отправку SMS, прикрутил Google-капчу на кнопку отправки (та бесячая штука, которая просит найти пожарный гидрант или автобус на картинках). Включил SMS обратно, закинул денег на баланс — расход прекратился. Не удивительно, Google-капчу как бы матом ни ругали, но обойти её большинство рукожопов не может, нейросеть такую на коленке не каждый набросает.

Ну а клиенты, естественно, пусть и с небольшим теперь геморроем, но доступ к функциональности получили. В принципе капча в таких делах вещь нужная, но, как повелось на рынке, — она снижает конверсию, а чтобы кто-то бомбил зачем-то отправку SMS, с таким я еще не встречался. Но мне так это было бессмысленно, особенно для такой небольшой даже по тюменским меркам компании, как моя ЦР.

Какой тут может быть смысл? Только один. Вредить. Ладно, копнём дальше. График нагрузки на сервер показал, что запросов идёт много и начались они несколько дней как, постепенно нарастая.

Рост нагрузки на сайт

Как я понял, софт отправляет аналогичные форме на сайте POST-запросы, поэтому повесил на этот запрос скрипт, который чекает IP-адрес запроса и записывает в базу. Список в базе стал быстро расти. Поначалу на глаз показалось, что запросы идут с десятка проксей, но когда счёт пошел на десятки тысяч, понял, что дело серьёзнее.

Написал небольшой анализатор, который считает количество запросов с каждого IP, и если их набирается больше 12 в сутки (вряд ли нормальный человек по 12 раз в сутки пароль меняет), заносит IP адрес в таблицу заблокированных и при следующем обращении к сайту наглухо блокирует доступ.

Естественно, без косяков не обошлось, и поначалу скрипт написал косячно, из-за чего заблокировал API телефонии и банка. Но быстро довёл до ума.

Список заблокированных IP стал также быстро расти.

Почему-то я сначала думал, что единственный мотив этим заниматься был у кого-то из местных конкурентов, которые так отреагировали на наше увеличение рекламной активности — пару раз уже пакостили. Поэтому думал, что, скорее всего, прокси будет пара десятков.

Но и тут моё удивление не закончилось. На текущий момент в списке заблокированных уже 8000 IP-адресов. И список продолжает расти. То есть софтина работает на широкую ногу.

Причем, судя по темпам запросов, задачи провести DDoS-атаку не было, а задача стояла именно в скрутке SMS на левые номера, так как запросы отправлялись достаточно медленно и размеренно.

И это логично, поскольку устрой они DDoS, на неё внимание обратят сразу, а тут фактически незаметно до тех пор, пока не улетит SMS-бюджет. А некоторые крупные компании закидывают на баланс сотни тысяч и вряд ли каждый день заходят и проверяют состояние счёта. Как правило, делается это достаточно редко.

На моём уровне проблема была решена, ущерб минимальный, клиенты теперь ищут гидранты на капче, и вот я успокоился, хотя каждый день нет-нет да зайду проверить состояние SMS-счёта. И с ним всё норм. Нагрузка на сайт упала, не критичная, запросы на отправку SMS как шли, так и идут, но теперь большая часть IP блокируется, а пока еще не заблокированные — бьются о скалы Google-капчи.

Но неожиданное открытие сделал «Яндекс.Вебмастер». Нужно было поработать по SEO-шке и сделать уже, наконец, турбо-страницы на «Яндексе», чтобы позиции приподнять. Так вот, по старой дедовской привычке захожу во входящие ссылки посмотреть и вижу входящую ссылку с GitHub.

Ссылка с GitHub на сайт доставки суши в Тюмени. Странно?

Оказалось, что ссылка это ведёт на гитхабовский репозиторий, в котором в вопросах размещен длинный список компаний.

Как видно из списка, кто-то заморочился и пробежался по суши- и пицца-сайтам рунета и собрал списки, многие из сайтов которых наверняка обладают огромными SMS-бюджетами (тот же «Суши-мастер» с сетью в несколько сотен заведений, «Авто.ру», Fix Price, «Суши-вок», и много кто ещё) .

Как оказалось, в репозитории лежит написанный на Python SMS-бомбер, который и занимается этой вредоносной деятельностью.

Так что, друзья, обязательно хорошо защищайте свои веб-ресурсы.

В мире есть люди, которым не дано понять, что, пытаясь опустить других, сам выше не станешь. Мелкие пакостники, которые тем не менее могут нанести пусть не смертельный, но неприятный ущерб.

Не знаю, под какую статью УК попадает это злодеяние, состава кражи или мошенничества тут нет, вероятно, хулиганство какое-то нибудь.

Если кто-то из знакомых управляет какими-то компаниями из списков, напишите, пожалуйста, им, чтобы обратили внимание.

Держите ухо востро! Ну и репостните по возможности.

0
147 комментариев
Популярные
По порядку
Написать комментарий...
Невероятный меч

Комментарий удален по просьбе пользователя

Ответить
40
Развернуть ветку
Mike Ivanov

ошибка выжившего :). Он переживает за "постоянных" клиентов, у которых кабинет со скидками. Сколько людей просто плюнет, видя дурацкие заборы и пойдет к другим - об этом он не знает, они же не стали его клиентами.

