Как сервис психотерапии Zigmund.Online на своем примере предотвратил последствия массовой спам-атаки
16 февраля 2023 года сервис психотерапии Zigmund.Online подвергся масштабнои атаке со стороны ботов из-за прошлогодней рекламной кампании с певицеи Монеточкои* (Елизаветои Гырдымовои). На официальную почту компании и личный номер CEO сервиса приходили сотни писем идентичного содержания с просьбами удалить рекламный ролик.
О компании
Основа миссии Zigmund.Online – с помощью технологий сделать психотерапию доступной и понятной, чтобы миллионы людей чувствовали себя счастливее. За время работы в сервисе психотерапию проходили более 60 000 клиентов. Среди экспертов – 1000 проверенных психологов. Ежемесячное количество обращений – около 15 000.
16 февраля 2023 года на соцсети, электронную почту и телеграм-канал сервиса начались информационные атаки, которые длились двое суток. Триггером послужило видео, опубликованное на канале Zigmund.Online в апреле прошлого года. На почту Zigmund.Online пришло множество сообщений примерно с одним и тем же содержанием:
Как реагировали разные отделы команды Zigmund.Online и какие меры были приняты для предотвращения сбоя работы сайта
Евгений Горячев, Технический директор Zigmund.Online:
Для начала стоит уточнить, что спам-атаки на сервис отличаются по поведению от других типов атак. Обычно это проявляется в массовом получении сервисом нежелательной и бесполезной (а иногда и агрессивной, негативной) информации по различным каналам связи (телефон, e-mail, мессенджеры, соцсети, через личные данные сотрудников компании).
Как мы отслеживали спам-атаку
В некоторых каналах связи изначально включены или предустановлены спецнастройки защиты от спам-атак. Так, например, в мессенджерах и соцсетях профили закрыты от различных действий (звонки, написание сообщение, приглашения в группы и каналы).
Данный вид атаки направлен не на сервис и его инфраструктуру, а на компанию, руководителей, партнеров, так что каких-то внешних специальных инструментов по защите нет.
Какие действия можно предпринять до или во время спам-атаки, чтобы снизить негативный эффект
- Обязательное правило, которое должно действовать на всех сотрудников компании: в рамках работы использовать рабочие контакты (телефон, e-mail), а не личные. Если есть рабочие соцсети или мессенджеры, они должны быть зарегистрированы на отдельные телефоны или e-mail. Это как минимум обезопасит сотрудников от целевой агрессии против них.
- Если атака идет по одному или нескольким e-mail компании, временным решением может быть фильтрация писем или их переадресация на резервную почту с целью снизить «захламление». У каждого e-mail сервиса есть расширенные возможности по настройке редиректов или фильтрации. В простых случаях можно автоматически фильтровать письма по ключевым словам.
- В случае с мессенджерами и соцсетями необходимо соблюдать цифровую гигиену. Как минимум стоит закрыть доступ к таким функциям, как приглашение в группы или сообщества, звонки и иные инвайты. Во время спам-атак также рекомендуется закрывать входящие от неизвестных контактов при первом признаке спама на этот аккаунт.
- В некоторых случаях спам-атака может проводиться через сайт компании. Обычно это формы обратной связи или связь с поддержкой продукта. В данном случае стоит включать и
- внедрять механизмы защиты от роботов (captcha / recaptcha). Это не спасет от спама, но уменьшит количество нежелательных обращений и снизит нагрузку на сервисы.
- В остальных случаях, при попытке дестабилизировать работу самого сервиса (его инфраструктуры) помогают все средства, которые защищают от DDoS-атак.
Zigmund.Online и прежде сталкивался с различными атаками: спам, DDoS, инъекции, brute-force. Во всех случаях атаки быстро пресекались, в т.ч. с помощью превентивных методов и механизмов.
Одна из последних атак была направлена на систему авторизации. В первый же час системы мониторинга мы определили атаку. Дежурная команда временно ограничила авторизацию, после чего увеличила защитные меры, предотвращающие такого рода атаки.
Как не впадать в панику и сохранить настрой команды в кризисных ситуациях?
3 основных принципа, которым мы следуем:
- Конструктивный и критический подход. Сначала решаем проблему, а уже потом разбираемся в причинах и ищем пути, как такого не допускать в дальнейшем. В данном случае периодически задаю себе вопрос «Приводят ли текущие действия к решению проблемы или нет?»
- Не раздуваем проблему в команде. Запрещаем себе нагнетать обстановку и утрировать ситуацию. Оперируем фактами, а не домыслами.
- Третий по счету, но не по важности пункт: мы не боимся ошибаться. Воспринимаем ошибки как новый опыт, помогающий выявить слабые места в продукте и процессах компании.
Натали Синицына, Руководитель операционного направления Zigmund.Online:
Мы не пользуемся специальными инструментами по отслеживанию спам-атак. Можно сказать, что обнаружить что-то неладное помогает атмосфера в коллективе: саппорты общаются между собой, обсуждают кейсы и замечают однотипные обращения.
По сути, для агента поддержки нет разницы, с какой проблемой сталкиваться, будь то спам-атака или сбой в сервисе. В обоих случаях роль играет массовость обращений, так и замечаем.
Все атаки, которые потенциально может пережить сервис, условно делятся на два типа:
- Репутационные или идеологические, как в случае с певицей Монеточкой. В этом случае нам пишут разные люди, пусть и ведомые кем-либо;
- Спам, направленный на увеличение нагрузки на сервис. Своеобразная ddos-атака, при которой получаем много заявок, сгенерированных одним лицом.
Первый требует каких-никаких ответов, пусть даже шаблонных, но при этом выверенных до мелочей. Здесь наш друг — факты. Со вторым сталкиваемся чаще. Заметить недоброжелателя просто: почта, логин, имя, любые другие опознавательные знаки, как правило, — набор символов. Например, заявка от клиента с почтой hghghghhghgh@mail.ru — повод насторожиться. Нужно быть внимательней с остальными тикетами. Есть и другое развлечение — нецензурные слова вместо имени. Такой спам не требует ответов, его быстро закрываем и двигаемся на помощь другим клиентам, которым лапки саппорта действительно нужны в моменте.
Дружелюбная атмосфера — наше всё. У саппорта не должно возникать мыслей, что если он что-то сделает не так, его наругают, накажут или, того хуже, уволят. Лучшие коллективы существуют по принципу «я заметил кое-что странное, об этом точно нужно рассказать!». И даже если на самом деле ничего странного в ситуации нет, уже здорово, что человек держит ушки на макушке.
Думаю, что здесь роль играет и отношение к сервису. Когда любишь работу, тебе не всё равно, что происходит. Поэтому и атаки замечаешь быстро, и предупреждаешь кого надо, и отвечаешь красиво. Красиво — это как? Это когда у клиента не остается вопросов.
*признана иноагентом