Интернет активните граждани, а не – Явор Колев, спасиха Булбанк от страховито компютърно престъпление

Както обикновено, традиционните медии реагираха бавно и неадекватно, ГДБОП се опита да си направи ПР, приписвайки си чужди заслуги, а банката се размина на косъм от сериозна криза.

На 18 април сутринта най-голямата българска банка Уникредит Булбанк / Unicredit Bulbank стана жертва на сериозно подготвено и добре планирано компютърно престъпление.  Хиляди клиенти на банката (всъщност стотици хиляди българи) получиха мейл нa малко странен български език, но пък изпратен от info@unicreditbulbank.bg, със следното сдържание:

„Уважаеми клиенти,
Данните ни показват, че вашата онлайн сесия е блокирана поради> поради следната причина.>
1.Влезте в опити с невалидна информация.>
2. недостатъчни, за да обновите своята онлайн сметка Уникредит Булбанк профил
Ние Ви молим да възстановите профила си онлайн веднага Уникредит Булбанк> за да се избегне постоянното спиране на сметката си.>
НАТИСНЕТЕ ТУК за достъп до нашия защитен сървър.> Моля, изчакайте 48 часа за преработка.>”
 
Посоченият линк препраща към сайт – пълно копие на корпоративния сайт на Уникредит Булбанк, изключително професионално изработен (естествено без SSL сертификат), чиято цел обаче е да събира данните и паролите към сметките на клиентите на банката, ползващи онлайн банкиране.

Това бе първият сериозен опит за т.нар. фишинг (phishing), като се има предвид качеството на изработката на фалшивия сайт и масирания мейл спам до почти всички българи, имащи някъде мейл акаунт (между другото, само Gmail “разпозна” писмото като „спам”).

Как се развиха нещата?

Първи за фишинг сайта сигнализира Иво Апостолов във Фейсбук групата ни за Уеб Маркетинг.

Информацията разбуни духовете – Иво и Борислав Кирилов веднага написаха за атаката срещу банката в личните си блогове и уведомиха онлайн съпорта на Булбанк. Евгени Йорданов и други активни в мрежата граждани сигнализираха своевременно и по неформален път на свои приятели, работещи в банката.

Три часа по-късно, около 12.00-13.00 ч. това беше най-разпространяваната информация в българското интернет пространсътво. Медиите обаче мълчаха – до късния следобед не се появи нищо никъде, нито в онлайн медиите, нито в уеб изданията на традиционните медии. „Булбанк са много голям рекламодател и може нещо да се разсърдят, може да изтълкуват, че се опитваме на подроним репутацията им с тази информация”, отговаряха журналисти и редактори, до които е била изпратена информацията за компютърното престъпление, сподели Иво Апостолов.

Около 13.00 ч. реагира официално с нюз рилийз и самата банка . Като се има предвид тромавата бюрократична структура на банковата институция и некомпетентността й в сферата на уеб комуникацията, реакцията им, след около 4 часа може да се определи по-скоро като своевременна.

Но медиите продължаваха да мълчат… Единствено Нетинфо публикуваха на заглавната страница на abv.bg инфо, относно заплахата и то едва след като Булбанк изпрати официално си становище. Някои по-малки и независими уеб издания се решиха да пуснат новината, ”Дневник” също писа следобеда, но без да вдига много „шум” по случая.

Какво стана с фишинг сайта?

Както би следвало да се очаква, такова нагло компютърно престъпление е логично да се разследва от сектор „Компютърни престъпления“ към ГДБОП, оглавяван от небезизвестния борец срещу интернет-пиратите и рицар на книгите Явор Колев. Все пак работата му не е само да служи на международните музикални и филмови корпорации, да гони тийнеджури, споделящи си някоя друга песен или филм онлайн и да се бори с опасни “читателски” сървъри по покривите… Предполага се, че опитите за интернет атаки срещу банки, измами с кредитни карти, подобни фишинг практики са също тежки компютърни престъпления (почти колкото нелегалната „читанка”), на които спецполицаите от ГДБОП трябва да обърнат подобаващо внимание.