Ответить
16
Развернуть ветку
AlexSandro

Маркетолог из автора никакой. 
Любой СЕОшник, сказал бы - убрать к едрене фене гемор с смс, и не надо прикрываться тут псевдоудобством или псевдозащитой накопленных баллов. А тож, все хакеры мира, так и думают, как взломать аккаунты этой сушильни и присвоить накопленные баллы клиентов. 
Ещё бы двухфакторную аутентификацию запилил бы, клиенты были бы рады. 
Я понимаю - банковские продукты, там это оправдано, но применять решения с смс на такой ерунде просто накладно. 
Лучше эти 5 тыс как премию повару выдели, он бы лучше работать стал, клиенты были бы довольны и продолжали приносить свои деньги. 

Ответить
3
Развернуть ветку
Soul Manioe

Согласен, странный подход. Во-первых, вместо капчи для начала надо открыть для себя мир CDN-frontend-экранов, которые знают "мирные эндпоинты" это отсеит нагрузку и прмитивный бот трафик на 99%

Далее, зачем давать "восстановление пароля" на номера, которые не зареганы в юзербейс?

Дайте смс на произвольный номер только при регистрации и через cdn, все что валидацию по cdn не прошло, через капчу (вообще это сценарий из коробки).

А recovery делайте по почте или на номер из юзербейс.

Ответить
14
Развернуть ветку
Yury Grinev

И действительно, обычно проверяют есть ли телефон в базе клиентов, а потом уже отправляют СМС

Ответить
4
Развернуть ветку
Serious Mann

Клиентам ничего не мешает делать заказ без регистрации во-первых, все данные также фиксируются по номеру телефону. Но если человек получает пароль и авторизуется на сайте, ему доступна ещё история заказов, хранение адресов доставки, бонусная система и плюс раньше была еще реферальная система по типу приведи друга и получай проценты с его заказов.

Ответить
11
Развернуть ветку
Алина Маровая

В пиццерии, где я заказываю, все это определяют по номеру телефона с которого я звоню. Мне нужно лишь сказать, какую пиццу я буду. Если номер другой, то достаточно сказать свой основной и все будет ок. Регистрации мне не нравятся абсолютно, но если у вас от них конверсия выше, то никого не слушайте.

Ответить
3
Развернуть ветку
Avdotii Pedishnii

Тоже такая мысля пришла. В нашей деревне (1млн жителей) заказываю в двух пиццериях, НИКАКИХ смс не требуют, при этом личный кабинет есть))) Программисты наверное посмышленнее...

Ответить
2
Развернуть ветку
Evil Pechenka

У Санрайза я бы личный кабинет всё же сделал, чтобы помнить адрес и историю заказов.

Ответить
0
Развернуть ветку
Невероятный меч

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Evil Pechenka

Я, с точки зрения пользователя, рассказываю, что мне неудобно на сайте — Вы сейчас над клиентами и их потребностями потешаетесь. Тупиковый путь.

Ответить
0
Развернуть ветку
Хороший Человек

Может это сам смс шлюз так свой доход увеличивает или тот кто вас по рефералке привел?)) Кем пользуетесь?

Ответить
38
Развернуть ветку
Саша Толстых

Берите выше - мобильные операторы! На скриншоте подозрительно много номеров МТС... Это МТС! Точно МТС!

Ответить
11
Развернуть ветку
Evgeny Lukin

Просто очень настойчивый пользователь 

Ответить
37
Развернуть ветку
Леонид Федотов

то заносит IP адрес в таблицу заблокированных, и при следующем обращении к сайту наглухо блокирует доступ.
Так делать ни в коем случае нельзя. Во-первых, у вас несколько клиентов могут сидеть под одним IP за натом (например в организации или в некоторых интернет-провайдеров так) - если вы так одного заблокируете, то заблокируете всех. Еще есть серые IP. Сегодня злоумышленник воспользовался симкой мегафона, вы его IP забанили. Теперь сегодня у меня IP вчерашнего злоумышленника - но я то хороший человек, ничего такого не делал, почему я доступа не смогу получить к вашему сайту?

Гугл каптчи было бы достаточно.

Ответить
27
Развернуть ветку
Артём А.

Причем невидимой капчи, которая отображалась бы только при доступе из тора или других подозрительных действиях

Ответить
8
Развернуть ветку
Serious Mann

У нас чувствительная отрасль, база клиентов постоянная, если не смогут зайти на сайт - будет отклик. Пока ни одного обращения не было. Так что норм.

Ответить
–5
Развернуть ветку
Михаил Иванович

Я попадал под такие баны: офисную подсеть целиком внесли в фильтр. В итоге просто заказал в другом месте с тоже хорошими суши: было тупо лень тратить время на какие-то звонки

Ответить
17
Развернуть ветку
Soul Manioe

На мыло таких разрабов )) Понаделают из г и палок на джумле или битриксе, дыр понаоставляют, а потом пытливые школоло засыпают своих друзей 1000 смсок с кучи сайтов с кодами "какими то пиццерий" и разгрести этот ад на телефоне то, ещё удовольствие, и ржут як кони друг на другом. А вы и дальше можете искать конспирологические версии, пока по человечески сценарий аутентификации не разрулите.

Ответить
5
Развернуть ветку
Алексей Вихров

еще как можно.
смотрите в локатор.
видите папуа-новая гвинея.
баните всю подсеть.

