Читач ITC.UA на ім’я Тарас (@PhishingAbuse) поділився з нами чудовим матеріалом про фішинг у сучасних українських реаліях. Публікуємо в «Блогах» і рекомендуємо до прочитання, хоча для розуміння всього, що відбувається, потрібні певні знання.
Якось в коментарях в Телеграмі я помітив, що частота появи фейкових виплат (ООН, Unisef, Червоний хрест і т. д.) збільшилась і мене це зацікавило. Згадав, що знайомий використав певні засоби, щоб викрасти в росіян пару $k на ЗСУ і подумав треба також використати свої здібності. Тим паче з’явилась можливість зекономити кошти українцям, котрі не знають, що таке фішинг. Перед цим я намагався допомогти їм в боті @stopdrugsbot, доки до мене не дійшло, що ефективність цього близька до нуля.
Коментарі, котрі всіх дістали
Розуміючи, що юзер-боти (спамери в коментарях) довго не живуть і потрібно знайти найбільш ефективний спосіб прикрити, чи хоча б обмежити, цю лавку невиданої щедрості, я почав шукати методи — переходити за всіма лінками, рахувати, зберігати. Юзерботи зникали, ботів було чимало, навіть під одним юзернеймом, а от доменних імен — мало.
Приклад сторінки, що заманює
Згадав про abuse-контакти для кожного IP в RIPE — це мало б спрацювати. Тоді й почалось — whois по IP дає нам Cloudflare — знайшов форму, написав. Whois по доменному імені дав лише підказку щодо реєстратора — написав. І через кілька годин той сайт перестав відкриватись. Тоді й почалось. Похвалився колегам — один сказав круть (йому теж це набридло). Почали шукати ще, обмінюватись, давати одразу посилання на abuse-форми. Спитав модераторів певного каналу, де ми це спостерігали, чи не було нещодавно ще подібного — скинули, полетіло. Листування вже не була суто робочим, а в чаті почався хаос.
Як виглядає прощання з грошима
Коли доменів і ботів стало більше і частина лежали — тоді вже й подумав, що пора це діло впорядкувати. Створив канал, написав коротку інструкцію, почав вести список, запросив колегу адміном. Через те, що постійне набридання модераторам не завжди дає регулярний результат, то пішов до адмінів. Приходив вже з початковим результатом і тут один з них дав адмінку. В той момент це було ідеально — одразу видаляєш повідомлення з репортом від групи — юзербот майже 100% отримує бан, а ще постійний доступ до історії видалених повідомлень — саме там і всі боти й домени. Потім так напросився ще до одного, хоч там і спамерів було менше. Наша швидкість реакції зростала, список поповнювався. Втім, час блокування різнився — від 1-2 днів до тижня.
Відповідь одного з реєстраторів
Втім, нас муляло, що один з реєстраторів взагалі ніяк не реагував на жодні листи на всі доступні адреси, навіть на адміністративні контакти щодо домену верхнього рівня. Хоча всі інші реагували якщо не листом, то швидкими діями (навіть риг-ру через декілька днів, може до двох тижнів забирає домен, але я все одно пишу їм англійською). Я навіть написав листа до ICANN щодо того реєстратора, проте вони розвели руками, бо домен (и) національного рівня. Тоді я зрозумів, що блокування таких сайтів регулятором не така вже й погана ідея, не зважаючи на весь негатив. Але це продовжувало муляти. Тоді я знайшов для нас такий інструмент як Google Safebrowsing, це досить легко — зайдіть за лінком, введіть повне посилання, за потреби вкажіть що треба зробити:
Форма репорту в гугл
Ми обираємо такі сервіси, що працюють у всіх, незалежно від ОС чи браузера, ПК, телефону чи планшету. І за достатньої кількості скарг з різними посиланнями вони дають таке попередження про домен, що виглядає однозначно:
Попередження, яке неможливо не помітити
Це нам і допомогло, бо Cloudflare, не зважаючи на численні скарги за лінком, рідко або повільно допомагав. Але і таке траплялось:
Хочуть, коли зможуть
Коли читали новини, що органи ловлять потрохи таких виродків, то розуміли важливість свого волонтерського гобі, а список доменів пішов на четвертий десяток, ми обоє одночасно подумали про одне — CERT-UA. Спочатку написав звернення на сайті, але не був впевнений, що воно дійсно було прийняте, тому продублював в пошті: власне список, методи, посилання на канал і запрошення до співпраці. Вже тоді ми знали, що це допоможе обом. І вони відповіли — надали ще дюжину ботів. Відтоді ми обмінюємось знахідками та механізмами.
