Содержание:
- Что это была за атака
- Что говорят о кибератаках сами банки
- Как защитить себя
Украинский банковский сектор снова под прицелом хакеров. Только за последние недели о масштабных цифровых атаках заявили сразу три крупных финансовых учреждения: системно важный А-Банк, государственный Ощадбанк и mono. Если в случае с Ощадбанком речь шла о классической DDoS-атаке, которая лишь временно парализовала работу сервисов, то инцидент с А-Банком оказался куда серьезнее. Как отмечали в самом банке, клиенты впервые столкнулись с "новой, ранее неизвестной" схемой, которая привела к реальному списанию средств с карт. В тот же день кибератаке подвергся и mono, о чем сообщил сооснователь сервиса Олег Гороховский.
Хотя в А-Банке уверяют, что все похищенные деньги уже возвращены на счета, детали самого механизма взлома остаются неизвестными, и банк отказался от комментариев. Однако LIGA.net удалось пообщаться со специалистами по кибербезопасности, которые раскрыли вероятный сценарий атаки и объяснили, почему традиционные методы защиты на этот раз не сработали.
Что это была за атака? В чем ее особенность и как защитить свои карты – читайте в материале Анастасии Ищенко.
Что это была за атака
Атака на карты клиентов А-Банка не была классическим фишингом или взломом мобильного приложения. Речь идет о более сложной схеме, связанной с подбором реквизитов банковских карт и использованием уязвимостей в платежной инфраструктуре.
Ситуация имеет признаки так называемой BIN-атаки – когда злоумышленники автоматически подбирают реквизиты платежных карт. Об этом говорит руководитель EMA Academy Раиса Федоровская, которая исследует кибермошенничество.
"В середине февраля была зафиксирована массовая авторизационная активность, когда в процессинговые центры нескольких украинских банков поступало большое количество трансакций со сгенерированными номерами карт", – объясняет Федоровская. Такие атаки обычно сопровождаются тестовыми операциями на небольшие суммы, после чего следуют попытки списания средств через торговые точки в разных странах.
В подобных схемах специальные скрипты или боты перебирают комбинации номеров карт, сроков действия и других данных. Сначала проводятся небольшие тестовые трансакции – например, подписки на онлайн-сервисы типа Netflix. Если операция проходит, система понимает, что реквизиты карты действительны, и впоследствии пытается списать более крупные суммы.
"Новизна этого инцидента заключается в том, что классическая BIN-атака была дополнена токенизацией платежных карт с подобранными номерами", – отмечает Федоровская.
То есть злоумышленники могли создавать цифровые "токены" карт – специальные коды, которые используются вместо реальных реквизитов при оплате.
Руководитель отдела кибербезопасности крупного украинского банка, пожелавший остаться неназванным, видит в этом инциденте отголоски масштабных взломов банковских IT-систем в Бразилии, произошедших осенью 2025 года. Тогда хакеры использовали уязвимости в инфраструктуре платежных провайдеров. Похоже, что аналогичный инструментарий использовался и в Украине, адаптированный под местные банковские шлюзы.
В то же время наш собеседник предполагает, что злоумышленники могли использовать еще один механизм – так называемые MOTO-трансакции (Mail Order/Telephone Order). Это тип платежей, исторически использовавшийся для заказов по телефону или почте и не всегда требующий подтверждения через 3D-Secure, SMS или push-уведомления. Если такие операции правильно замаскировать, они могут выглядеть для системы как легитимные.
Для банков подобные атаки представляют проблему не столько из-за взлома их инфраструктуры, сколько из-за массовых попыток несанкционированных платежей. Это увеличивает количество мошеннических операций в интернет-платежах, создает нагрузку на системы противодействия мошенничеству и приводит к большому количеству оспариваний трансакций клиентами. Именно поэтому ключевой защитой в таких ситуациях становится быстрое обнаружение подозрительной активности и блокирование трансакционных потоков.
Читайте такжеБанковский "переезд" на "еврофундамент": Украина строит общий финансовый дом с ЕС
Что говорят о кибератаках сами банки
К 2029 году глобальный ущерб от киберпреступности может превысить $15 трлн – по оценкам международных исследований. В пресс-службе Mastercard в ответ на запрос LIGA.net говорят, что для противодействия таким угрозам инвестируют в кибербезопасность. С 2018 года на эти технологии было направлено более $10,7 млрд. Система анализирует более 100 млрд трансакций ежегодно, используя машинное обучение и искусственный интеллект для выявления подозрительных операций в режиме реального времени.
