Через атаку хакерів на реєстри Мін’юсту українців частіше турбуватимуть шахраї – експерт

19 грудня російські хакери атакували реєстри Міністерства юстиції України. Вони заявляють, що нібито вкрали всі дані звідти, а самі реєстри знищили. Згідно повідомлень офіційних українських джерел – відновлення реєстрів Мін’юсту займе від тижня до місяця, а поки що вони не працюють. Експерт з кібербезпеки Максим Марченко переконаний, що тепер шахраї отримають набагато більше інформації про українців та посилять активність проти населення. 

Експерт з кібербезпеки та засновник стартапу Plug The Leak Максим Марченко застерігає: після чергового витоку даних вороги та шахраї отримають набагато більше інформації про кожного українця, ніж мали до того і це активізує роботу злочинців. Є всі причини стверджувати, що проникнення російських хакерів у реєстри дійсно було та звідти скопіювали дані. Нещодавно хакери виклали семпл з записів ДРАЦС (близько 300 тисяч записів). Вони схожі на автентичні.  

“Треба розуміти, що у поточній моделі реалізації реєстрів та систем з обміну інформацією між ними та “Дією”, так звана “держава в смартфоні” не тільки дає зручності, але й збільшує ризики. Як і багато інших експертів, я вже казав про це раніше, проте, на жаль, дуже часто державні органи і міністерства продовжують будувати “потьомкінські дєрєвні” та заперечують важливість системного підходу до кібербезпеки. Тому ці ризики кожен громадянин має усвідомлювати і за можливості застосовувати превентивні заходи.

Витоки даних відбуваються постійно. Причиною може бути злам через вразливості в існуючому ПЗ, диверсія, фішинг (phishing) тощо. Люди мають бути уважними, особливо зараз, перевіряти усю інформацію. Коли, умовно, вам або вашим батькам зателефонували з “колцентру Нацбанку” чи “ПриватБанку” – бажано навчитися виявляти шахраїв та зрозуміти, що це не співробітники даної установи”, – підкреслює Максим Марченко.  

З точки зору державної безпеки дуже критично, якщо дійсно до ворога потрапили повністю достатньо свіжі бази Мін’юсту. Це дає можливість агрегації та спільного аналізу цих даних. Необхідно на рівні державних органів проблему як мінімум визнати та помилки, які до неї призвели, виправляти.

“Вороги на державному рівні отримали доступ до даних. А це об’єктивний свіжий стан реєстрів, пов’язаний з народженням, смертю, міграцією населення. Це дозволяє оцінити людський потенціал та використовувати отримані дані в операціях ІПСО. Інформація про військові втрати не є публічною, але, наприклад, завдяки загальній інформації про реєстрацію актів смерті росіяни матимуть змогу маніпулювати цими даними у своїх цілях. Безумовно, дані будуть викривлені. Буде підсвічено те, що вигідно ворогам. І все разом буде використовуватися, щоб посіяти у нашому суспільстві ще більше недовіри – до держави, до армії, між людьми”, – стверджує кіберфахівець.

У Даркнеті (від англ. dark net – сегмент інтернету, схований від загального доступу куди потрапити можна за допомогою спеціального програмного забезпечення, наприклад, браузера Tor Browser. – Прим.) вже давно гуляє надто багато персональних даних українців. Це витоки, пов’язані з найбільшим державним банком, реєстром виборців, комерційними організаціями, які обслуговують значну кількість громадян. Там ідентифікаційні коди, номери телефонів, паспортів, місця проживання, адреси електронної пошти тощо. 

“Кожен має розуміти, що при будь-яких взаємодіях з неочікувано знайденим другом з далекого минулого, невідомим електронним магазином, дзвінком зі “служби підтримки банку” завжди потрібно перевіряти інформацію в офлайні та альтернативними каналами. Якщо це друг – можна йому написати в іншому месенджері або зателефонувати. Якщо це банк – то краще сходити до відділення. Якщо онлайн-магазин – переконатися, що він дійсно існує і має точку видачі в офлайні. Дуже багато шахрайств останнім часом пов’язано з допомогою отримання т.зв “білого білету” або інвалідності (для захисту від мобілізації), виїзду за кордон за різними схемами тощо. На жаль, соціальні мережі не блокують такі оголошення (попри те, що про них регулярно повідомляють користувачі), а люди з підвищеним рівнем стресу та низьким рівнем грамотності дуже часто можуть на це вестися. Ба більше, люди і самі радо повідомляють шахраям додаткові дані, коли сподіваються отримати матеріальну допомогу або, наприклад, посвідчення водія без складання іспитів”, – застерігає Максим Марченко.

