Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Провайдер объяснил это борьбой с мошенниками

[ Версия для печати ]
Добавить в Facebook Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (6) [1] 2 3 ... Последняя »  К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
Jus
19.06.2019 - 22:49
Статус: Offline


Скарификатор перикарда

Регистрация: 30.05.06
Сообщений: 343772
282
Как выяснилось, в страницу личного кабинета Ростелекома встроен скрипт, собирающий данные об активности локальных сервисов на компьютерах пользователей.

Представители провайдера объяснили, что таким способом борются с мошенниками, которые могут удалённо управлять устройствами абонентов.


Пользователь «Хабра» под псевдонимом force рассказал, как случайно обнаружил сканирование локальных сервисов на его компьютере со стороны Ростелекома. Как оказалось, личный кабинет провайдера постоянно отсылает запросы на устройство и пытается втайне собрать данные.

По словам force, он заподозрил неладное, когда увидел, что кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера.

. Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.
force
пользователь «Хабра»


Пользователь решил, что раз соединение блокируется, то нужно сделать так, чтобы на нём «кто-то сидел». Для этого он запустил «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». В результате выяснилось, что к порту пытался подключиться Firefox.

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Провайдер объяснил это борьбой с мошенниками
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
Jus
19.06.2019 - 22:49
Статус: Offline


Скарификатор перикарда

Регистрация: 30.05.06
Сообщений: 343772
После этого force начал выяснять, какая вкладка или расширение это делают, но внутренние инструменты браузера на страницах about:peformance и about:networking не показали id процесса, который делал сетевые запросы. Из-за большого количества открытых страниц пользователь «Хабра» не мог найти нужную сразу, но позже обнаружил страницу, которая делала запросы — личный кабинет Ростелекома.

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Провайдер объяснил это борьбой с мошенниками
 
[^]
Jus
19.06.2019 - 22:49
Статус: Offline


Скарификатор перикарда

Регистрация: 30.05.06
Сообщений: 343772
Как узнал force, сайт сканировал как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Провайдер объяснил это борьбой с мошенниками
 
[^]
Jus
19.06.2019 - 22:50
Статус: Offline


Скарификатор перикарда

Регистрация: 30.05.06
Сообщений: 343772
Какие порты сканировал личный кабинет Ростелекома

* 5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB;
* 6900 — BitTorrent — пиринговый протокол для обмена файлами;
* 5650 — обычно использует троян Pizza;
* 5931 — неизвестно;
* 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer;
* 5939 — неизвестно;
* 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft;
* 8080 — HTTP — протокол передачи произвольных данных;
* 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером;
* 443 — HTTPS;
* 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки;
* 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам;
* 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.

Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи. Он нашёл несколько возможных объяснения, зачем Ростелеком сканирует эти порты.

* Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян;
* Это осознанное решение Ростелекома и попытка причинить вред пользователю;
* Это осознанное решение Ростелекома и попытка собрать данные о пользователе.

После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.

Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.

TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.

. Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя.
пресс-служба Ростелекома


Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.

Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.

via
 
[^]
Ambente
19.06.2019 - 22:53
93
Статус: Offline


Юморист

Регистрация: 4.06.17
Сообщений: 556
Готовятся к Рунету.... скаты пля
 
[^]
VampirBFW
19.06.2019 - 22:53
115
Статус: Offline


Поварствующий радиоуправляемый сисадмин

Регистрация: 20.02.10
Сообщений: 9747
Компания делает вывод о возможных угрозах И ЧТО????? Дальше то что? А я вам расскажу, эту инфу получат нужные люди, и вы увидите сообщение или звонок от "банка"
 
[^]
NikeDestroyer
19.06.2019 - 22:54
77
Статус: Offline


Юморист

Регистрация: 21.03.14
Сообщений: 495
На самом деле последние месяца два идут непонятные запросы в т.ч. от провайдера. Можно полагать что тупо начали тотальную слежку за трафиком и прочим.
 
