Читатель ITC.UA по имени Тарас (@PhishingAbuse) поделился с нами отличным материалом про фишинг в современных украинских реалиях. Публикуем в «Блогах» и рекомендуем к прочтению, хотя для понимания всего происходящего требуются определенные знания.
Однажды в комментариях в Телеграм я заметил, что частота появления фейковых выплат (ООН, Unisef, Красный крест и т. д.) увеличилась и меня это заинтересовало. Вспомнил, что знакомый использовал определенные инструменты, чтобы тырить у россиян пару $k на ВСУ, и подумал нужно и мне использовать свои способности, а вот и возможность — сэкономить деньги украинцам, которые не знают, что такое фишинг. До этого я пытался помочь всем в боте @stopdrugsbot, но позже до меня дошло, что эффективность этого близка к нулю.
Комментарии, которые всех достали
Понимая, что юзер-боты (спамеры в комментариях) долго не живут и нужно найти наиболее эффективный способ прикрыть, или хотя бы ограничить, эту лавку невиданной щедрости я начал искать методы — переходить по всем ссылкам, считать, хранить. Юзерботы исчезали, ботов было немало, даже под одним юзернеймом, а вот доменных имен — мало.
Пример заманивающей страницы
Вспомнил про abuse-контакты для каждого IP в RIPE — это должно сработать. Тогда и началось — whois по IP дает нам Cloudflare — нашел форму, написал. Whois по доменному имени дал лишь подсказку по поводу регистратора — написал. И через несколько часов этот сайт перестал открываться. Тогда и началось. Похвастался коллегам — один сказал круто (ему тоже это надоело). Начали искать, обмениваться, давать сразу ссылку на abuse-формы. Спросил модераторов определенного канала, где мы это видели, не было ли недавно еще подобного — сбросили, полетело. Переписка уже не была чисто рабочей, а в чате начался хаос.
Как выглядит прощание с деньгами
Когда доменов и ботов стало больше, а часть лежали — тогда уже подумал, что пора это дело упорядочить. Создал канал, написал краткую инструкцию, начал вести список, пригласил коллегу админом. Так как постоянное надоедание модераторам не всегда дает нужный результат, то пошел к админам, приходил уже с начальным результатом и здесь один из них дал админку. В тот момент это было идеально — сразу удаляешь сообщения с репортом от группы — юзербот почти 100% получает бан, а еще постоянный доступ к истории удаленных сообщений — именно там и все боты и домены. Потом так напросился еще к одному, хотя там и спамеров было меньше. Наша быстрота реакции росла, список пополнялся. Впрочем, время блокировки различалось — от 1-2 дня до недели.
Ответ одного из регистраторов
Впрочем, нас муляло, что один из регистраторов вообще никак не реагировал ни на какие письма на все доступные адреса. Даже на административные контакты относительно домена верхнего уровня. Хотя все остальные реагировали если не письмом, то быстрыми действиями (даже риг-ру через несколько дней, может до двух недель забирает домен, но я все равно пишу им по-английски). Я даже написал письмо ICANN относительно того регистратора, однако они развели руками, потому что домен (ы) национального уровня. Тогда я понял, что блокировка таких сайтов регулятором не такая уж плохая идея, несмотря на весь негатив. Но это все равно продолжало меня мулять. Тогда я нашел для нас такой инструмент как Google Safebrowsing, ведь с ним достаточно легко обращаться — перейдите по ссылке, введите полную ссылку, при необходимости укажите что нужно сделать:
Форма репорта в Google
Мы выбираем такие сервисы, которые работают у всех, независимо от ОС или браузера, ПК, телефона или планшета. И при достаточном количестве жалоб с разными ссылками они дают такое предупреждение о домене, что выглядит однозначно:
Предупреждение, которое невозможно не заметить
Это нам и помогло, потому что Cloudflare, несмотря на многочисленные жалобы по ссылке, редко или медленно помогал. Но и такое случалось:
Хотят, когда смогут
Когда читали новости, что органы ловят понемногу таких уродов, то понимали важность своего волонтерского хобби, а список доменов пошел на 4-й десяток, мы оба одновременно подумали об одном — CERT-UA. Сначала написал обращение на сайте, но не был уверен, что оно действительно было принято, поэтому продублировал в почте: список, методы, ссылки на канал и приглашение к сотрудничеству. Уже тогда мы знали, что это поможет обоим. И они ответили — предоставили еще дюжину ботов. С этого момента мы обмениваемся находками и механизмами.
