Будьте осторожны: как изменились уловки мошенников во время войны и могут ли хакеры рф «положить» украинские банки

Сложные времена требуют сложных решений — говорит известное выражение. И во время войны это касается как экстраординарных решений со стороны граждан или государства, так и со стороны злоумышленников разного калибра — от российских хакеров до фишеров.

Я Chief Technical Officer в финтех-компании bill_line и сейчас кратко расскажу о том, как финансовая сфера защищает наши деньги и на что стоит обращать внимание для информационной гигиены. 

Могут ли хакерские атаки «положить» украинскую финансовую систему

Здесь возникает два вопроса в одном:

1. Первый — могут ли российские хакеры теоретически «положить» какой-нибудь крупный банк, тем самым поставив страну перед огромными проблемами и нестабильностью, а клиентов оставить без денег? Да, могут.
2. Второй — могут ли те же хакеры «положить» крупный украинский банк? Нет и еще раз нет, потому что если бы могли, они бы это уже сделали.

Крупнейшие украинские банки, которые чаще всего — серьезные игроки на рынке интернет-эквайринга, прекрасно понимали и понимают все риски.

«Большая война» на киберфронте началась 15 февраля: тогда хакеры страны-террориста начали массовую DDoS-атаку всей финансово-административной системы Украины. Пять часов хакеры ддосили крупнейшие банки (monobank, «Ощад», «Приват», «Альфа», «Райффайзен») и государственные цифровые сервисы («Дия», «Украинское радио» и все сайты доменной зоны gov.ua).

Тогда удалось «положить» интернет-банкинги «Ощад 24/7» и «Приват 24», а удержался только сайт НБУ. Масштабы утечки данных оценивать рано, и у меня для этого нет достаточного количества источников. Понятно, что какого-то результата они добились, но, судя по тому, что система работает, а с карточек не исчезли деньги, этот результат был очень скромным. 

Пострадать может не только Украина, но и наши ближайшие союзники. 19 ноября хакеры ддосили Эстонию: под ударом были сайты Министерства экономики и коммуникаций, Банка Эстонии, Эстонского национального фонда и энергетической компании Eesti Energia. Эстония устояла.

На следующий день группа Killnet пыталась положить сайт Белого дома и Starlink. Здесь ситуация была хуже: сайт президента США «лежал» полчаса, а авторизационная форма Starlink не работала пару часов, после чего авторизация все равно была невозможна.

Все атаки имеют одну основу — преодолеть систему фильтрации пользовательских запросов (error 429) и повредить/украсть базу данных.

Программа минимум: парализовать работу сервиса из-за невозможности авторизации/регистрации. Программа максимум: получить доступ к данным клиентов и использовать их в своих целях.

Война стала испытанием на секьюрность для многих продуктов, с которыми связаны, прежде всего, фандрейзинговые инициативы:

• переводы с карты на карту;
• донаты на ВСУ;
• известные банки mono, в которых миллионы украинцев собирают на машины, тепловизоры, форму и другие средства ускорения победы Украины.

Атаки на банк в смартфоне происходили регулярно: в сентябре, в октябре, когда фонд Притулы начал мегасбор на месть за террористические атаки на энергоинфраструктуру. И monobank почти не терял полноценного функционирования.

Поэтому каждый раз, когда вы пользуетесь такими сервисами, нужно понимать, какая работа за ними стоит и насколько высок уровень квалификации наших специалистов. 

Появились ли новые схемы и методы фишинга во время войны

Нет, но появились новые интерпретации старых методов, постоянно растущих в качестве выполнения.

Смоделируем классические для фишинга ситуации: 

1. Злоумышленник копирует лендинг известного бренда, на котором клиенты привыкли платить картой. На нем описывается услуга и предлагается ее оплатить. Если раньше на таких сайтах можно было найти грамматические ошибки или очень кустарную работу верстальщика, то теперь копируется все, включая шрифт бренда. Сайты умудряются приобрести SSL-сертификат, но просмотр издателя сертификата покажет, что чаще всего это бесплатный SSL без указания юридического лица или какой-либо детализации домена.
2. Звонки о выигрыше, новой кредитной линии, проблеме с оплатой, блокировке карты — думаю, почти каждый когда-либо получал такой звонок от «своего банка». В этом году такая фишинг-схема получила существенный апгрейд. Теперь на том конце уже почти не услышать «живой» голос, который мог положить трубку от первого же неудобного вопроса. Операторов заменил автоответчик, который в некоторых случаях имитирует голос робота-помощника, который мы привыкли слышать, звоня на горячую линию. Это означает, что наши фишеры уже используют генерацию голосов.

Что с этим всем делать?

Значит ли это, что все пропало? Нет. Элементарные правила информационной гигиены для безопасности ваших платежных данных те же:

• проверяйте страницы, на которых вводите данные карты;
• не кликайте на подозрительные ссылки;
• храните данные карты только в приложениях, которым вы полностью доверяете.

Удачи!