Иллюстрация создана искусственным интеллектом
Дисклеймер:
«Лаборатория свободного интернета» (iFreedomLab) не несет ответственности за мнения и высказывания, приведенные в цитатах и источниках, а также за их содержание.
Пару недель назад сотруднице iFreedomLab в 8 утра позвонила рассерженная женщина с вопросом: что от нее оная сотрудница хочет? В такое время сотрудница обычно чего-то хочет только от кофеварки, посему немало изумилась вопросу. Оказалось, что незнакомая дама на том конце провода получила за утро уже ТРИ звонка С НОМЕРА сотрудницы. Сошлись на том, что это набившие оскомину странные флуд-звонки с подставленным номером, который по случайности в этот день совпал с номером конкретного человека. Закончилось все хорошо, но осадок оставило.
Ситуация, увы, не уникальная и знакомая очень многим.
За последние месяцы сразу несколько друзей проекта iFreedomLab стали жертвами мобильной флуд-атаки/телефонной спам-атаки/SMS-атаки, – слов много, смысл один: количество входящих запросов на телефон/почту вырастает настолько, что владелец практически теряет возможность пользоваться сервисом/аппаратом. Произошедшее с нашей коллегой – частный случай, называется спуфинг номера, замена Caller ID, но представьте, что если с вашего собственного родного номера кто-то будет кому-то звонить с мошенническими намерениями и предлагать срочно вывести все сбережения на безопасный счет в банке? Так случилось с жительницей Екатеринбурга, номер которой использовали мошенники, представляясь прокурором. А потом ей досталась волна негатива от возмущенных мошенничеством людей.
Поэтому, удивленные и заинтригованные, мы решили поподробнее узнать о таких атаках и пролить свет на масштабы этого явления. И стали искать среди друзей-знакомых пострадавших. Оказалось, что даже долго искать не надо.
Кто пострадал от флуд-атак?
Пострадавший № 1
У учительницы фортепиано в одной из подмосковных музыкальных школ в один вовсе не прекрасный день оказались сорваны уроки.
– На самом деле началось все поздно вечером накануне – мне пришли SMS от VKontakte, сообщившие о необходимости подтвердить мои данные. После этого пришло ещё несколько SMS с неизвестных номеров с просьбами что-то подтвердить и где-то авторизоваться. Но все вроде успокоилось.
Но на следующий день в районе полудня начались звонки с незнакомых номеров – буквально ежесекундно, один сбрасывался – и тут же начинался другой. Работать с учениками в такой обстановке было, понятно, невозможно. Звонки шли с каких-то невероятных номеров – с кодами +200, +300. Я хотела позвонить в сотовую компанию (МТС), но это просто невозможно было сделать – не пробиться через вал входящих звонков. Когда мне это удалось – оператор лишь предложил мне поставить какую-то «защиту». Первично я решила проблему, просто поставив телефон в беззвучный режим, а потом стала советоваться со знакомыми. Для них такая ситуация оказалась известной, – про подобное они слышали и рассказали мне, что я попала в какие-то «базы», а внесли меня в них, вероятно, какие-то недоброжелатели. Всё это было для меня вновь и дико. Я была в панике – ведь с номеру привязан, например, банковский счет. Мысль сменить номер, конечно, пришла довольно быстро – так же жить невозможно. Но те же опытные знакомые посоветовали подождать сутки, сказав, что чаще всего через день-два подобное заканчивается. По счастью, у меня в телефоне нашлась настройка, благодаря которой можно блокировать вызовы с незнакомых номеров. Аппарат стал их отсекать – но они шли непрерывным потоком до позднего вечера, потом стали поступать реже и где-то через сутки действительно прекратились.
Проблема казалась решенной, но не тут-то было: той же ночью, когда звонки с незнакомых номеров уже были заблокированы, пошел вал SMS. Это были то какие-то коды, то просьбы подтвердить регистрации, то авторизоваться. Мне кажется, я получила все возможные уведомления от всех существующих в стране магазинов. Спас опять беззвучный режим. Следующим днём волна спала. На удаление этих SMS я потом потратила дня два – по моим ощущениям, я удалила штук 250-300.
По счастью, на этом всё и завершилось. Действительно, как мне и говорили, атака продлилась около суток. Что это было вообще и мог ли кто-то такое сделать специально – я даже предположений не имею. Просто рада, что этот кошмар закончился.
В это время мне не могли пройти многие очень важные звонки – я же педагог, работаю с учениками – так вот они просто не могли пробиться сквозь вал звонков. Были у этой ситуации и более отдаленные последствия: из-за блока на звонки с незнакомых номеров до меня не могли дозвониться из органов государственной власти, где оформлялись важные для меня документы, мы связались впоследствии почти чудом.
