Pour plus d'informations n° indigo (0,118 €/min) 08 203 203 63
À propos
Index des annonces
Les abus du mois de Juin/Septembre
Bonjour,
Pendant le mois de juillet/août, nous avons eu énormément de problèmes avec les abus en tout genre. Les impayées, les hackeurs, les scans, c'était notre quotidien. Ces problèmes sont dû aux hackeurs en provenance d'Afrique du Nord, qui se spécialisent dans le phishing et le vol de CB.
Ils commandent les noms de domaines, les hébergements et les serveurs dédiés, pour mettre en place des sites de phishing de paypal et de banques. Ceci leur permet de récupérer les CB.
Ils mettent aussi en place des pages de phishing "autre" (comme Ovh, Free, Orange etc) dans le but de récupérer les accès des clients qui ont des services Internet en France. Ceci leur permet d'avoir une infrastructure pour faire le phishing (pour faire la page, envoyer l'email, usurper l'identité etc). Dans le même but, ils scannent les réseaux des fournisseurs d'accès afin de trouver les VNC non protégés, ce qui leur permet de prendre contrôle d'un PC à distance (et fouiller le PC de la victime). Il y a des sous-groupes qui se spécialisent dans chaque activité et chacun apporte ainsi sa contribution au groupe.
Nous avons pris des mesures au mois de septembre pour faire face à ces problèmes. Nous avons renforcé la commande avec une confirmation SMS et une confirmation postales pour certaines commandes "sensibles" (les serveurs dédiés et les RPS). Nous avons amélioré la détection de scans en provenance de notre réseau (et vers notre réseau). Nous avons revu notre système de paiement sécurisé afin d'éviter les impayées dû aux paiements de hackeurs avec les CB volées.
Le résultat: nous avons fermé plus de 380 serveurs commandées par les hackeurs courant du mois de Juin, Juillet et Août, parfois encore Septembre. Et au finale, les hackeurs se sont retrouvés sans infrastructure pour abuser sur le net.
Ils sont allés chez nos concurrents, mais nous sommes les seuls sur le marché à livrer les serveurs en 1 heure. Les hackeurs ont été très embêtés. Ils ne peuvent plus commander puisqu'on valide les adresses via une lettre postale. Ils ont décidé de s'attaquer aux clients d'Ovh afin de récupérer les accès de nos clients puis commander les serveurs dédiés en se faisant passer par de clients déjà existant.
Ce qui ne sert à rien puisque toutes les commandes sont validés de la même manière. La semaine passée, nous avons eu 3 phishing de notre manager v3. Nous avons immédiatement renforcé la sécurité du manager. Mais comment protéger nos clients, contre eux-mêmes ? Voici quelques réponses retenues. Désormais vous avez un message d'alerte quand vous essayez de vous connectez au manager à partir d'une page malveillante: tout est rouge. Vous avez une explication sur l'adresse du manager: vous devez être sur un site en SSL avec www.ovh.com Lorsque quelqu'un se connecte au manager, vous recevez immédiatement un email de notification de connexion (1 notification / 1 IP de connexion / jour).
Si nous estimons qu'il s'agit d'une connexion suspecte, dans l'email de notification vous avez un lien via lequel vous pouvez immédiatement bloquer votre manager. Lorsque vous effectuez certaines opérations (changement d'email de votre contact) l'opération n'est pas effectuée immédiatement. Vous recevez un email que vous pouvez accepter ou refuser. Si vous ne faites rien, l'opération s'auto-validera au bout de 24 heures. Lorsque vous commandez un RPS ou un serveur dédié, chaque commande est analysée et validée par une personne humaine (pas de robot). Ceci peut prendre entre 5 minutes et 24 heures (et donc peut retarder la livraison de serveurs). En cas de détection de scans, le serveur est automatiquement suspendu, voir pour certains scans, le contrat est cassée.
Ces mesures ont apportées du résultats: nous n'avons presque plus d'impayée. Hier, notre réseau n'a pas généré de scans (nous avons subit des scans mais nous n'en avons généré aucun). Plus de phishing depuis 4 jours (nous en aurons, on n'en doute pas mais nous avons désormais une équipe est dédié à ce problème 24 heures sur 24 et le nécessaire est presque automatiquement).
En bref, nous commençons tout doucement à sortir la tête de l'eau avec cette histoire de hackeurs. En se protégeant et protégeant nos clients, nous avons "perdu" beaucoup de temps sur les développements de nouveaux services. Mais au finale, tout le monde gagne puisque notre réseau est plus propre, le client mieux protégé et nous avons moins d'impayée.