доброе утро

Ответить
2
Развернуть ветку
Дмитрий Лукьяненко

однако...

Ответить
19
Развернуть ветку
Саша Толстых

Добро пожаловать в Интернет.
Ваша Царица Роллов работает в Тюмени, вот и фильтруйте номера по региональной принадлежности. Или проверяйте номера через HLR-запрос.

Например, на скриншоте фигурирует номер 9177527601. Согласно выгрузке из базы Россвязи (https://rossvyaz.ru/deyatelnost/resurs-numeracii/vypiska-iz-reestra-sistemy-i-plana-numeracii?searched=true&code=917&number=7527601&operator=), номер закреплен за МТС, регион - Башкортостан. Вы работаете в этом регионе?

Ответить
4
Развернуть ветку
Max Krou

телефонное рабство отменили и теперь ты можешь по всей стране кататься со своей симкой. Людям при переезде симку минять чтобы роллы заказать?

Ответить
25
Развернуть ветку
Валентин Жетонофф

нельзя. Номер можно сохранить внутри региона. Ну так у биллайна, мегафона. 

Ответить
0
Развернуть ветку
Василий

И как это я 10 лет живу в другом регионе со старой симкой

Ответить
7
Развернуть ветку
Василий Дейков

Сим то все принадлежит региону в котором вы ее купили

Ответить
1
Развернуть ветку
Василий

С современными тарифами и связью через интернет это  не доставляет проблем. 

Ответить
1
Развернуть ветку
Max Krou

Кто у тебя заберет симку в другом регионе? Роуминг отменили, теперь все симки работают везде

Ответить
3
Развернуть ветку
Василий Дейков

Так у всех операторов.
Другое дело будет обидно приехать в командировку в Тюмень и не сделать свой заказ

Ответить
1
Развернуть ветку
Андрей Захаров

Лучше модифицировать схему. Тем, кто из не родного региона, показывать капчу, а кто из родного региона не показывать. Будет и нашим и вашим)) 

Ответить
11
Развернуть ветку
Serious Mann

правильно, но гемор

Ответить
1
Развернуть ветку
Михаил Иванович

Живу в Москве с Томской симкой. В интернет выхожу через Нидерландский ВПН. Как быть?:)

Ответить
5
Развернуть ветку
Dan Grigoryev

не видать вам Царицы :(

Ответить
5
Развернуть ветку
Василий

Ну как так то? Я писал  этот комментарий 

Ответить
2
Развернуть ветку
Роман Моисеев

Кейс рабочий, однако не во всех случаях) 
У меня например номер московский, а живу в Питере.
Просто в Москве тарифы были ооочень выгодные и пребывая в командировке успел приобресть)

Это Теле2, они на тот момент только на рынок заходили супер активно 

Ответить
0
Развернуть ветку
Make Luv

Плохой вариант. Живу с питерским мтсовским номером, уведенным в йоту в вечном роуминге. 

Ответить
–1
Развернуть ветку
Arthur N

«Йота» давно региональные тарифы давно отменила, я в Москве плачу 280 рублей за 350 минут и безлимитный интернет.

Ответить
0
Развернуть ветку
Юрий Белоножкин

Как вы это смогли? См.скриншот

Ответить
0
Развернуть ветку
Arthur N

На скриншоте какой-то новый тариф, где минуты можно выбирать сколько хочешь, как я понимаю. У меня так.

Ответить
0
Развернуть ветку
Юрий Белоножкин

Ну тогда классно быть вами, достаточно всего лишь пропутешествовать обратно во времени и перейти на старый тариф Yota заранее. @Yota @Yota — официально @Yota Admin можете дать пояснения? У меня тариф для смартфона, если это важно.

Ответить
2
Развернуть ветку
Yota

Юрий, друзья, всем привет! Пояснительная бригада на месте.

Сперва отметим про региональные условия: сейчас их действительно уже нет, и по всей России остается один-единственный пакет - тот, который был подключен в домашнем регионе сим-карты.

Из-за технических особенностей не удалось автоматически переключить все-все сим-карты с региональных условий на обычные, поэтому если условия всё еще региональные - мы можем помочь с переходом. Для этого нужно прислать нам в ВК (vk.me/yota) описание ситуации, а также свой номер.

Что касается конкретно вопроса Юрия про разные условия. Наша последняя тарифная линейка подразумевает конструктор - гибкую настройку минут и трафика с точностью до единицы. Именно это и видно на скриншоте Юрия. Ознакомиться с актуальной ценовой политикой этой линейки всегда можно на нашем сайте: yota.ru/voice

На скриншоте Arthur N видим архивные условия, которые настраивались не так гибко: 350, 600 минут и т.д. Увы, такие пакеты сейчас недоступны для подключения, ими продолжают пользоваться те, у кого они уже были подключены. Так что без машины времени тут, к сожалению, действительно не обойтись :(

Ответить
5
Развернуть ветку
Илья Посаженников

Это тариф для смартфона или планшета?

Ответить
0
Развернуть ветку
Arthur N

Смартфона.

Ответить
0
Развернуть ветку
Ruslan Mirsalikhov

КАК? Москва, старый тариф с безлимитным интернетом, 480р. @Yota @Yota — официально @Yota Admin говорят, что разница может быть из за регионов. Где была куплена ваша ? 

