23 января. История имеет продолжение, ссылка в конце текста!!!

Последние несколько часов я развлекаюсь тем, что изучаю внутреннюю кухню компании МТС и то, как ее топ-менежеры покрывают или прикрывают мошенников, а также сервисы для выкалачивания денег из абонентов. Нет, все-таки я неправильно сформулировал первое предложение — не все топ-менеджеры МТС, а только один бывший топ-менеджер МТС, который этим занимался, что и следует из его частной переписки выложенной кем-то в онлайн доступ (давать ссылку на эту переписку не буду, это не нужно, при желании в Яндексе вы найдете ее сами за пару минут). Впрочем, не хочу называть и его имя — в письмах можно найти адреса, паспортные данные и тому подобные вещи, а еще внутренние документы оператора, его партнеров, коммерческие предложения и так далее. Объем информации огромен, а откровениями она становится только для тех, кто очень далек от этого бизнеса или бизнеса вообще. Но тут есть несколько вопросов, которые должны прозвучать и позвольте мне их озвучить.

Информационная безопасность в МТС — враг не пройдет

Так получилось, что с устройством того, как работает служба безопасности МТС мне пришлось познакомиться несколько раз на практике. Более того, среди российских операторов, работа МТС в этом аспекте мне известна лучше, чем кого-либо. Вдаваться в особые подробности я не буду, расскажу только то, что известно широкому кругу людей.

Во-первых, рабочие компьютеры и ноутбуки имеют заблокированные носители информации, что-либо скопировать вовне физически невозможно. Это правило относится почти ко всем сотрудникам недостигшим определенного уровня. В теории это позволяет избегать утечек информации, но только на низовом уровне. Идем на ступеньку выше и натыкаемся на то, что многие используют не только флешки, но и большие диски для копирования информации и беспрепятственного выноса ее из офиса. Но это полбеды, так как люди, как правило, адекватны и не сливают информацию конкурентам.

Беда наступает в момент, когда обычные сотрудники осознают, что корпоративная система не позволяет быстро обмениваться сообщениями, письма уходят, но появляются не моментально в ящиках. Это следствие самой системы и ее особенность. Она не устраивает многих и поэтому для обмена служебными сообщениями часто используется Gmail или mail.ru (основные утечки информации, включая бюджет компании и тому подобные ценные документы, происходили именно с мейл.ру). Что интересно, я зачастую не мог понять, это головотяпство человека, который через мейл отправляет такие конфиденциальные документы или он просто так сливает их на сторону, давая пароль от ящика третьим лицам.

Факт остается фактом, большинство сотрудников МТС часто использует стороннюю почту для того, чтобы заниматься служебными делами. В утекшей частной переписке примерно треть писем бывшего топ-менеджера это рабочие вопросы МТС, которыми он делится людьми вне компании. Это прямое нарушение договора с МТС и разглашение сведений третьим лицам. Но ставлю на то, что никакого ата-та ему от МТС не будет. Так как подобным занимаются все поголовно. И если сделать ата-та этому конкретному сотруднику, то наружу выползет столько всего, что мало не покажется никому.

Но по факту можно сказать следующее — информационная безопасность в компании как была величиной мнимой, так ей и осталась. На словах все прекрасно, на деле пустота, которую с легкостью обходят не самые умные люди.

Мошенники и МТС — другое измерение проблемы

В частной переписке этого бывшего топ-менеджера (директора департамента интерактивных услуг) содержится рабочая переписка, а также адреса и телефоны множества сотрудников МТС, причем это также топ-менеджеры. Чудесная информация.

Приведу один из примеров переписки, думаю она скажет многое и так. Телефоны изъял, адреса также. Оставил только имена людей. Типичный пример разбирательств контент-провайдера и оператора. По факту все остается по-прежнему, как вы понимаете.

___________________

Коллеги, добрый день!

Выявлен факт мошенничества со стороны контент-провайдеров с отправкой смс на короткие платные номера.
В приложении данные по пострадавшим абонентам.
Отправка смс на короткий номер контент-провайдера осуществлялась вирусом для мобильных платформ, который запускался на мобильном устройстве абонента.
ПО для мобильных устройств классифицировано как «Trojan-SMS.J2ME.SkyFake.a» антивирусной компанией «Лаборатория Касперского».