Пострадавший № 2
Даже сутки флуд-атаки вносят хаос в жизнь человека, но есть люди, которые живут состоянии флуд-атаки годами. Мы поговорили с таким человеком.
– Опишите, пожалуйста, из чего состоит/состояла флуд-атака: звонки, SMS, emails, как часто и с каких номеров?
Можно с фото или скриншотами, если есть.
– Состоят из звонков и SMS. Есть SMS, которые приходят от роботов при регистрации с сервисов – их, видимо, массово запрашивают у сервисов на номер, а есть SMS «обличающие» деятельность активиста, т.е. с каким-то смыслом и написанные явно человеком:
Номера разные, все было волнами – по несколько часов в день звонки и SMS каждые несколько секунд.
– Пробовали ли узнать, что это за телефонные номера?
Нет, их очень много и разных.
– Какая по времени продолжительность этой атаки? Сколько она продолжалась и закончилась ли?
Началось апреле 2022 года, продолжается до сих пор, только интенсивность стала гораздо ниже.
– Почему, как вы думаете, началась эта атака?
Потому что я занимаюсь активизмом (наблюдение за выборами).
Спам-звонки и SMS обильно используются для атак на активистов, причем совмещаются автоматизированные способы свести абонента с ума и народные дружинники, которые желают высказать абоненту свою позицию касательно его личности.
Список известных кейсов бесконечен, вот несколько примеров из последних лет:
– Все виды флуд-атак испытают на себе годами активисты Помимо автоматизированного спама, сообщений от неодобряющих их действия сограждан, прямых угроз, номер телефона Романа Удота, сопредседателя использовался для совершения массовых обзвонов.
– В марте 2023 года столкнулся с волной спама в его аккаунт в Telegram, получив за несколько часов около 4000 сообщений.
– Журналисты оппозиционных СМИ также становятся жертвами таких атак.
Итак, можно стать жертвой флуд-атаки по случайности, из-за жизненной позиции, а есть ли еще варианты? Да, такие атаки могут использоваться для мести, вымогательства или запугивания.
Вот тут можно найти рассказ несчастного, который прикалывался над якобы сотрудником якобы службы безопасности якобы банка. И в отместку получил флуд-атаку – с его номера позвонили на кучу других номеров, а потом с тех других номеров перезвонили… Комментарии к посту показывают, что таких «поприкалывавшихся» над мошенниками и получившими флуд за это много. Здесь женщина столкнулась с мошенницей, которая не только присвоила деньги, не выполнив заказ, но и обеспечила пострадавшей волну спама.
Не стоит списывать со счетов и бизнесменов. DDos-атаки на сайты и сервисы стали обычным делом в последнее время. Но помимо политического подтекста, у таких атак может быть коммерческий мотив: в некоторых случаях автоматизированные атаки с массовой рассылкой SMS и звонков могут быть направлены на бизнесменов и предпринимателей в целях конкурентной борьбы или вымогательства. Мы находили в Сети и слышали от знакомых, как несложно можно парализовать работу конкурента. Телефонные роботы даже использовались как способ борьбы с расклейкой объявлений.
А использовало такие атаки как способ идеологической борьбы.
Как видно, пострадать от флуд-атаки может любой, и часто пострадавший может даже не знать — почему ему такая напасть?
Как устроена флуд-атака?
Организовать ее можно, полагаясь на средства социальной инженерии, групповые акции или современные технологии.
Человеческий фактор
Древний способ испортить жизнь жертве – указать ее телефон в каком-нибудь объявлении. Например, на сайте определенного рода услуг (к счастью, теперь везде двойная авторизация). Или вот, помните объявления типа «Питомник полицейских овчарок расформировывают, и бедных собачек усыпят, если для них не найдутся хозяева. Позвоните Маше по телефону +7ХХХХХХХХХ»? Такие трогательные истории использовались в том числе для того, чтобы спамить номер телефона несчастного, который было вовсе не Маша и никакого отношения ни к каким овчаркам не имел.
Социальный инжиниринг, а также просто массовые согласованные акции, какими прославило себя работают не хуже массовых рассылок, а в деле подрыва эмоционального состояния жертвы даже лучше.
его представители организовывали ддос-атаки на сайты, спам отрицательными отзывами различных социальных площадках и массовые обзвоны с фальшивыми заказами для ряда ресторанов, реклама которых не нравилась; также угрожали парализовать работу крупного сервиса доставки еды. Кроме того, они систематически занимались организацией травли неугодных женщин.
Правда, юридически некоторые случаи несколько туманны. Одно дело, если в этих сообщениях-звонках будут угрожать. Или причинят экономический ущерб. А если нет? Если SMS-атакующие не будут совершать не одобряемых законом действий, а будут просто порицать и не соглашаться? Как в том сообщении из примера выше. Это же законом не запрещено.