Ответить
0
Развернуть ветку
Arthur N

Да, это точно из-за региона. Моя куплена в Башкортостане.

Ответить
0
Развернуть ветку
Make Luv

Да причем тут роуминг, я про то, что банить/ограничивать по региональной привязке номера плохая идея.

Ответить
0
Развернуть ветку
Max Krou

отменили же роуминг еще год назад

Ответить
0
Развернуть ветку
Yota

Привет! Роуминг сейчас отменен, так что не такой он уж и вечный. Пришлите, пожалуйста, нам в VK (vk.me/yota) свой номер и описание ситуации. Поможем с переходом на актуальные домашние условия 👌🏻

Ответить
0
Развернуть ветку
Anton Kuzmichev

Пфф, комментаторы.
Не надо искать заговора или тайного смысла там, где его нет. Здесь налицо просто малолетние долбоёбы. Погуглите "смс бомбер", а ещё лучше "site:pikabu.ru смс бомбер". Улюлюкающее быдло даже не задумывается о том, что каждая смс стоит под 2 рубля, ведь платят в конечном счёте не они. Если их ткнуть носом, ответом будет: "Чего, блядь? Не обеднеют!", я пробовал.
Под раздачу попадают никак не защищённые API отправки СМС (капчей, CSRF или иным способом).

Ответить
10
Развернуть ветку
Serious Mann

я на пикабу не бываю увы или ах

Ответить
1
Развернуть ветку
Denis Mokhin

Кстати капча третьей версии тихо-мирно показывается в уголочке... А иногда даже и это можно скрыть. Но запросы, между тем, ей верифицируются. И если это нелюдь, то в запросе это видно и такой запрос к серверу можно исключить. Сам пользуюсь этим механизмом.

Ответить
8
Развернуть ветку
Serious Mann

Да, я в курсе. Делал наскоряк т.к. с этой знаком, а с новой тихой капчей надо разбираться ещё что там на дак

Ответить
1
Развернуть ветку
Avdotii Pedishnii

Да с ней не надо разбираться))), вы просто в настройках рекапчи (в панели гугла) ставите галочку в другой строчке , все остальное делает гугл...

Ответить
4
Развернуть ветку
Mikhail Lazarev

А почему не сделать CSRF и на этом успокоится? Добавьте в скрипт Get запрос кода для авторизации POST запроса - если Вас ломают массово как одного из списка - то такой фильтр уберет на 100 процентов проблему

Ответить
7
Развернуть ветку
Разный историк

уберет на 100 процентов проблему
Еще две строчки кода в бомбере и 100% превращаются в 0%

Ответить
4
Развернуть ветку
Mikhail Lazarev

Я же написал, что если ломают массово, и нет задачи крякнуть Царицу Роллов - то никто и заморачиваться не будет. Бомбер, скорее всего, был написал на заказ и никто не будет его адаптировать. А вот есть следят плотно - то тут могут и DDOS запустить, и полицию натравить

Ответить
1
Развернуть ветку
Mikhail Lazarev

На первой стадии можно просто сделать доп. поле и ключ

Ответить
1
Развернуть ветку
Дмитрий Малахов

Как версия -   как раз жертва не вы , а получатели.
Цель этого По - недорого "достать" жертв, присылая им  СМС из разнообразных источников.
Поэтому авторы и ищут недозакрытые сервисы, через которых их и можно делать.

Ответить
7
Развернуть ветку
Ware Wow

Похоже на то.

Ответить
0
Развернуть ветку
ur spam

Ссылку на тот проект на гитхаб дайте - лень искать.

Ответить
–9
Развернуть ветку
Denis Mokhin

Сам себе минус поставь... Лень нажимать...

Ответить
18
Развернуть ветку
Timur Alekseenko

Очень правильно на картинках рисовать баттоны и не делать их кликабельными ;)

Ответить
5
Развернуть ветку
Serious Mann

бывает всякое ) такая лайф

Ответить
2
Развернуть ветку
Андрей Деревянко

После такой развязки не нахожу слов - офигеть)

Ответить
5
Развернуть ветку
Рыночный калькулятор

Комментарий удален по просьбе пользователя

Ответить
4
Развернуть ветку
Serious Mann

есть такая, висит на морде

Ответить
0
Развернуть ветку
Леонид Барышников

Сказ о том, как бюджеты отрабатывать. Вопрос, как всегда один: кому выгодно?(;

Ответить
2
Развернуть ветку
Dmitri Atname

Точно выгодно смс-провайдеру, но сомневаюсь, что это они будут заниматься такой деятельностью.

Ответить
0
Развернуть ветку
Ренат Смольный

То есть левыми подписками операторы активно занимаются, а нагреть сотни компаний на раздутый на смс-бюджет - нет?)

Ответить
4
Развернуть ветку
Dmitri Atname

Клиент может же поменять смс-провайдера, тогда вообще никакого бюджета не будет.

Ответить
2
Развернуть ветку
Serious Mann

с другой стороны - это я попал на десятку тыс руб учитывая микро размер компании. А есть фед.сети, у которых счет может выскочить на сотни. Так что может быть вполне логично.

Ответить
1
Развернуть ветку
Serious Mann

вряд ли

Ответить
0
Развернуть ветку
Сильвестр Беспалый

это разработка школотронов для спама смс хозяевам номеров. причем, бомбер ничего не расходует.