Треба очікувати хвилю різних шахрайств, де точкою входу буде якась реклама, придбана на вкрадені кошти в Instagram, Facebook, Tiktok, переправлятиме людей у телеграм-канали. А далі, залежно від рівня грамотності та довірливості людей, можливі різні сценарії. Тому Максим Марченко радить “тримати гаманець та документи ближче до серця, не вірити тим, хто обіцяє “перевипустити права”, організувати виїзд за кордон або “відмазати від ТЦК”. Тепер у шахраїв буде набагато більше інформації про громадян, відповідно їхні пропозиції будуть більш адресними, тому треба бути ще обережніше.

На державному рівні це несе додаткові ризики, адже за наявності всієї цієї інформації можливий spear phishing, тобто кампанії цілеспрямованих атак на конкретних держслужбовців, конкретні органи, якими цікавляться наші вороги. І якщо (точніше – коли) умовному високопосадовцю / співробітнику міністерства на особисту електронну адресу або на приватний мобільний телефон прийде електронний лист або повідомлення, що виглядає як офіційний від держоргану чи від банку, або від ДРАЦС, і він його відкриє – державні системи знову можуть бути легко скомпроментовані – через перехід за хибними посиланнями чи відкриття файлів, що містять шкідливе ПЗ, та подальше проникнення до систем, до яких він має доступ завдяки службовим обов’язкам. Площа атаки останнім часом багаторазово збільшилася, а кількість персональних даних, до яких отримали доступ ворожі хакери, зросла в рази. Всі ці дані через деякий час почнуть гуляти на чорному ринку – обмінюватися та продаватися. Тому слід очікувати на сплески онлайн-шахрайства.

Зухвале шахрайство, коли люди тисячами прокинуться у квартирах, які їм вже не належить (і це буде оформлене під час того, як реєстри не працюють), навряд чи можливе. Втім, варто розуміти, що шахрайські схеми завжди складні, включають в себе дії зі вкраденими електронними підписами, а також можуть залучати “чорних нотаріусів”. За таким ланцюгом зловмисники можуть дійсно у декілька кроків створити ризики для права власності на нерухоме та рухоме майно.   

“Як показують нещодавні події, архітектурно система побудована таким чином, що допускає істотні зміни стану без фіксації на офлайн-носіях та належного журналювання доступу, а прорахунки архітектури призводять до того, що, наприклад, через систему BankID можна авторизуватися у “Дії”, і вже через неї – отримати доступ до всього спектру державних послуг, хоча BankID на базі протоколу OAuth 2.0 мав зовсім іншу мету під час створення. Злодії не сплять, вони постійно вдосконалюються. В цілому, я схильний погодитися з тим, що впровадження онлайн-послуг у нас в країні супроводжувалося недостатнім аудитом безпеки. Системи такі як “Дія” принципово мають високі ризики, які в один з моментів можуть бути реалізовані та призвести до катастрофічних наслідків”, – зазначає експерт.

Причиною масштабної кібератаки на державні реєстри 19 грудня міг бути фішинг, підкуп працівників, а вхід стався з акаунту найвищого рівня. 23 грудня про це заявив нардеп Олександр Федієнко. СБУ вважає, що за атакою на реєстри Мін’юсту стоїть хакерське угруповання, яке допомагає російській військовій розвідці здійснювати кібероперації (ГРУ ГШ ЗС РФ). При цьому, як пише The Page, росіянам організувати хакерську атаку могли допомогти “хакери Мін’юсту” – колишні співробітники. Вони вносили в бази даних “потрібні рішення”, мають зв’язки з топ-чиновниками, банкірами та забороненою партією ОПЗЖ. Зараз діяльність угруповання розслідують Нацполіція, Офіс Генпрокурора та СБУ. 

“Тут може бути і компоненти вербування працівника цієї установи, тут може бути багаторівневий механізм підкладання якоїсь там флешки, щоб вона прийшла в людини внутрішній периметр, була включена. Тут може бути фішинг комп’ютерів усіх працівників, які, можливо, працюють із закритим контуром, дистанційно, що в принципі заборонено. Тому це точно не Вася, Петя і хтось ще. Це чітко, круто спланована кібернетична атака, яку можливо було зробити з урахуванням достатньо системної організації”, – підкреслив Олександр Федієнко.

Нагадаємо, ввечері 19 грудня стало відомо, що на Міністерство юстиції та державні реєстри було скоєно потужну атаку. Її масштаби спершу оцінити було складно, втім, одразу стало ясно, що з ладу вийшли десятки державних реєстрів, у тому числі – ЄДР, реєстр ФОПів, записів про шлюб, реєстрацію автівок та прав власності на нерухомість.  Проте вже зранку 20 грудня стали відомими істинні масштаби зовнішньої кібератаки. Росіяни скоїли напад, аби порушити критично важливі інфраструктури держави – а самий лише час на першочергове відновлення реєстрів віцепрем’єрка Ольга Стефанішина оцінила у строк “до двох тижнів”. Втім, реально цей процес може зайняти до місяця. 

Джерело