oles@ovh.net
08-10-2008, 10:46:01
Bonjour,
Pendant le mois de juillet/août, nous avons eu énormément de problèmes avec
les abus tout genre. Les impayées, les hackeurs, les scans, c'était notre
quotidien. Ces problèmes sont dû aux hackeurs en provenance d'Afrique du Nord,
qui se spécialisent dans le phishing et le vol de CB. Ils commandent les noms
de domaines, les hébergements et les serveurs dédiés, pour mettre en place de
sites de phishing de paypal et de banques. Ceci leur permet de récupérer les
CB. Ils mettent aussi en place de pages de phishing "autre" (comme Ovh, Free,
Orange etc) dans le but de récupérer les accès de clients qui ont de services
Internet en France. Ceci leur permet d'avoir une infrastructure pour faire
le phishing (pour faire la page, envoyer l'email, usurper l'identité etc).
Dans le même but, ils scannent les réseaux de fournisseurs d'accès afin de
trouver les VNC non protégés, ce qui leur permet de prendre contrôle d'un PC
à distance (et fouiller le PC de la victime). Il y a des sous-groupes qui se
spécialisent dans chaque activité et chacun apporte ainsi sa contribution
au groupe.
Nous avons pris de mesures en mois de septembre pour faire face à ces problèmes.
Nous avons renforcé la commande avec une confirmation SMS et une confirmation
postales pour certaines commandes "sensibles" (les serveurs dédiés et les RPS).
Nous avons amélioré la détection de scans en provenance de notre réseau (et
vers notre réseau). Nous avons revu notre système de paiement sécurisé afin
d'éviter les impayées dû aux paiements de hackeurs avec les CB volées.
Le résultat: nous avons fermé plus de 380 serveurs commandées par les hackeurs
courant le mois de Juin, Juillet et Août, parfois encore Septembre. Et au
finale, les hackeurs se sont retrouvés sans infrastructure pour abuser sur le
net. Ils sont allés chez nos concurrents, mais nous sommes les seuls sur le
marché à livrer les serveurs en 1 heure. Les hackeurs ont été très embêtés.
Ils ne peuvent plus commander puisqu'on valide les adresses via une lettre postale.
Ils ont décidé de s'attaquer aux clients d'Ovh afin de récupérer les accès
de nos clients puis commander les serveurs dédiés en se faisant passer par de
clients déjà existant. Ce qui ne sert à rien puisque toutes les commandes sont
validés de la même manière. La semaine passée, nous avons eu 3 phishing de notre
manager v3. Nous avons immédiatement renfoncé la sécurité du manager. Mais comment
protéger nos clients, contre eux-mêmes ? Voici quelques réponses retenues. Désormais
vous avez un message d'alerte quand vous essayez de vous connectez au manager
à partir d'une page malveillante: tout est rouge. Vous avez une explication
sur l'adresse du manager: vous devez être sur un site en SSL avec www.ovh.com
Lorsque quelqu'un se connecte au manager, vous recevez immédiatement un email de
notification de connexion (1 notification / 1 IP de connexion / jour). Si nous
estimons qu'il s'agit d'une connexion suspecte, dans l'email de notification
vous avez un lien via lequel vous pouvez immédiatement bloquer votre manager.
Lorsque vous effectuez certaines opérations (changement d'email de votre contact)
l'opération n'est pas effectuée immédiatement. Vous recevez un email que vous
pouvez accepter ou refuser. Si vous ne faites rien, l'opération s'auto-validera
au bout de 24 heures. Lorsque vous commandez un RPS ou un serveur dédié, chaque
commande est analysée et validée par une personne humaine (pas de robot). Ceci
peut prendre entre 5 minutes et 24 heures (et donc peut retarder la livraison
de serveurs). En cas de détection de scans, le serveur est automatiquement
suspendu, voir pour certains scans, le contrat est cassée.
Ces mesures ont apportées du résultats: nous n'avons presque plus d'impayée.
Hier, notre réseau n'a pas généré de scans (nous avons subit de scans mais nous
n'en avons généré aucun). Plus de phishing depuis 4 jours (nous en aurons, on
n'en doute pas mais nous avons désormais une équipe est dédié à ce problème
24 heures sur 24 et le nécessaire est presque automatiquement).
En bref, nous commençons tout doucement à sortir la tête de l'eau avec cette
histoire de hackeurs. En se protégeant et protégeant nos clients, nous avons
"perdu" beaucoup de temps sur les développements de nouveaux services. Mais
au finale, tout le monde gagne puisque notre réseau est plus propre, le client
mieux protégé et nous avons moins d'impayée.