[^]
Dogeron
19.06.2019 - 22:55
24
Статус: Offline


циник-шизофреник со справкой

Регистрация: 9.12.15
Сообщений: 1008
блядь, да даже Госуслуги является фишинговым сайтом. пиздец Америку открыли faceoff.gif
 
[^]
шщгуйшгцучзщ
19.06.2019 - 22:56
68
Статус: Offline


UQ < 0

Регистрация: 8.11.15
Сообщений: 187
 
[^]
Yanssen
19.06.2019 - 22:57
47
Статус: Offline


Тоже сволочь

Регистрация: 21.07.17
Сообщений: 1030
У меня сегодня с 16 часов вдруг закосячил тырнет. Ростелеком, ага.

То слабенько работает - открывается яндекс и больше никуда, то совсем ничего.
Ну, техподдержка, ну танцы вокруг модема. Результат нулевой. Погонял в цивилизацию, в сапёра. Думал уже спать, выключил комп - и тут модем как праздничная ёлка - засветился всеми лампочками. Мол, всё. Интернет зашибенный - ура.

Включился обратно - и правда всё зашибись.
=
Значит меня уже проверили и всё хорошо.) Я не террорист какой и мне интернет разрешили.)
 
[^]
muhalot
19.06.2019 - 22:58
6
Статус: Offline


Приколист

Регистрация: 19.05.13
Сообщений: 237
Так, йа ни понил. Эта харашо или плоха?
 
[^]
кулибяка
19.06.2019 - 22:59
14
Статус: Offline


Приколист

Регистрация: 2.02.17
Сообщений: 206
Нихуя не понял. Главное что бы на порно сайты доступ не закрыли.

Размещено через приложение ЯПлакалъ
 
[^]
Семья
19.06.2019 - 23:00
48
Статус: Offline


Добрый Психолог

Регистрация: 3.03.12
Сообщений: 322
на неделе начну против этих тварей бумаги собирать, в суд на них подам. Они мне на выкупленное оборудование начали счета выставлять как будто я его у них арендую.
 
[^]
mrPitkin
19.06.2019 - 23:00
12
Статус: Online


Ярила

Регистрация: 23.08.14
Сообщений: 31824
Цитата (Yanssen @ 20.06.2019 - 00:57)
У меня сегодня с 16 часов вдруг закосячил тырнет. Ростелеком, ага.

То слабенько работает - открывается яндекс и больше никуда, то совсем ничего.
Ну, техподдержка, ну танцы вокруг модема. Результат нулевой. Погонял в цивилизацию, в сапёра. Думал уже спать, выключил комп - и тут модем как праздничная ёлка - засветился всеми лампочками. Мол, всё. Интернет зашибенный - ура.

Включился обратно - и правда всё зашибись.
=
Значит меня уже проверили и всё хорошо.) Я не террорист какой и мне интернет разрешили.)

Модем, цивилизация, сапёр.. 21 век на дворе.
 
[^]
Краснодарец
19.06.2019 - 23:00
2
Статус: Offline


Недоброжелательный правдоруб

Регистрация: 14.05.14
Сообщений: 14972
Цитата (NikeDestroyer @ 19.06.2019 - 22:54)
На самом деле последние месяца два идут непонятные запросы в т.ч. от провайдера. Можно полагать что тупо начали тотальную слежку за трафиком и прочим.

Привет Яровой! rulez.gif
 
[^]
Gyriev
19.06.2019 - 23:02
70
Статус: Offline


Балагур

Регистрация: 26.02.15
Сообщений: 900
Цитата (mrPitkin @ 20.06.2019 - 00:00)

Модем, цивилизация, сапёр.. 21 век на дворе.

Подскажите, что за игра "21 век на дворе"...
 
[^]
HoiAn12
19.06.2019 - 23:03
13
Статус: Online


Ярила

Регистрация: 20.01.13
Сообщений: 2118
И скоро Северная Корея покажется раем.
 