Ответить
0
Развернуть ветку
Леонид Барышников

Интересная штучка, слишком даже, для простого спама. Да и тут она запрашивает СМС, а не спамит ими

Ответить
0
Развернуть ветку
Дмитрий Дмитриев

ну и на сео ты решил плюнуть после всего? 

Ответить
2
Развернуть ветку
Serious Mann

Не, сеошка в процессе переделки, так что пока вылетают всякие нюансы

Ответить
0
Развернуть ветку
Максим Пряник

По сеошке вам структуру надо пересмотреть. Раздел роллов лучше сделать разделом, сейчас это просто пункт в меню. Наборы лучше назвать сетами. Много можно чего по сайту сказать, говорю вам как человек продвигающий 2 сети. Пишите в ЛС отвечу

Ответить
2
Развернуть ветку
Serious Mann

дело говоришься @amspb в телеге напиши, готов обсудить

Ответить
0
Развернуть ветку
Alex Chernyshev

Добро пожаловать в клуб: очень хорошо что вы так легко отделались,  некоторым не повезло куда больше - были попадания на куда большие суммы.
Что с этим делать? 
1. Привязка к сессии - обязательно https only cookie, без этого - рубим
2. Обязательно несколько шагов и форм, плавающих: вставьте банальное 'мы вас любим' с кнопкой 'продолжить' для каждого 5-10го клиента -  отсечете сразу половину таких колхозных скриптов, без всякой капчи
3. CSRF-токен на каждую форму, генеренные id управляющих элементов - не должно быть способа дернуть отправку заказа или восстановление пароля через один единственный POST-запрос или каким-то очевидным разбором html

Вообщем не должно быть простого способа вас попользовать,  если натянуть вашу систему доставки будет стоить 5 000 долларов - все, вы защищены. 

Ответить
2
Развернуть ветку
Сильвестр Беспалый

все это обходится питоном. scraper и готово.

Ответить
0
Развернуть ветку
Alex Chernyshev

А уровнем выше scraper есть например Selenium, с полной симуляцией действий пользователя, тк там браузер полноценный под капотом. Даже движения мышкой можно эмулировать, весь js код будет работать, даже плагины внешние, например для ЭЦП.
И на это тоже есть свои средства защиты и обороны.
Cуть же в том чтобы уровень защиты соответствовал объекту защиты, чтобы пользователей не задолбать в процессе.

Ответить
1
Развернуть ветку
Serious Mann

золотые слова. Пока всё проще, но! Друг, свяжись со мной в телеге @amspb , буду рад общению.

Ответить
0
Развернуть ветку
Alexey Kuznetsov

Обычно в любом действии есть какой то мотив. Например, всплеск кликов на рекламу диванов был вызван флешмобом, некоторые сайты страдают, т.к. попали как пример в курсы по веб-скраппингу и т.п.
Предположим, что мотивов здесь минимум два. Первый - заказ конкурентов, а скрипт просто содержит список таких же "заказанных" у этого "исполнителя", который даже не справился сделать репозиторий приватным для такого кода.
Второй мотив может быть у того, кому платите за смс. Не хотите провести анализ "коллег" в списке в скрипте? Возможно все вы используете один смс-шлюз, который таким простым способом обеспечивает накрутку?

Ответить
2
Развернуть ветку
Виктор Алексеенко

Молодца, хорошо капнул и других предупредил 

Ответить
2
Развернуть ветку
Дмитрий Цветков

Сделай авторизацию через чат-бота. И скликивать нечего и дополнительный бесплатный канал для рассылок клиентам.
Что-то типа: http://supertest.servicebot.online/

Ответить
2
Развернуть ветку
Serious Mann

гемор

Ответить
0
Развернуть ветку
Дмитрий Цветков

почему?

Ответить
0
Развернуть ветку
Richard Daniel

Не понял, а что пишут про схему авторизации по номеру смс типо зло?
Все каршеринги - на такой. Все доставки еды, деливери, яндекс еда, самокат, хз что ещё - на такой. Вк, ок, куча соцсетей, вб, озон и прочего - на авторизации по смс. Да, для получения скидки новорегам по еде как защита это уже не ахти как работает, хитропопые арендуют смс активацию в сервисах на 15 минут. Но тем не менее, в чем зло то по существу? 

Ответить
2
Развернуть ветку
Serious Mann

сам не пойму. номер телефона - самый ясный ID сегодня. уникальный, конструктивный, рабочий. тут все ссат на чипирование - но каждый живет под номером уже сейчас. 

Ответить
0
Развернуть ветку
Oner Ksor

Авторизация по телефону — единственное правильное решение. Юзеру не нужно помнишь ни логин, ни пароль — ввёл телефон и зарегистрировался/авторизовался.

Автор явно с головой подошёл к решению, но можно было сделать проще — отправлять запросы к смс-оператору с сервера. Юзер на клиенте вводит номер телефона, жмёт получить код — сервер обрабатывает номер и делает запрос. А запросы вашего сервера скрыты от глаз. Таким образом, вы героически решили проблему, которая вытекает из другой — не нужно слать запросы к другим сервисам с клиента.

