Интернет активните граждани, а не – Явор Колев, спасиха Булбанк от страховито компютърно престъпление

Както обикновено, традиционните медии реагираха бавно и неадекватно, ГДБОП се опита да си направи ПР, приписвайки си чужди заслуги, а банката се размина на косъм от сериозна криза.

На 18 април сутринта най-голямата българска банка Уникредит Булбанк / Unicredit Bulbank стана жертва на сериозно подготвено и добре планирано компютърно престъпление.  Хиляди клиенти на банката (всъщност стотици хиляди българи) получиха мейл нa малко странен български език, но пък изпратен от info@unicreditbulbank.bg, със следното сдържание:

„Уважаеми клиенти,
Данните ни показват, че вашата онлайн сесия е блокирана поради> поради следната причина.>
1.Влезте в опити с невалидна информация.>
2. недостатъчни, за да обновите своята онлайн сметка Уникредит Булбанк профил
Ние Ви молим да възстановите профила си онлайн веднага Уникредит Булбанк> за да се избегне постоянното спиране на сметката си.>
НАТИСНЕТЕ ТУК за достъп до нашия защитен сървър.> Моля, изчакайте 48 часа за преработка.>”
 
Посоченият линк препраща към сайт – пълно копие на корпоративния сайт на Уникредит Булбанк, изключително професионално изработен (естествено без SSL сертификат), чиято цел обаче е да събира данните и паролите към сметките на клиентите на банката, ползващи онлайн банкиране.

Това бе първият сериозен опит за т.нар. фишинг (phishing), като се има предвид качеството на изработката на фалшивия сайт и масирания мейл спам до почти всички българи, имащи някъде мейл акаунт (между другото, само Gmail “разпозна” писмото като „спам”).

Как се развиха нещата?

Първи за фишинг сайта сигнализира Иво Апостолов във Фейсбук групата ни за Уеб Маркетинг.

Информацията разбуни духовете – Иво и Борислав Кирилов веднага написаха за атаката срещу банката в личните си блогове и уведомиха онлайн съпорта на Булбанк. Евгени Йорданов и други активни в мрежата граждани сигнализираха своевременно и по неформален път на свои приятели, работещи в банката.

Три часа по-късно, около 12.00-13.00 ч. това беше най-разпространяваната информация в българското интернет пространсътво. Медиите обаче мълчаха – до късния следобед не се появи нищо никъде, нито в онлайн медиите, нито в уеб изданията на традиционните медии. „Булбанк са много голям рекламодател и може нещо да се разсърдят, може да изтълкуват, че се опитваме на подроним репутацията им с тази информация”, отговаряха журналисти и редактори, до които е била изпратена информацията за компютърното престъпление, сподели Иво Апостолов.

Около 13.00 ч. реагира официално с нюз рилийз и самата банка . Като се има предвид тромавата бюрократична структура на банковата институция и некомпетентността й в сферата на уеб комуникацията, реакцията им, след около 4 часа може да се определи по-скоро като своевременна.

Но медиите продължаваха да мълчат… Единствено Нетинфо публикуваха на заглавната страница на abv.bg инфо, относно заплахата и то едва след като Булбанк изпрати официално си становище. Някои по-малки и независими уеб издания се решиха да пуснат новината, ”Дневник” също писа следобеда, но без да вдига много „шум” по случая.

Какво стана с фишинг сайта?

Както би следвало да се очаква, такова нагло компютърно престъпление е логично да се разследва от сектор „Компютърни престъпления“ към ГДБОП, оглавяван от небезизвестния борец срещу интернет-пиратите и рицар на книгите Явор Колев. Все пак работата му не е само да служи на международните музикални и филмови корпорации, да гони тийнеджури, споделящи си някоя друга песен или филм онлайн и да се бори с опасни “читателски” сървъри по покривите… Предполага се, че опитите за интернет атаки срещу банки, измами с кредитни карти, подобни фишинг практики са също тежки компютърни престъпления (почти колкото нелегалната „читанка”), на които спецполицаите от ГДБОП трябва да обърнат подобаващо внимание.