И ето какво прочетох същият ден вечерта, като част от интервю с г-н Колев: „Веднага, след като е получен сигналът за фалшивия сайт, от ГДБОП са се свързали с Министерството на правосъдието на САЩ и с местните служби за борба с киберпрестъпленията. “Колегите от САЩ реагираха незабавно. Изпратихме от наш полицейски мейл сигнал и до администраторите на сайта, защото тази информация се качва без тяхно знание”, разказа Колев. Страницата е свалена от интернет само за четири часа. “Около 9 ч я засякохме и около 13 ч я свалихме. Имайте предвид, че в Америка по това време е било нощ и този механизъм се използва, когато е по-притъпено вниманието да извършват такива неща. И в България, и в САЩ обаче се реагира, независимо кое време е. Работим 24 часа в денонощието и седем дни в седмицата”, посочи Колев.

Като чете горните редове, човек за малко да си каже „Браво Колев, професионалист си, така се работи!”

Да, ама не!

Г-н Колев или лъже или не е особено наясно с подробностите.

Първо, фишинг сайтът бе свален не около 13.00 ч., а около 17.00 ч. И второ – не съм сигурен дали америкаските служби за борба с киберпрестъпленията въобще имат нещо общо със свалянето му.

Всъщност първият човек, който откри и се свърза с хостинг компанията windstreamhosting.com, в чиито сървъри се хостваше фалшивия сайт, бе Мартин Томов – един от стотиците активни интернет граждани, заели се да разплетат случая и така да спасят банката и клиентите й от атаката.

След като им изпрати няколко мейла, oколо 15.00 ч. той успя да се свърже и по телефона с хостинг компанията. По това време, в резултат от неговия репорт до Google, при зареждане в браузъра на URL адреса на фалшивия сайт, вече започна да излиза предупреждение за опасност от измамническа страница или фишинг сайт. Малко по-късно Мартин проведе и чат разговор с онлайн съпорта на Windstreamhosting. Тук публикувам целия разговор:

4:32:10 PM : Michael G.: Welcome to the Windstream Internet Technical Support Chat, my
name is Michael. How may I assist you today?
4:32:12 PM : Martin Tomov: Hello Michael
4:32:26 PM : Martin Tomov: There’s a phishing site on one of your servers
4:32:33 PM : Martin Tomov: http: nsc69.38.100-34.newsouth.net/ www.unicreditbulbank.bg/index.php
4:32:50 PM : Michael G.: I am sorry to hear that.
4:33:04 PM : Michael G.: and this was a link on a Windstream page or site?
4:33:04 PM : Martin Tomov: I’ve reported the site over the phone, contacted one of your representatives and he said the problem would be rectified
4:33:19 PM : Martin Tomov: www.unicreditbulbank.bg is the original site and the site has been reported maybe an hour ago
4:33:39 PM : Martin Tomov: Unicredit Bulbank is one of the largest banks in Bulgaria and in EU
4:33:53 PM : Martin Tomov: I wonder why it takes so long to close a phishing site?
4:34:29 PM : Martin Tomov: I’ve reported it to all possible anti-phishing sites as well and as you can see it shows warning in Firefox, Chrome, IE and Opera.
4:34:44 PM : Michael G.: I ma not sure. I can send to our abuse department now.
4:35:20 PM : Martin Tomov: But the phishing site is still on your servers. I was working in a hosting company several years and I am aware of the procedures for reporting phishing sites.
4:36:11 PM : Martin Tomov: Since the site is one of the Biggest banks I just wonder why the page is still online. I am a loyal citizen and I am very concerned about issues of such manner?
4:37:15 PM : Michael G.: I ma trying it on an alternate ISP connection and seeing it the same report through it as well using firefox. I am sending the report to our abuse department so they should be working on it right away.
4:37:20 PM : Martin Tomov: I believe the bank has contacted you anyway ( I can’t possibly imagine they haven’t yet), however the site is still online.
4:38:27 PM : Martin Tomov: Your colleague avel@windstreamhosting.com to whom I’ve forwarded example of the phishing site told me 2 hours ago that they will look into the issue, however as you can see the site is still available.
4:39:12 PM : Martin Tomov: It is just strange, at our company we’ve dealed with such issues in a matter of minutes…
4:39:43 PM : Martin Tomov: phishing is a serious crime with consequences to clients etc.
4:39:55 PM : Michael G.: I am not sure what would be the issue to remove it but it seems to still up using other ISP connections as well, but the report has been sent to abuse and they should getting it fixed soon.
4:41:06 PM : Martin Tomov: I really hope so, it is strange that your company does not react, since it is really obvious that the site is phishing – the URL etc…
4:42:11 PM : Michael G.: I honestly would not know, the abuse department should be taking care of it for us now that it has been reported to them directly.
4:42:32 PM : Martin Tomov: is there any number to reach them?
4:42:51 PM : Martin Tomov: I am really interested in the case – did not have such interesting issue to investigate for months.
4:43:31 PM : Michael G.: I just sent them an email with the info. I do not have a case number at this time.
4:44:06 PM : Michael G.: usually if it something that they need to investigate they will open a ticket, but usually it is just removed.
4:44:32 PM : Martin Tomov: I see.. interesting
4:44:49 PM : Martin Tomov: well I think that that is all that could be done at this moment, right?
4:45:36 PM : Michael G.: yes, the abuse department has the information now, so they should be getting it resolved.
4:46:24 PM : Martin Tomov: Thank you Michael, I hope my information helped. Phishing is bad for companies and hosting providers in the same time, so I hope it will be resolved as issue.
4:47:46 PM : Michael G.: you’re welcome…
 