Ответить
1
Развернуть ветку
Serious Mann

+

Ответить
0
Развернуть ветку
Ренат Смольный

Кто-то из сотовых операторов похоже сделал))

Ответить
1
Развернуть ветку
Serious Mann

вряд ли, не их уровень

Ответить
1
Развернуть ветку
Чувствительный будильник

Комментарий удален по просьбе пользователя

Ответить
1
Развернуть ветку
Андрей Poinntt

СМС-бомбер в последнее время разрекламировали на пикабу.
Реальный кейс - народ читает пост про "плохого" человека, кто-то в комментах предлагает использовать на нем смс-бомбер, вот вам и "скрутка" получилась из тысячи хомячков которые пытаются кому-то насолить.

Ответить
1
Развернуть ветку
Вадим Кондратьев

зумеры в питончик пытаются 

Ответить
0
Развернуть ветку
Serious Mann

пикаду аудитория малая нынча

Ответить
0
Развернуть ветку
Valuzhen Uktamjon

Жалобу на репозиторий наверное стоит послать.

Ответить
1
Развернуть ветку
Serious Mann

я послал

Ответить
0
Развернуть ветку
Иван Гуляев

Довольно популярный вид баловства, во многих сайтах, API запросы голыми отсылаются на сервер.
Плюсую, что гугл капчи более чем хватило бы для защиты.

Ответить
1
Развернуть ветку
Serious Mann

Согласен, но сначала было непонятно - по каким запросам атака, надо было кикнуть всех сверхактивных. Пока от клиентов ни одной жалобы не было. 

Ответить
0
Развернуть ветку
ave ego

зачем вам сдалась эта гуглкапча - и передавать ей номера пользователей.. поставьте альтернативную капчу с тонкой настройкой сложности, сейчас развивается, там автобусы, велосипеды, зонтики ))) ее Privacy Pass от cloudflare поддерживает..

Ответить
1
Развернуть ветку
Serious Mann

Спасибо. Буду знать. +++

Ответить
0
Развернуть ветку
AlexSandro

1. За публикацию скрина с номерами (кто бы и по какой причине за ними не прятался) Роскомнадзор "грохнет" Вашу "сушильню", ибо у Вас наверняка есть соглашение о нераспространении персональных данных.
2. Вы на 100% уверены, что среди этих номеров, нет реального клиента, который прочтет эту статью и засудит ваши суши к чертовой бабушке? 
3. Кто мешает восстанавливать пароль только для зарегистрированных клиентов. 
4. Нафига вообще этот гемор с регистрацией и восстановлением пароля по смс. 
как только меня на левом сайте просят ввести номер, я ухожу с него, т.к статистика показывает, что после таких регистраций увеличивается поток спама. Позвонив как-то с совершено нового номера в известную и раскрученную пиццерию в нашем регионе, я начал получать спам с указанием моего имени, что на 100% доказывает причастность таких контор в распространении персональной информации. Еще раз позвонил, но в тех поддержку, сказал что подам заяву в суд и в ФАС ибо задрали, 
и как ни странно, спам прекратился, надо же, какое совпадение. 
Даже Вы не постеснялись выложить номера, что уж говорить про тех, кто ими торгует. 
Кто его знает, может даже это и ваша "сушильня" тоже страдает такой фигней, ведь зачем то кровь из носу вам нужны номера клиентов. 
5. Почитайте, что такое серый IP у мобильных операторов, есть внешний IP- белый, на котором может просидеть десяток, а то и сотня абонентов за сутки, есть внутренний - серый. 
И на каком основании Вы заблокировали всех остальных абонентов сидящих на одном и том же внешнем IP? 
И это всë, из за отсутствия желания найти более оптимальное и простое решение. 

Ответить
1
Развернуть ветку
Товарищ

"Как и любой компании по доставке еды, у моей «Царицы Роллов» (не спрашивайте о странном названии, долгая история) "

Так почему «Царица Роллов»?

Ответить
0
Развернуть ветку
Serious Mann

Был другой проект, который умер в войне с роспотребнадзором из-за неправильно установленной вытяжки ( рпн про из-за нарушение выключает компанию, после 3х раз ликвидирует). После войны с юрлицом умер товарный знак, надо было выкручиватья, родилось вот это. Вариантов других не было. 

Ответить
1
Развернуть ветку
Hecatecoin

В далекие нулевые у меня на одном из сайтов стояла регистрация по смс в другом формате. 

На сайте выходил цифровой код из 6 цифр
Клиент отправлял его через смс на мой номер. 
Бот обрабатывал входящие смс через обычный юсб модем билайна. Там все писалось в базу данных в модеме, и нужно было просто ее читать.

Спамили номер мой конечно крепко. чего только не отправляли ... Один даже чел частушки матерные отправлял.

Ответить
0
Развернуть ветку
Serious Mann

Раньше были времена, а теперь мгновения  =)  таким знакомствам рад, есть что со мной связь в телеге @amspb, всегда рад общению с птеродактилями ( к коим и себя отношу )

Ответить
1
Развернуть ветку
Михаил Иванович

А сэйлфи с паспортом через MMS не нужно было отправить на этот номер?

Ответить
0
Развернуть ветку
Serious Mann

кто-то помнит ммс )

Ответить
0
Развернуть ветку
Dmitry Mikushin

Смысл SMS-бомбера в том, чтобы насолить какому-то конкретному номеру бесконечным потоком SMS. Бороться с этим тяжело потому что SMS - технология 80х годов, когда слово "спам" даже не было в ходу. Ещё пару лет этого вала "предложений" и "акций", и SMS будет просто заблокирована по умолчанию, как функция.