И ето какво прочетох същият ден вечерта, като част от интервю с г-н Колев: „Веднага, след като е получен сигналът за фалшивия сайт, от ГДБОП са се свързали с Министерството на правосъдието на САЩ и с местните служби за борба с киберпрестъпленията. “Колегите от САЩ реагираха незабавно. Изпратихме от наш полицейски мейл сигнал и до администраторите на сайта, защото тази информация се качва без тяхно знание”, разказа Колев. Страницата е свалена от интернет само за четири часа. “Около 9 ч я засякохме и около 13 ч я свалихме. Имайте предвид, че в Америка по това време е било нощ и този механизъм се използва, когато е по-притъпено вниманието да извършват такива неща. И в България, и в САЩ обаче се реагира, независимо кое време е. Работим 24 часа в денонощието и седем дни в седмицата”, посочи Колев.

Като чете горните редове, човек за малко да си каже „Браво Колев, професионалист си, така се работи!”

Да, ама не!

Г-н Колев или лъже или не е особено наясно с подробностите.

Първо, фишинг сайтът бе свален не около 13.00 ч., а около 17.00 ч. И второ – не съм сигурен дали америкаските служби за борба с киберпрестъпленията въобще имат нещо общо със свалянето му.

Всъщност първият човек, който откри и се свърза с хостинг компанията windstreamhosting.com, в чиито сървъри се хостваше фалшивия сайт, бе Мартин Томов – един от стотиците активни интернет граждани, заели се да разплетат случая и така да спасят банката и клиентите й от атаката.

След като им изпрати няколко мейла, oколо 15.00 ч. той успя да се свърже и по телефона с хостинг компанията. По това време, в резултат от неговия репорт до Google, при зареждане в браузъра на URL адреса на фалшивия сайт, вече започна да излиза предупреждение за опасност от измамническа страница или фишинг сайт. Малко по-късно Мартин проведе и чат разговор с онлайн съпорта на Windstreamhosting. Тук публикувам целия разговор:

4:32:10 PM : Michael G.: Welcome to the Windstream Internet Technical Support Chat, my
name is Michael. How may I assist you today?
4:32:12 PM : Martin Tomov: Hello Michael
4:32:26 PM : Martin Tomov: There’s a phishing site on one of your servers
4:32:33 PM : Martin Tomov: http: nsc69.38.100-34.newsouth.net/ www.unicreditbulbank.bg/index.php
4:32:50 PM : Michael G.: I am sorry to hear that.
4:33:04 PM : Michael G.: and this was a link on a Windstream page or site?
4:33:04 PM : Martin Tomov: I’ve reported the site over the phone, contacted one of your representatives and he said the problem would be rectified
4:33:19 PM : Martin Tomov: www.unicreditbulbank.bg is the original site and the site has been reported maybe an hour ago
4:33:39 PM : Martin Tomov: Unicredit Bulbank is one of the largest banks in Bulgaria and in EU
4:33:53 PM : Martin Tomov: I wonder why it takes so long to close a phishing site?
4:34:29 PM : Martin Tomov: I’ve reported it to all possible anti-phishing sites as well and as you can see it shows warning in Firefox, Chrome, IE and Opera.
4:34:44 PM : Michael G.: I ma not sure. I can send to our abuse department now.
4:35:20 PM : Martin Tomov: But the phishing site is still on your servers. I was working in a hosting company several years and I am aware of the procedures for reporting phishing sites.
4:36:11 PM : Martin Tomov: Since the site is one of the Biggest banks I just wonder why the page is still online. I am a loyal citizen and I am very concerned about issues of such manner?
4:37:15 PM : Michael G.: I ma trying it on an alternate ISP connection and seeing it the same report through it as well using firefox. I am sending the report to our abuse department so they should be working on it right away.
4:37:20 PM : Martin Tomov: I believe the bank has contacted you anyway ( I can’t possibly imagine they haven’t yet), however the site is still online.
4:38:27 PM : Martin Tomov: Your colleague avel@windstreamhosting.com to whom I’ve forwarded example of the phishing site told me 2 hours ago that they will look into the issue, however as you can see the site is still available.
4:39:12 PM : Martin Tomov: It is just strange, at our company we’ve dealed with such issues in a matter of minutes…
4:39:43 PM : Martin Tomov: phishing is a serious crime with consequences to clients etc.
4:39:55 PM : Michael G.: I am not sure what would be the issue to remove it but it seems to still up using other ISP connections as well, but the report has been sent to abuse and they should getting it fixed soon.
4:41:06 PM : Martin Tomov: I really hope so, it is strange that your company does not react, since it is really obvious that the site is phishing – the URL etc…
4:42:11 PM : Michael G.: I honestly would not know, the abuse department should be taking care of it for us now that it has been reported to them directly.
4:42:32 PM : Martin Tomov: is there any number to reach them?
4:42:51 PM : Martin Tomov: I am really interested in the case – did not have such interesting issue to investigate for months.
4:43:31 PM : Michael G.: I just sent them an email with the info. I do not have a case number at this time.
4:44:06 PM : Michael G.: usually if it something that they need to investigate they will open a ticket, but usually it is just removed.
4:44:32 PM : Martin Tomov: I see.. interesting
4:44:49 PM : Martin Tomov: well I think that that is all that could be done at this moment, right?
4:45:36 PM : Michael G.: yes, the abuse department has the information now, so they should be getting it resolved.
4:46:24 PM : Martin Tomov: Thank you Michael, I hope my information helped. Phishing is bad for companies and hosting providers in the same time, so I hope it will be resolved as issue.
4:47:46 PM : Michael G.: you’re welcome…
 
