Nota Bene: як хакери спустошують картки та до чого тут гроші від держави
Чому благі наміри влади застрягають на пекельних рифах воєнних реалій
Кабінет Міністрів спрямував додаткові 5 млрд грн на реалізацію програми «Зимова єПідтримка». Про це 13 січня повідомив прем’єр-міністр Денис Шмигаль. За його словами, гроші виділено з резервного фонду держбюджету. Доречність і необхідність «зимової тисячі» для українців вже неодноразово ставала предметом палких дискусій у медіапросторі. Один з аспектів, який обговорювався, – подальша доля персональних даних, наданих реципієнтами цієї допомоги під час її оформлення. І, як виявилося, висловлювані побоювання можуть мати практичне підґрунтя.
Mind продовжує публікувати матеріали в рубриці Nota Bene. Цей формат передбачає дещо більш емоційне забарвлення, що, втім, компенсується глибиною експертизи автора в досліджуваному питанні. Сьогодні пропонуємо вашій увазі розбір ситуації з несанкціонованим списанням грошей із кредитної картки фізособи, з якою особисто зіткнувся Юрій Никорак – журналіст, аналітик, письменник.
У перших числах січня автор виявив, що його основну кредитну картку спустошив хакер. І, якби не зазирнув у пошту о 6:45 ранку, то до обіду ризикував позбутися і всього кредитного ліміту – 115 000 грн. Зрештою, завдяки оперативній реакції та розголосу в соцмережах більшу частину грошей вдалося повернути. Але цей досвід підштовхнув автора до роздумів про захищеність персональних даних українців і «безпечність» держпрограм «Національний кешбек» і «Зимова єПідтримка». Оскільки випадок доволі показовий – далі наводимо авторську оповідь від першої особи.
Почалася ця історія з наївної спроби зекономити на комуналці завдяки широко розпіареним програмам «Національний кешбек» і «Зимова єПідтримка». Що ж, як мовиться, скупий платить двічі… То ж, аби застерегти від повторення моїх помилок, докладно поясню, що із цими програмами не так і які небезпеки для охочих у них закладено. А отже – як запобігти цьому та який оптимальний алгоритм дій, якщо ви таки потрапите у схожу ситуацію.
22 крадіжки з картки за 19 годин: як зупинити хакера?
4 січня 2025 року, поки я жив післясвяткове життя звичайного українця та врешті спав, хакер спустошував мою основну банківську картку. 17 траншами за 17 годин! І міг би добратися вже й до кредитних (бо суми «експропріацій» зростали кожних кілька годин), якби безсоння не завадило: вдосвіта я насамперед позбавив його можливості провести ще п’ять трансакцій, обнуливши через застосунок інтернет-ліміт власної кредитки. А він, відчувши, що «халява» закінчується, почав збільшувати суми в геометричній прогресії.
Тим часом банк, що жодного разу не перепитав підтвердження переказів, невтомно та наполегливо рекомендував – численними повідомленнями в застосунку, на електронну пошту та SMS «збільшити ліміт інтернет-витрат». Натомість я перекинув залишки власних коштів на іншу картку та власноруч заблокував основну.
Як засвідчить подальше спілкування з ПриватБанком, якби я робив це за їхнім номером 3700, то таки б вгруз ще й у набрані хакером кредити: бот вперто ігнорує прохання з’єднати з живим оператором (за годину, коли я врешті пробився до операторки, хакер здійснив ще чотири спроби «подоїти» мій рахунок).
До чого тут фейсбук? Усі трансакції хакер використав на цифрові закупи у фейсбуці. А «Національний кеш» і «зимова тисяча» тут, як з’ясувалося вже пізніше, з двох причин. Перший, хоча так жодного разу й не перекинув мені на відповідну картку нараховані ним «бонуси», проте в угоді попереджав, що претенденти на нього відмовляються від дотримання відповідним банком банківської ж таємниці! А «Дія», коли нещодавно хакнули держреєстри, мабуть, «злила» ще й номери карток, терміни їх чинності та CVV, які портал із невідомих причин вимагав для оформлення картки «Нацкешбеку».
