Часть сотрудников Forbes стала получать сотни сообщений о попытках регистрации на различных ресурсах – от онлайн-магазинов до сервисов микрокредитов. За три минуты на один номер могли отправить по 10–15 СМС. Параллельно были попытки входа в Privat24. Кто и зачем завалил редакцию сообщениями?
⚡️Даруємо 700 грн знижки на річну підписку на сайт Forbes. Діє з промокодом 700 до 28.04 Оформлюйте зараз за цим посиланням
Около полудня 4 января пять сотрудников Forbes начали массово получать СМС- и Viber-сообщения от ритейлеров Adidas, Intertop, Allo, Dnipro-M, сервиса доставки Zakaz.ua и микрокредитных организаций вроде Cash Point. Содержание сообщений – коды авторизации, которые обычно получают для изменения пароля на сайте. Однако ни один из сотрудников Forbes не делал на указанных сайтах запросов на регистрацию или сброс пароля.
Сообщения поступали абонентам операторов «Киевстар», «Vodafone Украина» и lifecell. Количество и периодичность отличались. Часть сотрудников за день получили до 200 СМС и еще около сотни сообщений в Viber. Также им поступали звонки с просьбой подтвердить регистрацию или продлить оформление заявки на получение микрокредита.
Кроме того, злоумышленники пытались войти в аккаунты Privat24 шести сотрудников редакции. У четверых попытки входа в онлайн-банкинг происходили параллельно со спам-атакой на телефон. Еще двое не попали под спам-атаку, однако их аккаунты в Privat24 тоже пытались взломать.
Массовая отправка сообщений продолжалась до 6 января включительно. В воскресенье после обеда СМС перестали приходить. Позже выяснилось, что под подобную атаку попали еще четверо сотрудников, которых спамили с 30 декабря. В общей сложности под спам-атакой побывали девять репортеров и редакторов Forbes.
Кто и зачем испортил журналистам новогодние праздники?
Как работает кибертроллинг СМС-бомберов и какой цели они стремятся достичь?
Кто такие СМС-бомберы
Forbes обратился к десятку компаний, от которых сотрудники каждые три – пять минут получали уведомления. Спам-атака распространилась только на работников Forbes. «Аномалий не видим», – ответили в пресс-службе Allo по просьбе Forbes прокомментировать, насколько распространенная проблема.
Zakaz.ua также не заметил нетипичного количества регистраций и попыток изменить пароли. «Это не общерыночное, это против вас конкретно кто-то работает», – объяснил специалист «Киевстара», общавшийся на условиях анонимности. В «Vodafone Украина» ответили, что компания не отправляла СМС-сообщения, а злоумышленники сделали это от их имени.
На одном из форумов в даркнете три недели назад был размещен заказ на взлом аккаунтов сотрудников издания, сказал Forbes 8 января собеседник в правоохранительных органах, общавшийся на условиях анонимности. Также на одном из хакерских форумов была выложена личная информация одного из сотрудников Forbes: адрес регистрации, номера банковских карт и карта медицинской лаборатории Synevo.
Эту информацию злоумышленники, вероятно, собрали из слитых баз данных банков, считает собеседник Forbes из отдела кибербезопасности крупного банка.
От имени каких компаний приходили СМС-сообщения
Набор компаний, от имени которых приходили СМС- и Viber-сообщения, у жертв атаки отличался.
Ритейл: Atletics, Intertop, dressa.ua, Aladin, Rikky Hype, Tsum Kyiv, Atb-space, AVIC, info Brain, vce.com.ua, Storgom, Myrchuk, Intimo, Top Motors, 33m2, StreetWear, Lovilave, Kasta TehnoYizhak, Dnipro-M, OLDI, Angio, Yakaboo, Adidas.ua, Allo, New Time, Vodafone Shop.
Аптеки: Podorozhnyk, Apteka ds, Apteka24.ua.
Микрокредитные организации: Credit Port, 7credit, ua-credit, moneyhelp, Credit_plus, info Brain, aviracredit, ClickCredit, bosmarket, Credit Casa, Finbert, Credit-Pro, MyBiz, CLY, SOSO.
Также приходили СМС от Unex Bank и сервиса доставки Zakaz.ua.
Кто стоит за спам-атакой на редакцию Forbes? «Это результат работы так называемых СМС-бомберов, – объясняет СТО Zakaz.ua Алексей Панасюк. – Своеобразный метод спама и кибертроллинга для школьников». Злоумышленники могут отправлять такие сообщения со всех сайтов, где можно восстановить пароль через номер телефона, добавляет он.
Эффект «бомбинга» в большинстве случаев достигается благодаря автоматизации. «Номера телефонов забрасывают в специальный софт, который и регистрирует людей на разных ресурсах», – говорит консультант по информационной безопасности Тимур Сидорук. Бесплатного программного обеспечения для авторизации на сайтах есть немало в «белом интернете». Его используют для сбора информации в маркетинге и рекламе, анализе конкурентов и т.д., говорит Сидорук.
Иногда бомберы «жмут» на уязвимые точки API фирм-подрядчиков, которые компании используют для СМС-рассылок, отправки одноразовых кодов и сброса паролей для входа в личный кабинет, говорит Панасюк. «Злоумышленники создают запросы для получения и отправки данных на сервер со своими скриптами, что автоматизирует отправку сообщений и помогает организовать атаки», – добавляет СТО Zakaz.ua.