 
 
Резултатът

Малко след 17.00 ч. българско време, фишинг сайта бе свален от мрежата, като в цитирания разговор преди свалянето му, никъде не се споменава за намесата на американски спецполицаи или дори за други сигнали от България по случая. Чест прави на Уникредит Булбанк, че благодариха официално на Мартин Томов за свършеното. За благодарности от тяхна страна към Явор Колев досега никой не е чул. А ако имаше такива, Колев едва ли би пропуснал да се похвали.

И още малко за медиите

Наистина нямам думи – след като Националната Обществена Телевизия пусна в централната си емисия такъв малоумен текст, в тотално противоречие с оновните журналистически правила. По подобен начин „отразиха” новината и други т.нар. традиционни медии:

„Голяма банка в България засече опити за измама към свои клиенти. Измамата е известна още като фишинг. Клиентите получават имейл, с който ги информират за блокирана сесия в системата на тяхната банка.Те трябва да последват линк в писмото и да въведат  потребителското си име и парола, за да избегнат постоянно блокиране на акаунта и сметката си. Фалшивата страница в интернет изглежда като тази на банката, но попълвайки данните си, те отиват при измамниците. От банката засекли опита за измама препоръчват в никакъв случай да не въвеждате потребителско си име и парола.Ако вече сте го направили, трябва да влезете на истинския сайт и незабавно да смените паролата си. Ако сте предоставили номера на кредитната си картата и пин, което също се изисква в електронното писмо, незабавно блокирайте картата си през центъра за контакт с клиенти или като се свържете с обслужващия ви служител на банката.”

Ужас! Двойка, седни си! Ало? Коя банка е атакувана??? Нали „КОЙ”, е един от основните 5 въпроса, на които трябва задължително да отговаря всяка новина??? Учи се в първи курс “журналистика”!!!

Писал съм неведнъж по темата и постоянните ми сблъсъци с подобен непрофесионализъм от страна на водещи български медии истински ме вбесява, меко казано! Частните медии ближат задниците на рекламодателите, това е ясно, но Българската национална телевизия да им подражава, е наистина срамно!

И накрая – изводът за банката/банките

Уникредит Булбанк извади наистина голям късмет, че се размина на косъм от ПР криза, каквато досега никога не им се е случвала. Няколко души да се бяха опарили в понеделник сутринта, да се разнесе мълвата, че сайта на банката е хакнат и че онлайн сметките не са защитети, от там е една крачка, кризата да добие и съвсем реални офлайн измерения.

Банката наистина трябва да благодари на хора като Мартин Томов, Иво Апостолов, Евгени Йорданов, Борислав, Боян Юруков и на всички активни интернет граждани, които и без помощта на медиите и Явор Колев се справиха с това компютърното престъпление.

Но утре Булбанк или друга банка може и да няма тоя късмет. С изключение на ПИБ, никоя друга банкова инстутуция в България, не обръща внимание на съвременната онлайн комуникация с клиентите и на присъствието й в социалните медии. А това е безценен комуникационен инструмент, особено в случай на криза. Но когато връхлети кризата, тогава да се сетиш за интернет и социалните медии, вече е твърде късно…

 

  • Много добър и изчерпателен анализ.

  • Благодаря ти за помощта!:-)

  • Определено полезно и наистина изчерпателно описано. Въпреки, че аз самия участвах в report-ванията и разговорите с банката, не ми изглеждаше всичко в мащабите, които сега като прочитам по-късно реално е било.