Amicalement
Octave
Pendant le mois de juillet/août, nous avons eu énormément de problèmes avec
les abus tout genre. Les impayées, les hackeurs, les scans, c'était notre
quotidien. Ces problèmes sont dû aux hackeurs en provenance d'Afrique du Nord,
qui se spécialisent dans le phishing et le vol de CB. Ils commandent les noms
de domaines, les hébergements et les serveurs dédiés, pour mettre en place de
sites de phishing de paypal et de banques. Ceci leur permet de récupérer les
CB. Ils mettent aussi en place de pages de phishing "autre" (comme Ovh, Free,
Orange etc) dans le but de récupérer les accès de clients qui ont de services
Internet en France. Ceci leur permet d'avoir une infrastructure pour faire
le phishing (pour faire la page, envoyer l'email, usurper l'identité etc).
Dans le même but, ils scannent les réseaux de fournisseurs d'accès afin de
trouver les VNC non protégés, ce qui leur permet de prendre contrôle d'un PC
à distance (et fouiller le PC de la victime). Il y a des sous-groupes qui se
spécialisent dans chaque activité et chacun apporte ainsi sa contribution
au groupe.
Nous avons pris de mesures en mois de septembre pour faire face à ces problèmes.
Nous avons renforcé la commande avec une confirmation SMS et une confirmation
postales pour certaines commandes "sensibles" (les serveurs dédiés et les RPS).
Nous avons amélioré la détection de scans en provenance de notre réseau (et
vers notre réseau). Nous avons revu notre système de paiement sécurisé afin
d'éviter les impayées dû aux paiements de hackeurs avec les CB volées.
Le résultat: nous avons fermé plus de 380 serveurs commandées par les hackeurs
courant le mois de Juin, Juillet et Août, parfois encore Septembre. Et au
finale, les hackeurs se sont retrouvés sans infrastructure pour abuser sur le
net. Ils sont allés chez nos concurrents, mais nous sommes les seuls sur le
marché à livrer les serveurs en 1 heure. Les hackeurs ont été très embêtés.
Ils ne peuvent plus commander puisqu'on valide les adresses via une lettre postale.
Ils ont décidé de s'attaquer aux clients d'Ovh afin de récupérer les accès
de nos clients puis commander les serveurs dédiés en se faisant passer par de
clients déjà existant. Ce qui ne sert à rien puisque toutes les commandes sont
validés de la même manière. La semaine passée, nous avons eu 3 phishing de notre
manager v3. Nous avons immédiatement renfoncé la sécurité du manager. Mais comment
protéger nos clients, contre eux-mêmes ? Voici quelques réponses retenues. Désormais
vous avez un message d'alerte quand vous essayez de vous connectez au manager
à partir d'une page malveillante: tout est rouge. Vous avez une explication
sur l'adresse du manager: vous devez être sur un site en SSL avec www.ovh.com
Lorsque quelqu'un se connecte au manager, vous recevez immédiatement un email de
notification de connexion (1 notification / 1 IP de connexion / jour). Si nous
estimons qu'il s'agit d'une connexion suspecte, dans l'email de notification
vous avez un lien via lequel vous pouvez immédiatement bloquer votre manager.
Lorsque vous effectuez certaines opérations (changement d'email de votre contact)
l'opération n'est pas effectuée immédiatement. Vous recevez un email que vous
pouvez accepter ou refuser. Si vous ne faites rien, l'opération s'auto-validera
au bout de 24 heures. Lorsque vous commandez un RPS ou un serveur dédié, chaque
commande est analysée et validée par une personne humaine (pas de robot). Ceci
peut prendre entre 5 minutes et 24 heures (et donc peut retarder la livraison
de serveurs). En cas de détection de scans, le serveur est automatiquement
suspendu, voir pour certains scans, le contrat est cassée.
Ces mesures ont apportées du résultats: nous n'avons presque plus d'impayée.
Hier, notre réseau n'a pas généré de scans (nous avons subit de scans mais nous
n'en avons généré aucun). Plus de phishing depuis 4 jours (nous en aurons, on
n'en doute pas mais nous avons désormais une équipe est dédié à ce problème
24 heures sur 24 et le nécessaire est presque automatiquement).
En bref, nous commençons tout doucement à sortir la tête de l'eau avec cette
histoire de hackeurs. En se protégeant et protégeant nos clients, nous avons
"perdu" beaucoup de temps sur les développements de nouveaux services. Mais
au finale, tout le monde gagne puisque notre réseau est plus propre, le client
mieux protégé et nous avons moins d'impayée.
Amicalement
Octave