Amicalement
Octave
Pendant le mois de juillet/août, nous avons eu énormément de problèmes avec les abus en tout genre. Les impayées, les hackeurs, les scans, c'était notre quotidien. Ces problèmes sont dû aux hackeurs en provenance d'Afrique du Nord, qui se spécialisent dans le phishing et le vol de CB.
Ils commandent les noms de domaines, les hébergements et les serveurs dédiés, pour mettre en place des sites de phishing de paypal et de banques. Ceci leur permet de récupérer les CB.
Ils mettent aussi en place des pages de phishing "autre" (comme Ovh, Free, Orange etc) dans le but de récupérer les accès des clients qui ont des services Internet en France. Ceci leur permet d'avoir une infrastructure pour faire le phishing (pour faire la page, envoyer l'email, usurper l'identité etc). Dans le même but, ils scannent les réseaux des fournisseurs d'accès afin de trouver les VNC non protégés, ce qui leur permet de prendre contrôle d'un PC à distance (et fouiller le PC de la victime). Il y a des sous-groupes qui se spécialisent dans chaque activité et chacun apporte ainsi sa contribution au groupe.
Nous avons pris des mesures au mois de septembre pour faire face à ces problèmes. Nous avons renforcé la commande avec une confirmation SMS et une confirmation postales pour certaines commandes "sensibles" (les serveurs dédiés et les RPS). Nous avons amélioré la détection de scans en provenance de notre réseau (et vers notre réseau). Nous avons revu notre système de paiement sécurisé afin d'éviter les impayées dû aux paiements de hackeurs avec les CB volées.
Le résultat: nous avons fermé plus de 380 serveurs commandées par les hackeurs courant du mois de Juin, Juillet et Août, parfois encore Septembre. Et au finale, les hackeurs se sont retrouvés sans infrastructure pour abuser sur le net.
Ils sont allés chez nos concurrents, mais nous sommes les seuls sur le marché à livrer les serveurs en 1 heure. Les hackeurs ont été très embêtés. Ils ne peuvent plus commander puisqu'on valide les adresses via une lettre postale. Ils ont décidé de s'attaquer aux clients d'Ovh afin de récupérer les accès de nos clients puis commander les serveurs dédiés en se faisant passer par de clients déjà existant.
Ce qui ne sert à rien puisque toutes les commandes sont validés de la même manière. La semaine passée, nous avons eu 3 phishing de notre manager v3. Nous avons immédiatement renforcé la sécurité du manager. Mais comment protéger nos clients, contre eux-mêmes ? Voici quelques réponses retenues. Désormais vous avez un message d'alerte quand vous essayez de vous connectez au manager à partir d'une page malveillante: tout est rouge. Vous avez une explication sur l'adresse du manager: vous devez être sur un site en SSL avec www.ovh.com Lorsque quelqu'un se connecte au manager, vous recevez immédiatement un email de notification de connexion (1 notification / 1 IP de connexion / jour).
Si nous estimons qu'il s'agit d'une connexion suspecte, dans l'email de notification vous avez un lien via lequel vous pouvez immédiatement bloquer votre manager. Lorsque vous effectuez certaines opérations (changement d'email de votre contact) l'opération n'est pas effectuée immédiatement. Vous recevez un email que vous pouvez accepter ou refuser. Si vous ne faites rien, l'opération s'auto-validera au bout de 24 heures. Lorsque vous commandez un RPS ou un serveur dédié, chaque commande est analysée et validée par une personne humaine (pas de robot). Ceci peut prendre entre 5 minutes et 24 heures (et donc peut retarder la livraison de serveurs). En cas de détection de scans, le serveur est automatiquement suspendu, voir pour certains scans, le contrat est cassée.
Ces mesures ont apportées du résultats: nous n'avons presque plus d'impayée. Hier, notre réseau n'a pas généré de scans (nous avons subit des scans mais nous n'en avons généré aucun). Plus de phishing depuis 4 jours (nous en aurons, on n'en doute pas mais nous avons désormais une équipe est dédié à ce problème 24 heures sur 24 et le nécessaire est presque automatiquement).
En bref, nous commençons tout doucement à sortir la tête de l'eau avec cette histoire de hackeurs. En se protégeant et protégeant nos clients, nous avons "perdu" beaucoup de temps sur les développements de nouveaux services. Mais au finale, tout le monde gagne puisque notre réseau est plus propre, le client mieux protégé et nous avons moins d'impayée.
Amicalement
Octave