З часом навіть блокування домену в проблемних зонах ставало досить швидким, а на фоні того, що через надмірну відповідальність одного з операторів перестав відкриватись itc.ua, то я також загорівся бажанням хоча б вдосконалити механізм блокування таких ресурсів розпорядженнями від НЦУ/НКЕК.
Написав пару листів на НКРЗІ, щоб такі домени блокувались тільки на рівні DNS, бо блокування IP Cloudflare CDN ні до чого хорошого не призводить (окрім itc постраждала також якась уманська школа і ще сотні доменів). Додав цей абзац в наступному оновленні списків для CERT-UA. Не впевнений, що з цього допомогло, але буквально в наступному злитому розпорядженні щодо блокування шкідливих доменних імен було додано важливе уточнення — на рекурсивних DNS-серверах. Звісно, побачивши додатки я зрозумів, яку частину виконуємо ми, а яку державні служби. Вони молодці.
Втім, мені десь потрапило в око слово takedown і я почав шукати чи нема механізмів, чи сервісів, що цей процес прискорять (принаймні для банків), та за котрий не треба платити. Так я натрапив на Netcraft. Власне, takedown в них теж виключно для клієнтів (з часом дізнався, що 2 великі банки — їхні клієнти), проте в них була одна перевага. Ми для Google Safebrowsing прості користувачі, а вони — ймовірно партнери. Тому й від них гугл скарги приймає завжди. Це пришвидшило процес знешкодження до лічених годин, якщо пощастить. Проте автоматизована система цього сервісу в більшості випадків не знаходить проблем, тому потрібно штурхати на реальну людину.
Гарні новини для нас від Netcraft
Нещодавно було відчутно, що мало поступає нам доменів, враховуючи списки блокування від НЦУ/НКЕК. Спробував долучитись до найбільших каналів в Україні — навіть в майже мільйонника стільки не було, як в одного з тих, що я бачив на початку. Але дійшовши до останніх в топі я натрапив на одного модератора, що створив бота, який блокує самі повідомлення. Звісно, це не панацея для ФБ/вайберів, але він витягнув з БД список лінків і після аналізу я трошки нами запишався — ми не знали лише про 1 новий домен. Але він також дав набагато цінніше — доступ до групи, куди пересилаються всі видалені ботом повідомлення. Це ідеально. Щодня гарантовано нові зачіпки й тільки необхідне.
Також нещодавно, ймовірно вийшов з запою/відпустки адмін «проблемного» реєстратора і тепер це нам дає привід посміятись. Якщо раніше домен був зранку зареєстрований і запущений, то після детекту він по обіді зазвичай вже лежав. Наразі для 4 доменних зон сайт може бути вимкненим після репорту за п’ять хвилин!. Це навіть швидше, ніж їм його запустити.
Лист щастя від одного з реєстраторів (швидка та рішуча відповідь на нашу скаргу)
Але й у нас не без проблемки — вихідні. Майже всі реєстратори, Cloudflare, Netcraft не працюють у вихідні, а тому зареєстрований в п’ятницю увечері домен імовірно буде жити до понеділка, доки не розгребуть репорти. Втім, ось-ось наш список поповниться сотим знешкодженим доменом і зважаючи на десятки мільйонів гривень, що залишаться в гаманцях співгромадян — це добрий привід порадіти. Волонтерство буває й таким, фронт не один і це гарне доповнення до донатів на ЗСУ.