DDoS, Distributed Denial of Service. „Po naszemu” Rozproszona Odmowa Dostępu”. Niby nie brzmi strasznie, a jest w stanie zrobić poważną krzywdę biznesowi. W najlepszym przypadku przeszkodzić w odniesieniu sukcesu w grze online.

Kiedyś synonimem zagrożenia w internecie był „wirus”. Mityczny wirus kursował w społecznej świadomości niczym yeti – podobno istnieje, ale nikt go nigdy nie widział. Stworzenie legendarnego ILOVEYOU, który w 2000 roku zainfekował 10% internetu (inna sprawa, że wtedy było ich „raptem” 413 mln, podczas gdy obecnie przekroczyliśmy 5 mld) wymagało kompetencji programistycznych. Obecnie podaż – hmmm – złośliwej aktywności jest tak duża, że krzywdę można zrobić praktycznie każdemu. Nawet za cenę tygodniówki przeciętnego nastolatka.

Czym tak naprawdę jest DDoS?

Nie bez kozery w poprzednim akapicie użyłem zwrotu „złośliwa aktywność”. O ile bowiem z tym, co od dawnych czasów znamy jako wirusy, zabezpieczenia sieci i komputerów radzą sobie całkiem nieźle, z atakiem DDoS nie jest już tak łatwo.

Czym jest DDoS? Wyobraźmy sobie, że strona WWW to… pociąg metra. O ile poza szczytem wchodzimy do niego bez większego problemu (czyli zaglądamy na stronę i dowiadujemy się tego, czego potrzebujemy), to już w godzinach szczytu może wyglądać tak:

Pozostając przy tej analogii, atak DDoS można określić mianem „symulatora godzin szczytu w metrze w Tokio”.

Atakujący generują ruch tak ogromny (sprowadzają na stację tylu pasażerów), że wejście na stronę (dostanie się do pociągu) staje się niemożliwe. Taki atak potrafi zarówno ograniczyć dostęp (spowodować odmowę dostępu, stąd nazwa) do strony WWW, jak też uniemożliwić ofierze połączenie np. z serwerem gier online. Do tego drugiego używany jest nawet częściej!

Jak przeprowadza się DDoS?

Generalnie to po prostu znajduje się w sieci ofertę i kupuje. Podaż tego typu serwisów jest tak duża, że krótki DDoS można kupić za 10$. Ba, w ramach proof-of-concept nawet dostać za darmo. A jak robią to przestępcy?

• przede wszystkim dysponują botnetem, czyli dużą (kilku/dziesięcio/set-tysięczną grupą przejętych komputerów)
• z botnetu (lub jego części) wysyłają zapytanie (lub ich serię) do podatnego serwisu (o tym więcej zaraz)
• wysyłając zapytanie podszywają się (spoofują) pod adres IP ofiary, w efekcie czego serwis odpowiada ofierze
• jeśli komputery botnetu wygenerują wystarczająco wielu „pasażerów metra” – do tego pociągu już nikt nie wsiądzie…

Jak najlepiej zrobić efektowny DDoS? Znajdując serwis/protokół, który na proste zapytanie odpowiada jak najdłuższym (to tzw. atak reflection/amplification, odbicie/wzmocnienie). Np. wysyłając zapytanie do niezabezpieczonego serwera NTP dostaniemy odpowiedź większą o 556 razy. Dużo? Serwer memcached na 1 bajt odpowie 55… kilobajtami. Dużo? We wrześniu ubiegłego roku researcherzy odkryli podatne serwery (w liczbie 2600) jednego z rozwiązań, generujące odpowiedzi w stosunku… 4 294 967 296:1. Tak, to nie pomyłka. Większe od 4,3 MILIARDA razy od zapytania. Tutaj do grubego DDoSa nie trzeba wielkiego botnetu.

Czy można sobie z tym poradzić?

W Orange Polska przeciwdziałaniem atakom DDoS zajmujemy się już od wielu lat. Raz na jakiś czas notujemy w naszej sieci rekordowe na krajową skalę ataki. Dwa lata temu mobilnego użytkownika usług Orange Polska atakowano na poziomie 476,2 Gb/s (gigabitów na sekundę). Kilka dni temu ten wynik został pobity. Jeden ze stołecznych Neostradowiczów „oberwał” bowiem DDoS-em liczącym w szczycie 543,9 Gb/s.

Jak sobie z tym radzimy? W 2018 roku wprowadziliśmy rozwiązanie ochrony przed DDoS oparte o BGP Flowspec. W nietechnicznym skrócie:

Przede wszystkim z racji tego, że sieć Orange Polska stanowi sporą część polskiego internetu, wiele ataków po prostu mieści się w przepustowości naszych łącz. Faktycznie podnoszą ich wysycenie, ale nie ma zagrożenia, że zauważycie taki atak przy swoim codziennym korzystaniu z sieci. Jeśli jednak chodzi o BGP Flowspec, to automatyczne zapobieganie w ten sposób atakom DDoS składa się z dwóch elementów. Po pierwsze – stale próbkujemy ruch z różnych miejsc naszej sieci szkieletowej pod kątem specyficznym dla DDoS. Adres źródłowy napastnika można oczywiście zespoofować, ale to tylko jeden z parametrów, opisujących ruch sieciowy. W kolejnym kroku, jeśli system rozpozna atak, odpowiednie informacje automatycznie trafią do dodatkowych tabel routingowych we wszystkich routerach szkieletowych Orange Polska. A ponieważ informacje, dotyczące Flowspec, są nadrzędne w stosunku do domyślnych tabel, w tym momencie próba ataku trafi do sieciowego „kosza” w każdym elemencie naszej sieci szkieletowej.