Современные технологии
Флуд-атаки возможны за счет современных технологий связи, за счет использования SIP-протокола, VoIP-сервисов и SS7-протокола. Звонок, совершенный через интернет, поступает на обычный телефон. Виртуальные АТС (свои или «хакнутые» чужие) в сочетании со спуфингом номера позволяют звонящему (огранизатору атаки) звонить с разных номеров, буквально заваливая жертву телефонными звонками.
Кроме телефонного флуда жертве можно обеспечить SMS-флуд (SMS-бомбер) или завалить электронную почту подходящими спам-фильтр сообщениями. SMS-бомбер настолько несложен в организации, что его предлагают «бонусом» к телефонной атаке. Вот текст «рекламного» объявления (орфография и пунктуация сохранена авторская):
Предлагаем качественную услугу УСТРАНЕНИЕ КОНКУРЕНТОВ.Флуд телефона звонками+бонус к этому ещё и смс спам.Новая разработка аналогов в сети нет.Vo-ip телефония + Asterisk из ip канала переходит в аналоговый, тем самым обеспечивая полный прозвон. При поднятии трубки будет происходить сразу сброс и опять звонок. Каждый звонок с нового номера.Чёрный список бесполезен. .от нашего флуда телефон просто в зарвётся…флуд много паточный ..цена 800р сутки …выгодно заказывать сразу на неделю со скидкой цена 4000р И к этому ещё включим смс атаку
Возможны разные способы организации такого шквального объема SMS.
- Сервисы бесплатной отправки SMS. Не требует технических навыков вообще.
- SMS-шлюзы, которые могут отправлять сообщения через сеть мобильного оператора. Вообще у них есть и полезные применения, например, рассылка уведомлений. Но, в том числе, такие шлюзы могут использоваться для вредоносных рассылок. Недавно МВД сообщало о задержании сообщников таких мошенников. ПО для шлюзов существует бесплатно в открытом доступе, но вот за СМС придется заплатить.
- Авторизации. Зачем использовать свои SMS-шлюзы, если есть чужие? Еще и совершенно бесплатно (для злоумышленника). На телефон жертвы запрашиваются SMS с регистрацией или восстановлением доступа к различным ресурсам – электронной почте, магазинам, госуслугами, мессенджерам и т.д. Не вручную, конечно, все автоматизировано.
Ещё одна неприятная сторона: если номер начнут вбивать в разные сервисы, то сервисы со своей стороны этот номер блокируют, и у владельца номера нет возможности, например, купить у РЖД билет на поезд и оплатить с помощью накопленных баллов (не придёт SMS для подтверждения).
- Трояны. На телефон абонента (иногда даже еще до того, как абонент его купит) устанавливается вредоносное ПО, которое исполняет команды неведомого злоумышленника. А абонент живет себе и даже не знает, что его пакет из 300 СМС в месяц, которые он никогда не использует, на самом деле использует скрытая программка.
Операторы в прошлом году создали единую базу спамерских номеров. Используя форму на сайте оператора, абонент может нажаловаться на телефонный номер, с которого его донимают звонками. Номер проверят и занесут в единый реестр, доступный всем операторам. Правда, фокус на нежелательной рекламе, а никак не на флуде. К тому же это агония какая-то: вводить по одному бесчисленные номера, а с которых атакуют флудеры. На момент запуска сервиса к нему были подключены МТС, Tele2 и «Мегафон». А как же абоненты других операторов?
Сколько стоит флуд-атака?
Услуга «флуд-атака»/SMS-бомбер/звонковый бомбер – не такая уж редкость на просторах даркнета. Давать пароли и явки мы, разумеется, не будем. Стоимость ее будет составлять в районе семисот рублей в стуки, за которые несчастная жертва получит 250-300 звонков. В общем-то такая атака сравнима с DDoS, только психологически еще более неприятная: телефон абонента просто взрывается, не оставляя никакой возможности пользоваться им по назначению, заряд быстро заканчивается.
Но лезть в даркнет за этой услугой не обязательно: прямо не выходя из Telegram можно найти сервис, который за 1500 рублей обеспечит час приключений какому-либо абоненту. Опять же без ссылок, но 680 000 подписчиков у этого сервиса заставило нас несколько испугаться.
Возможны варианты – жертве отравят определенные часы. Например, телефон начнет разрываться в 6 утра. Или в момент начала важной встречи. Услугу можно заказать на день, неделю, месяц, – оптом, как водится, дешевле.
Что за это будет?
Отметим, что и заказчики, и разработки таких «сервисов» и ПО своими действиями подпадают под ст. 273 УК РФ, которая предусматривает наказание за создание, использование и распространение вредоносных программ.