В связи с этими фактами необходимо:

1.       Запросить информацию у КП по услугам на коротких номерах 6365, 7122, 7132, 7201, 7202, 7204, 8503, 9797, 9999 – какие услуги предоставляется при отправке префиксов (указаны в приложении – в ДИУ.xls) на короткие номера, в рамках каких сервисов они предоставляются.  Кто (Название компании, ее физический и юридический адрес) предоставляет услуги от лица контент-провайдера. Источник информирования об услуге – рассылка по смс, почте и т.д. Это должна быть открытая информация!
2.       Ввести блокировку AoC на номера 6365, 7122, 7132, 7201, 7202, 7204, 8503, 9797, 9999, использовавшиеся в мошеннической схеме, до получения разъяснений от контент-провайдера.

Сумма средств, выведенных вирусами по состоянию на 21:00 9 августа – 6 288 051 руб..

Ответ от контент-провайдера необходимо получить сегодня до 16:00!
AoC на номера предлагаю установить сегодня до 14:00.

С уважением,
Бокастиков Кирилл
—————————
Отдел управления информационной безопасностью и информационного обеспечения
Департамент Информационной Безопасности
Блок по Безопасности
Корпоративный центр Группы МТС

 

From: ANikitin [mailto:@incoremedia.ru]
Sent: Friday, August 10, 2012 3:42 PM
To: Голованов Роман Г
Cc: Гурский Александр К; Викторов Алексей Вячеславович; Ходюков Игорь Валерьевич; Казакова Мария Н; Арискина Кристина В; Репина Татьяна А; Кожанов Михаил Александрович; Марасанов Максим В; Николай Горячий; Ольга Кали́на; Дорожкина Оксана С; Размахнин Сергей Александрович; Осокин Руслан Р; Прадедов Сергей Александрович; Сергей Ананьин; Шалунова Алла В; Галушка Валерий Н
Subject: Re: СРОЧНО >>: Фрод со стороны контент-провайдера

 

Уважаемые коллеги,

Мы проанализировали представленные вами данные по префиксам и номерам. Я могу ошибаться, но на мой взгляд это какое то недоразумение.

Мы анализировали данные как на своей стороне, так и на стороне партнеров за последние 30 дней.

Общий вывод: часть комбинаций номеров / префиксов не используется и не использовалось за последние 30 дней как минимум. Остальная часть имеет отношение к 2 мобильным сайтам, оформленным корректно, в жалобах на распространения вирусов не замеченных. Сайты рекламируются с помощью покупки ссылок на сторонних порталах или баннерами и распространяют игровой и развлекательный контент, за доступ к которому и взимается оплата, что легко проверить на самих сайтах и в ответах получения услуг абонентами МТС.

Детали:

1. Данные нашего оборудования

Номер КП Префикс Штук СМС с 10.07.2012-NOW()
7122 428000 7
7132 427242 13
7132 428000
7201 99099 19512
7201 5853902 81
7201 585030 224
7202 99099 5333
7202 5853902 49
7202 585030 61
7204 585030 1
7204 99099 46
7204 99911
8503 5853902 68
8503 585030 121
8503 99099 10946
9797 585030 80
9797 5853902 9

2. Данные от партнеров

Партнер 1

1. На всех номерах работают разные партнеры с разными сервисами не только по названию, но и по сути, и распространять один и тот же вирус не способны.

2. По конкретным примерам:

7122, 428000 — не закреплен ни за одним из партнером, никаких сервисов не предоставляется (вернее предоставляется сервис по умолчанию на просмотр картинок). За последние 30 дней поступило 7 смс от абонентов смс, всем была предоставлена услуга по умолчанию и сообщено, что возможно они ошиблись в тексте смс и предложено осуществить возврат средств.

7132, 427242 — сервис сайта http://rus99.com/ , общее количество смс за последние 30 дней – 13. Жалоб от абонентов по этому сервису не поступало.

7132, 428000 — не закреплен ни за одним из партнеров, смс за последние 30 дней не поступало, даже ошибочных.