Как клиент всяких онлайн-магазинов, я вижу, что многие идут другим путём. Вместо бесящих гидрантов, вводят номер в базы вайбера, и если он там есть, то присылают свои авторизации туда.

Ответить
0
Развернуть ветку
Anton Kuzmichev

С точки зрения владельца бизнеса, дело только в том, что через его API происходит несанкционированная рассылка сообщений. Технически массовость этого явления пресечь не проблема - вешай капчу и дело с концом. Да только для рядовой сушильни это значит отсечь часть народу, которая эти капчи в гробу вертела, и заказы будут уходить.
СМС или вайбер - дело десятое, и в любом случае такие шалости стоят денег, на которые попадает владелец.

Ответить
1
Развернуть ветку
Артём Лисовский

Ну ладно тебе, задетектить спам на эндпоинт апи - совсем простая задача. Начиная с csrf, заканчивая cf и прочими решениями. А по всему сайту капчу смысла нет, если только ты не аптека и тебе надо уберечь свои прайсы от парсинга. Хотя и это успешно решается.

Ответить
0
Развернуть ветку
Артём Лисовский

cloudflare вам в помощь, да всякий fail2ban. описанные проблемы давно решены в том числе бесплатными сервисами

Ответить
0
Развернуть ветку
Уникальный завод

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Alexey Yurganov

по умолчанию он фильтрует только серверные прокси

Можно включить DDOS режим и тогда будет просить капчу у всех

Ответить
1
Развернуть ветку
Philip Pena

он не требует каждого раза ввода, если трафик не серый.

Ответить
0
Развернуть ветку
Артём Лисовский

не включайте для всех эндпоинтов сайта, включите только перед оплатой, например
добавьте csrf на форму
сделайте лимиты на отправку номеров с одного ip
сделайте блеклист номеров/ip
мониторьте заполняемость корзины перед смс
в конце концов - уберите смс-авторизацию

могу еще десяток идей накинуть также как и методов их обойти
с каждым разом обход будет стоить дороже и становиться бессмысленнее для атакующего

Ответить
0
Развернуть ветку
Serious Mann

ну хто из ауд знает такие стращные слова ? нихто

Ответить
0
Развернуть ветку
Артём Лисовский

поэтому давайте ещё раз изобретем кривое колесо. окей
computer science в помощь, не надо писать велоспеды не в учебных целях, всё уже придумано удобно и полноценно. вы же не кипятите воду в желудке животного или кастрюльке? есть чайник, он удобный, доступный, быстрый.

Ответить
0
Развернуть ветку
Кирилл Казаков

@Serious Mann добавьте, пожалуйста, ссылку на репозиторий

Ответить
0
Развернуть ветку
Mike Espoo

 А может сделать запрос в GitHub для блокировки контребьютеров данного проекта?
Я не думаю, что GitHub поддерживает такие вещи.

По своему опыту общения с их Support, отвечают оперативно и стараются помочь.

Ответить
0
Развернуть ветку
Serious Mann

Я написал, со всеми ссылками и описанием

Ответить
0
Развернуть ветку
Алексей Петрович

Там у человека как минимум парочка таких репозиториев. b0mb3r для смс спама, zoomrip для спама по зум-конференциям. Развлекается, чувак...

Ответить
0
Развернуть ветку
Михаил Макаров

Напоминает вот на такую схему (не реклама, специально сохранил ссылку после прочтения): https://gexr.ru/news.php?id=19

Скорее всего вместо скликивания в задании указывают оставить заявку со своего номера телефона исполнителя.

Ответить
0
Развернуть ветку
Вадим Кондратьев

эта схема до сих пор актуальна? вроде яндекс возвращает деньги за говённые клики из буксов

Ответить
0
Развернуть ветку
Юрий Белоножкин

API доступен из интернета, авторизации нет никакой (то есть любой черт может делать запросы на использование платного ресурса - смс), так сделано у кучи сайтов... В индустрии так принято что ли?

 Как и везде, SMS с сайта мы отправляем через API стороннего сервиса

Можно поподробнее про архитектуру данного решения? А то этот кейс надо описывать всё же не как «какие злые дети-хакеры, как жесток мир», а «мы продолбали, но быстро исправились вот смотрите», потому что это провал архитектуры, по моему мнению.

PS статью не мешало бы вычитать перед отправкой.

Ответить
0
Развернуть ветку
Serious Mann

Да, любой чёрт может ( мог ) сделать запрос из  интернета на восстановление пароля. Хотел было туда поставить капчу, но сам терпеть её не могу, поэтому сколько мог не ставил. И так благополучно года 2 отработал сайт в открытую.

Ответить
0
Развернуть ветку
Alex Fadeev

Какую авторизацию вы будете вешать на регистрацию, оло? Вдумались бы лучше в суть, прежде, чем умничать)

Ответить
0
Развернуть ветку
Юрий Белоножкин

На отправку смс-сообщений, оло. Как сказал мудрец «Вдумались бы лучше в суть, прежде, чем умничать»

Ответить
0
Развернуть ветку
Arthur N

Пост не читал, но где ссылка не репозиторий?