Со временем даже блокировка домена в проблемных зонах становилась быстрой, а на фоне того, что из-за чрезмерной ответственности одного из операторов перестал открываться itc.ua, я также загорелся желанием хотя бы усовершенствовать механизм блокирования таких ресурсов распоряжениями от НЦУ/НКЕК. Написал пару писем на НКРС, чтобы такие домены блокировались только на уровне DNS, потому что блокировка IP Cloudflare CDN ни к чему хорошему не приводит (кроме itc пострадала также какая-то уманьская школа и еще сотни доменов). Добавил этот абзац в следующем обновлении списков для CERT-UA. Не уверен, что это помогло, но буквально в следующем слитом распоряжении по блокированию вредных доменных имен было добавлено важное уточнение — на рекурсивных DNS-серверах. Конечно, при виде приложений я понял, какую часть выполняем мы, а какую государственные службы. Они молодцы.
Впрочем, мне где-то попало в глаза слово takedown и я начал искать механизмы или сервисв, которые ускорят этот процесс (по крайней мере для банков), и за который не надо платить. Так я наткнулся на Netcraft. Собственно, takedown у них тоже исключительно для клиентов (со временем узнал, что их клиенты два крупных банка), однако у них было одно преимущество. Ведь мы для Google Safebrowsing простые пользователи, а они — вероятно партнеры. Потому и от них жалобы Google принимает всегда. Это ускорило процесс обезвреживания к считанным часам, если повезет. Однако автоматизированная система этого сервиса в большинстве случаев не находит проблем, поэтому нужно дергать реального человека.
Хорошие новости для нас от Netcraft
Недавно мы ощущали, что к нам поступает мало доменов, учитывая списки блокировки от НЦУ/НКЕК. Попробовал приобщиться к самым большим каналам в Украине — даже у почти миллионника столько не было, как у одного из тех, что я видел в начале. Но дойдя до последних в топе я наткнулся на одного модератора, создавшего бота, блокирующего сами сообщения. Конечно, это не панацея для ФБ/Вайберов, но он вытащил из БД список ссылок и после анализа я немного нами гордился — мы не знали только об одном домене. Но он также дал гораздо более ценные данные — доступ к группе, куда пересылаются все удаленные ботом сообщения. Это идеально. Каждый день гарантированы новые зацепки и только нужные.
Также недавно, вероятно, вышел из запоя/отпуска админ «проблемного» регистратора и теперь это нам дает повод посмеяться. Если раньше домен был зарегистрирован и запущен утром, то после детекта он уже «лежал» после обеда. В настоящее время для четырех доменных зон сайт может быть отключен после репорта за пять минут!. Это даже быстрее, чем им его запустить.
Письмо счастья от одного из регистраторов (быстрый и решительный ответ на нашу жалобу)
Но и у нас не без проблем — выходные. Почти все регистраторы, Cloudflare, Netcraft не работают в выходные, а потому зарегистрированный в пятницу вечером домен, вероятно, будет жить до понедельника, пока не разгребут репорты. Впрочем, вот-вот наш список пополнится сотым обезвреженным доменом и учитывая десятки миллионов гривен, которые останутся в кошельках сограждан — это хороший повод порадоваться. Волонтерство бывает и таким, фронт не один и это хорошее дополнение к донатам для ВСУ.