17 августа 2012, 16:17
Количество просмотров 183

Chronopay.com: «сетевые хулиганы становятся национальной проблемой!»

Мошенники, планировавшие и реализовывавшие атаку, намеревались, прежде всего, нанести репутационный урон ChronoPay. Но в итоге удар...
Chronopay.com: «сетевые хулиганы становятся национальной проблемой!»

Мошенники, планировавшие и реализовывавшие атаку, намеревались, прежде всего, нанести репутационный урон ChronoPay. Но в итоге удар пришелся по всему рынку...


Как уже известно участникам рынка, 26 декабря минувшего 2010 г. произошла подмена платежной страницы web-сайта Chronopay.com на Chronopay.com: «сетевые хулиганы становятся национальной проблемой!» - рис.1фишинговую страницу. Временное похищение доменного имени компании сопровождалось размещением фальсифицированного письма от имени Павла Врублевского, якобы информирующего всех клиентов компании о взломе ее базы данных, а также публикацией в Сети номеров нескольких сотен банковских карт и имен их держателей, частично собранных на фальшивой платежной странице web-сайта Chronopay.com, просуществовавшей несколько часов.

Безусловно, мы не остались в стороне от данного события и в своих новостных выпусках оперативно давали объективную информацию о происходящем. Сегодня же, когда расследование данного инцидента приближается к своему логическому завершению, и информационный шум, поднятый в СМИ, несколько поулегся, журнал «ПЛАС» предложил Павлу Врублевскому, генеральному директору компании «ХроноПэй», поделиться с нашими читателями своим видением реальных причин случившегося инцидента, оценкой его возможных последствий, а также рассказать о действиях, предпринятых компанией по расследованию столь резонансного происшествия.

ПЛАС: В начале нашей беседы не могли бы вы подробно рассказать, что с вашей точки зрения все-таки произошло в предновогодние дни минувшего года, поскольку эта история успела обрасти в СМИ самыми противоречивыми, а порой и просто неправдоподобными слухами и домыслами?


П. Врублевский: Инцидент, который произошел в последних числах декабря 2010 г., будет расследоваться, как я предполагаю, не один месяц. По-моему убеждению, компания ChronoPay находится вне зоны каких-либо нарушений с точки зрения выполнения требований по обеспечению безопасности, и поэтому я могу совершенно непредвзято говорить о том, что произошло. Но мы обеспокоены другим вопросом – нарушили ли мы в какой-либо степени требования стандарта PCIDSS? В соответствии с моими представлениями, – нет, не нарушили. Однако, во всей этой истории имеется один деликатный момент, связанный с давним случаем кражи SSL-ключа.

Но начнем с главного. Мы точно знаем, что, никаких взломов, не было вообще, и ни одна из наших систем не пострадала. Конфиденциальность базы данных не была нарушена. Мы готовы к любой инспекции.

Так что, собственно, произошло в конце декабря 2010 г.?

Каким-то образом был украден домен ChronoPay.com у регистратора DirectNIC и переведен на регистратор Networks Solution. Сама операция по переводу доменного имени с одного регистратора на другой делается для того, чтобы максимально усложнить возвращение домена обратно – в этом случае такая процедура может занимать несколько недель, если не месяц.

Злоумышленниками предполагалось, что вся ситуация будет развиваться по несколько иному сценарию, чем это случилось в действительности. В частности, они надеялись, что разбор ситуации с кражей домена под Новый год займет не одну неделю. Как правило, так обычно и бывает в случае воровства домена и перевода его на другой регистратор .

Однако нам удалось вернуть домен обратно всего за 3 дня. Специалисты DirectNIC сделали почти невозможное. Они вышли на Networks Solution, несмотря на праздничные дни, подписали множество бумаг на основании только присланных нами копий документов и вернули наш домен за такой короткий срок.

Для того чтобы увести домен, нужно внутри самой компании-регистратора инициировать автоматический процесс передачи доменного имени. Как один из технических вариантов, это можно сделать с помощью получения доступа к e-mail, на который высылается секретный вопрос. Либо получить возможность внутри регистратора сменить адрес электронной почты. В нашем случае именно этот вариант мошенник и применил.