Ну, а з цими даними тільки дуже лінивий хакер не випотрошить усе до останку, включно з кредитними коштами. До речі, за кілька годин після того, як я остаточно закрив картку та замовив нову, недолугий хакер зробив ще одну відчайдушну спробу вкрасти ще бодай $26.
Чому кіберполіція – взагалі не варіант?
Мене можуть запитати: чому не звернувся до кіберполіції.
По-перше, тому, що, як запевнили мене у ПриватБанку, заяви про хакерські трансакції, які менші за 155 грн, не приймають ані банки, ані поліція. І байдуже, що таких може буде кількадесят, а в сумі вони перевищують великі «щипки»: системи налаштовані так, що приймають заяви окремо… на кожну шахрайську трансакцію.
Тож, якщо більші суми погоджується – певна річ, після відповідних перевірок – повернути сам банк, а масовість цих «скубань» нікого не цікавить, сенс звертатися до кіберполіції? Хіба щоб спершу прочитати довгу інструкцію, відтак заповнити довжелезну й надзвичайно докладну анкету про самого себе (навіть дружина та податкова не знає про мене більше!) з кількома переходами на наступні сторінки, і змарнувати на це дорогоцінний час, протягом якого ваш рахунок тане, мов сніг у Сахарі… А після заповнення форми на вказану вами пошту прийде… лист з інструкцією для підтвердження запиту.
А щоб згодом довідатися результати розгляду звернення, треба заповнити ще три поля, аби в результаті прочитати довжелезне роз’яснення з посиланням на купу відомчих положень, згідно з якими надання відомостей з Єдиного реєстру досудових розслідувань – поза межами компетенції підрозділу, а тому вам необхідно звернутися до підрозділу поліції, у якому відкрито кримінальне провадження.
ПБ-24: оперативність – на «двійку», відповідальність – на «четвірку»
Тому, розв'язавши проблему самотужки, я продовжив набирати номер відповідних служб (Голд-клубу та сервісу 3700) ПриватБанку. Врешті, за годину, якимось дивом пробився таки до консультантки-людини (бо бот Яна сприймає тільки «так» чи ні» і запрограмована повторювати, що з оператором з’єднують лише у виняткових випадках).
Попри вихідний, операторка виявилася поступливішою і після перехресного допиту, чи не передавав я бодай комусь саму картку, CVV (лише «Дії» під час оформлення картки «Нацкешбеку»), чи не сплачував на сумнівних сайтах і чи сам бодай колись та щось замовляв у Meta, таки погодилася створити сім запитів на повернення коштів за трансакціями понад $5. На мої трикратні розпитування, чи були в них схожі випадки через «Дію», жодного разу не спростувала, а лише сумно зітхала й урешті розповіла процедуру повернення.
Перші сповіщення ПриватБанку про перевірку запитів розчарували: взявши до розгляду лише ті сім «щипків»-трансакцій, що перевищували вже згадані 155 грн (і зігнорувавши відповідно 10 перших шахрайських трансакцій поспіль з однієї адреси на одного й того адресата, сім – по $2 та три – по $3), банк наче погоджувався повернути решту коштів, але протягом… 120 днів! Я був настільки розчарований, що навіть не скринив ці повідомлення.
І дарма. Бо після ретельнішої перевірки, через два дні, 6 лютого, банк замінив ці сповіщення дещо м’якішими щодо термінів повернення формулюваннями, докладно пояснивши їх процедуру та що саме сталося насправді. Щоправда, проставивши на них «заднім числом» час у день звернення, суботу, 4 січня.