"На данный момент нет признаков того, что этот инцидент повлиял на системы Visa, включая VisaNet, и обработка трансакций осуществляется в штатном режиме", – сообщили в Visa в ответ на запрос.
Сами банки подчеркивают: попытки кибератак – обычное дело для финансовой системы. С началом полномасштабной войны их количество возросло.
Например, в государственном ПриватБанке говорят, что с начала вторжения банк пережил более 1,5 млн кибератак. Учитывая масштабы системы, он является одной из главных мишеней для киберпреступников. Каждую минуту банк обрабатывает около 60 000 трансакций.
Руководитель службы кибербезопасности украинского банка, общавшийся на условиях анонимности, утверждает, что ПриватБанк также пострадал от той же кибератаки, что и А-Банк. Причем, по его словам, масштабы списания были больше. Однако в ПриватБанке этот инцидент не подтверждают. Других подтверждений также найти не удалось.
Для защиты инфраструктуры банк использует принцип "нулевого доверия". Сотрудники получают доступ только к тем системам, которые необходимы для выполнения их работы, а ІТ-инфраструктура регулярно проверяется независимыми международными экспертами.
В государственном Ощадбанке это также подтверждают: попытки несанкционированного вмешательства происходят регулярно. Их выявление обеспечивается круглосуточным мониторингом кибербезопасности и системами раннего обнаружения аномальной активности, позволяющими быстро локализовать угрозы.
За последние годы характер атак заметно изменился. Если раньше это были преимущественно массовые DDoS-атаки или вирусные кампании, то теперь злоумышленники чаще используют комбинированные сценарии, сочетая технические средства с социальной инженерией (то есть, используя особенности человеческого поведения).
Главный "канал" проникновения в банковские системы для злоумышленников – это техника клиентов. "Именно их устройства – компьютер или смартфон – часто становятся слабым звеном", – отмечает начальник управления информационной безопасности ОТП Банка Дмитрий Янишевский.
Мошенники активно используют фишинг, телефонные звонки, фейковые аккаунты в мессенджерах и даже инструменты искусственного интеллекта, чтобы имитировать сообщения от банков или государственных учреждений.
Читайте такжеМаска с искусственным интеллектом, голос "сына" и QR-ловушки: как защитить себя от карточного мошенничества
Как защитить себя
При подозрительной трансакции главное правило – действовать быстро.
Первый шаг – немедленно заблокировать карту через мобильное приложение или контакт-центр банка. После этого подать заявление о спорной операции, запустив так называемую процедуру chargeback (возвратного платежа).
В Ощадбанке объясняют, что такое заявление рассматривается в соответствии с правилами международных платежных систем и это может занять от 10 до 90 дней – в зависимости от типа трансакции. Параллельно клиентам советуют обратиться в киберполицию с заявлением о мошенничестве.
Шансы вернуть деньги значительно выше, если владелец карты не передавал свои данные третьим лицам и не подтверждал операцию через SMS или 3D-Secure. Однако каждый случай рассматривается индивидуально.
"Банк всегда проводит тщательное расследование обстоятельств каждого инцидента", – поясняет Дмитрий Янишевский, начальник управления информационной безопасности ОТП Банка.
В ходе проверки анализируется цифровой след операций – это позволяет воссоздать весь сценарий трансакции. Если установлено, что клиент нарушил правила безопасности (например, передал кому-либо CVV-код или одноразовый пароль), банк может отказать в возмещении. Если же ответственность лежит на банке или платежной инфраструктуре, средства с высокой вероятностью будут возвращены.
Риски подобных атак можно значительно снизить благодаря простым мерам безопасности. Об этом говорит руководитель EMA Academy Раиса Федоровская и напоминает основные рекомендации:
-
устанавливать лимиты на интернет-операции и повышать их только на время совершения покупки;
-
включить мгновенные уведомления обо всех трансакциях;
-
немедленно заблокировать карту, если появляется неизвестная операция;
-
пользоваться услугами банков, которые имеют эффективные системы антифрод-мониторинга.
В некоторых случаях банки сначала компенсируют средства клиентам, а затем самостоятельно проводят процедуры оспаривания трансакций с продавцами и платежными системами. Это позволяет быстрее восстановить доступ клиентов к деньгам, пока идет расследование.