  • User

    Браво!

  • Евгени, и ти, и Мартин, и Иво, а и доста хора с които говорех и които бяха сред най-активните в понеделник, като че ли не могат да оценят значимостта на това добро, което направихте всички:-)! Наистина на косъм от голям проблем се размина банката…

  • Marto Monev

    Според мен нищо особено не е станало. Както се разбра по-късно не е имало жертви. Освен това такива фишинг атаки се правят по света почти всеки ден срещу големи корпорации. Мисля, че кризисния момент тук е, че българите не са запознати с явлението фишинг и как да се предпазят от него.

  • Браво за анализа, надявах се някой да опише ситуацията последователно. Реално, докато Иво е пускал съобщението във Фейсбук, аз пишех новината и съобщих на банката. Действията ни са били паралелни без да сме ги координирали. Според мен тази група, която е подготвяла атаката се е опарила и скоро едва ли ще опита да атакува българска платежна система. Както писах такива атаки вече се планират предварително и са насочени към “златния час” първия час от началото на атаката, пусках новина за това (http://softkey.bg/news_detail.php?ID=11126). Планирането и реализацията на такава операция със сигурност изисква средства и хора. Лично благодаря на всички колеги, се всеки допринесе с нещо за опазване на сигурността на интернет бизнеса в България.

  • Chichopesho

    Тоя пич Мартин Томов бил голяма работа бе, направо се разплаках като прочетох какво е направил. Активен гражданин бил. Абе, бате, какъв активен гражданин си ти? Ако беше активен гражданин, нямаше да се занимаваш да ги “спасяваш” тия боклуци Булбанк, а щеше да ги оставиш да си ебат путката лелина и да им гледаш сеира. Защото няма по-големи боклуци от тях и по-големи измамници. Те точно това заслужават. А ти просто си използвал случая да си начешеш крастата и да си вкараш случая в CV-то, няма какво да се лъжем. Освен това, ако си беше седял на гъза, сега Явор Колев щеше да получи черните точки, които отдавна му се полагат, а не пак да се измъква благодарение на такива като тебе и после само една шепа хора да четем каква е истината.

  • Hristo Iliev

    Много добре написано! 🙂 Само не разбрах защо навсякъде се казва за спасяването на банката а не на бедния Българин да изгори с някой друг лев дето така или иначе ги няма! Аз също спомогнах до колкото можах с разгласяването на ситуацията но по-скоро мислех за хората които могат да пострадат не за банката!

  • Чичо Пешо, нали не очакваш да ти се извиня за това, което съм направил? Мисля си, че си се вкарал в някъв филм с измамници, красти, CV-та и т.н.

    Евалата, че си отделил време да анализираш ситуацията и да набележиш правилните действия. За съжаление това е твоята гледна точка, която много слабо ме интересува. Такива като теб всеки ден ми се оплакват от нещо и всеки ден обясняват как трябва да се правят нещата и кой какво трябва да получи, а всъщност не правят нищо (не казвам, че ти си такъв, а че моделът на поведение, който лъха от коментара ти ме навежда на подобна мисъл).

    Сега ще ти кажа как стана, специално и само за теб – обяснение от Марто. 🙂 Видях съобщението, стана ми интересно, реагирах, споделих мнение с колегите в групата и това е. По време на цялата “операция” нито ми е бил Колев в главата, нито CV-то, а просто интересен случай, който да разреша. Ако ме познаваше, щеше да знаеш че не ми е първото нещо което правя просто ей така, за удоволствие.

    Балъче съм, разбираш ли, не ги разбирам тия големите игри, така че ако съм те засегнал нещо лично – пий една стограмка, напусувай ма как си требе и давай смело напред… с коментарите под следващата статия, която четат една шепа хора.

