Как изменились методы мошенников во время войны и могут ли хакеры РФ «положить» украинские банки 🔒

Колонка впервые опубликована для издания highload.today 5 декабря 2022

Сложные времена требуют сложных решений – говорит известное выражение. И во время войны это касается как экстраординарных решений со стороны граждан или государства, так и со стороны злоумышленников разного калибра – от российских хакеров до фишеров.

Я Chief Technical Officer в финтех-компании bill_line и сейчас я кратко расскажу о том, как финансовая область защищает наши деньги и на что стоит обращать внимание для информационной гигиены.

Могут ли хакерские атаки «положить» украинскую финансовую систему

Здесь возникает два вопроса в одном:

1. Первое — могут ли российские хакеры теоретически «положить» какой-нибудь крупный банк, тем самым поставив страну перед огромными проблемами и нестабильностью, а клиентов оставить без денег? Да, могут.
2. Второе — могут ли те же хакеры положить крупный украинский банк? Нет и еще раз нет, потому что если бы могли, они бы это сделали.

Крупнейшие украинские банки, чаще всего серьезные игроки на рынке интернет-эквайринга, прекрасно понимали и понимают все риски.

«Большая война» на киберфронте началась 15 февраля: тогда хакеры страны-террориста начали массовую DDoS-атаку всей финансово-административной системы Украины. Пять часов хакеры ддосили крупнейшие банки (monobank, «Ощад», «Приват», «Альфа», «Райффайзен») и государственные цифровые сервисы («Дия», «Украинское радио» и все сайты доменной зоны gov.ua).

Тогда удалось «положить» интернет-банкинги «Ощад 24/7» и «Приват 24», удержался только сайт НБУ. Масштабы утечки данных оценивать рано, и у меня для этого нет достаточного количества данных. Понятно, что какого-то результата они добились, но, судя по тому, что система работает, а с карточек не исчезли деньги, этот результат был очень скромным.

Пострадать может не только Украина, но и наши ближайшие союзники. 19 ноября хакеры помогли Эстонию: под ударом были сайты Министерства экономики и коммуникаций, Банка Эстонии, Эстонского национального фонда и энергетической компании Eesti Energia. Эстония устояла.

На следующий день группа Killnet пыталась положить сайт Белого дома и Starlink. Здесь ситуация была хуже: сайт президента США «лежал» полчаса, а авторизационная форма Starlink не работала пару часов, после чего все равно авторизация была невозможна.

Все атаки имеют одну основу – преодолеть систему фильтрации пользовательских запросов (error 429) и повредить/украсть базу данных.

Программа минимум: парализовать работу сервиса из-за невозможности авторизации/регистрации. Программа максимум: получить доступ к данным клиентов и использовать их в своих целях.

Война стала испытанием на секюрность для многих продуктов, с которыми связаны, прежде всего, фандрейзинговые инициативы:

• переводы с карты на карту;
• донаты на ВСУ;
• знаменитые банки mono, в которых миллионы украинцев собирают на машины, тепловизоры, форму и другие средства ускорения победы Украины.

Атаки на банк в смартфоне были регулярно: в сентябре, особенно в октябре, когда фонд Притулы начал мегазбор на месть за террористические атаки на энергоинфраструктуру. И monobank почти не терял полноценного функционирования.

Поэтому каждый раз, когда вы пользуетесь такими сервисами, нужно понимать, какая работа за ними стоит и насколько высок уровень квалификации наших специалистов.

Появились ли новые схемы и методы фишинга во время войны

Нет, но появились новые интерпретации старых методов, которые постоянно растут в качестве выполнения.

Смоделируем классические для фишинга ситуации:

1. Злоумышленник копирует лендинг известного бренда, на котором клиенты привыкли платить картой. На нем описывается услуга и предлагается оплатить ее. Если раньше на таких сайтах можно было найти грамматические ошибки или очень кустарную работу верстальщика, то теперь копируется все, включая шрифт бренда. Сайтам умудряются приобрести SSL-сертификат, однако просмотр издателя сертификата покажет, что чаще всего это бесплатный SSL без указания юридического лица или какой-либо детализации домена.
2. Звонки о выигрыше, новой кредитной линии, проблеме с оплатой, блокировке карты — думаю, почти каждый когда-то получал звонок от «своего банка». В этом году такая фишинг-схема получила существенный апгрейд. Теперь на том конце трубки уже почти не услышать «живой» голос, который мог положить трубку от первого же неудобного вопроса. Операторов заменил автоответчик, который в некоторых случаях имитирует голос работа-помощника, который мы привыкли слышать, звоня по телефону на горячую линию. Это означает, что наши фишеры уже используют генерацию голосов.

Что с этим всем делать?

Значит ли это, что все пропало? Нет. Элементарные правила информационной гигиены для безопасности ваших платежных данных те же:

• проверяйте страницы, на которых вы вводите данные карты;
• не кликайте на подозрительные ссылки;
• храните данные карты только в приложениях, которым вы полностью доверяете.