Український сегмент інтернету можуть заблокувати: у чому полягає загроза “глобальної диверсії”

Після запуску державної системи протидії фішингу втрати українців від цього виду електронного шахрайства знизилися на 40-50%, стверджує влада. Однак профільна Інтернет асоціація України (ІнАУ) вважає, що система фільтрації фішингових сайтів потенційно здатна завдати Україні більше шкоди, ніж користі: у гіршому випадку вразливість антифішингової системи дасть змогу “на суттєвий час заблокувати доступ до інтернету в зоні .ua”, заявили там.

UBR.ua розбирався, чи є реальні причини для побоювань ІнАУ, і наводить аргументи сторін та експертів.

Попереджений – озброєний. Як працює фільтрація фішингових сайтів в Україні

Після початку повномасштабної війни в Україні сильно зросла кількість випадків фішингу – виду онлайн-шахрайства, що полягає у виманюванні у жертв банківських або інших конфіденційних даних з метою викрадення грошей. Для цього зловмисники розсилають жертвам посилання на копії сайтів банків або інтернет-магазинів, де за різними приводами пропонується ввести персональні дані, необхідні для отримання доступу до онлайн-рахунку.

Згідно з інформацією Національного банку України (НБУ), збитки від фішингу минулого року перевищили 481 млн грн, що на 46% більше, ніж 2021 року. Шахраї підлаштовувалися під нові реалії, створюючи ресурси, що копіюють інтерфейс благодійних фондів або сайтів щодо оформлення соцвиплат, у тому числі “єПідтримки”.

На проблему регулятор галузі, Національний центр оперативно-технічного управління мережами електронних комунікацій (НЦУ), відреагував у січні 2023 року розпорядженням про запровадження системи фільтрації фішингових доменів. Його норми почали застосовувати з 2 березня.

По суті система спрямована на попередження інтернет-користувача про перехід на шахрайський сайт. У момент відкриття ресурсу, внесеного до бази даних системи, підключені до неї інтернет-провайдери перенаправляють абонента на лендингову сторінку, яка повідомляє про загрозу. При цьому сам сайт користувача не заблокований.

Ніхто не забороняє проігнорувати попередження і перейти на фішинговий ресурс“, – наголосив UBR.ua директор Лабораторії комп’ютерної криміналістики CyberLab Сергій Денисенко.

примеры доменов фишинговых сайтов

Домени фішингових сайтів з доповнення до розпорядження НЦУ

Вже через місяць роботи такої системи попереджувальної роботи обсяг фішингового шахрайства у грошовому еквіваленті знизився на 40-50%, а кількість звернень від ошуканих громадян – на 30-40%, звітували у Національному координаційному центрі кібербезпеки (НКЦК) при РНБО. На той час до системи було підключено 320 українських інтернет-провайдерів, включаючи найбільших – Київстар, Lifecell, Vodafone, Укртелеком, Датагруп і Воля. 

До остаточної перемоги над фішингом в Україні ще далеко, про що побічно можуть свідчити регулярні публікації на сайті Кіберполіції про затримання злочинних угруповань. Зазначимо, що частина злочинців орієнтована на шахрайську діяльність в Європі. Однак, на думку Сергія Денисенка, антифішингова система справді може бути ефективною.

Враховуючи рівень кіберграмотності наших користувачів, можливо, це вірне рішення – виводити на екран червоний напис “не переходь на цей сайт“, – каже експерт.

У свою чергу, в Інтернет асоціації України сумніваються в ефективності програми через особливості її технічного виконання. Ці ж особливості, вважає об’єднання провайдерів, несуть у собі навіть більшу загрозу для безпеки країни у воєнний час, ніж фішинг.

Ризик цензури і відключення інтернету в Україні: суть претензій

Як пояснює Сергій Денисенко, технічно система працює так: після виявлення фішингового сайту командою НБУ з реагування на кіберінциденти (CSIRT НБУ) його адреса передається до загального переліку таких ресурсів на платформі зі збору та виявлення інформації про кіберзагрози Нацбанку (MISP НБУ).

Далі перелік фішингових доменів в автоматичному режимі реплікується з MISP НБУ на аналогічну платформу Національного координаційного центру кібербезпеки (НКЦК) при РНБО. Саме до останньої платформи підключено інтернет-провайдерів.

Одна з ключових претензій ІнАУ до прийнятої моделі – наявність платформи MISP НКЦК як додаткового етапу у ланцюжку передачі інформації про фішингові домени між НБУ і провайдерами. З одного боку, це знижує ефективність протидії кіберзлочинцям, вважає член правління асоціації Максим Тульєв.

Фішингові сайти живуть у мережі лічені години. На їх ідентифікацію, аналіз і передачу на блокування йде більше часу, саме тому фішинг і ефективний. Час розгляду в НБУ, а також час проходження “транзитної сутності” НКЦК буде більшим, ніж час ефективного існування фішингового домену“, – пояснив Тульєв.

Зазначимо, що за розпорядженням НЦУ, на оновлення даних інтернет-провайдерів про нові фішингові ресурси має йти до 15 хвилин з часу внесення змін до переліку таких доменів.

