РНБО створила систему боротьби з кібершахраями, яку вже назвали троянським конем. Відповідаємо на головні запитання про Protective DNS
Наприкінці січня 2023 року в Україні створили антифішингову систему, що блокує в мережі сторінки, повʼязані з кібершахрайством. Українські інтернет-провайдери мали б установити її до 2 березня. Проте в Інтернет Асоціації України висловили побоювання, що інформація про користувача, який спробує зайти на заблоковані ресурси, автоматично потрапить до державних органів, а саму систему можуть використати для блокування ресурсів, не повʼязаних із фішингом. Заборона розповідає, що відомо про нову антифішингову систему, і розглядає суперечливі питання навколо неї.
Що таке фішинг та навіщо Україні з ним боротися?
Фішинг — це вид шахрайства, коли зловмисники через дублювання сторінок платіжних систем, банків, онлайн-магазинів тощо змушують інтернет-користувачів розкрити персональну та платіжну інформацію. Адже чимало людей у мережі не знають, що такого типу сервіси не розсилають листів з проханнями повідомити свої облікові дані або пароль.
Для захисту від фішингу виробники основних інтернет-браузерів домовилися однаково інформувати користувачів про те, що вони відкрили підозрілий сайт, який може належати шахраям. Нові версії браузерів уже володіють такою можливістю, що відповідно іменується «антифішинг».
15 лютого 2023 року Національний координаційний центр кібербезпеки (НКЦК) при Раді національної безпеки і оборони України спільно з Національним банком анонсували запуск автоматичної централізованої системи Protective DNS, що має протидіяти кібершахрайству у фінансовому секторі. Ще наприкінці 2022 року її успішно протестували. На сьогодні до системи вже приєдналися найбільші українські телеком- та інтернет-провайдери, зокрема Kyivstar, lifecell, Vodafone, «Укртелеком», «Датагруп» і «Воля».
Керівник управління забезпечення діяльності НКЦК Сергій Прокопенко в розмові із Забороною наголошує: за останній рік у кіберпросторі значно збільшилася кількість випадків шахрайства. Лише у 2022-му НБУ виявив близько 4500 фішингових ресурсів. Тож НКЦК та НБУ створили систему захисту, що фільтрує фішингові сайти в мережах провайдерів і не дає таким кіберзлочинцям ошукати звичайних українців.
За словами Прокопенка, з початком повномасштабної військової агресії фінансовий фішинг став одним із напрямів гібридної війни Росії проти України. Причому більшість фішингових компаній координують саме з РФ, через що кошти українців ідуть на підтримку країни-терориста.
«У рамках гібридної війни спецслужби РФ створюють фішингові сайти з метою збору персональних даних громадян України, військовослужбовців та членів їхніх сімей під виглядом заявок на допомогу. Це підтверджує й той факт, що багато фішингових сайтів рясніють орфографічними помилками, — пояснює Прокопенко. — Зловмисники поширювали в телеграм-каналах і соціальних мережах повідомлення із закликами отримати допомогу від держави чи міжнародних донорів, використовуючи посилання на фейкові сторінки банків. [І таким чином вони] отримували дані карток українців та знімали з них кошти».
Як система Protective DNS працює на практиці?
DNS — це буквально система доменних імен (Domain Name System), що перенаправляє введені в пошуковий рядок інтернет-браузера дані на закріплену за тим чи іншим сайтом ІР-адресу. Натомість Protective DNS (PDNS) допомагає в реальному часі відстежувати запити користувача для подальшої фільтрації трафіку.
«Коли користувач переходить на якийсь сайт, браузер запитує в DNS-сервера свого провайдера його ІР-адресу. Якщо в провайдера реалізована система PDNS, цей запит порівнюється з базою шкідливих сайтів (доменів) та IP-адрес», — пояснює в розмові з Забороною співзасновник ГО «Лабораторія цифрової безпеки» Максим Луночкін.
