Подробный рассказ о том, какие меры предпринимает Dzengi.com, чтобы защитить данные своих пользователей от взлома, фишинговых атак, DDOS и других опасностей
Криптобиржа Dzengi.com появилась только в 2019 году — для криптовалютной индустрии, которая зарождалась в 2014-2015 годах, это совсем небольшой срок. Но оборот платформы довольно быстро вырос в несколько раз. При таких объемах во главе угла оказывается техническая сторона работы, и в особенности — безопасность хранения средств клиентов. Ведь от надежности компаний, которые работают с криптовалютами, зависит не только сохранность чужих денег, но и репутация цифровых активов в целом.
В этом материале мы расскажем, как на Dzengi.com обеспечивают сохранность средств, что криптобиржа делает с хакерскими атаками и как на платформе отрабатывают угрозы вымогателей.
Содержание
- Как устроена служба безопасности на Dzengi.com
- Как хранятся персональные данные
- Как Dzengi.com борется с мошенниками и хакерами
- Как мошенники обманывают клиентов криптобиржи
Как устроена служба безопасности на Dzengi.com
В службе безопасности Dzengi.com работает семь человек. У каждого из них разные задачи и профильные направления, которыми необходимо заниматься. Но для того, чтобы один сотрудник мог в случае чего заменить другого, они в курсе обязанностей коллег.
Служба безопасности Dzengi.com делится на следующие направления:
Vulnerability Management. Внутри и снаружи инфраструктуры есть много сканеров уязвимостей, которые постоянно мониторят систему. Если они обнаруживают какую-нибудь уязвимость, то создают задачу на владельца системы. Он должен ее исправить: например, обновиться до новой версии ПО, заменить библиотеку файлов, апдейтнуть конфигурацию и так далее.
Incident Response. Здесь ориентируются на так называемые security events, или события информационной безопасности. Выявить их могут:
-
системы мониторинга;
-
непосредственно наши коллеги, которые сообщают о подозрительных или непонятных действиях;
-
клиенты, которые сообщают нам о подозрительных событиях.
Выявленные события информационной безопасности анализируют и выделяют из них инциденты. Инцидент — это уже не просто подозрительное событие, а нечто, что точно происходить не должно и не было запланировано системой.
Например, это могут быть аномальные всплески обращений к серверам. По их анализу может выясниться, что началась DDOS-атака. Еще пример: обычно в единицу времени на Dzengi.com регистрируется определенное количество аккаунтов. Но вдруг оно возрастает в десятки — или даже сотни — раз. Тогда становится ясно, что это атака ботов, которые начали создавать аккаунты.
Когда инцидент обнаружен, с ним начинает работать группа, которая занимается решением данного типа проблем.
Application Security. Вступает в работу после того, как разработчики написали какой-нибудь сервис или фичу. Те, кто занимается Application Security, выступают в роли наших собственных хакеров. Они пытаются сделать так, чтобы новые сервис или фича повели себя не так, как это было задумано разработчиками. После теста нововведение отправляют на доработку, и только потом добавляют его в продукт.
В дополнение к Application Security мы регулярно заказываем у сторонних компаний так называемые penetration tests – тесты на проникновение в систему. При пентестах чужая команда тестирует нашу инфраструктуру, выступая в роли «белых» хакеров. Так мы перестраховываемся на случай, если у нашей службы безопасности замылился глаз.
В дополнение ко всему вышеперечисленному у нас есть программа баг-баунти. На специальной платформе мы размещаем полную информацию о нашем продукте. Все пользователи этой площадки могут протестировать нашу систему на уязвимости.
Сначала уязвимость проверяют на платформе баг-баунти, и только потом ее отправляют к нам на рассмотрение. Если мы со всем согласны, то платформа выплачивает рисерчеру деньги с депозита, который мы заранее внесли. Если же мы не соглашаемся, то платформа выступает в роли судьи, который выслушивает обе стороны и принимает решение. Максимальная сумма, которую можно получить за найденную уязвимость – $1,5 тыс.
Баг-баунти позволяет нам привлечь тысячи специалистов по всему миру к тестированию нашей инфраструктуры. Благодаря им с 1 октября 2020 года по 31 марта 2021 года было обнаружено 11 уязвимостей нашего продукта: две серьезных, шесть средних и остальные — низкой критичности.
Access Management. Цель этого направления обеспечения безопасности — в том, чтобы никто из сотрудников не получил больше доступов, чем ему требуется в рамках его обязанностей и должностной инструкции. В этот процесс вовлечены все сотрудники: кому, куда и какой доступ предоставить, на каких условиях, кто согласовывает этот доступ и так далее.
