После запуска государственной системы противодействия фишингу потери украинцев от этого вида электронного мошенничества снизились на 40-50%, утверждают власти. Однако профильная Интернет ассоциация Украины (ИнАУ) полагает, что система фильтрации фишинговых сайтов потенциально способна нанести Украине больше вреда, чем пользы: в худшем случае уязвимости антифишинговой системы позволят “на существенное время заблокировать доступ к интернету в зоне .ua”, заявили там.
UBR.ua разбирался, есть ли реальные причины для опасений ИнАУ, и приводит аргументы сторон и экспертов.
После начала полномасштабной войны в Украине сильно выросло число случаев фишинга – вида онлайн-мошенничества, который заключается в выманивании у жертв банковских или иных конфиденциальных данных с целью кражи денег. Для этого злоумышленники рассылают жертвам ссылки на копии сайтов банков или интернет-магазинов, где под разными предлогами предлагается ввести персональные данные, необходимые для получения доступа к онлайн-счету.
Согласно информации Национального банка Украины (НБУ), убытки от фишинга в прошлом году превысили 481 млн грн, что на 46% больше, чем в 2021. Мошенники подстраивались под новые реалии, создавая ресурсы, копирующие интерфейс благотворительных фондов или сайтов по оформлению соцвыплат, в том числе “єПідтримки”.
На проблему регулятор отрасли, Национальный центр оперативно-технического управления сетями электронных коммуникаций (НЦУ), отреагировал в январе 2023 года распоряжением о внедрении системы фильтрации фишинговых доменов. Его нормы начали применяться со 2 марта.
По сути, система направлена на предупреждение интернет-пользователя о переходе на мошеннический сайт. В момент открытия ресурса, внесенного в базу данных системы, подключенные к ней интернет-провайдеры перенаправляют абонента на лендинговую страницу, сообщающую об угрозе. При этом сам сайт для пользователя не заблокирован.
“Никто не запрещает проигнорировать предупреждение и перейти на фишинговый ресурс“, – подчеркнул UBR.ua директор Лаборатории компьютерной криминалистики CyberLab Сергей Денисенко.
Домены фишинговых сайтов из дополнения к распоряжению НЦУ
Уже спустя месяц работы такой предупреждающей системы объем фишингового мошенничества в денежном эквиваленте снизился на 40-50%, а количество обращений от обманутых граждан – на 30-40%, отчитывались в Национальном координационном центре кибербезопасности (НКЦК) при СНБО. На тот момент к системе были подключены 320 украинских интернет-провайдеров, включая крупнейшие – Киевстар, lifecell, Vodafone, Укртелеком, Датагруп и Воля.
До окончательной победы над фишингом в Украине все еще далеко, о чем косвенно могут свидетельствовать регулярные публикации на сайте Киберполиции о задержании преступных группировок. Отметим, что часть преступников ориентирована на мошенническую деятельность в Европе. Однако, по мнению Сергея Денисенко, антифишинговая система действительно может быть эффективной.
“Учитывая уровень киберграмотности наших пользователей, возможно, это верное решение – выводить на экран красную надпись “не переходи на этот сайт“, – говорит эксперт.
В свою очередь в Интернет ассоциации Украины сомневаются в эффективности программы из-за особенностей ее технического исполнения. Эти же особенности, считает объединение провайдеров, несут в себе даже большую угрозу для кибезбезопасности страны в военное время, чем фишинг.
Как объясняет Сергей Денисенко, технически система работает следующим образом: после выявления фишингового сайта командой НБУ по реагированию на киберинциденты (CSIRT НБУ) его адрес передается в общий перечень таких ресурсов на платформе по сбору и выявлению информации о киберугрозах Нацбанка (MISP НБУ).
Затем перечень фишинговых доменов в автоматическом режиме реплицируется с MISP НБУ на аналогичную платформу Национального координационного центра кибербезопасности (НКЦК) при СНБО. Именно к последней платформе подключены интернет-провайдеры.
Одна из ключевых претензий ИнАУ к принятой модели – наличие платформы MISP НКЦК как дополнительного этапа в цепочке передачи информации о фишинговых доменах между НБУ и провайдерами. С одной стороны, это снижает эффективность противодействия киберпреступникам, считает член правления ассоциации Максим Тульев.
“Фишинговые сайты живут в сети считанные часы. На их идентификацию, анализ и передачу на блокировку уходит больше времени, именно поэтому фишинг и эффективен. Время рассмотрения в НБУ, а также время прохождения “транзитной сущности” НКЦК будет больше, чем время эффективного существования фишингового домена“, – пояснил Тульев.
Отметим, что по распоряжению НЦУ, на обновление данных интернет-провайдеров о новых фишинговых ресурсах должно уходить до 15 минут с момента внесения изменений в перечень таких доменов.
28 апреля ИнАУ опубликовала результаты опроса своих членов. 72% принявших в нем участие компаний заявили, что использование “транзитного” сервера НКЦК СНБО “создает дополнительные существенные риски”. В ассоциации, членами которой являются 230 субъектов хозяйствования, нам отметили, что не могут разглашать сведения об участниках опроса. Но добавили, что преимущественно в нем поучаствовали мелкие и средние поставщики услуг.