(7201, 7202, 7204, 8503) 99099 — сервис сайта http://mobile-ae.com/, соглашение, информирование о цене услуг и т.д. на сайтах присутствует в полностью корректной форме. Сайт рекламируется ссылками в поисковиках и рекламными баннерами. Жалоб от абонентов на распространение вирусов не поступало.

(7201, 7202, 8503, 9797) 5853902 — сервис сайта http://mobile-ae.com/

(7201, 7202, 7204, 8503, 9797) 585030 — сервис сайта http://mobile-ae.com/

Партнер 2

Номер КП Префикс Имя КП
6365 59479466 ООО «Диджитал Онлайн»
9999 59479466 ООО «Диджитал Онлайн»

На всякий случай префикс 59479466 заблокирован

Но по нему было всего 10 СМС в августе.

Прошу прощения за, может быть, не очень красивое оформления ответа (времени на красоту не хватило), но по сути, на лицо какая то ошибка.

В связи со сказанным выше, ПРОШУ не устанавливать АоС на данные номера и ПРЕДЛАГАЮ провести встречу в понедельник в удобное для вас время на данную тему, чтобы разобрать предоставленные примеры и наладить оперативное взаимодействие в будущем по решению подобных вопросов.

 

С уважением, А. Никитин

_______

 

10.08.2012, в 16:24, Размахнин Сергей Александрович написал(а):

 

Александр,

 

В ответ на ваше письмо сообщаю следующее:

 

1.       Всё что мы выявили, мы можем подтвердить документально.

Отдельно обращаю ваше внимание на то, что даже сайт(http://mobile-ae.com/), который вы приводите в своём письме, на настоящий момент содержит ссылки на исполняемые файлы для мобильных устройств.

Все эти исполняемые файлы даже сейчас классифицируются как вирусы и трояны для мобильных устройств  не только антивирусной лабораторией Касперского, но и такими сервисами как VirusTotal(https://www.virustotal.com/).

 

2.       Требование по блокировке префиксов на этих коротких номерах мы не снимаем.

Кроме того на сами короткие номера устанавливаем AoC.

 

3.       Мы готовы провести встречу на следующей неделе для детального разбора данного инцидента.

 

Максим(Марасанов),

На номера нужно ставить AoC.
С уважением,
Размахнин Сергей
———————————

Начальник отдела противодействия фроду на сетях связи
Департамент Информационной Безопасности
Блок по Безопасности
Корпоративный центр Группы МТС

_____________

Тема: Ответ: СРОЧНО >>: Фрод со стороны контент-провайдера

Сергей, добрый день.

 

Позвольте поблагодарить Вас за согласие провести рабочую встречу.

 

Но все таки хочу попросит Вас не принимать сегодня окончательного решения по данному вопросу.

 

То, что Лаборатория Касперского считает данное программное обеспечение вирусом, это вопрос их классификации. Отнесение данного ПО к вирусам и троянам спорно.

Данная точка зрения Лаборатории Касперского нам известна. Аналогичный вопрос возникал в ОАО «Вымпелком». Мы не однократно проводили трехсторонние встречи со специалистами Службы безопасности Вымпелком и представителями Лаборатории, в результате совместных встреч мы пришли к пониманию того, что:

 

1. Лаборатория Касперского признала, что мобильный и web трафик имеют большую разницу в алгоритмах определения вирусов.

2. Касперский признал, что не обладает достаточным опытом в работе с мобильным трафиком, в отличие от web.

3. На основе конкретных примеров ПО (в частности обсуждаемого в данной переписке) мы пришли к выводу, что вирусом оно не является.

 

Принимая во внимание сказанное выше, я убедительно прошу Вас не устанавливать АоС на номера представленные сегодня. Я предлагаю провести встречу, возможно с привлечением специалистов Лаборатории Касперского и по ее результатам принять комплексное решение по данному вопросу.

 

 

С уважением, А. Никитин

___________________

Александр,

Мы взаимодействуем с антивирусными лабораториями по теме анализа вирусов для мобильных устройств уже очень длительное время.
Писать о том что антивирусная лаборатория Касперского не имеет достаточного опыта в работе с “мобильным траффиком” или вирусами для мобильных устройств не корректно.

У данной антивирусной лаборатории анализ вирусов для мобильных устройств выделен в отдельное направление работ, и там работают специалисты с мировым именем по анализу вирусов для мобильных устройств. 
 