Hardening. Это анализ конфигурации новой системы с целью выявления любых потенциальных возможностей ее взлома. Позже по выявленным уязвимостям даются советы, как улучшить защиту слабых мест. Например, если работает устаревший алгоритм шифрования, значит, советуют использовать новый. Или если для доступа к системе используются разные протоколы, готовится обзор этих протоколов. От тех, которые устарели, советуют отказаться. И так с каждой новой системой.
Также мы ежегодно делаем обзор старых протоколов. То есть каждая система должна быть настроена так, чтобы исключить или минимизировать возможность взлома.
Compliance. Комплаенс в информационной безопасности означает соответствие компании, сервиса, серверов каким-либо требованиям — например, предписаниям регулятора или неким стандартам. Скажем, если мы хотим работать с платежными картами, то нам нужно соответствовать требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard). Именно за это будет отвечать комплаенс.
Как хранятся персональные данные
Все персональные данные клиентов хранятся в одном месте. Это внутренняя система, разработанная внутри компании под нужды Dzengi.com. Она считается критической, поэтому на нее тоже распространяются все возможные способы тестирования безопасности. Но к системе хранения данных требования даже жестче.
Данные клиентов передаются, обрабатываются и хранятся только в зашифрованном виде. Доступ к ним предоставляется по принципу наименьших необходимых привилегий. То есть у главы службы безопасности Dzengi.com, например, его нет, потому что у него по роду обязанностей его быть не должно. Об этом мы уже упоминали в пункте про Access Management.
Доступ к данным есть только у тех, кто непосредственно с ними работает. То есть, мы сознательно сужаем круг тех людей, которые могут их видеть. Периодически список этих людей пересматривают — например, чтобы увидеть, что кто-то из них перешел на ту должность, где доступ к данным больше не требуется.
Личные данные находятся в так называемом защищенном периметре. В нем проводят периодическое тестирование на возможные уязвимости и попытки проникнуть внутрь.
Как Dzengi.com борется с мошенниками и хакерами
Для наибольшей безопасности на Dzengi.com можно использовать двухфакторную аутентификацию. Клиент может включить эту опцию самостоятельно в личном кабинете.
Также у нас есть ревью транзакций на вывод средств с биржи. Те же люди, которые проводят верификацию документов и ищут признаки отмывания денег и мошенничества, проверяют и самих клиентов, и их транзакции. Зачастую они выявляют моменты, когда аккаунт пользователя был скомпрометирован, и с него пытаются вывести средства. Такие аккаунты тут же блокируются.
На сотрудников и клиентов направлены сотни фишинговых атак. В основном, взломщики пытаются проникнуть внутрь периметра, где находятся данные клиентов. С какими только видами фишинга мы не сталкивались: как с рассылками с вредоносными ссылками внутри, так и со случаями целевого фишинга (spear-phishing).
Во втором варианте злоумышленники специально изучали нас и готовили фишинговые письма конкретно под Dzengi.com — либо под всю компанию, либо под одного из сотрудников. Например, псевдо-руководитель компании обращается к бухгалтеру, чтобы тот перевел деньги или оплатил какую-либо услугу.
К службе безопасности Dzengi.com периодически приходят вымогатели. Часто они пишут, что если мы не заплатим им выкуп в биткоинах, то они своими атаками положат нашу инфраструктуру. Есть те, кто пишут, что нашли какую-то критическую уязвимость, которая позволить украсть все деньги наших клиентов. Они угрожают, что если мы не заплатим им, то они опубликуют эту уязвимость в даркнете, и любой желающий сможет нас атаковать.
Есть те, кто представляется известными людьми в профессиональном комьюнити. Эти мошенники угрожают вбросить в индустрию информацию о том, что мы воруем деньги.
Как-то с нами связался человек, который представился одним из членов команды рисерчеров. Сказал, что нашел на Dzengi.com критическую уязвимость, сбросил нам куски кода, прислал скриншоты переписки с другими криптоплатформами, в которых его самого и его группу благодарили за поиск уязвимостей.
Мы поблагодарили его и предложили зарегистрироваться на нашей баг-баунти платформе, показать уязвимость и получить вознаграждение. Его это не заинтересовало — он пояснил, что принадлежит к вольной команде рисерчеров, которые не работают через баг-баунти. За найденную уязвимость он хотел получить несколько биткоинов — на тот момент это было около $5 тыс.
