Ще минулого року державний «ОщадБанк» перевів інформування клієнтів про проведені операції розрахунку платіжними картками у «Viber». Цього року на цей же крок пішов і «ПриватБанк». Які підстави були для цього і яким кошторисом це «переведення» забезпечувалося, — ми тут розглядати не будемо. «Viber» є дешевшим ніж СМС, але чи виправдана така дешивізна? Давайте розглянемо, чим це загрожує безпеці Держави.
«Viber» не має ліцензії на здійснення телекомунікаційного зв’язку на території України. Не працює згідно українського законодавства. А це означає, що цей засіб зв’язку не є конфіденційним
Сервера «Viber» не знаходяться в Україні. За деякою інформацією вони знаходяться в Білорусі, за деякою, — в Росії. Як би там не було, але ми можемо бути впевненими, що ФСБ РФ має до них доступ.
Що можна дізнатися про клієнта
Можна дізнатися дуже багато — майже все. Повідомлення про проведені трансакцій містять суму операції, тобто:
— зарплатню співробітника — у повідомленнях про зарахування зарплатні;
— розмір кредитного ліміту чи залишок заборгованості по кредиту;
— номер телефону клієнта Банку, а в деяких випадках, і прізвище, ім’я, по-батькові;
— дату операції та код терміналу (код терміналу, здебільшого, містить інформацію про місце розташування терміналу).
Таким чином можна відслідкувати місцезнаходження будь-якої особи власника картки. А також відслідкувати: чи працюють термінали певного банку або певної торгівельної мережі.
Якщо Вам мало — йдемо далі
Блокування «Viber» йде виключно через додаток «Viber». Тобто «ПриватБанк» та «ОщадБанк» кожного разу надсилають повідомлення у «Viber», і, якщо воно повертається через блокування, — пересилають його СМС. Тобто витік інформації все одно буде.
Що це дає країні-агресору? Чим це загрожує Україні?
Можливість відслідковувати переміщення будь-якої групи людей на вибір:
— переміщення окремої особи або обраної групи осіб;
— ротації військовослужбовців та представників спецслужб;
— cтворення online штучної фінансової паніки;
— тестування online панічних настроїв у населення (приміром чи почали люди масово знімати гроші в банкоматах, чи наявний бензин на АЗС).
Якщо ж мова йде про контролювання дієвості і результативності не заради тестування, а в рамках великої атаки, катастрофічність атаки важко навіть прорахувати.
А ще це, просто зараз, можливість відслідковувати, в кого з осіб, які цікавлять ворога
скрутний матеріальний стан. А це оперативна інформація, що дасть шанс на вербовку.
Можне проводити і обмежені кібер-атакі, маскуючи їх під «допустимі розлади» системи. І при цьому легко контролювати: термінали якого банку повністю вийшли з ладу, які магазини перестали працювати.
Пам’ятаєте вірус «Пєтя»?
Так саме через «Viber» його дію можна було б контролювати у режимі реального часу. А група фахівців сидить і рахує: «Так… «Нова лінія» впала. Термінали «Привату» не працюють.. А от «Райффайзен» зміг відбитися… Через їхні термінали операції проходять… О… Вже термінали «Привату» (варіант «Ощаду») запрацювали, пішли повідомлення…». Тут треба пояснити. Жорстко кластимуть одинбанк, другому — заважатимуть. Це дозволить контролювати термінали решти банків.
Все це може отримувати країна-агресор вже зараз, у режимі реального часу.
Є і додаткові загрози звичайному клієнту Банку
Наприклад, буває так, щоб відновити «Viber» у разі втрати смартфону, потрібно не лише відновити сім-картку, але й купити новий смартфон.
Часто «Viber» фізично знаходиться не в тому телефонному апараті, де сім-картка. Тобто сім-картка може бути у кнопочному телефоні, а «Viber» встановлений на планшетному комп’ютері на базі Android. В такому випадку клієнт втрачає контроль над рухом коштів.
Да, теоретично інформування у «Viber» можна вимкнути. Якщо заблокувати контакт «ПриватБанку» чи «ОщадБанку» у додатку «Viber». Але будь-яке блокування може бути зняте вірусом. Або якоюсь помилкою програмного забезпечення «Viber». І хто в такому випадку стане винним? Хто за наслідки відповідає? Чим забезпечується відповідальність?
Можлива ситуація, що номер «Viber» належить іншій особі. Як це може відбутися? Дуже просто. Особа 1 купує сім-картку та смартфон. Реєструється у «Viber» і користується ним. Сім-картку одразу викидає і номером не користується. Проходить півроку і оператор наново продає сім-картку з цим номером. Особа 2 купує цю сім-картку і вставляє в кнопочний телефон. І не може отримувати повідомлення у вигляді СМС. Бо попередній власник цього номеру отримує їх на свій Viber. При цьому Банк відмовляється перемкнути інформування з «Viber» на СМС інакше, ніж через додаток.
Цілком імовірно, що «Viber» передасть базу клієнтів «ПриватБанку» та «ОщадБанку» якомусь російському банку, або будь-якій організації — нічого особистого, просто бізнес. Так, після падіння «Банку Михайлівського» його клієнтам почали дзвонити з «ПлатинумБанку» та банку «Траст». Пізніше,— з Forward. Forward,— колишный «Банк Русский Стандарт».
Далі державні банки втрачатимуть платоспроможних клієнтів. А клієнтам дуже поталанить, якщо для них все обмежиться набридливими дзвінками від менеджерів банків, автосалонів чи компаній мережевого маркетингу.
Що можна з цим всім треба робити? Якщо це дурість, то надто небезпечна за наслідками. Тут є робота і для кіберполіції і для СБУ. Просто тому, що тут є всі ознаки підготовки до низки злочинів, передбачених Кримінальним кодексом України, а саме: ст.109; ст. 110; ст. 111; ст. 113; ст. 114; ст. 258 ч. 4 та 5; ст. 328; ст. 330; ст. 422 та навіть ст. 437 — і це тільки по лінії СБУ!
Для Фіскальної Служби України тут теж є що перевірити за ознаками: ст. 209; ст. 212 та ст. 219 Кримінального кодексу України.
Нацполіції теж є робота за статтями Кримінального кодексу, перерахуємо: ст. 182; ст. 190; ст. 191; ст. 200; ст. 210; ст. 211 ч.1; ст. 216; ст. 361 та ст. 362.
Сумарно може готуватися порушення щонайменше двох десятків статей Кримінального кодексу України. Забагато, як для одного нововведення. Тому, «Нацбанк» має заборонити всім банкам надсилати повідомлення тими засобами електронного зв’язку, які не мають ліцензії на телекомунікаційні послуги в Україні. І тими засобами електронного зв’язку, сервера яких не знаходяться в Україні.
А ще суцспільство має отримати відповідь на питання. Що це було? Некомпетентність у галузі ІТ-безпеки чи державна зрада у найбільших банках?
Дмитро ПРИХНО, Юрій КОЛЕСНИКОВ
