Редакція українського Forbes на своєму сайті повідомила, що на початку січня частина репортерів і редакторів отримувала сотні SMS про спроби реєстрації в онлайн-магазинах, сервісах мікрокредитів та інших сервісах.
Як це відбувалося?
4 січня пʼятеро співробітників Forbes почали масово отримувати SMS та Viber-повідомлення від Adidas, Intertop, Kasta, Yakaboo, Allo, Dnipro-M, сервісу доставки Zakaz.ua тощо. Це були коди авторизації для зміни пароля на сайті. Також їм надходили дзвінки із проханням продовжити оформлення мікрокредиту. Кількість і періодичність повідомлень і дзвінків відрізнялися, але їх отримували абоненти і «Київстар», і «Vodafone Україна», і lifecell. Крім того, зловмисники намагалися зламати акаунти онлайн-банкінгу «Приватбанку» у шести працівників редакції.
Спам-атака тривала до 6 січня включно. Пізніше зʼясувалося, що з 30 грудня атакували ще чотирьох співробітників.
Яку шкоду завдає така атака
Навала SMS-спаму, як пишуть у «Forbes Україна», може вибити людину з робочого режиму: в потоці сповіщень можна пропустити важливе повідомлення чи спробу зламати акаунти. І смартфон користувача, і сайт компанії, на якій його «реєструють», перенавантажуються. Також за допомогою фішингових покликань у повідомленнях зловмисники можуть намагатися отримати дані.
Для захисту компанії можуть лише загалом обмежувати кількість SMS-відправлень на один номер та контролювати IP-адреси, з яких надходять запити. Мобільний оператор у такій ситуації теж мало що може вдіяти. Тож користувачам радять блокувати номери, з яких телефонують для завершення реєстрації, та зв’язатися з сайтами, щоб ті прибрали номери телефонів зі своєї бази. Також можна заборонити відправникам не зі списку контактів надсилати SMS-повідомлення й телефонувати. Але найнадійніший спосіб, за словами експертів, — просто змінити номер.
Хто стоїть за атакою
Виявилося, що наприкінці 2023 року на одному даркнет-форумі розмістили замовлення на злам акаунтів співробітників українського Forbes. Також на хакерському форумі виклали особисту інформацію одного зі співробітників «Forbes Україна»: адресу реєстрації, номери банківських карток та картку в Synevo. Співрозмовник Forbes із відділу кібербезпеки великого банку припустив, що ця інформація походить зі злитих банківських баз.
Експерти пояснили редакції, що SMS-бомбінг частково могли автоматизувати через спеціальне ПЗ для реєстрації на сайтах — таке часто використовують для збору інформації в маркетингу та рекламі, аналізу конкурентів тощо. Інколи хакери можуть робити це через вразливості в API фірм-підрядників, яких компанії використовують для SMS-розсилок.
Водночас деякі ритейлери повідомили Forbes, що кілька номерів журналістів реєстрували вручну, що є додатковим свідченням цілеспрямованої атаки. Замовники шукають виконавців для цього на так званих біржах завдань. Реєстрація номерів на українських ресурсах вказує на те, що й виконавець, імовірно, місцевий.
На момент публікації новини редакції «Forbes Україна» не вдалося з’ясувати, хто стоїть за атакою. Проте два ритейлери надали IP-адреси, з яких реєстрували телефони. Зловмисники використовували сервери компаній Wnet, EGIHosting та Віталія Іванова — директора та співзасновника компанії XServer (ТОВ «Харків-Сервер»), яка продає і здає в оренду сервери. 2016 року, згідно з судовим рішенням, її сервери використовували кіберзлочинці. Водночас експерти зауважують: хакери можуть зламувати чи купувати скомпрометовані сервери, а реальний власник про це й не здогадуватиметься.
Акаунти реєструвалися з IP-адрес, орендованих кіпрською компанією Ithostline LTD та зареєстрованою в Лондоні компанією Proline IT LTD, директором яких є громадянин РФ Зуфар Дусметов.
Forbes звернувся до Кіберполіції із заявою.
Нагадаємо, у листопаді редакція заявляла, що псевдорекрутерка намагалася переманити співробітників українського Forbes до «нового медіа» від імені видавців MC.Today.