Службу Dzengi.com это насторожило, поскольку по тем пруфам уязвимости, которые он сбросил, нельзя было ничего точно сказать. Но команда согласилась продемонстрировать эту уязвимость. Во время демонстрации наш сайт действительно стал тормозить — долго открывались страницы, замедлилась работа, вылезала ошибка, что домен недоступен и так далее. А когда, по словам рисерчера, он прекращал использовать уязвимость, то все сразу становилось нормально.
Мы начали разбираться, что произошло. И выяснилось, что в момент, когда шла якобы демонстрация уязвимости, просто прилетело очень-очень много запросов. То есть произошла классическая DDOS-атака, на период которой количество запросов на наш сайт выросло приблизительно в тысячу раз.
После этого у нас была долгая переписка, в которой «рисерчер» настаивал, что никакими DDOS-ами они не занимаются. В конце концов он перешел к банальному вымогательству и снова начались DDOS-атаки. В выходные они продолжились, клиенты начали жаловаться, что сайт работает медленно. Все это сопровождалось требованиями заплатить денег.
Как мы потом выяснили, для атак «рисерчеры» использовали стрессер. Вообще стрессеры – это программы, которые позволяют протестировать ваш сайт на устойчивость к большим нагрузкам. Но часто их используют для вымогательства и непосредственно DDOS-атак.
Благодаря этому случаю мы решили поменять защиту от DDOS на нашем сайте, чтобы такие схемы больше не прошли. Количество подобных атак зависит не от роста стоимости криптовалюты, а от нашей популярности. Чем больше о нас знают, чем больше рекламы, тем больше интереса со стороны злоумышленников.
Таким образом, мы платим только официальным рисерчерам, которые обнаруживают уязвимости и направляют отчеты через программу баг-баунти. Также мы придерживаемся международных рекомендаций и не платим вымогателям, которые приходят со стороны и практически никогда не могут предоставить реальных доказательств уязвимостей на платформе.
Как мошенники обманывают клиентов криптобиржи
С фишингом, естественно, сталкиваемся не только мы, но и наши клиенты, которые получают письма мошенников от нашего имени. Бывает, что злоумышленники даже звонят нашим пользователям, представляются сотрудниками Dzengi.com и просят дать доступ к аккаунту или перевести куда-то деньги.
Иногда вымогатели звонят людям и предлагают стать нашими клиентами, обещая хороший доход. Стратегия такая — приходите на Dzengi.com, регистрируйтесь, вносите депозит, а я буду трейдить за вас и забирать 10-30% прибыли. Мы были бы рады помочь пользователю, который стал жертвой такого мошенничества, отследить несанкционированный доступ к его аккаунту. Но проблема в том, что никакого аккаунта у нас он не создавал, а деньги отправил напрямую вымогателю — или через qiwi-кошелек.
Чтобы с этим бороться, мы запустили антифрод-систему, которая распознает, когда действия совершаются клиентом, а когда нет. Также мы делаем регулярные рассылки о том, что ни в коем случае нельзя делать на бирже и как не попасться на мошенников. Но ни одно решение не дает 100% гарантии. К сожалению, многие люди, видя возможность легко заработать деньги, забывают о всяких предосторожностях.
Так, один раз к нам обратилась женщина и рассказала, что некто представился нашим сотрудником и предложил ей доверительное управление. То есть она отдает ему деньги, а он будет за нее торговать. Мошенник прислал ей свое портфолио, где указал, какие большие проценты он делает на трейдинге, а также представил презентацию, где поставил логотип Dzengi.com.
Женщина повела себя очень правильно и написала в сервис поддержки клиентов криптобиржи. Она уточнила, есть ли у нас такая услуга. Ей ответили, что компания таким не занимается, а человек с таким именем у нас не работает.
После этого она опять написала злоумышленнику — сообщила ему, что поговорила со службой поддержки платформы. На это мошенник заявил, что он давно уволился, но теперь у него свой бизнес, и он использует платформу Dzengi.com, чтобы помогать людям зарабатывать деньги. После этого она ему поверила и перевела деньги. Позже клиентка, естественно, звонила нам и спрашивала, что ей делать. Но в такой ситуации мы уже ничем помочь не могли.
Это первый материал из серии, посвященной внутренней кухне криптобиржи Dzengi.com. Если вам интересно узнать, как работают другие департаменты в нашей команде, поучаствуйте в голосовании ниже: