sisblog

C’est arrivé près de chez nous: Nigeriaanse oplichters

Echt nieuw is het niet. Al eerder zagen we hen hun phishy scripts injecteren in slecht beveiligde en niet up to date CMS installaties van klanten.

Nu we een volautomatisch bestelsyteem hebben geraken ze er ook op een andere manier in.

Ze bestelden met vermoedelijk gestolen VISA kaart nummers enkele accounts via ons geautomatiseerd bestelsysteem. De interne fraude check liet de transactie toe en onze Nigeriaanse vrienden hadden enkele minuten na betaling toegang tot hun accounts samen met een werkende domeinnaam.

Deze ochtend zag ik dat er opvallend veel nieuwe accounts aangemaakt waren. Er ging al een belletje rinkelen toen het ‘Amerikanen’ zouden zijn. Even de IP’s van de aanvragers geckecked en jawel: Nigeria. Voor de zekerheid eens de data bekeken in de accounts en ja: php scriptjes om Paypal phishing mails uit te sturen.

Wel erg vreemd dat het CC processing bedrijf de betalingen geverifieerd en goedgekeurd heeft.

Accounts afgesloten en gemeld aan de FCCU…

FreeNix

FreeNIX

Alleen voor niets gaat de zon op. Het leek mooi, een FreeBix exchange aansluiting en wat dataverkeer uitwisselen met interessante peers. Gratis peerings worden over het algemeen gesloten wanneer beide partijen er evenveel baat bij hebben. In die optiek gaan we met ons huidig verkeers profiel - enkel uitgaand verkeer naar Access providers toe - nooit echt iets kunnen halen uit peering. (Onze core business is nog altijd webhosting).

Aangezien we een patch naar de Meet Me Room hebben die vrijgekomen is hebben we besloten deze te linken aan het alternatieve belgische exchange point. Niet dat we daar veel baat bij hebben - de enige voor ons verkeersprofiel interessante peer is EDPnet. EDPnet krijgt daarintegen onze routes al via hun peering met onze uplinks dus voor heeft het voor hen uit ‘engineering’ oogpunt geen nut om met ons te peeren. Maar als ze tijd en goesting hebben mogen ze mij altijd contacteren.

Wat blijft er dan nog over: wat kleine colo partijen, een Britse ISP en wat volk uit Nederland.

Na 3 weken rondmailen hebben we al een handvol peers:

root@rtr1 ~ # bgpctl show
Neighbor AS MsgRcvd MsgSent OutQ Up/Down
State/PrefixRcvd
peering KEME 16034 10 5 0 00:01:00 5
peering KDISS 31586 8 8 0 00:02:35 5
peering CONNEXEON 35821 16 13 0 00:05:06 1
peering ITSS 31669 0 11520 0 Never Active
peering willux 39641 71113 71127 0 03w3d16h 2
peering caveo 24642 69605 71146 0 01w1d19h 7
peering unix-solutio 39923 71793 71768 0 02w0d16h 1
peering openminds 30961 71366 74674 0 03w4d22h 3
link to rtr0 39234 7025236 4578221 0 17w4d09h 182701
talessa transit 31553 5368680 355357 0 2d22h20m 203986
root@rtr1 ~ #

Samen goed voor tadam: een goeie 1,3k uitgaand verkeer een een dikke 3k in. Whoho. Een marginale fractie van ons dagelijks verkeer!

Nu het opent wel perspectieven: we kunnen goedkoop offsite backupovereenkomsten onderhandelen met peers voor potentiële coloklanten en op papier hebben we nu een Tier2 netwerk:

“A Tier 2 Network is an Internet service provider who engages in the practice of peering with other networks, but who still purchases IP transit to reach some portion of the Internet.

Tier 2 providers are the most common providers on the Internet as it is much easier to purchase transit from a Tier 1 network than it is to peer with them and then attempt to push into becoming a Tier 1 carrier.

The term Tier 3 is sometimes also used to describe networks who solely purchase IP transit from other networks (typically Tier 1 or Tier 2 networks) to reach the Internet.”

Nu, al bij al… het is wel een leuke ervaring, concullega’s om peering vragen. Hoogste pieken ooit in de traffiek zijn bereikt toen ik eens via mijn VPN verbinding naar de site van de cultureclub (Openminds) surfte. Wat een ervaring!

Het eigen netwerk was achterafgezien geen misstap, het was relatief gezien in het begin een grote investering (routers, ripe lidmaatschap) maar we hebben wel een 100% stabiel netwerk in eigen handen, we kiezen onze partners naar gelang onze noden, we mixen een kwalitatief internationaal netwerk (Interoute) met lokale spelers wat ons een ideale prijs kwaliteitsmix heeft. En ik hoef mij geen zorgen te maken wanneer één van die partijen een mindere dag heeft: het wordt gewoon omgerouted. En niet te vergeten: 100% netwerk uptime de afgelopen 6 maand. Niet slecht voor een belgische budgetwebhost.

Nu ere wie ere toekomt: zonder expertise van Thomas van rootsecurity was het wellicht nooit zo vlot verlopen en hadden we veel meer tijd moeten steken om het zelf allemaal uit te zoeken.

BTW: Zin om te peeren met ons: mail stein@stone-is.com . Niks voor niks, graag gedaan!

Wanbetalers

Het blijken niet enkel ‘onbekende’ klanten die hun schulden bij ons nu en dan laten oplopen. Eerst laten we het wat liggen met het gedacht: we kennen die persoonlijk, dat komt wel in orde. Maar ondertussen stapelen de schulden van de klant zich op en ondanks alles blijven we die klant vergaande support verlenen. Tijdelijke servers opgezet, tijdelijke accounts aangemaakt, geholpen met triviale configuraties…

Meer dan een jaar sleept het al, altijd een ander excuus. Mails worden zogezegd door spamfilters niet ontvangen, brieven worden genegeerd.

Nu, we hadden het moeten weten toen de aardige mensen van Openminds ons reeds waarschuwden voor die persoon en mensen uit de nabije kring van die persoon beaamden het ook.

En wat zijn die paar honderd euro op onze totale omzet: niet veel. Maar het is het principe dat telt.

Update: Als ik de gemailde uitreksels mag geloven is het in orde gebracht… hoewel er op de gemailde uitreksels nog staat dat het onder voorbehoud van provisie is en het geen betalingsbewijzen zijn. Spijtig dat het zo moet gaan, hopelijk is zo het vertrouwen hersteld. Incasso by blog