torpado
08.10.2008, 13.26
Buongiorno,
Durante il mese di luglio/agosto, abbiamo avuto molti problemi con gli abusi di qualsiasi tipo. Gli insoluti, gli hackers, gli scans, erano il nostro quotidiano. Questi problemi sono dovuti agli hackers di provenienza Africa del Nord, chi si specializzano nel phishing ed nel rubare Carte di Credito. Ordinano i nomi di domini, gli hosting ed i server dedicati, per realizzare siti di phishing di paypal e di banche. Questo permette loro di recuperare Carte di Credito. Realizzano anche pagine di phishing "altrui" (come Ovh, Free, Orange ecc.) allo scopo di recuperare gli accessi dei clienti che hanno di servizi Internet in Francia. Questo permette loro di avere un'infrastruttura per fare il phishing (per fare la pagina, inviare la posta elettronica, usurpare le identità ecc.).
Allo stesso scopo, fanno uno scan delle reti di fornitori di accesso per trovare le VNC non protette, cosa che permette loro di prendere controllo di un PC a distanza (e frugare nel PC della vittima). Ci sono sottogruppi che si specializzano in ogni attività e ciascuno apporta così il suo contributo al gruppo.
Abbiamo preso delle misure nel mese di settembre per fare fronte a questi problemi. Abbiamo rafforzato l'ordine con una conferma SMS ed una conferma postale per alcuni ordini "sensibili" (i server dedicati e gli RPS).
Abbiamo migliorato l'individuazione di scans in provenienza dalla nostra rete (e verso la nostra rete). Abbiamo rivisto il nostro sistema di pagamento sicuro allo scopo di evitare gli insoluti dovuti ai pagamenti di hackers con le carte rubate.
Il risultato: abbiamo chiuso più di 380 server ordinati da hackers nel mese di giugno, luglio ed agosto e ancora in settembre. Ed in finale, gli hackers si sono trovati senza infrastruttura per abusare sulla rete. Sono andati dai nostri concorrenti, ma siamo i soli sul mercato a consegnare i server in 1 ora. Gli hackers si annoiano. Non possono comandare più poichè si convalidano gli indirizzi via lettera postale. Hanno deciso di attaccare i clienti di Ovh per recuperare gli accessi dei nostri clienti quindi ordinare i server dedicati facendosi passare per clienti già esistenti. Ciò che non serve a nulla poiché tutti gli ordini sono convalidati nello stesso modo. La settimana scorsa, abbiamo avuto 3 phishing del nostro manager v3. Abbiamo immediatamente messo la sicurezza nel manager. Ma come proteggere i nostri clienti, contro se stessi? Ecco alcune risposte prese in considerazione. Ormai avete un messaggio di allarme quando provate a collegarvi al manager a partire da una pagina malevola: tutto è segnato in rosso. Avete una spiegazione sull' indirizzo del manager: dovete essere in un sito in SSL con www.ovh.it
Quando qualcuno si collega al manager, ricevete immediatamente una email di notifica di collegamento (1 notifica/1 IP di collegamento/giorno). Se noi riteniamo che si tratta di un collegamento sospetto, nell'email di notifica avete un link tramite il quale potete immediatamente bloccare il vostro manager. Quando effettuate alcune operazioni (cambiamento di posta elettronica del vostro contatto) l'operazione non è effettuata immediatamente. Ricevete una email che potete accettare o rifiutare. Se non avete fatto nulla, l' operazione si auto-convaliderà al termine di 24 ore. Quando ordinate un RPS o un server dedicato, ogni ordine è analizzato e convalidato da una persona umana (non un robot). Questo può prendere tra 5 minuti e 24 ore (e dunque può ritardare la consegna di server). In caso d'individuazione di scans, il server è automaticamente sospeso, per alcuni scans, il contratto è rotto.
Queste misure hanno portato dei risultati: noi non abbiamo quasi più insoluti. Ieri, la nostra rete non ha generato scans (abbiamo subito degli scans ma non ne abbiamo generato nessuno). Non più phishing da 4 giorni (ne avremo, senza dubbio ma abbiamo ormai un gruppo dedicato a questo problema ventiquattr'ore su ventiquattro ed il necessario è quasi automatico). In breve, cominciamo a fare uscire la testa dall' acqua con questa storia degli hackers. Proteggendosi e proteggendo i nostri clienti, abbiamo "perso" molto tempo sugli sviluppi dei nuovi servizi. Ma nel finale, tutti ci guadagnano poiché la nostra rete è più propria, il cliente meglio protetto ed abbiamo meno insoluti.
