По статистике, в последнюю пятницу перед декабрём обыватели начинают массово закупаться подарками к Новому году. Например, в США примерно 70% взрослых граждан делают покупки в этот день, который в связи с огромной прибылью (чёрный цвет в бухгалтерии) коммерсанты называют «чёрным» днём.

К сожалению, статистика известна не только ритейлерам, но и кибермошенникам, которые тоже традиционно активизируются в это время года.

В связи с повышенным риском Федеральное управление по информационной безопасности Германии (BSI) в преддверии 26.11.2021 повысило уровень угрозы до «жёлтого» (пресс-релиз). По оценке специалистов, в ближайшие дни ожидаются DDoS-атаки с рекордными значениями.

Нужно заметить, что DDoS-атакам часто сопутствуют следующие явления:

  • рэкет под видом «защиты от DDoS»;
  • фишинг пользователей с направлением на поддельные сайты без сертификатов EV SSL (фишинг упрощается, если оригинальные сайты лежат под DDoS).

Опасный период начинается с чёрной пятницы 26.11 и продолжится до самого Нового года, включая «киберпонедельник» 29.11, предрождественские и рождественские распродажи.

Рекорды по DDoS


В этом году установлено несколько новых рекордов по инфраструктуре и сопровождению DDoS-атак:

  1. В ходе атаки на облако Microsoft Azure побит рекорд по пиковому трафику: 2,4 Тбита/с. В качестве вектора атаки злоумышленники выбрали отражение и усиление трафика по протоколам, которые используют транспорт UDP, с примерно 70 000 точками атаки преимущественно из Ю.-В. Азии.

    Атака продолжалась более десяти минут, с очень короткими всплесками, каждый из которых достигал терабитных объемов в течение нескольких секунд. Всего наблюдалось три пика: первый 2,4 Тбита/с, второй 0,55 и третий 1,7 Тбита/с.


  2. В атаке на «Яндекс» использовался ботнет Meris, который установил новый рекорд по количеству запросов: почти 21,8 миллиона запросов в секунду. Ботнет Meris в основном состоит из домашних маршрутизаторов от латвийского производителя MikroTik.



Тревожные изменения наблюдаются и по другим метрикам. Например, обнаружено рекордное количество вариантов XorDDoS — Linux-трояна для контейнеров Docker.



Ботнет XorDDoS использовался для масштабных DDoS-атак несколько лет назад.

Рэкет под видом защиты от DDoS


Не секрет, что DDoS-атаки и защиту от них часто предлагают одни и те же компании.

Количество инцидентов, связанных с DDoS-рэкетом, продолжает неуклонно расти. Они всё чаще попадают в поле зрения общественности. В последнее время жертвами вымогателей часто становятся телекоммуникационные компании и VoIP-провайдеры.

В преддверии рождественских продаж становится особенно выгодно DDoS'ить интернет-магазины, для которых цена простоя резко возрастает. Сейчас ожидается значительный рост преступности, особенно в сфере DDoS-рэкета.

Меры безопасности


Рекомендации для компаний:

  1. Заранее составить план действий на случай попыток DDoS-вымогательства.
  2. Не реагировать на требования денег за защиту от DDoS.
  3. BSI рекомендует такой список из 12-ти квалифицированных провайдеров для защите от DDoS, куда входят Cloudfare и Akamai.
  4. В качестве превентивной меры против XorDDoS рекомендуется отключить Telnet и защитить SSH как минимум надёжным паролем или ключом. Для борьбы с брутфорсом можно использовать fail2ban.

Пользователям рекомендуется обращаться внимание на наличие сертификата EV SSL у интернет-магазина, чтобы не стать жертвой фишинга.

Мошенники поднимают сайты, которые выглядят как настоящий интернет-магазин. Этот сайт раскручивается через спамерские рассылки в мессенджерах и по почте. Поэтому при переходе по такой ссылке нужно дважды проверить URL, иначе деньги уйдут преступникам.

Чтобы такого не произошло, браузеры с недавнего времени на всех сайтах без SSL-сертификатов выводят предупреждение о «незащищённом соединении».


Один из заброшенных российских сайтов без сертификата SSL

Это может быть приемлемо для бесплатной библиотеки, но не очень подходит для интернет-магазина, который потеряет часть клиентов.

Комментарии (6)


  1. mrBarabas
    25.11.2021 23:31
    +4

    Новость конечно правильная и верная и все разложено, НО, что помешает мошенникам вместо сертификата на условного ООО Хороший Магазин получить заранее 2 десятка ЧП Пупкин и собрать таким же образом «сливки», там более что никто и не знает толком: где и смотреть, что написано в сертификате и как соотнести good.com с ООО Хороший Магазин. Такие пресс-релизы нужны, но также нужны и промежуточные, которые должны поднимать информационную грамотность, где эти все мелочи можно будет узнать


  1. amarao
    26.11.2021 00:10
    +9

    Нафига EV, если он мёртв?


    1. ifap
      26.11.2021 00:56
      +2

      Это для лохов он мертв, для крутых — барабаны EV ;)


  1. Wesha
    26.11.2021 05:59
    +6

    Один из заброшенных российских сайтов без сертификата SSL

    Шо? Библиотека Мошкова заброшена? Серьёзно?

    Может, в ней просто нет ничего такого, что требовало бы супермегабезопасности?


    1. yett
      29.11.2021 23:45

      Например встраиваемой рекламы от провайдера?


  1. gotch
    26.11.2021 10:02

    В качестве превентивной меры против XorDDoS рекомендуется отключить Telnet и защитить SSH как минимум надёжным паролем или ключом. Для борьбы с брутфорсом можно использовать fail2ban.

    В 2021 году не многие знают как включить telnet.