Специалисты трех ритейлеров на условиях анонимности рассказали, что по крайней мере по двум номерам телефонов сотрудников Forbes регистрация в их системах проходила вручную. Также один из ритейлеров предоставил список IP-адресов, с которых на сайт компании происходили запросы от ботов. Эти запросы не прошли проверку внутренних систем и не смогли отправить СМС.
«Атаки могут быть комбинированными: на части сайтов жертву регистрируют автоматизированно, а на части – вручную», – говорит Сидорук. Если процесс организован вручную, это может свидетельствовать о таргетированной атаке, говорит консультант по информационной безопасности.
Заказчики ищут исполнителей на так называемых биржах задач. «За условную 1000 грн они будут регистрироваться на сайтах на нужный номер телефона», – говорит Сидорук. В таком случае исполнитель не является конечным злоумышленником, но может помочь привести к нему, говорит консультант по информационной безопасности. На момент публикации материала Forbes не удалось выяснить, кто стоит за атакой.
Регистрация на украинских ресурсах указывает на то, что и исполнитель, вероятно, локальный. «Вряд ли кому-нибудь из Аргентины или Бразилии было бы интересно лазить по украинским сайтам с онлайн-переводчиком и регистрировать людей», – говорит Сидорук.
От двух ритейлеров Forbes получил три IP-адреса, с которых злоумышленники регистрировались на их сайтах. Они использовали серверы компаний Wnet, EGIHosting и Иванова Виталия Сергеевича. Он является директором и соучредителем компании XServer (ООО «Харьков-Сервер»), которая продает и сдает в аренду серверы. В 2016 году, по информации судебного решения, серверы этой компании использовались для киберпреступности. «Чтобы обеспечить себе анонимность, злоумышленники могут взламывать или покупать уже взломанные серверы для атак», – говорит Сидорук. В таком случае реальный владелец сервера может не догадываться о подозрительной активности, добавляет консультант по информационной безопасности.
Аккаунты регистрировались с IP-адреса, который арендует кипрская Ithostline LTD. Директором организации указан Зуфар Дусметов. Также использовался IP-адрес, арендуемый зарегистрированной в Лондоне компанией Proline IT LTD, директором которой является гражданин РФ Зуфар Дусметов.
Кто заказчик атаки на журналистов Forbes – неизвестно.
дизайн Александр Скориченко
Ущерб от СМС-бомберов
Автоматизированная регистрация и использование скриптов не противозаконны, говорит консультант по информационной безопасности. «Противозаконно использовать эти сервисы для атак против людей», – добавляет он. Forbes обратился в Киберполицию с заявлением.
Это не первая нетипичная ситуация с редакцией Forbes за последние несколько месяцев. В ноябре 2023-го псевдорекрутерша пыталась переманить более 10 работников в новое «политическое» СМИ, которого на самом деле не существовало. Подобные тактики рекрутинга используются для коммерческого шпионажа, говорил старший партнер Korn Ferry Ukraine Роман Бондарь.
Какова цель спам-атаки? СМС-бомбинг применяется широко и с разной целью – от безвредных розыгрышей до умышленной травли или мошенничества.
Злоумышленники могут проводить его, чтобы получить данные через «зашитые» в СМС фишинговые ссылки, говорит СТО Zakaz.ua. Также СМС-бомбинг и рассылку спама могут применять в качестве составляющего элемента кибератаки конкретного пользователя. «Из-за большого количества сообщений человек может не увидеть уведомления о попытке входа в его аккаунты», – говорит Панасюк.
Атака «загружает» и смартфон пользователя, и сайт компании, что, в свою очередь, может ослабить систему, говорит Панасюк. «На указанный номер поступают сообщения ежесекундно – пользоваться устройством становится в данный момент невозможно», – добавляет он.
В целом подобные действия выбивают человека из рабочего режима. «В таком объеме сообщений люди могут пропустить действительно важные сообщения», – говорит он.
У самих компаний могут быть решения, частично защищающие пользователей от спам-регистраций. «Мы защищаемся от этого ограничениями по количеству отправленных СМС на один номер, контролируем IP-адреса, с которых поступают запросы, и т.д.», – говорит Панасюк из Zakaz.ua.
Впрочем, полностью защититься от спам-атак сложно, если злоумышленники уже получили персональные данные человека, говорит Сидорук. «Это как наши хакеры россиянам заказывали на дом пиццу и доставку из секс-шопов, просто имея их персональные данные. От такого нет защиты», – говорит он.
«Мобильный оператор не может что-то централизованно сделать в ситуации, когда на номер абонента поступает большое количество сообщений и звонков от разных сервисов», – говорит специалист «Киевстара». В компании советуют блокировать номера, с которых звонят по телефону для завершения регистрации. Для борьбы со звонками нужно связаться с сайтами и попросить их убрать телефонные номера из своей базы.
Также пользователь может временно себя обезопасить, запретив отправителям, которых нет в списке контактов, отправлять СМС-сообщения и звонить по телефону, говорит Панасюк. Это можно сделать в настройках телефона, если позволяет операционная система. «Самый надежный способ – сменить номер телефона», – добавляет Сидорук.
Вы нашли ошибку или неточность?
Оставьте отзыв для редакции. Мы учтем ваши замечания как можно скорее.