Добиться смены почтового адреса можно несколькими разными способами. Один из них – социальная инженерия (подготовка и отправка в компанию-регистратор поддельных документов, свидетельствующих якобы о том, что текущий владелец продал свой домен кому-то еще). Такие случаи бывали. Второй способ – подбор пароля на стороне самого регистратора. Сегодня существует целая нелегальная индустрия, занимающаяся подобного рода деятельностью – киберсквоттинг.

Судя по всему, в нашем случае мошенники избрали именно второй вариант...


DirectNIC: проблемы возникают не в первый раз

В течение последних двух месяцев в Интернете появилось очень много сведений о доменах, «уведенных» у регистратора DirectNIC, в том числе, и у крупных бизнес-структур.

В частности, регистратор DirectNIC был замечен в подобной истории с компанией Secunia, ведущим мировым поставщиком решений, связанных с информационной безопасностью.

Приводим цитату в оригинальном виде с web-сайта самой компании и eе перевод:

«Our preliminary investigations have been concluded. We've been working with our registrar provider, DirectNIC, to identify the cause of the incident, during which we've learned that some other DirectNIC customers were affected by yesterday’s attack and they all suffered a temporary redirection of traffic»*.


*«Наши предварительные исследования завершены. Мы работаем с нашим провайдером, DirectNIC, чтобы разобраться в причинах инцидента, в результате чего мы обнаружили, что некоторые другие клиенты DirectNIC также подверглись вчерашней атаке и пострадали от временного перенаправления трафика». 


Что было дальше? Перерегистрировав домен ChronoPay на свое имя, мошенники создали поддельную платежную web-страничку. В ходе фишинговой операции пострадало порядка 490 человек. В файле, опубликованном в Интернете, было выложено порядка 800 записей о карточных данных. Однако значительная часть этой информации была попросту не валидной – она представляла собой список всех операций, проходивших через фишинговую страницу, где были и действительные номера карт, и ошибочно введенные, и повторные.

Первый вопрос, который возник сразу у всех специалистов – какие сертификаты использовали мошенники? Судя по их действиям, сертификаты ими не использовались. Сертификаты были выложены мошенниками в открытый доступ, в большей степени, для создания видимости, нежели чем для какой-то «работы» с ними.

Сам сертификат легко «вытащить» из интернет-браузера. Сами по себе они являются публичными. Конфиденциальными являются ключи к сертификатам. Таким образом, вопрос нужно ставить следующим образом – реальные ли ключи выложили мошенники в открытый доступ? Из того набора ключей, который они выложили, рабочим ключом, обеспечивающим доступ на платежную страницу, был лишь один. Как это могло произойти? При расследовании выяснилось, что этот ключ действительно был украден у нас, но не в декабре, а намного раньше, еще весной 2010 г. Системный администратор нашей компании, обнаружив кражу, не стал перевыпускать ключ, а просто перевыпустил заново сертификат, к которому относился этот ключ. Как был украден этот ключ, является сегодня вопросом уголовного разбирательства, в который мы никого не имеем права посвящать ввиду тайны следствия.

О чем говорит вся ситуация в целом? Сопоставляя масштабы атаки, вложенные в нее средства и предпринятые усилия с достигнутыми результатами, можно получить представление, насколько сложно «пробить» систему безопасности ChronoPay. Мы сами крайне заинтересованы в скорейшем финале расследования. Поэтому, если это будет необходимо, для получения копии заблокированной фишинговой страницы от хостинг-провайдера мы обратимся за содействием и в ФБР США.