[^]
Yanssen
19.06.2019 - 23:05
8
Статус: Offline


Тоже сволочь

Регистрация: 21.07.17
Сообщений: 1030
Цитата (Gyriev @ 19.06.2019 - 23:02)
Цитата (mrPitkin @ 20.06.2019 - 00:00)

Модем, цивилизация, сапёр.. 21 век на дворе.

Подскажите, что за игра "21 век на дворе"...

Так цивилизация же. Ну, там, в конце, когда уже индусов отгеноцидишь и звездолёт строить пора.
 
[^]
AVIcrak
19.06.2019 - 23:05
9
Статус: Offline


Балагур

Регистрация: 3.06.16
Сообщений: 853
Цитата (NikeDestroyer @ 19.06.2019 - 22:54)
Можно полагать что тупо начали тотальную слежку за трафиком и прочим.

Э, слежка за трафиком???
А прямого запроса с моего узла уже недостаточно??? Куда по вашему идут все эти запросы, или точнее - через кого???
Неужели не через провайдера?
 
[^]
bimb0
19.06.2019 - 23:07
5
Статус: Offline


МимоКрокодил (c)

Регистрация: 25.03.16
Сообщений: 5606
Цитата (NikeDestroyer @ 19.06.2019 - 22:54)
На самом деле последние месяца два идут непонятные запросы в т.ч. от провайдера. Можно полагать что тупо начали тотальную слежку за трафиком и прочим.

Нахуя провайдеру генерить левые запросы, если нужно следить за твоим трафиком? rulez.gif
 
[^]
Gyriev
19.06.2019 - 23:10
3
Статус: Offline


Балагур

Регистрация: 26.02.15
Сообщений: 900
Цитата (Yanssen @ 20.06.2019 - 00:05)
Цитата (Gyriev @ 19.06.2019 - 23:02)
Цитата (mrPitkin @ 20.06.2019 - 00:00)

Модем, цивилизация, сапёр.. 21 век на дворе.

Подскажите, что за игра "21 век на дворе"...

Так цивилизация же. Ну, там, в конце, когда уже индусов отгеноцидишь и звездолёт строить пора.

А, понял. Это продолжение. Чемодановка - восстание животных, победа людей.
 
[^]
ОченьБольшой
19.06.2019 - 23:12
50
Статус: Offline


Весельчак

Регистрация: 18.12.15
Сообщений: 140
Ростелеком эта которая берет деньги за отключение от неё? Не надо с ней дел иметь и все будет нормально dont.gif
 
[^]
MAY3EP
19.06.2019 - 23:14
11
Статус: Offline


Ярила с Нижнего Тагила

Регистрация: 4.04.11
Сообщений: 2567
Цитата
Компания делает вывод о возможных угрозах И ЧТО????? Дальше то что? А я вам расскажу, эту инфу получат нужные люди, и вы увидите сообщение или звонок от "банка"


Что дальше ?
А известно что дальше - неделю назад люди описывали как якобы их руками с их компа была подписка на три антивируса через ростелеком за охулиард рублей -
просто внаглую воруют деньги вот и все
 
[^]
MAY3EP
19.06.2019 - 23:15
30
Статус: Offline


Ярила с Нижнего Тагила

Регистрация: 4.04.11
Сообщений: 2567
Цитата
Ростелеком эта которая берет деньги за отключение от неё? Не надо с ней дел иметь и все будет нормально

да да, та самая пидорская контора
 
[^]
ai200869
19.06.2019 - 23:15
9
Статус: Offline


Ярила

Регистрация: 5.10.16
Сообщений: 1943
Возможно у него стоит подключённый
Антивирусник
от
провайдера.
 
[^]
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 42207
0 Пользователей:
Страницы: (6) [1] 2 3 ... Последняя » [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы








Наверх