І, за цією оновленою версією, «Приват» виявив дива оперативного розслідування: уже начебто через 5 годин після реєстрації мого звернення ухвалив остаточне рішення щодо ситуації. Тепер це мало такий вигляд: 04.01.2025, 10.03 – Статус: Прийнято в роботу. Коментар: Вашу заявку на розблокування суми прийнято в роботу…Строки опрацювання – до 11 днів. 04.01.2025, 15.10 – Статус: Ухвалено рішення. Коментар: Цю операцію здійснено в мережі іншого банку, суму списано з картки. Згідно з правилами міжнародних платіжних систем, протягом 15 днів можливе повернення коштів від банку, в якому здійснено операцію. Якщо повернення не буде сформовано, то за вашою заявкою буде сформовано пакет документів і передано в м/н платіжну систему. Зазвичай очікування триває 45–120 днів. Коли отримаємо відповідь, ми надішлемо вам SMS.
Атака на реєстри: офіційні заяви та коментарі фахівців – відчуйте різницю
Пізно ввечері 19 грудня віцепрем’єрка з питань європейської та євроатлантичної інтеграції, міністерка юстиції Ольга Стефанішина повідомила про кібератаку на реєстри Мін’юсту. Тоді ж у «Дії» недоступними виявилися кілька десятків реєстрів Національних інформаційних систем, з-поміж яких, зокрема, бронювання працівників, усі види соцдопомог (зокрема, субсидії, допомога сім'ям із дітьми, з догляду за хворою дитиною, на дитину одиноким матерям або батьку, особам з інвалідністю), зміна місця проживання, кредити ВПО, перереєстрація авто, реєстрація права власності на майно, реєстрація ТОВ, реєстрація, внесення змін, закриття ФОП, шлюб онлайн, а також (увага!) «єВідновлення», «єВідновлення для бізнесу», «єОселя», «Зимова єПідтримка» тощо.
«У нас пошкоджено 25 державних реєстрів», – констатувала Наталя Козаєва, приватна нотаріуска та голова комісії Ради Нотаріальної палати України з питань інформатизації, цифрової трансформації та запобігання кіберзлочинності.
«Уявіть собі кількість українців, охоплених цими реєстрами. Хакери XakNet Team запевняли, що скопіювали та знищили мільярди рядків із них. І річ не стільки в тім, що знищені дані і справді нескладно відновити за бекапами (резервними копіями) станом на 18 грудня. Питання в тім, які саме дані потрапили до рук хакерів – читай російського ГРУ – та в який спосіб вони ними тепер скористаються!» – пояснив безпрецедентність масштабу кібератаки 19 грудня авторові цих рядків вебдевелопер із понад 20-річним досвідом створення та обслуговування сайтів і порталів найскладніших рівнів (зі зрозумілих причин він погодився коментувати виключно за умови збереження анонімності. – Авт.).
В.о. керівника Департаменту кібербезпеки СБУ Володимир Карастельов на спільному брифінгу з керівницею Мін'юсту заявив, що атаку здійснила одна з російських хакерських груп, що пов’язана з головним розвідувальним управлінням генштабу ЗС рф (надалі ГРУ).
Враховуючи, що саме на СБУ покладено завдання провести комплексні заходи з відбиття кібератаки, відновлення працездатності інфраструктури та подолання наслідків, коментарі керівника відповідної структури заслуговують на більшу довіру, ніж заспокійливі коментарі віцепрем’єрки. А той, на спільному брифінгу зі Стефанішиною, всупереч її запевненням, констатував: «Спростовувати те, що витік даних не відбувся, я не можу… Зараз ведеться кібердослідження».
Наскільки можна довіряти заявам посадовців щодо кібератаки та її наслідків?
Судіть самі. Очільниця Мін’юсту на брифінгу 20 грудня запевнила, що «атака не вплинула на ресурси, не пов’язані з міністерством, зокрема на «Дію». Натомість повідомлення самої «Дії» упродовж трьох тижнів після атаки – про поступове, покрокове відновлення роботи тих чи інших сервісів і функцій – щоразу спростовують її заяви.
