Будьте обережні: як змінилися методи шахраїв під час війни і чи можуть хакери рф «покласти» українські банки

Складні часи вимагають складних рішень — каже відомий вираз. І під час війни це стосується як екстраординарних рішень з боку громадян чи держави, так і з боку зловмисників різного калібру — від російських хакерів до фішерів.

Я Chief Technical Officer у фінтех-компанії bill_line і зараз я коротко розповім про те, як фінансова сфера захищає наші гроші та на що варто звертати увагу для інформаційної гігієни. 

Чи можуть хакерські атаки «покласти» українську фінансову систему

Тут постає два питання в одному:

1. Перше — чи можуть російські хакери теоретично «покласти» якийсь великий банк, тим самим поставивши країну перед величезними проблемами та нестабільністю, а клієнтів залишити  без грошей? Так, можуть.
2. Друге — чи можуть ті ж хакери «покласти» великий український банк? Ні й ще раз ні, бо якщо б могли, вони це зробили б.

Найбільші українські банки, які частіше за все є серйозними гравцями на ринку інтернет-еквайрингу, прекрасно розуміли та розуміють усі ризики.

«Велика війна» на кіберфронті почалася 15 лютого: тоді хакери країни-терориста почали масову DDoS-атаку всієї фінансово-адміністративної системи України. П’ять годин хакери ддосили найбільші банки (monobank, «Ощад», «Приват», «Альфа», «Райффайзен») і державні цифрові сервіси («Дія», «Українське радіо» та всі сайти доменної зони gov.ua).

Тоді вдалося «покласти» інтернет-банкінги «Ощад 24/7» та «Приват 24», а втримався лише сайт НБУ. Масштаби витоку даних оцінювати рано, і у мене для цього немає достатньо джерел. Зрозуміло, що якогось результату вони досягли, але, судячи з того, що система працює, а з карток не зникли гроші, цей результат був дуже скромним. 

Постраждати може не тільки Україна, а й наші найближчі союзники. 19 листопада хакери ддосили Естонію: під ударом були сайти Міністерства економіки та комунікацій, Банку Естонії, Естонського національного фонду та енергетичної компанії Eesti Energia. Естонія встояла.

На наступний день група Killnet намагалася «покласти» сайт Білого дому та Starlink. Тут ситуація була гіршою: сайт президента США «лежав» півгодини, а авторизаційна форма Starlink не працювала пару годин, після чого все одно авторизація була неможливою.

Всі атаки мають одну основу — подолати систему фільтрації користувацьких запитів (error 429) та пошкодити / викрасти базу даних.

Програма мінімум: паралізувати роботу сервісу через неможливість авторизації/реєстрації. Програма максимум: отримати доступ до даних клієнтів та використати їх у своїх цілях.

Війна стала випробуванням на сек’юрність для багатьох продуктів, з якими пов’язані, перш за все, фандрейзингові ініціативи:

• перекази з картки на картку;
• донати на ЗСУ;
• відомі банки mono, у яких мільйони українців збирають на машини, тепловізори, форму та інші засоби прискорення перемоги України.

Атаки на банк у смартфоні були регулярно: у вересні, а особливо у жовтні, коли фонд Притули почав мегазбір на помсту на терористичні атаки на енергоінфраструктуру. І monobank майже не втрачав повноцінного функціонування.

Тому кожного разу, коли ви користуєтеся такими сервісами, треба розуміти, яка робота за ними стоїть та наскільки високим є рівень кваліфікації наших спеціалістів. 

Чи з’явилися нові схеми та методи фішингу під час війни

Ні, але з’явилися нові інтерпретації старих методів, які постійно зростають у якості виконання.

Змоделюємо класичні для фішингу ситуації: 

1. Зловмисник копіює лендинг відомого бренду, на якому клієнти звикли платили карткою. На ньому описується послуга та пропонується сплатили за неї. Якщо раніше на таких сайтах можна було знайти граматичні помилки чи дуже кустарну роботу верстальника, то тепер копіюється все, включно зі шрифтом бренду. Сайтам примудряються придбати SSL-сертифікат, проте перегляд видавця сертифікату покаже, що частіше за все це безкоштовний SSL без вказання юридичної особи чи будь-якої деталізації домену.
2. Дзвінки про виграш, нову кредитну лінію, проблему з оплатою, блокування картки — гадаю, майже кожен колись отримував дзвінок від «свого банку». Цього року така фішинг-схема отримала суттєвий апгрейд. Тепер на тому кінці слухавки вже майже не почути «живого» голосу, який міг покласти слухавку від першого ж незручного питання. Операторів замінив автовідповідач, який у деяких випадках імітує голос робота-помічника, який ми звикли чути, телефонуючи на гарячу лінію. Це означає, що наші фішери вже застосовують генерацію голосів.

Що з цим всім робити?

Чи означає це, що все пропало? Ні. Елементарні правила інформаційної гігієни для безпеки ваших платіжних даних ті ж самі:

• перевіряйте сторінки, на яких ви вводите дані картки;
• не клікайте на підозрілі посилання;
• зберігайте дані картки лише у застосунках, яким ви повністю довіряєте.

Успіхів!