В НКЦК, писало издание “НВ. Бизнес” со ссылкой на комментарий руководителя управления обеспечения деятельности НКЦК Сергея Прокопенко, раскритиковали опрос за манипуляции и формулировки: в частности, в системе не существует дополнительного транзитного сервера, “о чем известно любому техническому специалисту”.
Максим Тульев объяснил UBR.ua, что под определением “транзитный сервер” в ИнАУ имели в виду “еще одну сущность – оборудование НЦУ, НКЦК, СНБО и еще кого-то кроме НБУ, собирающего информацию про фишинговые домены”.
“В наших рекомендациях было сделать всю систему на базе оборудования НБУ с доступом к нему только соответствующих сотрудников НБУ. Ситуация, когда в системе есть еще одна промежуточная сущность, например, серверы и сотрудники НКЦК, увеличивает вероятность взлома или некорректных действий с системой“, – считает член правления ИнАУ.
Результаты опроса ИнАУ
Не только намеренный взлом, но и любой сбой системы может привести к тому, что доступ к части или даже ко всем сайтам в Украине будет заблокирован, говорит Тульев.
“Это касается не только доменов .ua, здесь речь идет об украинском сегменте сети Интернета. Сломав [антифишинговую] систему, вор по своему усмотрению может как устроить глобальную диверсию по работе украинского Интернета вообще, так и точечно заблокировать важные домены с конкретными целями, например, в нужное время на несколько часов парализовать работу определенного госоргана, координацию военных, межбанковский и карточный процессинг и т.д.“, – озвучил риски специалист.
В своих выводах ИнАУ исходит еще и из того утверждения, что созданная система способна отключать доступ к любому домену, автоматически рассылая соответствующие команды провайдерам. Решение о включении сайта в список фишинговых принимается вне суда: из-за этого механизм может использоваться для цензуры, опасается Тульев. Он объяснил, что подобная практика применялась летом прошлого года, когда госорганы начали рассылать провайдерам электронные письма с требованием блокировки фишинговых доменов.
“Всего через несколько месяцев формулировка “фишинговые домены” была изменена на “вредные домены”. И система стала использоваться для широкой внесудебной блокировки разных сайтов – от казино до интернет-магазинов. Решения принимались внесудебно, исключительно по усмотрению неизвестных должностных лиц. Я не вижу никакой причины, почему такая же ситуация не повторится так же уже с новой автоматической системой“, – заявил член правления ИнАУ.
Сергей Денисенко из CyberLab не согласился с аргументами ИнАУ. С одной стороны, действующий регламент функционирования антифишинговой системы предполагает возможность для владельцев попавших в перечень ресурсов подать заявку на исключение из него. Если ресурс внесли в список по ошибке, то жалобу владельцев удовлетворят. С другой стороны, подчеркивает Денисенко, ошибочное включение в базу немошеннических доменов маловероятно.
“CSIRT – это международно сертифицированные службы по компьютерной безопасности, их эксперты проходит очень жесткую проверку для получения этого статуса. В Украине, помимо CSIRT NBU, есть еще только одна такая группа, а всего в каждой стране – лишь несколько“, – пояснил Денисенко.
Кроме того, любая государственная информационная система – включая и CSIRT НБУ, и платформу MISP НКЦК, проходит экспертизу Госпецсвязи на техническую защиту информации, чтобы предотвратить “дыры” в системе и утечку данных. Впрочем, согласно замечанию Максима Тульева из ИнАУ, в предыдущие годы ресурсы госорганов уже неоднократно подвергались хакерским взломам.
Наконец, как уже отмечал Денисенко, антифишинговая система не блокирует доступ к внесенным в базу сайтам, а лишь предупреждает пользователей об угрозе. Термин “система блокировки”, употребляемый ИнАУ в опросе, назвал манипулятивным и представитель НКЦК Прокопенко в комментарии СМИ.
Определенные претензии к распоряжению НЦУ возникли у депутатов. Правда, они находятся не в концептуальной или технической плоскости, а в юридической. 28 апреля в парламент был внесен законопроект о противодействии фишингу. Инициатор проекта Александр Федиенко объяснил UBR.ua, что распоряжение НЦУ, которое уже выполняют провайдеры, не соответствует действующему закону об электронных коммуникациях в части терминологии.
“Провайдеры должны работать в рамках законодательства, а в нем элементарно нет даже такого термина, как фишинг или фишинговый веб-сайт“, – отметил депутат. Если эти определения не закрепить в законе, в дальнейшем их можно будет произвольно менять, что является негативной практикой, считает Федиенко.
Помимо терминологии, законопроект также устанавливает обязанность сформировать правила защиты от фишинга и мероприятия, которые будут должны исполнять провайдеры. Однако, исходя из слов Федиенко, это сугубо формальное требование – правила уже разработаны НЦУ и выполняются провайдерами в рамках соответствующего распоряжения. Закон лишь постфактум введет их в законодательное поле.