Хочу обратить ваше внимание еще на один очень интересный момент. Информационный шум вокруг данного инцидента начался с того, что на интернет-ресурсе Roem.ru была выложена новость о взломе компании ChronoPay. Известный блоггер Юрий Синодов нашел в опубликованном мошенниками списке свою карту и тут же заявил в прессе, что он в день атаки, предпринятой на сайт нашей компании, по своей карте не рассчитывался. При этом номера всех остальных карт непосредственно были собраны на фишинговой странице. При дальнейшей проверке выяснилось, что в базе плательщиков ChronoPayза последний год нет именно этой карты Ю. Синодова. Вот почему я, в том числе, так жду копию фишинговой страницы – чтобы выяснить наконец, как в списке могла оказаться эта карта.

ПЛАС:На наш взгляд ситуация, которая сложилась вокруг действий мошенников, затрагивающих интересы компании ChronoPay и ее клиентов, сопряжена, в первую очередь, с репутационными рисками не только для вашей компании, но и для всего рынка в целом. Идет ли речь о направленной попытке компрометации, и если да, то кому она могла быть выгодна?

П. Врублевский: Мне кажется, что мошенники, планировавшие и реализовывавшие эту атаку, намеревались, прежде всего, нанести репутационный урон ChronoPay, но в итоге удар пришелся по всему рынку. Именно это отмечали в своих комментариях различным СМИ представители других систем платежей. И, как мне кажется, сделано это было мошенниками просто по глупости. Прежде всего, им не стоило затевать все эти игры со СМИ. Насколько я понимаю, основной целью информационной компании в СМИ как раз и было нанесение ущерба нашей компании, но, по большому счету, этого достигнуто не было.

ПЛАС:И все же: удалось ли мошенникам достичь своих целей – нанести реальный урон платежной системе ChronoPay?

П. Врублевский: Ответ на этот вопрос зависит от того, что именно считать целью мошенников? Фактически, все свелось к уводу домена на целых три дня и фишинговой странице, просуществовавшей в реальности менее двух часов.

Ориентируясь на чисто технологические моменты, можно подсчитать: обновление DNS-серверов (IP-адресов серверов в системе DNS по всему миру) является очень длительным технологическим процессом, занимающим около 24 часов. Как правило, при запуске процесса обновления DNS-серверов у большинства пользователей загружается старая страница по прежнему адресу. Поскольку сам процесс, в нашем случае, технически был запущен ночью 26 декабря 2010 г., в России фишинговая страница стала отображаться часов в 10.00 мск, а к 12.00 она была уже заблокирована. Собственно, именно поэтому мошенникам удалось собрать на ней так немного данных о картах.

Более того, даже это количество собранной мошенниками информации никак не соответствует количеству обрабатываемых транзакций в компании – это несколько десятков тысяч транзакций. Таким образом, даже за 2 часа существования фишинговой страницы мошенники должны были собрать гораздо больше карточных данных.. Когда мошенники планировали свою атаку, они предполагали продержать страницу день-два, собрать данные приблизительно о 7 тыс. картах. В этом случае результат и самой мошеннической атаки, и репутационный урон, нанесенный нашей компании, были бы совсем иными.

Chronopay.com: «сетевые хулиганы становятся национальной проблемой!» - рис.2

Конечно, было бы глупо утверждать, что мошенникам совсем не удалось нанести ущерба репутации нашей компании. Однако, если бы они не затеяли все эти игры со СМИ, их атака была бы в разы успешнее.

ПЛАС:Изменилось ли и в какую сторону количество клиентов, пользующихся сервисами платежной системы ChronoPay? Является ли этот показатель свидетельством устойчивости системы, надежности бренда и лояльности ее клиентов?

П. Врублевский: Оценить данный показатель можно только по истечении хотя бы месяца. Могу лишь сказать, что жалобы были от некоторого количества клиентов. Крупные компанииклиенты прореагировали на сложившуюся ситуацию спокойнее, чем мы ожидали, и в целом поддерживают нас.

ПЛАС:Планируете ли вы, в связи со сложившейся ситуацией, усилить меры по защите ваших систем от преступных действий? Предприняты ли компанией на данный момент какие-либо дополнительные шаги в этом направлении?