 
 
Резултатът

Малко след 17.00 ч. българско време, фишинг сайта бе свален от мрежата, като в цитирания разговор преди свалянето му, никъде не се споменава за намесата на американски спецполицаи или дори за други сигнали от България по случая. Чест прави на Уникредит Булбанк, че благодариха официално на Мартин Томов за свършеното. За благодарности от тяхна страна към Явор Колев досега никой не е чул. А ако имаше такива, Колев едва ли би пропуснал да се похвали.

И още малко за медиите

Наистина нямам думи – след като Националната Обществена Телевизия пусна в централната си емисия такъв малоумен текст, в тотално противоречие с оновните журналистически правила. По подобен начин „отразиха” новината и други т.нар. традиционни медии:

„Голяма банка в България засече опити за измама към свои клиенти. Измамата е известна още като фишинг. Клиентите получават имейл, с който ги информират за блокирана сесия в системата на тяхната банка.Те трябва да последват линк в писмото и да въведат  потребителското си име и парола, за да избегнат постоянно блокиране на акаунта и сметката си. Фалшивата страница в интернет изглежда като тази на банката, но попълвайки данните си, те отиват при измамниците. От банката засекли опита за измама препоръчват в никакъв случай да не въвеждате потребителско си име и парола.Ако вече сте го направили, трябва да влезете на истинския сайт и незабавно да смените паролата си. Ако сте предоставили номера на кредитната си картата и пин, което също се изисква в електронното писмо, незабавно блокирайте картата си през центъра за контакт с клиенти или като се свържете с обслужващия ви служител на банката.”

Ужас! Двойка, седни си! Ало? Коя банка е атакувана??? Нали „КОЙ”, е един от основните 5 въпроса, на които трябва задължително да отговаря всяка новина??? Учи се в първи курс “журналистика”!!!

Писал съм неведнъж по темата и постоянните ми сблъсъци с подобен непрофесионализъм от страна на водещи български медии истински ме вбесява, меко казано! Частните медии ближат задниците на рекламодателите, това е ясно, но Българската национална телевизия да им подражава, е наистина срамно!

И накрая – изводът за банката/банките

Уникредит Булбанк извади наистина голям късмет, че се размина на косъм от ПР криза, каквато досега никога не им се е случвала. Няколко души да се бяха опарили в понеделник сутринта, да се разнесе мълвата, че сайта на банката е хакнат и че онлайн сметките не са защитети, от там е една крачка, кризата да добие и съвсем реални офлайн измерения.

Банката наистина трябва да благодари на хора като Мартин Томов, Иво Апостолов, Евгени Йорданов, Борислав, Боян Юруков и на всички активни интернет граждани, които и без помощта на медиите и Явор Колев се справиха с това компютърното престъпление.

Но утре Булбанк или друга банка може и да няма тоя късмет. С изключение на ПИБ, никоя друга банкова инстутуция в България, не обръща внимание на съвременната онлайн комуникация с клиентите и на присъствието й в социалните медии. А това е безценен комуникационен инструмент, особено в случай на криза. Но когато връхлети кризата, тогава да се сетиш за интернет и социалните медии, вече е твърде късно…