Банки и маркетплейсы столкнулись с трехкратным ростом частоты sms-атак

Количество sms-атак, так называемого sms-бомбинга, выросло в 3 раза с января 2022 г. по март 2023 г., подсчитали в компании – разработчике решений для защиты от кибератак Servicepipe.

Sms-бомбинг – тип атаки, при которой злоумышленники провоцируют массовую рассылку sms-сообщений якобы от лица компаний клиентам и случайным людям, объяснил владелец продукта Servicepipe DosGate Даниил Бобрышев. Чаще всего жертвами злоумышленников в этом случае становятся банки и маркетплейсы.

Сейчас Servicepipe видит в среднем 500 000 ботовых запросов на отправку sms в сутки, год назад, как правило, у аналогичных компаний цифра не превышала 150 000. Кроме того, изменилась география – раньше 90% источников запросов были зарубежными, а 10% приходили из РФ, а сейчас доля российских выросла до 30%.

Тенденцию к росту таких атак подтвердили владелец продукта Qrator.AntiBot Георгий Тарасов и руководитель направления «Расследование инцидентов информационной безопасности» FBK CyberSecurity Игорь Собецкий. Но, по оценке Собецкого, рост был менее драматичным – всего лишь в 1,5 раза.

Для sms-бомбинга злоумышленники используют вредоносных ботов, которые атакуют сайты и мобильные приложения компаний. Используя номера телефонов клиентов из утекших баз данных, боты генерируют на атакуемом ресурсе множество запросов на регистрацию, авторизацию или восстановление пароля по номеру. При отправке соответствующего запроса на указанный номер уходит sms с кодом подтверждения.

Для коротких атак часто применяются специализированные Telegram-боты, объяснил эксперт центра аналитики внешних цифровых рисков Solar AURA компании «РТК-Солар» Александр Вураско. Более длительные атаки, по его словам, совершаются с помощью специальных сервисов, которые используют каналы IP-телефонии и располагают значительными пулами номеров.

Чаще всего атаки такого типа направлены против финансовых организаций и онлайн-ритейлеров, знает Бобрышев. Но подобные риски существуют для любого онлайн-ресурса, где есть регистрация и OTP (one-time password, одноразовый пароль, действительный только для одного сеанса аутентификации. – «Ведомости») через sms, добавил Тарасов. В их числе страховые компании, медицинские учреждения, порталы государственных и муниципальных услуг и т. д., перечислил Собецкий.

По словам Бобрышева, в среднем за одну атаку хакеры могут направить десятки тысяч sms. Причем атаки могут повторяться несколько раз в сутки, добавил Собецкий. Стоимость отправки одного сервисного sms составляет в среднем 1,5–2 руб., знает он. У банков из топ-10 стоимость одной сервисной sms варьируется от 1,6 до 2,1 руб., говорит источник «Ведомостей», близкий к одной из крупных финансовых организаций.

То есть к моменту обнаружения и нейтрализации атаки убытки среднего и крупного онлайн-бизнеса могут доходить до нескольких миллионов рублей, что сравнимо с месячным бюджетом компании на рассылку sms, сказал Тарасов. В частности, ущерб одного из крупных российских банков, через ресурсы которого до блокировки атаки было отправлено более 4 млн sms-сообщений, составил порядка 6 млн руб., знает Бобрышев.

Кроме финансовых потерь, такие атаки могут быть чреваты репутационными потерями: вырастет количество клиентов, недовольных сервисом компании, добавил менеджер Kaspersky Fraud Prevention Кирилл Кулаков. По его словам, потенциально компания может лишиться части клиентской базы. Такие атаки могут привести к негативу в соцсетях и медиа, а потенциально – и к «угнанным» аккаунтам пользователей и соответствующим претензиям, добавил Тарасов.

На рост числа sms-атак в 2022 г. повлиял тот факт, что в прошлом году в открытый доступ попало рекордное количество баз данных россиян, сказал Собецкий. «Чем больше активных номеров в распоряжении злоумышленников, на которых потенциально не стоит защита от sms-бомбинга, тем больше они смогут отправить sms», – согласился с ним аналитик информационной безопасности исследовательской группы Positive Technologies Федор Чунижеков.

Многие атаки подобного типа носят характер «хактивизма», знает Бобрышев. Кроме того, за sms-бомбингом часто стоят телефонные мошенники, которые представляются «службой безопасности банка» или «полковником полиции», добавил Собецкий. «В основном такие атаки используются либо как прелюдия к банковскому мошенничеству, так как после получения sms о попытках регистрации на разных ресурсах жертва более доверчива «к спасителю-полицейскому», либо как способ наказания несговорчивых граждан, отказавшихся платить мошенникам», – объяснил он.

Как и в случае с другими бот-атаками, примитивные sms-атаки отсеиваются с помощью CAPTCHA, лимита на количество отправленных sms-сообщений и ограничений IP-адресов и стран, объяснил Тарасов. Но по мере увеличения базы используемых номеров, количества IP-адресов и сложности ботов эти методы перестают помогать, их нужно заменять специализированными антибот-решениями.

«Ведомости» направили запросы в «Сбер», ВТБ, «Тинькофф банк», а также в Ozon, Wildberries, и «Яндекс.Маркет». Представитель «Авито» сказал, что компания не фиксировала атак такого типа в прошлом году.