Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Провайдер объяснил это борьбой с мошенниками Материал редакции

Сайт собирает данные об активности пользователей под предлогом заботы о безопасности.

В закладки
Аудио

Пользователь «Хабра» под псевдонимом force рассказал, как случайно обнаружил сканирование локальных сервисов на его компьютере со стороны Ростелекома. Как оказалось, личный кабинет провайдера постоянно отсылает запросы на устройство и пытается втайне собрать данные.

По словам force, он заподозрил неладное, когда увидел, что кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера.

Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

force
пользователь «Хабра»

Пользователь решил, что раз соединение блокируется, то нужно сделать так, чтобы на нём «кто-то сидел». Для этого он запустил «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». В результате выяснилось, что к порту пытался подключиться Firefox.

Скриншот пользователя «Хабра» force

После этого force начал выяснять, какая вкладка или расширение это делают, но внутренние инструменты браузера на страницах about:peformance и about:networking не показали id процесса, который делал сетевые запросы. Из-за большого количества открытых страниц пользователь «Хабра» не мог найти нужную сразу, но позже обнаружил страницу, которая делала запросы — личный кабинет Ростелекома.

Как узнал force, сайт сканировал как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.

Какие порты сканировал личный кабинет Ростелекома

  • 5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB;
  • 6900 — BitTorrent — пиринговый протокол для обмена файлами;
  • 5650 — обычно использует троян Pizza;
  • 5931 — неизвестно;
  • 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer;
  • 5939 — неизвестно;
  • 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft;
  • 8080 — HTTP — протокол передачи произвольных данных;
  • 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером;
  • 443 — HTTPS;
  • 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки;
  • 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам;
  • 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.

Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи. Он нашёл несколько возможных объяснения, зачем Ростелеком сканирует эти порты.

  • Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян;
  • Это осознанное решение Ростелекома и попытка причинить вред пользователю;
  • Это осознанное решение Ростелекома и попытка собрать данные о пользователе.

После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.

Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.

TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.

Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя.

пресс-служба Ростелекома

Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.

Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0440\u043e\u0441\u0442\u0435\u043b\u0435\u043a\u043e\u043c","\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u044b","\u043f\u0440\u0438\u0432\u0430\u0442\u043d\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442","\u0432\u0437\u043b\u043e\u043c\u044b","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 104, "likes": 167, "favorites": 41, "is_advertisement": false, "subsite_label": "tech", "id": 102631, "is_wide": false, "is_ugc": false, "date": "Wed, 19 Jun 2019 20:10:09 +0300", "is_special": false }
0
{ "id": 102631, "author_id": 50011, "diff_limit": 1000, "urls": {"diff":"\/comments\/102631\/get","add":"\/comments\/102631\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/102631"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
104 комментария
Популярные
По порядку
Написать комментарий...
38

Зашёл на этот сайт. Мой XP оказался ему не по зубам
Сожалеем, но Единый личный кабинет несовместим с некоторыми версиями браузеров

Защита Неуловимого Джо работает безотказно

Ответить
27

Поставь линух, хватит уже трупов ебать

Ответить
32

Комментарий удален по просьбе пользователя

Ответить
8

Я думаю с ХР секс со всех сторон во все щели, да ещё и с трупом, потому и советую, жалко человека

Ответить
0

Та не, всё норм, ТЖ вон даже баги исправляет держит совместимость с ХР

Ответить
4

Если поставить Линукс, то секса вообще не будет у всего дома.

Ответить
6

Тебя на линуксе личный кабинет ростелекома поимел вот ты и бесишься

Ответить
0

Не стал бы пользоваться Ростелекомом, да и не смог, даже если захотел бы

Ответить
1

А ты зайди на сайт https://lk.rt.ru/

Ответить
2

У меня адблок блочит их тупые скрипты.

Ответить
1

А, туплю. Там не надо для этого клиентом быть?

Ответить
0

Не знаю у меня не открывается

Ответить
0

Это в другой стране находится

Ответить
4

Комментарий удален по просьбе пользователя

Ответить
1

MSDOS 3.11

Ответить
5

Не помню такого

Ответить
0

Такого не было. Был 3.1, но скорее всего у деда не было IBM PC-совместимого в 80-х.

Ответить
1

Win 3.11 сетевой (For WorkGroups), Win 3.1 локальный, но все они садились поверх MS-DOS 6.00, 6.2, 6.22, а вот 3.3 был только MS-DOS, а 3.0 только NC (Norton Commander).

Ответить
0

я не про Win, я про MS-DOS.

MSDOS 3.11

Ответить
0

DOOM и DOOM2 тоже были! 2.0, 3.0 MS-DOS к сожалению не захватил! Хотя начинал с ISISII-системы, где все команды со всеми параметрами надо было набирать вручную и не ошибиться!