За словами співзасновника та СЕО Cyber Unit Technologies Єгора Аушева, з доступом до реєстрів зловмисники могли отримати доступ практично до всіх даних про українців – адрес, контактів, переліку власності тощо. «Точної інформації, чи було щось пошкоджено, чи був витік, ми не знаємо. Але міг бути ще один вектор атаки – компрометація даних. Тобто інформацію могли змінити. Це ж просто дані. Їх можна змінювати як завгодно», – вважає Аушев.
«Дію» було негайно від реєстрів відключено, щойно було виявлено кібератаку, вона не постраждала, вдалося швидко все локалізувати», – запевняв своєю чергою прем'єр Шмигаль на «годині запитань до уряду» у ВР… «Негайно» виявилося значним перебільшенням. Як визнала згодом Стефанішина, відтоді як уряд помітив нетипову активність у роботі реєстрів, до моменту, коли їх вимкнули, минуло… «кілька годин»! Як уточнив заступник директора YouControl із правових питань Данило Глоба, ще о 15.00 його структура встигла зробити для себе бекап УСІЄЇ інформації з реєстрів Мін’юсту!
Шмигаль також повідомив, що створено штаб, працюють СБУ та Держспецзв'язку. За його словами, бекапи всіх реєстрів із даними станом на 18 грудня є, тому «відновлення інформації в реєстрах не буде проблемою».
«Ключове питання, наскільки швидко того дня виявили злам і відключили «Дію», – зауважує експерт-девелопер. – Адже сама атака традиційно розпочалася вночі, практично від початку доби 19 грудня; користувачі відчули проблему з доступами – не лише до «Дії», а й до «Резерву+», «Армії+», «Оберегу» тощо – зранку, а ДП «Національні інформаційні системи» (НАІС), котре, власне й здійснює управління реєстрами Мін’юсту, до вечора пояснювало проблеми масштабним збоєм у власній мережі через технічні проблеми. І лише після того, як у російському телеграм-каналі XakNet Team близько 20.00 з’явилася інформація про кібератаку на НАІС, наші посадовці зробили офіційні заяви про злам. А щоб зробити власні бекапи даних – держреєстрів чи тієї ж «Дії» – хакерам, залежно від предмета їх зацікавлення, потрібно від кількох хвилин до кількох годин. Тож яку насправді інформацію вони встигли викрасти та її обсяги оцінити складно: правда – десь посередині між їхніми заявами та заявами наших посадовців…».
Своєю чергою Державна служба спецзв'язку та захисту інформації не підтвердила витік інформації після кібератаки росії. Проте, знову ж таки, лише за словами Стефанішиної та попередньо: «Я перед пресконференцією отримала інформацію від голови Державної служби спеціального зв'язку та захисту інформації, що витік даних наразі не підтверджується».
Більшість банків повертають гроші тільки після рішення суду
Як пояснили відразу кілька досвідчених юристів-правозахисників, із «Приватом» мені ще поталанило. Ба, навіть за даними НБУ, у 2022 році клієнтам відшкодовано лише 5% від загальної суми вкрадених коштів. А протягом 2023-го кількість незаконних дій із платіжними картками зросла на чверть – до 272 тисяч (!) операцій. При цьому сума збитків, яких зазнали як банки, так і клієнти, досягла майже 833 млн грн, і це на 73% більше, ніж 2022 року.
Важливо: за визначенням Верховного Суду, саме банк має доводити, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції. За відсутності належних і допустимих доказів сумніви та припущення мають тлумачитися переважно на користь споживача.
Але для успішного вирішення справи в суді на користь клієнта необхідно, щоб з його боку була відсутня пряма вина за розголошення конфіденційної банківської інформації (наприклад, факт втрати банківської карти чи телефону, передача третім особам карти з паролем тощо).
Чому це проблема державного масштабу?
Бо державна політика має не лише економічні, а й насамперед вагомі соціальні наслідки. У розрізі нинішньої теми йдеться вже про 4,5 млн (станом на початок 2025-го) учасників програми «Національний кешбек» та 21 млн зареєстрованих у «Дії» (з 28–30 млн загалом на контрольованій Україною території) громадян. І всі вони нині – у зоні ризику.