На основі цього PDNS вирішує, пропустити користувача на цей сайт або ж переадресувати, а шкідливий сайт заблокувати. Реєстр таких ресурсів може збиратися автоматично на основі безпекових продуктів, що виявляють шкідливу активність. Також PDNS може синхронізуватися з базами інших юрисдикцій або наповнюватися вручну. Окрім того, система здатна працювати для запобігання масовим вірусним атакам, оскільки на ранній стадії виявляє ІР-адреси чи домени зі шкідливим програмним забезпеченням (ШПЗ). Однак це потребує великого ресурсу спеціалістів, нормативної бази й технологій.
«Інформація [про те], хто на які сайти заходив, може зберігатися в системах, адже їм необхідна ретроспектива — що відбувалося раніше. Припущення, як можуть використати ці дані, обмежує лише наша фантазія», — говорить Луночкін.
Чому поява антифішингової системи в Україні викликала багато запитань?
В Інтернет Асоціації України (ІнАУ) антифішингову систему назвали троянським конем. Як вважають в асоціації, таким чином держава збиратиме дані про користувачів, які намагалися зайти на фішингові сайти, а також зможе блокувати не лише проєкти шахраїв, а й інші інтернет-ресурси.
Крім цього, в ІнАУ наголошують: оскільки система автоматична та охоплює всіх українських провайдерів, вона становить загрозу для національної безпеки, якщо ворог отримає доступ до цього механізму. Тож асоціація закликала державні служби скасувати розпорядження щодо антифішингового проєкту.
Натомість Сергій Прокопенко переконує, що система Protective DNS не збирає персональних даних, а лише перенаправляє користувача на сторінку з рекомендаціями щодо кібергігієни та попередженням, що попереднє посилання вело на фішинговий сайт.
«Також розробляється підтвердження за фактом внесення фішингового сайту до системи — зі скріншотом та IP-адресою в момент блокування. Усе це буде доступне для провайдерів, нічого прихованого немає», — пояснює він.
Прокопенко також зауважує, що система має блокувати тільки ті сайти, які викрадають облікові дані або інформацію про банківські картки. За його словами, сервери провайдерів регулярно отримують перелік шкідливих доменів та фільтрують їх у своїх мережах.
«Система не становить загрози національній безпеці, адже НБУ відповідає тільки за захист інтересів громадян у фінансовому секторі. Тому вона аналізує лише сайти, які мають ознаки фінансового фішингу. Доступ до кожного домену, який система визначила як фішинговий, мають усі провайдери, що приєдналися до системи», — додає він.
Чи дійсно Україні потрібна антифішингова система?
Луночкін каже, що поки що не бачив успішних випадків, коли за допомогою блокування доступу до сайтів удавалося масово зупиняти кібератаки, а надто фішингові. Адже зловмисники генерують такі сторінки здебільшого автоматично на короткий проміжок часу, тобто після блокування фішингової сторінки нова з’явиться за день, або кілька годин, а то й 30 хвилин.
Максима Луночкіна також насторожує процес блокування сервісів, що потрапляють до стоп-листа заблокованих доменів: «Як це відбувається, я не знаю. Може, автоматично, а може, вручну. Але модерації явно бракує, бо тепер заблокували всю Google-рекламу».
Крім того, PDNS не може заблокувати канал чи групу, що поширює ШПЗ в месенджерах, оскільки в такому разі потрібно виявляти учасників і власників каналу та/або налагоджувати співпрацю з власниками месенджера, які б надавали необхідну інформацію та блокували канали шахраїв.
«Якщо зловмисники отримали доступ до якогось регіонального сайту і створили на ньому фішингові сторінки без відома власників, під блокування потрапить увесь сайт. Чи можна обійти таку систему фільтрації власникам сайтів і користувачам? Звісно, і дуже легко. Наприклад, за допомогою VPN-сервісу або ручної підміни DNS-серверів на пристрої», — пояснює експерт.
Луночкін зауважує, що чимало фішингових атак, спрямованих на громадський сектор, антивіруси, фаєрволи чи інші безпекові системи не виявляли. Особисті дані користувачів насамперед рятували людські знання розпізнавати підозрілу активність.