Ответить
0
Развернуть ветку
Arthur N

Лан, нашёл.

Ответить
0
Развернуть ветку
Evgeny Lukin

:)

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Денис Воробьёв

Считаю довольно таки ироничным факт того, что  сайт на доставку не работает по причине "спам-рассылки по айпи" :D

UPD: по впн работает :3

Ответить
0
Развернуть ветку
Avdotii Pedishnii

Что за смс-сервис то? Небось по 5 копеек за смс?)))
Пользуюсь тремя широко-известными, по 50копеек за смс, там всегда ДЛИИИНННЫЙ список заблокированных попыток,  если немного отбросить толерастию, то скажем честно, половина айпишников - амстердам, половина жофто-блокитных, вы уж извините, если тут кто есть оттуда...
Вы просто не поставили галочку "Отсеивать спам")))

Ответить
0
Развернуть ветку
Hecatecoin

Тут данные просто в форму на сайте вставляют и вперед. Даже за 100 рублей смс сервис вам не поможет. 

Ответить
0
Развернуть ветку
Serious Mann

5 копеек? Потерялись вы во времени. Смс нынче в районе 2-3 рубля за шт.

Ответить
0
Развернуть ветку
Russian Hackers

Опять эти ваши хакеры устроили СМС-атаку

Ответить
0
Развернуть ветку
Григорий Крутеев

Старая история. Куча таких репозиториев на гитхабе уже давно валяется.

Ответить
0
Развернуть ветку
Serious Mann

Ну весь гитхаб никто не знает, ну вот в лоб ударился, написал. Возможно, кому-то пригодится.

Ответить
0
Развернуть ветку
Разный историк

Спасибо, добрый человек. Запостил новость для покупателей. СМС Аэро фильтр добавили после этого. Больше атака не повторялась

Ответить
0
Развернуть ветку
Alex Fadeev

Вц не перестает удивлять качеством статей. Серьезно, смс бомберы открытие? Любой разработчик с смс с этим сталкивался, это типа вообще не новость. Я годами кидал ранее на эти репы в гитхабе жалобы, как видите они только живут и этим молодым реверс инженерам ниче не будет.

Ответить
0
Развернуть ветку
Руслан Яцукевич

Рекомендую установить перед сайтом WAF (Web application firewall). Есть спец. сервисы. Забанит сразу ваших 8000+ IP.

Ответить
0
Развернуть ветку
Check Line

I bind conducts SMS attacks with FUD crypter. It runs around 420 PC so SMS attacks on 2500 numbers. you can buy crypter and bind files.

Ответить
0
Развернуть ветку
Valentin Bykov

А что делать если нацелено бомбят номер с помощью этой дичи?

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Читать все 147 комментариев
Как мы сделали корпоративную культуру инструментом роста. Опыт региональной IT-компании
HR своими руками: нашёл редактора рассылки за неделю без нервов (и вы тоже можете)

Исправляем типичный черезжопный HR-процесс на рынке диджитала.

«Делимобиль» заставил ждать выездную службу в –20°

В Свердловской области сломалась машина «Делимобиля». Поддержка заставила пользователей ждать пять часов на морозе.

Самые заметные экопроекты 2022-го года

Какие проекты в области охраны окружающей среды будут реализовываться в этом году – читайте в материале.

фото: Департамент природопользования и охраны окружающей среды города Москвы
Гибридный мир — гибридные меры. Тренды-2022 в ментальном здоровье на работе

Мир изменился. Мы учимся работать удаленно, а дети на дистанционном обучении прыгают у нас на голове. Работодателям надо заботиться, чтобы сотрудники не выгорели из-за стресса, и как-то гарантировать им стабильное будущее в условиях кризиса. Наконец, приходится решать, оставаться ли на удаленке, возвращаться в офис или пробовать гибридный формат.…

Отвечаем Центральному банку на его вопросы про криптовалюты

На прошлой неделе все обсуждали предложение ЦБ запретить криптовалюту. Однако ЦБ не просто хочет все запретить, а интересуется мнением общественности и ставит в своем докладе несколько вопросов. Давайте на них попробуем ответить.

Банки не любят криптовалюты, такси не любят Uber, отели не любят AirBnB, книжные магазины не любят Amazon, кинотеатры не любят Netflix, офисный планктон не любит удаленку. Инновации нравятся далеко не всем.

NFT и фан-токены захватили спорт. Откуда сотни миллионов долларов? И как скажется запрет криптовалют в России?

Гид по новому дивному миру от автора Sports.ru Ярослава Сусова.

Использование Google Analytics может быть признано незаконным в ЕС

На прошлой неделе австрийское Агентство по защите данных признало незаконным использование Google Аналитики в Австрии (входит в ЕС). Значение этого события в том, что решение австрийского регулятора — это только лишь прецедент, который может привести к полному запрету использования GA в Европейском Союзе.

Макс Шремс, борец за защиту цифровых прав граждан ЕС. Фото edwardsnowden.com
BigARTM . Что в мире творится?

Задача – проанализировать, о чем пишут люди, иначе говоря, какие темы их интересуют.

Налог на вклады больше 1 млн рублей распространится и на тех, у кого меньшая сумма на счетах Статьи редакции

ФНС начислит налог, если прибыль по вкладу за год превысила 42,5 тысячи рублей.

null