Ответить
2

Поставь виндоуз-95

Ответить
19

Для этого он запустил интеллектуальный TCP-сервер на платформе Node.js

Чё?

Ответить
13

Вероятно это сарказм
который просто держал соединение с помощью команды «server.listen(5900, function () {});».

Ответить
2

Забыл взять в кавычки, My bad

Ответить
13

Который месяц уже хочу отключиться от Ростелекома, но руки не доходят, спасибо за статью, завтра же сделаю это

Ответить
3

завтра

Ответить
0

нахуя

Ответить
1

валился каждый день, оплата услуг в стиле "За красивые глаза оператора", отсутствие напоминалок об оплате, если отрубается интернет, то невозможно зайти в ЛК, чтобы оплатить

Ответить
0

Эх, а я с благоговением ростелеком вспоминаю, ни единого разрыва до 26 апреля сего года.

Ответить
0

слушой, ну может, конечно, ещё зависит от региона, но в Нижегородской области Ростелеком - синоним адского дерьма(

Ответить
8

Кто это у нас тут такой любопытный мальчик?

Ответить
17

не переживайте, к нему завтра на 5:00 утра уже запланировано мероприятие.

Ответить
10

Комментарий удален по просьбе пользователя

Ответить
10

Скрипт втихую сканирует наличие открытых портов удаленного доступа и троянов

Скрипт записывает нажатия клавиш в личном кабинете

В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.

Когда бедная тех поддержка пытается рассказать про информационную безопасность

Ответить
8

Мы без вашего ведома сделали копию ключей от квартиры, чтоб защитить от воров.

Ответить
–29

автор, ты вообще инженерное образование имеешь? такую чушь написал)))

Ответить
21

пиши конкретней или молчи на веки

Ответить
9

Чувак, я, конечно, понимаю, что 450 ₽ лишними не бывают, но тут на 1000 пользователей 1200 примерно айтишники, так что…

Ответить
2

TJ, явно про политику, какие айтишники? Субъективно, их на vc больше.

Ответить
13

Люди, затирающие про блокчейн - это ещё не айтишники.

Ответить
3

Папей гавна и всё такое

Ответить
1

Я всё видел.

Ответить
29

Скинул тебе в открытый порт, проверяй

Ответить
4

Комментарий удален по просьбе пользователя

Ответить
3

Эта ссанина от Групп-ИБ? Это те ещё знатные продавцы цифровой гомеопатии

Ответить
1

там и еще нажатия клавиш перехватывает же внизу по коду? похоже на кейлоггер какой то

Ответить
0

Вот да. Не вижу кейса когда какой-то скрипт на левом сайте подключался бы к локалхосту по какому-либо порту

Ответить
2

Так там ещё лиса большую часть запросов сама заблочила

Ответить
0

А как его быстренько запустить без сайта кабинета? Я потестить хочу свой старенький самодельный фаервол

Ответить
2

падажи, подажи. хочешь сказать любая вкладка может долбиться на локалхост начхав на same origin policy? вот это поворот.

Ответить
3

Не совсем, но почти.

Ответить
0

а ну, да. я забыл что браузер запрос в любом случае сделает, просто дальше его может обрубить если cors ответ не устроил

Ответить
1

но злоумышленники не будут вешать на 127.0.0.1 такое, они повесят на внешний адрес свои штуки, чтобы иметь удаленный доступ, не складывается

Ответить
3

Обычно всё, что висит на внешних адресах, отвечает на локалхост запросы

Ответить
0

Обычно все что висит на 0.0.0.0 отвечает на все запросы.

Ответить
0

Да. Если только не фаерволится

Ответить
3

127.0.0.1

Пора уже заблочить эту дрянь.

Ответить
1

На хабре вечно какую-то хуйню выдают за громкие расследования, начиная от банального рекламного трекера у сбера и заканчивая каким-нибудь багом на госуслугах.

Ответить
0

Ага ахуенная хуйня как чел год не работал в сбере и месяц пытался получить там проход в туалет) ржаки пост)

Ответить
0

Из разряда кулстори

Ответить
1

Обкатывают большого брата 😉, а потом Ростелеком выкупит всех провайдеров и настанет чебурнет.

Ответить
1

Чебурнет настанет даже если Ростелеком всех не купит

Ответить
1

Расскажите, пожалуйста, для простых людей, что от этого поможет?

Ответить
0

вазелин

Ответить
0

ха-ха?

Ответить
0

хи-хи

Брандмауэр, закрытие всех портов и не сидеть под правами root за своим компом.

Ответить
9

«Для простых людей»

@

«Закрытие портов и не сидеть с Root-правами.»

Спасибо за охуенный совет.

Ответить
0

хи-хи
не сидеть под root: ни один пользователь в мире)

Ответить
1

я имею ввиду создать отдельного пользователя в /users и делать что хочешь. А если и требуется разрешение администратора, то внимательнее читать кто и что просит прочитать/записать в домашнюю папку.