>3. На основе конкретных примеров ПО (в частности обсуждаемого в данной переписке) мы пришли к выводу, что вирусом оно не >является.

Не понятно кто эти “мы” и какое отношение они имеют к антивирусным лабораториями.
Если “мы” – это сотрудники контент провайдера, то не корректно говоторить об их возможности принимать решение о том является ли програмное обеспечение вирусом или нет.

Сервис сайт(http://mobile-ae.com/) с короткими-номерам, который вы привели в своём письме, содержал ссылки на вирусное ПО для мобильных устройств.
Кроме антивируса Касперского, это подтвердили и другие антивирусные решения.

Данная информация запротоколирована, на встрече мы продемонстрируем её вам.

С уважением,
Размахнин Сергей
———————————
Начальник отдела противодействия фроду на сетях связи
Департамент Информационной Безопасности
Блок по Безопасности
Корпоративный центр Группы МТС
________________

 

Уважаемые коллеги, добрый вечер.

В пятницу 10.08 .12 на номерах 6365, 7122, 7132, 7201, 7202, 7204, 8503, 9797, 9999 специалистами ОАО «МТС» было принято решение об установке АоС до выяснения обстоятельств.

Причина установки АоС – использование в сервисах, на данных «номерах-префиксах» ПО, которые по классификации Лаборатории Касперского и других антивирусных лабораторий относятся к вирусам и троянам.

Нами незамедлительно была начата работа с партнерами по исправлению ситуации, и на сегодня можно сказать, что большая часть данных сервисов исправлена. Единственное, что хочется сказать в этой связи, это то, что в ОАО «МТС» отсутствует какой либо регламентирующий документ по оформлению аналогичных сервисов, поэтому исправления были проведены в соответствиями с требованиями, которые были получены нами от специалистов коммерческих подразделений ОАО «МТС» на встрече 13.08.12.

Таким образом, сегодня 15.08.12, на наш взгляд, все обстоятельства выяснены и исправления внесены.

К сожалению, до сих пор АоС с наших номеров не сняты, более того, у нас нет понимания выполнили мы все требования ОАО «МТС» или нет, и что необходимо сделать, чтобы их выполнить.

Принимая во внимание переписку в пятницу 10.08.12, я предвижу ответ, что АоС будет снят в ТОЛЬКО В ТОМ СЛУЧАЕ, если в логике сервисов не будут использоваться вирусы и трояны. Отвечу сразу на данный вопрос: «Вирусами и троянами данное ПО считают специалисты Лаборатории Касперского и других лабораторий. Я не в коей мере не хочу оспаривать их ПРОФЕССИОНАЛЬНОЕ мнение, но если посмотреть на работу данного ПО, то его задача – облегчить абоненту отправку СМС в оплату заказанного контента, абонент уведомляется о стоимости услуг и условиях их предоставления, а ПО отправляет платные СМС только с ведома абонента».

Если ОАО «МТС» считает, что подобные сервисы являются вирусоопасными, мошенническими, вводят абонентов в заблуждение, я прошу ОАО «МТС» официально заявить об этом всему рынку и установить АоС всем игрокам рынка и ЗАПРЕТИТЬ ПРЕДОСТАВЛЕНИЕ ПОДОБНЫХ СЕРВИСОВ АБОНЕНТАМ МТС. Наша компания согласится с данным решением, так как только оператор должен определять стратегию оказания дополнительных сервисов своим абонентам.

На сегодняшний же день получается, что на наших номерах установлены АоС, а другие участники рынка спокойно работают с данными сервисами. В результате наша компания находится в искуственно созданой проигрышной конкурентной ситуации. В подтверждении своих слов направляю данные нашего Отдела мониторинга, которые подтверждают мои слова.Прошу применить к компаниям, представленным в приложенном файле аналогичные меры. Установить АоС на представленных номерах.

В заключении я хочу еще раз подтвердить, что мы готовы принять активное участие в подготовке документов, регламентирующих данные сервисы, а так же внедрить их сразу, как эти регламенты будут нам представлены.