Щодо «зимової тисячі», то я її так і не одержав. Та сама історія і з «Нацкешбеком»: програма четвертий місяць поспіль нараховує віртуальні гроші, проте на відповідну картку, через яку й почалася ця вся історія, не перекидає. 24 грудня держава виплатила українцям 232 млн грн кешбеку за листопад. Кошти одержали 2 млн людей. Тобто в середньому по 116 грн «на ніс».
При цьому близько 700 000 зареєстрованих у програмі українців не отримали своїх виплат. Мінекономіки називає дві причини – начебто через технічні нюанси: неактивовані картки для кешбеку в застосунку «Дія» або ж суми накопичень менші за 2 грн. А я от і картку активував, і щомісяця кількасот гривень мені нарахували (за жовтень – 275 грн, листопад – 519, за грудень – 130). Проте ні копійки з них на картку не перераховано. А якщо я не один такий, то загальна сума не виплачених державою коштів нині становить 48 млн грн.
І про «силу Фейсбуку»
На емоціях одразу після того, що сталось, я коротко розповів усе це на власній ФБ-сторінці, затегавши «почуваюся саркастичним разом з ПриватБанк». І, вочевидь, СММникам найбільшого держбанку таки муляв мій допис у корпоративному акаунті. До того ж у коментарях я пообіцяв докладніше розкрити цю проблему значно ширшій аудиторії – у впливовому бізнес-виданні. Отже, у четвер, на п’ятий день після інциденту, ПриватБанк відписав мені в коментарях: «Вітаємо. Наші спеціалісти вже перевіряють інформацію та розбираються в ситуації, за результатами розгляду якої з вами додатково зв'яжуться. Вибачте за створені незручності».
Зважаючи, що я відповів на це лише смайликом «тримаймося», вже вранці п’ятниці мені зателефонували з головного офісу «Привату». Спершу все ж м’яко спробували мене переконати, що «у результаті проведеного розслідування стороннього втручання не виявлено» та назвали кілька варіантів, як я міг «скомпрометувати» свої дані.
Але, коли я послідовно, крок за кроком, спростував усі їхні припущення (на кожну версію в мене є скрин-спростування, у тому числі підтвердження Meta («батьківської» структури ФБ), що за 16 років існування мого ФБ-акаунта я жодного разу не замовляв їхніх послуг чи продуктів), менеджер банку повідомив, що днем раніше вже отримали згоду Meta повернути кошти за всі несанкціоновані мною сім трансакцій, що перевищують приватівську «франшизу» у 155 грн. А тому подали запити на повернення решти, 10 дрібніших трансакцій. Це, за прогнозом банку, мало б зайняти 20–30 днів, і відбудеться «автоматом» – як зворотні трансакції Фейсбуку… Проте соцмережа виявилася оперативнішою: ще до опівночі з п’ятниці на суботу повернула кошти за п’ять із семи найбільших за сумою шахрайських трансакцій, що склало рівно половину вкраденого.
Як протидіяти ризикам?
Наразі порада одна: якщо подавалися до «Дії» на «зимову тисячу» – профілактично перевипустіть свою основну картку: це безплатно, дистанційно та швидко: цифрові картки – миттєво, пластикові – від 1 до 3 днів, навіть у вихідні.
Автори матеріалів OpenMind, як правило, зовнішні експерти та дописувачі, що готують матеріал на замовлення редакції. Але їхня точка зору може не збігатися з точкою зору редакції Mind.
Водночас редакція несе відповідальність за достовірність та відповідність викладеної думки реальності, зокрема, здійснює факт-чекінг наведених тверджень та первинну перевірку автора.
Mind також ретельно вибирає теми та колонки, що можуть бути опубліковані в розділі OpenMind, та опрацьовує їх згідно зі стандартами редакції.