Ответить
0

это нормальная практика, я про то что никто так не делает

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Ты Мак или Винда?

Ответить
0

Винда. Поможет ли от вышеназванной проблемы, например, адблокер или плагин для отключения скриптов?

Ответить
4

Недостаточно.

Переустанови систему. Выдели системе отдельный логический диск, который не будет захламляться.
Отключи автозапуск на съёмных дисках.
Создай пользователя с ограниченными правами (если лень, ставь права гостя). Есть куча херни, прекрасно работающей с ограниченными правами, поэтому.
Пользуйся браузером, который можно хорошо настроить, запущенным из-под пользователя с ограниченными правами: здесь написано, как Фаерфокс настроить — https://privacytools.ru/ + ставь PrivacyBadger, uBlock Origin, HTTPS Everywhere, Cookie AutoDelete, Decentraleyes. Анально отгородиться от жабыскрипов — NoScript.
Минус — с отключённым яваскриптом сайты ломаются. Поэтому можешь отключать его на тех сайтах, которым доверяешь.
Можно также политикой запретить исполняемые файлы .exe
Фаервол.
Запускай неподписанные программы внутри виртуалки.

Ответить
0

Есть ещё программы, которые на автомате блочат любые порты и соединения: https://alternativeto.net/software/little-snitch/

Ответить
0

Насчет автозапуска и юзера с ограниченными правами - так это из коробки еще с семерки в винде.

Ответить
0

Да, могу написать лишнего или неправильного, давно не был на Винде.

Ответить
–1

 «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». 

Больно читать. Особенно: *server.listen(5900, function () {});*
Свойство .listen в express не обязывает иметь пустую функцию вторым аргументом. 😩😩😩

Ответить
2

Свойство .listen

Метод.

Ответить
0

Метод

С этим я облажался. По делу что скажешь?

Ответить
0

Шо тут казати. Документация по модулю net согласна с тобой.

Ответить
0

Пост, а точней коментаторы и их плюсы отлично иллюстрируют, кто теперь там обитает.

Ответить
0

и кто же??

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Всех не пересажать

Ответить
0

ничего страшного

Ответить
0

Т. е. это нормально, что под видом борьбы с мошенниками нарушаются права всех пользователей Ростелекома? В цивилизованной стране за такую деятельность рога бы обломали мигом. Ну и NAT+FW+stunnel+OpenVPN, видимо, в наше время - обязательный набор свободного человека в свободной стране.

Ответить
0

"NAT+FW+stunnel+OpenVPN"

расскажи подробнее. желательно про Windows

Ответить
0

Если коротко то NAT - дополнительный уровень безопасности (в простейшем варианте реализован в роутере, через который пользователь выходит в интернет, если его нет и кабель напрямую подключен к ПК, то его желательно поставить хотя бы ради этого, можно использовать виртуальный, но это лишние телодвижение и трата ресурсов ПК), на случай проблем с FW - фаервол или брандмауер (в терминологии Windows), Stunnel нужен на случай блокировки OpenVPN трафика провайдером, сам OpenVPN организует VPN до благонадежного провайдера, чтобы избежать излишнего внимания того же Ростелекома.

Ответить
0

Как это реализовать в жизни?

Ответить
0

Там что-то непонятное на языке сшашечки. По моему сайт предлагает мне работу.

Ответить
0

>под предлогом заботы о безопасности.

Забота же!

Ответить
0

Чем можно посмотреть анализ портов? И вообще порекомендуйте простой и бесплатный фаервол

Ответить
Обсуждаемое
Интернет и мемы
Петербургскую учительницу уволили за твиттер по жалобам родителей. Блог сочли непристойным, но школьники её поддержали
В соцсетях cчитают, что содержимое личного профиля — это не повод для увольнения.
Новости
Путин назвал идею безуглеводородной энергетики опасной для человечества
Якобы из-за этого «человечество опять может оказаться в пещерах».
Новости
Forbes впервые составил рейтинг российских блогеров, зарабатывающих на рекламе в Инстаграме. На первом месте — Собчак
Среди 15 блогеров в рейтинге всего двое мужчин: Алан Енилеев и Хабиб Нурмагомедов.
Популярное за три дня
Интернет и мемы
Когда мир больше не крутится вокруг тебя
Истории
Директор муниципальной школы в Саратовской области получила деньги на ремонт крыши у американского фонда
Муниципальные власти отказались выделить средства на ремонт и порекомендовали главе учреждения найти инвестора.
Интернет и мемы
Евгений Понасенков — человек-мем. Как «маэстро» к этому пришёл: конфликты с историками, армия фанатов и золотые цитаты
Давний «враг» Олега Соколова снова стал обсуждаемым после ареста доцента. Теперь он вспомнил, что «предсказал» убийство ещё год назад.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]