 

А. Никитин

Генеральный директор ООО «ИнкорМедиа»

 

_______________________

16.08.2012, в 16:12, Размахнин Сергей Александрович написал(а):

 

Проверили, результат следующий:

 

На всех выявленных при инциденте web-ресурсах вирусное ПО для мобильных устройств убрано.

Теперь на ресурсах просто программы для мобильных устройств, в программах есть информирование о стоимости услуг.

Видно, что Инкором по этому инциденту работа проведена.

По формату информирования в программах есть  замечания, но их сейчас обсуждать не целесообразно, поскольку здесь требуется готовить единый документ, описывающий работу программ с функцией оплаты через смс сообщения на короткие номера.

 

Итого:

1. Установленный AOC с этих 9-ти номеров  снимаем.

2. С заблокированных префиксах на этих номерах блокировку не убираем, поскольку ещё остаются заражённые устройства прошлыми вирусами, и после разблокировки префиксов они будут досылать смс-сообщения на них.

 

По тем материалам, которые предоставлены Инкором о случаях нарушения со стороны других КП, проводим проверку.

 

С уважением,
Размахнин Сергей
———————————

Начальник отдела противодействия фроду на сетях связи
Департамент Информационной Безопасности
Блок по Безопасности
Корпоративный центр Группы МТС
Дали пистолет и крутись как хочешь

Я всегда подозревал, что корпоративная почта крупной компании сама по себе позволяет зарабатывать деньги и зарплата тут не нужна. На скрине писем ниже, это доказывается со всей очевидностью. Выбирая между зарплатой в 150 тысяч или в полмиллиона, миллион, человек выбирает первое, так как будет пропуск и почта МТС.

Update. Со мной связался Денис, письмо которого цитируется в скриншоте. Он предоставил контекст в котором идет обсуждение. Речь не идет о работе в МТС, т.к. Денис на тот момент покинул компанию и устраивался бизнес-консультантом в Стрим (непрозрачная дочка МТС, которой передали контент-сервисы МТС для введения). Пропуск и почта в данном контексте касаются почты Стрима (дочки МТС).

Высокая зарплата связана с тем, что Стрим не мог платить за работы, а было необходимо рассчитываться с поставщиками. То есть здесь большие деньги обусловлены тем, что была необходимость выплачивать их третьим лицам.

Кажется все, что рассказал Денис, выложил в этом обновлении. Контекст многое добавляет к этим письмам, как мне кажется :)

_________________________

 

Уголовные преступления или шалости?

Я не юрист и мне сложно оценить откровения в тех письмах, что стали доступны, но в некоторых из них содержатся сведения, которые, на мой непрофессиональный взгляд, составляют состав вполне определенных преступлений (сговор, мошенничество на абонентах, информирование третьих лиц и так далее).

Почему эта переписка попала в открытый доступ понятно, ее автор замахнулся на хлебное место в государственной иерархии и его попытались скомпрометировать. И это нормальная практика в наше время, да и в любое иное. Это вовсе не значит, что она мне нравится.

Тем не менее, перед нами встает несколько весьма важных вопросов, ответ на которые заставит нас осознать, где мы живем:

1) Будет ли МТС предпринимать какие-то действия относительно своего бывшего сотрудника? Будут ли эти действия показушными или они будут добиваться реального наказания. Ставлю на показушность, отчего я считаю так, писал выше.

2) Будут ли государственные органы предпринимать какие-либо действия относительно неустановленных лиц, которые разместили ресурс с частной перепиской и паспортными данными ряда лиц? а также служебной информацией (без чьего-либо заявления об этом)

В России есть законы для того, чтобы прекратить такие безообразия и отучить людей вести себя таким образом. Но эти законы не соблюдаются и нет соответствующих дел. Если МТС, МВД и другие озаботились выполнением своей работы, то наступил бы относительный порядок, а люди бы выбирали зарплату, а не корпоративный адрес почты в МТС с помощью которого они могут что-то получить и урвать себе.

P.S. Я специально не стал выкладывать письма в которых есть, на мой взгляд, состав преступления. Это излишне. Желающие могут сами покопаться, мне эта тема интересна именно в разрезе вопросов выше, а не частного случая конкретного человека, которого решили утопить таким образом.

Обновление от 23 января

Открытое письмо Ярослава Свинцова