П. Врублевский: Мы постоянно работаем в направлении усиления защиты наших систем, и, безусловно, дополнительные меры безопасности были приняты незамедлительно.. С точки зрения защиты домена, на DirectNIC мы установили особый статус для нашего аккаунта – «highsecurity», выставили запреты на изменение регистрационных данных и выставили запрет на трансфер домена.

Несколько позднее мы планируем перерегистрировать свой домен у другой компании-регистратора, менее подверженной взломам.

ПЛАС:Были ли зафиксированы случаи ущерба, нанесенного клиентам ChronoPay в связи с произошедшим инцидентом? Выдвигал ли кто-либо из клиентов с требованием возместить ущерб? Ожидаете ли компания подобных обращений?

П. Врублевский: До сегодняшнего дня никто из наших клиентов (из числа компаний) не обращался к нам с требованием возместить ущерб в рамках данного инцидента. И таких обращений мы не ожидаем. Клиенты стали бы обращаться за возмещением ущерба, если бы сервис ChronoPay был недоступен реально долгое время. Практика показывает, что если платежный сервис не работает сутки, это является для клиента очень незначительной проблемой. Тот оборот, который клиент набирает после суток простоя платежного сервиса, всегда полностью или даже с избытком компенсирует потери.

Что касается клиентов – держателей карт, то наша служба поддержки обзвонила лично всех, данные, чьих карт попали к мошенникам, и предупредила о неправомерных действиях по отношению к ним. Мы рекомендовали им связаться с банком-эмитентом и в срочном порядке заблокировать свои карты.

ПЛАС:Располагает ли, на ваш взгляд, существующее российское законодательство эффективными возможностями выявления и предотвращению действий киберпреступников? Если нет, наблюдается ли хоть какое-то движение в данную сторону?

П. Врублевский: Во-первых, как мне кажется, все мы – участники рынка платежей, не только в России, но и за рубежом, заигрались с понятием «компьютерное преступление». Что я хочу сказать?

Сегодня УК РФ содержит 3 статьи, все они носят название «Компьютерное преступление» и, по сути, обозначают взлом в той или иной форме. Однако практически вся деятельность криминальных сетей, функционирующих в Интернете, является по своему характеру преступлением не компьютерным, а экономическим. И расследовать эту деятельность положено не «компьютерным» подразделениям МВД, а подразделениям, расследующим именно экономические преступления. В те времена, когда Интернет был еще в новинку, и у нас в России, и в США, и в других странах был создан целый сегмент правоохранительных органов, который должен был заниматься расследованием именно компьютерных преступлений. Как правило, сотрудники таких подразделений не обладают нужной квалификацией для того, чтобы расследовать преступления, не являющиеся по своей сути компьютерными. Именно поэтому большие, сложные схемы, в которых действительно работают серьезные профессионалы, получающие большие деньги за свою «профессиональную» деятельность по взлому и пр., лишь изредка «страдают» от действий правоохранительных органов. Хотя, по сути, для «экономического» подразделения правоохранительных органов не должно быть большой разницы, как именно совершалось экономическое преступление – через Интернет или как-то иначе.

Но тенденции к изменению такой ситуации в лучшую сторону уже точно есть.

Безусловно, требуются законодательные изменения в сфере борьбы с компьютерной преступностью в России, введение в УК РФ дополнений по всем видам экономических преступлений в Интернете. И такие шаги покажут всему миру, что Россия в действительности не поддерживает сетевую преступность, о чем пишут многие зарубежные СМИ.

ПЛАС:Планирует ли компания ChronoPayсотрудничать с правоохранительными органами в расследовании данного инцидента?

П. Врублевский: Разумеется. Наше сотрудничество с правоохранительными органами будет, я надеюсь, максимально эффективным и плодотворным. Мы написали и направили в их адрес далеко не одно заявление и уверены в том, что нас там «услышали».

В завершении своего интервью хочу сказать: по моему мнению, сетевые хулиганы и блоггеры, занимающиеся провокационной деятельностью, медленно, но верно превращаются в российскую национальную проблему. С которой нужно бороться соответственно, в соизмеримых масштабах, а не усилиями отдельных пострадавших компаний.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube