Какие порты сканировал личный кабинет Ростелекома
* 5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB;
* 6900 — BitTorrent — пиринговый протокол для обмена файлами;
* 5650 — обычно использует троян Pizza;
* 5931 — неизвестно;
* 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer;
* 5939 — неизвестно;
* 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft;
* 8080 — HTTP — протокол передачи произвольных данных;
* 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером;
* 443 — HTTPS;
* 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки;
* 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам;
* 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.
Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи. Он нашёл несколько возможных объяснения, зачем Ростелеком сканирует эти порты.
* Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян;
* Это осознанное решение Ростелекома и попытка причинить вред пользователю;
* Это осознанное решение Ростелекома и попытка собрать данные о пользователе.
После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.
Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.
TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.
. Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя.
пресс-служба РостелекомаПредставители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.
Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.
via