По статье предусмотрено наказание в виде тюремного заключения до 4 лет, а также штраф до 200 тысяч рублей. При наличии отягчающих обстоятельств (преступление совершено группой лиц, должностным лицом из корыстных побуждений) срок заключения может достигать 5 лет со штрафом до 200 тыс. руб. и последующим лишением права работать на некоторых должностях сроком до 3 лет. Если в результате таких спам-атак произошли какие-то более тяжелые последствия (пострадавший не смог дозвониться «скорой помощи») наказание может достигать и семи лет.
Так как борьбой с преступностью в области компьютерных технологий занимается Управление «К» Министерства внутренних дел РФ, то пострадавшим нужно обращаться в дежурные части МВД.
Остальное законодательство, связанное с рассылками, защищает и регулирует отношения скорее от коммерческими игроками, ст. 44.1, ФЗ «О связи» устанавливает порядок осуществления такой рассылки, и требует получения предварительного согласия абонента. Законодательства о рекламе также касается лишь коммерческого спама. Сообщения политического, религиозного или агитационного содержания, а также хулиганский спам данными положениями не охватываются.
Полезные советы
Начем с грустной ремарки: сейчас, после череды утечек персональных данных россиян, люди становятся особенно уязвимыми к такого рода атакам.
К сожалению, как нам кажется, операторы делают недостаточно для защиты от такого рода атак, поэтому советы:
Если вы опасаетесь, что можете стать жертвой такой атаки и хотите подстелить соломки:
Разделяйте и властвуйте: заведите себе разные телефонные номера и e-mail для разных целей. Пусть SMS и письма авторизации приходят на одни аккаунты/номера, для общения в мессенджерах и по телефону используются другие, а если вы решились на страшное: опубликовать где-то свой телефонный номер – будь то маркетплейс или объявление «куплю кота» – то пусть это уже будет третий номер.
Если все-таки атака случилась:
Сделать что-то с SMS сложно, но против звонков эффективными оказались голосовые ассистенты, которые не только спасают от голосового спама, но и поднимают настроение смешными диалогами:
Некоторую пользу может принести услуга «Черный список» – в случае, если атакующий обладает ограниченным объемом номеров. Но услуга эта платная, хоть и всего рубль в день. Жертва флуд-атаки должна платить и тратить время на добавление номеров в черный список.
Что хотелось бы от компаний
Реакции? =)
Операторы связи
Операторы связи о таком виде атаки осведомлены, но их (в частности, МТС) советы о том, что делать, если вы ей подверглись, кажутся нам бессмысленными:
(свяжитесь с колл-центром с выключенного девайса – это, конечно, дельный совет)
Как понять, что вред причинен, и что считать вредом? Как эти действия помогут остановить атаку? Мы уже знаем, что никак, потому что обращаться к оператору пострадавшие от флуд-атаки пробовали, но не особенно успешно. Вот опыт обращения к «Мегафону»:
- оператор службы поддержки предложил услугу «антиспам» от «Мегафона».
Однако опыт наших пострадавших показывает, что она не очень эффективна, особенно в плане SMS-сообщений: их она не блокирует.
В сущности, если виртуальные АТС могут использоваться для организации спам-звонков, но они и для борьбы с ними подойдут. Увидев признаки флуд-атаки, оператор вполне можно подключить абоненту такой сервис, затем уже связавшись с ним и уточнив детали. Искусственный интеллект поможет понять, какие из списка номеров принадлежат реальным людям и организациям, и сообщать об этих звонках абоненту, пользуясь выбранным абонентом каналом коммуникации. В сущности это продвинутая версия запрета звонков с незнакомых номеров, позволяющая абоненту иметь больший контроль за ситуацией. А то с незнакомых номеров может и сантехник позвонить, и из школы и из больницы, куда забрали пожилого родственника.
Сервисы
Сервисы, которые рассылают своим клиентам SMS для регистрации, могут обратить внимание на то, что их авторизацию используют не по назначению. И, как нам кажется, стоит наказывать за это не своих клиентов, отключая им возможность получать SMS, а, наоборот, их преследователей.
А более глобально, как нам кажется, надо, чтобы сервисы признали, что мошенники есть, объединили ресурсы, и, поняв, что абонент, проживающий в Оренбурге, внезапно из государства заморского решил восстановить свой доступ к популярном супермаркету и еще сотне магазинов, задумались, что происходит. Да даже элементарная капча спасла бы кучу нервных клеток, а то:
(да, это большой, БОЛЬШОЙ магазин, и если вы вводите номер (любой!), то на этот номер приходит SMS)
Нам кажется, что если гиганты рынка примут участие в крестовом походе против флуд-атак, пользы будет гораздо больше, чем от отдельных очень уставших пострадавших.
Социальные сети
Сообщества, где можно заказать флуд-атаку, можно встретить в VK, Telegram, запрещенных соцсетях. Нам кажется, что их можно и модерировать.
Делитесь своими историями, дополняйте наш рассказ!