ФСБ нашла источник сообщений о минировании
Федеральная служба безопасности определила, с помощью какого сервиса рассылались сообщения о ложных минированиях. Роскомнадзор заблокировал его, но эксперты сомневаются в действенности таких блокировок.Как выяснилось, злоумышленники пользовались сервисом Startmail.com, зарегистрированным в Нидерландах. По данным ФСБ, с 28 ноября с него отправлено более тысячи сообщений на электронные адреса органов судебной власти 16 регионов России.В письмах речь шла о более чем 16 тысячах «заминированных» объектов социальной инфраструктуры и местах массового скопления людей: школах, детсадах, вокзалах, торговых центрах, судах, больницах, метро и так далее. Все сообщения были ложными, подчеркнули в ведомстве.
В Роскомнадзоре заявили, что по требованию Генпрокуратуры заблокировали Startmail.com с 23 января. При этом в ведомстве отметили, что направили представителям сервиса запрос об администраторах соответствующих почтовых ящиков, но те такой информации не представили. Слышали новость?»Алло, у вас бомба!» Откуда столько звонков о минировании зданий?20 января, 18:04″Тем не менее мы уверены, что владельцы данного ресурса являются добропорядочными гражданами и не имеют никакого отношения к данным злонамеренным действиям экстремистов. Мы понимаем, что осуществление ограничения доступа к данному почтовому ресурсу не перекроет полностью каналы распространения подобной информации злоумышленниками, однако считаем, что принятые меры должны затруднить осуществление таких действий в дальнейшем и существенно снизить их масштаб», — сказали в Роскомназдоре.
Сообщения о бомбах
Волна «минирований» обрушилась на Москву, Петербург и другие крупные города в конце прошлого года. В столице практически ежедневно появляются сообщения о бомбах, заложенных на станциях метро, вокзалах, в судах, школах и детских садах.
Так, только за один день 22 января анонимные сообщения о минировании получили более 30 станций метро (названия которых начинаются с А и Б), Чертановский, Хорошевский, Пресненский, Никулинский, Нагатинский, Лефортовский и Измайловский суды, все вокзалы, а также храм Христа Спасителя.Такие же сообщения получали детские сады во Владивостоке, Хабаровске, Благовещенске, Еврейской автономной области и Екатеринбурге.
Неэффективный метод
Эксперты международной компании Group-IB, специализирующейся на предотвращении кибератак, назвали блокировку почтовых сервисов неэффективным методом борьбы с террористами.
Как пояснили в компании, блокировка домена Startmail.com на территории России означает, что на него не смогут заходить российские пользователи, если они не используют прокси в браузере. «Однако пользователям из других стран — а были основания считать, что «почтовые минирования» шли из-за рубежа, в том числе из стран СНГ, — по-прежнему ничего не мешает свободно пользоваться этим сервисом», — сказал заместитель руководителя лаборатории компьютерной криминалистики Сергей Никитин.Глава CERT Group-IB Александр Калинин также считает, что такая блокировка близка по эффективности к нулю, так как почтовые террористы либо уже применяют средства сокрытия своего местоположения, либо действительно находятся не в России.»Блокировать рассылки без блокировки сервисов можно, с этим многие годы уже достаточно успешно борются разные сервисы защиты от спама. Если эти письма одинаковые или имеют четкие шаблонные признаки — их можно блокировать как внутри самих компаний, так и на уровне почтовых сервисов», — сказал он.
Никитин добавил, что бороться с ложными рассылками и звонками можно только изменив законы о реагировании на заведомо неидентифицируемые сообщения.»Действующие законы, принятые много-много лет назад, заставляют правоохранительные органы на любое такое сообщение реагировать эвакуацией огромных зданий ТЦ, школ, вузов и т. д. Современные технологии позволяют без особого труда подменять номера, осуществлять анонимные рассылки и звонки. Бороться с этим необходимо с помощью симметричных технологических мер по идентификации и корректировкой текущего законодательного поля», — отметил он.
Временная мера
Руководитель Центра мониторинга и реагирования на инциденты Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев считает, что блокировка почтового сервиса Startmail может быть лишь временной мерой.»С большой вероятностью злоумышленники воспользовались ботнетом, заранее подготовленным другой хакерской группой, предлагающей свои услуги в формате своеобразного аутсорсинга.При наличии финансирования злоумышленникам ничего не помешает подготовить другую платформу для осуществления аналогичных массовых угроз», — пояснил он РИА Новости.
Тем не менее, по словам эксперта, важно противодействовать и таким образом, поскольку это снижает эффективность вредоносной деятельности и повышает ее стоимость и риски для заказчиков атак.Директор Центра информационных технологий университета «Синергия» Станислав Косарев предложил обязать почтовые сервисы проверять не только адресатов, но и содержание отправляемых сообщений.Он отметил, что крупные компании, предоставляющие услуги по организации рассылок, дорожат репутацией и предпринимают меры по проверке источников e-mail-адресов получателей в рамках закона «О персональных данных». Однако контент они не проверяют.
«В теории, для борьбы с распространением ложной информации через рассылки электронных писем достаточно обязать сервисы сканировать формируемое к отправке сообщение (не только адресатов, но и контент), а также допускать до создания рассылки (а равно как и до регистрации в сервисе) только юридические лица и приравненных к ним (ИП, самозанятых)», — считает Косарев.Выполнение этих правил позволит предотвратить блокировку сервиса и поможет существенно снизить риск распространения ложной рассылки, уверен эксперт.
©