Amichevolmente
Octave
Durante il mese di luglio/agosto, abbiamo avuto molti problemi con gli abusi di qualsiasi tipo. Gli insoluti, gli hackers, gli scans, erano il nostro quotidiano. Questi problemi sono dovuti agli hackers di provenienza Africa del Nord, chi si specializzano nel phishing ed nel rubare Carte di Credito. Ordinano i nomi di domini, gli hosting ed i server dedicati, per realizzare siti di phishing di paypal e di banche. Questo permette loro di recuperare Carte di Credito. Realizzano anche pagine di phishing "altrui" (come Ovh, Free, Orange ecc.) allo scopo di recuperare gli accessi dei clienti che hanno di servizi Internet in Francia. Questo permette loro di avere un'infrastruttura per fare il phishing (per fare la pagina, inviare la posta elettronica, usurpare le identità ecc.).
Allo stesso scopo, fanno uno scan delle reti di fornitori di accesso per trovare le VNC non protette, cosa che permette loro di prendere controllo di un PC a distanza (e frugare nel PC della vittima). Ci sono sottogruppi che si specializzano in ogni attività e ciascuno apporta così il suo contributo al gruppo.
Abbiamo preso delle misure nel mese di settembre per fare fronte a questi problemi. Abbiamo rafforzato l'ordine con una conferma SMS ed una conferma postale per alcuni ordini "sensibili" (i server dedicati e gli RPS).
Abbiamo migliorato l'individuazione di scans in provenienza dalla nostra rete (e verso la nostra rete). Abbiamo rivisto il nostro sistema di pagamento sicuro allo scopo di evitare gli insoluti dovuti ai pagamenti di hackers con le carte rubate.
Il risultato: abbiamo chiuso più di 380 server ordinati da hackers nel mese di giugno, luglio ed agosto e ancora in settembre. Ed in finale, gli hackers si sono trovati senza infrastruttura per abusare sulla rete. Sono andati dai nostri concorrenti, ma siamo i soli sul mercato a consegnare i server in 1 ora. Gli hackers si annoiano. Non possono comandare più poichè si convalidano gli indirizzi via lettera postale. Hanno deciso di attaccare i clienti di Ovh per recuperare gli accessi dei nostri clienti quindi ordinare i server dedicati facendosi passare per clienti già esistenti. Ciò che non serve a nulla poiché tutti gli ordini sono convalidati nello stesso modo. La settimana scorsa, abbiamo avuto 3 phishing del nostro manager v3. Abbiamo immediatamente messo la sicurezza nel manager. Ma come proteggere i nostri clienti, contro se stessi? Ecco alcune risposte prese in considerazione. Ormai avete un messaggio di allarme quando provate a collegarvi al manager a partire da una pagina malevola: tutto è segnato in rosso. Avete una spiegazione sull' indirizzo del manager: dovete essere in un sito in SSL con www.ovh.it
Quando qualcuno si collega al manager, ricevete immediatamente una email di notifica di collegamento (1 notifica/1 IP di collegamento/giorno). Se noi riteniamo che si tratta di un collegamento sospetto, nell'email di notifica avete un link tramite il quale potete immediatamente bloccare il vostro manager. Quando effettuate alcune operazioni (cambiamento di posta elettronica del vostro contatto) l'operazione non è effettuata immediatamente. Ricevete una email che potete accettare o rifiutare. Se non avete fatto nulla, l' operazione si auto-convaliderà al termine di 24 ore. Quando ordinate un RPS o un server dedicato, ogni ordine è analizzato e convalidato da una persona umana (non un robot). Questo può prendere tra 5 minuti e 24 ore (e dunque può ritardare la consegna di server). In caso d'individuazione di scans, il server è automaticamente sospeso, per alcuni scans, il contratto è rotto.
Queste misure hanno portato dei risultati: noi non abbiamo quasi più insoluti. Ieri, la nostra rete non ha generato scans (abbiamo subito degli scans ma non ne abbiamo generato nessuno). Non più phishing da 4 giorni (ne avremo, senza dubbio ma abbiamo ormai un gruppo dedicato a questo problema ventiquattr'ore su ventiquattro ed il necessario è quasi automatico). In breve, cominciamo a fare uscire la testa dall' acqua con questa storia degli hackers. Proteggendosi e proteggendo i nostri clienti, abbiamo "perso" molto tempo sugli sviluppi dei nuovi servizi. Ma nel finale, tutti ci guadagnano poiché la nostra rete è più propria, il cliente meglio protetto ed abbiamo meno insoluti.
Amichevolmente
Octave