A Wy – zarówno zwykli internauci, jak i biznesowi klienci naszych usług – będziecie mogli spać… czy raczej używać sieci spokojnie.

Mail z fakturą – to jedna z form potencjalnego kontaktu z Tobą dostawcy Twoich usług. Niestety – nie tylko niego. Przestępcy bardzo chętnie podszywają się pod taką korespondencję. W CERT Orange Polska w ostatnich dniach obserwujemy kolejną falę fałszywych maili.

W pierwszych wiadomościach, udających mail z fakturą, które zaobserwowaliśmy, oszuści podszywają się pod Play Polska. Mam jednak przeczucie graniczące z pewnością, że to tylko kwestia czasu, kiedy kolorystyka i nazewnictwo zmienią się na pomarańczowe. Istotne jest jednak, że fakt, iż – ewentualnie – dostaniecie takiego maila,

nie oznacza, że Wasze dane wyciekły od operatora!

To po prostu najzwyczajniejszy na świecie phishing wolumenowy. Oszuści wysyłają setki tysięcy takich maili. A jeśli załóżmy przy milionie wiadomości 20% adresatów okaże się faktycznie korzystać z usług firmy X (200 000 osób), a 2% z nich da się oszukać (wierzcie mi, że to i tak zaniżona konwersja), mamy 4 tysiące oszukanych! 4 tysiące osób które… o tym będzie nieco dalej.

Jak wygląda „mail z fakturą”?

Te, które trafiają do nas od początku tygodnia, wyglądają tak:

Kolorystyka charakterystyczna dla nadużywanej marki. Treści przygotowane bez błędów. Sam – gdybym nie siedział w bezpieczeństwie od lat – mógłbym się na to złapać! Nawet domenę, z której przyszła wiadomość oszuści dobrali całkiem sprytnie! Tak naprawdę jedyne, co powinno zapalić Wam w głowach czerwoną lamp… tzn. wielki czerwony sygnalizator, jeszcze z wyjącą syreną, to ostatnia linijka maila – hasło do archiwum. Nie spotkałem się nigdy z tak przesyłanymi dokumentami. Tzn. ok, dostawałem maile z dokumentacją medyczną. Ale wtedy hasło dostawałem SMSem, bądź w mailu widniała informacja, że jest nim 5 ostatnich cyfry mojego PESELu (dobrze, że nie sześć pierwszych 😉 ). W takim przypadku hasło ma tylko jeden cel. Uniemożliwić systemom bezpieczeństwa zbadanie maila już na poziomie serwera pocztowego i ew. zablokowanie albo nawet usunięcie go przed dotarciem do ofiary.

Pokaż kotku, co masz w środku?

Nasz „mail z fakturą” nie zawiera oczywiście faktury. W archiwum znajduje się plik „faktura_0722[.]lnk”, po uruchomieniu pobierający docelowy złośliwy plik. Szczegóły techniczne znajdziecie w tekście na stronie CERT Orange Polska. W tym miejscu zaznaczę tylko, że uruchamiając plik z archiwum instalujemy infostealera Vidar. To oprogramowanie wyspecjalizowane w – jak wskazuje nazwa – wykradaniu danych z komputera ofiary. Przede wszystkim tych najbardziej opłacalnych – loginów i haseł (do banku, serwisów społecznościowych, maila, czy portfeli kryptowalutowych). Co gorsza – i co czyni atak jeszcze groźniejszym -gdy próbka trafiła do nas, żaden z silników antywirusowych w serwisie VirusTotal nie rozpoznawał załącznika jako złośliwego!

Co zrobić? Jak mogę uniknąć ataku?

Ataku nie unikniesz. Jeśli Twój adres e-mail hula sobie gdzieś po sieci to prędzej, czy później, dostaniesz „mail z fakturą”. Możesz jednak uniknąć stania się ofiarą ataku. Jak?

Jeśli trafi do Ciebie wiadomość od operatora/usługodawcy, upewnij się, czy na pewno korzystasz z jego usług! Ta rada tyczy się nie tylko maili, ale też np. SMSów o konieczności drobnej dopłaty, bo coś jest nie tak z Twoim rachunkiem.

Nie klikaj wtedy w link i nie loguj się na fałszywej stronie, myśląc: „Co prawda nie mam od nich usług, ale może faktycznie coś mi wyłączą?”

To nie żart. Naprawdę zdarzają się internauci, którzy tak robią. I nie, nie śmiej się z nich – kimś takim mogą się okazać Twoi mama/wujek/babcia… Może teraz myślisz: „Co za baranem trzeba być, żeby tak zrobić?!”? W takim przypadku po prostu zadzwoń do swoich seniorów i sam/a im o takich sytuacjach opowiedz. To na pewno przyniesie pozytywny skutek.

Co jeśli masz usługi w firmie, która – jak się wydaje – przysłała Ci maila? Wtedy upewnij się, czy adres nadawcy zgadza się ze wcześniejszą korespondencją. W przypadku faktur z Orange Polska, maile przychodzą z adresu e-faktura@pl.orange.com.

Gdyby zdarzyło się, że mail zawierałby zaszyfrowany plik, a w treści kod do jego odszyfrowania – usuń go bez czytania. To oszustwo.

No i na koniec. W przypadku Orange Polska pamiętaj, że mail z fakturą zawiera tzw. strefę bezpieczeństwa. Zanim zrobisz cokolwiek – upewnij się, że jest tam Twoje imię i nazwisko oraz taki sam numer klienta, jak przy poprzednich mailach

Uważaj, bądź bezpieczna/y, ostrzeż znajomych!

A my będziemy robić swoje, żeby #CyberTarcza, nawet jeśli ktoś okaże się niefrasobliwy, ustrzegła każdego przed konsekwencjami kliknięcia.