28 квітня ІнАУ опублікувала результати опитування своїх членів. 72% компаній, які взяли в ньому участь, заявили, що використання “транзитного” сервера НКЦК РНБО “створює додаткові істотні ризики”. В асоціації, членами якої є 230 суб’єктів господарювання, зазначили, що не можуть розголошувати відомості про учасників опитування. Але додали, що переважно у ньому взяли участь дрібні та середні постачальники послуг.

У НКЦК, писало видання “НВ. Бізнес” з посиланням на коментар керівника управління забезпечення діяльності НКЦК Сергія Прокопенка, розкритикували опитування за маніпуляції та формулювання: зокрема, в системі немає додаткового транзитного сервера, “про що відомо будь-якому технічному спеціалісту”.

Максим Тульєв пояснив UBR.ua, що під визначенням “транзитний сервер” в ІнАУ мали на увазі “ще одну сутність – обладнання НЦУ, НКЦК, РНБО і ще когось, крім НБУ, який збирає інформацію про фішингові домени”.

У наших рекомендаціях було створити всю систему на базі обладнання НБУ з доступом до нього лише відповідних співробітників НБУ. Ситуація, коли в системі є ще одна проміжна сутність, наприклад, сервери і співробітники НКЦК, збільшує ймовірність злому або некоректних дій з системою”, – вважає член правління ІнАУ.

опрос ИнАУ

Результати опитування ІнАУ

Не тільки навмисний злом, а й будь-який збій системи може призвести до того, що доступ до частини або навіть до всіх сайтів в Україні буде заблоковано, каже Тульєв.

Це стосується не лише доменів .ua, тут йдеться про український сегмент мережі Інтернет. Зламавши [антифішингову] систему, злодій на свій розсуд може як влаштувати глобальну диверсію щодо роботи українського інтернету взагалі, так і точково заблокувати важливі домени з конкретними цілями, наприклад, у потрібний час на кілька годин паралізувати роботу певного держоргану, координацію військових, міжбанківський і картковий процесинг тощо“, – озвучив ризики спеціаліст.

У своїх висновках ІнАУ виходить ще з того твердження, що створена система здатна відключати доступ до будь-якого домену, автоматично розсилаючи відповідні команди провайдерам. Рішення про включення сайту до списку фішингових приймається поза судом: через це механізм може використовуватися для цензури, побоюється Тульєв. Він пояснив, що подібна практика застосовувалася влітку минулого року, коли держоргани почали надсилати провайдерам електронні листи з вимогою блокування фішингових доменів.

Усього через кілька місяців формулювання “фішингові домени” було змінено на “шкідливі домени”. І система почала використовуватися для широкого позасудового блокування різних сайтів – від казино до інтернет-магазинів. Рішення приймалися поза судом, виключно на розсуд невідомих посадових осіб. Я не бачу жодної причини, чому така ж ситуація не повториться так само вже з новою автоматичною системою“, – заявив член правління ІнАУ.

Сергій Денисенко з CyberLab не погодився з аргументами ІнАУ. З одного боку, діючий регламент функціонування антифішингової системи передбачає можливість для власників ресурсів, що потрапили до переліку, подати заявку на виключення з нього. Якщо ресурс внесли до списку помилково, то скаргу власників задовольнять. З іншого боку, наголошує Денисенко, помилкове включення до бази шахрайських доменів малоймовірне.

CSIRT – це міжнародно сертифіковані служби комп’ютерної безпеки, їх експерти проходять дуже жорстку перевірку для отримання цього статусу. В Україні, крім CSIRT NBU, є ще одна така група, а всього в кожній країні – лише кілька“, – пояснив Денисенко.

Окрім того, будь-яка державна інформаційна система – включаючи і CSIRT НБУ, і платформу MISP НКЦК, проходить експертизу Держпецзв’язку на технічний захист інформації, щоб уникнути прогалин у системі та витоку даних. Утім, згідно із зауваженням Максима Тульєва з ІнАУ, у попередні роки ресурси держорганів уже неодноразово зазнавали хакерських злаомів.

Зрештою, як уже зазначав Денисенко, антифішингова система не блокує доступ до внесених до бази сайтів, а лише попереджує користувачів про загрозу. Термін “система блокування”, який вживає ІнАУ в опитуванні, назвав маніпулятивним і представник НКЦК Прокопенка у коментарі ЗМІ.

Антифішингову систему хочуть узаконити

Певні претензії щодо розпорядження НЦУ виникли у депутатів. Щоправда, вони є не в концептуальній чи технічній площині, а в юридичній. 28 квітня до парламенту було внесено законопроект про протидію фішингу. Ініціатор проекту Олександр Федієнко пояснив UBR.ua, що розпорядження НЦУ, яке вже виконують провайдери, не відповідає чинному закону про електронні комунікації щодо термінології.

Провайдери повинні працювати в рамках законодавства, а в ньому просто немає такого терміну, як фішинг або фішинговий веб-сайт“, – зазначив депутат. Якщо ці визначення не закріпити в законі, надалі їх можна буде довільно змінювати, що є негативною практикою, вважає Федієнко.

Окрім термінології, законопроект також встановлює обов’язок сформувати правила захисту від фішингу і заходи, які повинні виконувати провайдери. Однак, виходячи зі слів Федієнка, це суто формальна вимога – правила вже розроблені НЦУ і  виконуються провайдерами у рамках відповідного розпорядження. Закон лише постфактум запровадить їх у законодавче поле.