  • драги живеем в 21 век в свят който се тресе от измами знаете ли тук по колко такива получавам на седмица от Доста по Големи и Световни Банки вие за Някаква банка която има няма 10000 абоната в което съм сигурен.Българското Уеб Интернет пространство
    1-во е Бедно на Информация
    2-ро е пълно със Слаби и слабо направени сайтове.
    3-то Все още се държи от Монополите в Българския Интернет
    Вие тук тръгнали да си чешат кой какво направил бил.
    Колко от вас репортват всеки ден поне по 20 сайта едва ли мога да ги бройна на пръсти.
    За целта в Света си има доста добри сайтове който се борят срещу фишинг измами и прочие.
    Седнали Явор Колев къде е най-много в кюпа за всички неща в БГ Нета.
    Моля ви Първо се научете да ползвате Подходящата Поща,Браузър,Уеб сайтове и приложения после показвайте такива неща.Чак понякога се чудя да се смея ли да плача ли.
    Много лесно мога да открадна над 200 000 е-мейла на незнаещи Българи и да им напиша същите неща.
    Ако всеки допринасяше по този начин за стотиците хиляди хостинги,сайтове и домейни щеше да бъде малко по различно.

  • Именно Христо, точно това е идеята – да няма изгоряли в крайна сметка. Защото да се извадят нови карти, интернет банкиране и т.н. е грижа на кой… на потребителя. И в договорите на банката е ясно написано кой го духа в подобни форсмажорни ситуации.

  • Борислав Кирилов

    Тук някои хора не разбират нещо. Банките никога не губят. Ако някой пострада ще е човека хванал се на въдицата и изгубил парите си. Ако има пострадал и се разчуе от това пак няма да пострада банката, а целия бизнес в Интернет, когато журналистите започнат да разнасят случая накрая ще остане само едно – в Интернет стават само престъпления и кражби и не може да се прави нищо сериозно. Хората чисто подсъзнателно ще избягват да ползват плащания в интернет, няма да банкират, няма да купуват и т.н. “Златния час” на фишинга е първи час от началото на атаката – писмото се разпраща 100000 получателя примерно, някой се хваща на въдицата – 200 рибки примерно, и накрая източват сметките към мулета – 10-15 сметки. Тези които правят атаката не си играят, а правят бизнес и то бизнес оценяван на милиарди долари. Мартин, хора като Chichopesho, не заслужават дори времето за написване на една дума.

  • Именно! Точно поради това имаше всички предпоставки нещата да придобият кризисно развитие. Слава богу, не се случи.

  • И аз ти благодаря Боби, както виждаш, не съм пропуснал и твоя принос:-)

  • Никой не обича банките. В сучая става дума не за спасяване на “задника” на банката, а за предотвратяване на източване на лични данни и пари на нейните клиенти…а сметки там имат и такива като мен и теб и повечето колеги, които се намесиха…

  • Това имах предвид – не спасяването на банката, а парите на нейните клиенти, разбира се. И да им обърна вниманието на банковите институции, че вече не може и е опасно да продължават по старому – и като комуникация с клиентите, и като компетенции по отношение на интернет сигурността. Както е написал Боби по-долу никой няма интерес да се подкопава доверието в интернет бизнеса, защото ако това се случи ще се отрази негативно не само на банките и онлайн банкирането, но и на всички, които са се насочили да развиват бизнес в уеб 2.0 средата…

  • Chichopesho

    Голяма работа сте, ей! Тръгнали да спасяват парите на клиентите на Булбанк. Хахаха! Ако не бяхте вие, значи, хората щяха да изгорят, а? Големи сте смешници, пичове. Първо, парите на хората в банките са гарантирани до 100 000 лв. от държавата и второ, дори и някой балък да изгори, защо да не се направи една лоша реклама на Булбанк – което всъщност заслужават – и хората занапред да не си влагат парите при тях? Или и вие се кефите на плешивото теме на Хампарцумян и великите му изказвания в медиите, щото той все е най-големият специалист, ама в същото време праска целия народ в гъза с неговата банка измамна…

  • Браво, Борка! Чудесна статия!
    (А-ма #javorkolev как само намесва и “колегите от САЩ”! 🙂 )
    Само не ми стана ясно как се разбра, че няма пострадали.
    Ако аз бях “изгорял” по схемата, дали щях втори път да проявя мощния си интелект, като се и “похваля” във Фейса, примерно?
    Учудващото за мен лично е, че все още има банки, които позволяват интернет разплащания без цифров сертификат, пък бил той и доставен от самата банка, а не от един от двата доставчика/издателя в БГ.

  • Working30

    Аз също получих гореописания мейл, но поради лошия български на текста веднага ми стана ясно какъв произход има. Незабавно се обадих в обслужващия клон на Уникредит и то на човека, който отговаря точно за онлайн банкирането. Той не знаеше за какво става дума, нямаше никаква информация и вместо да реагира по някакъв начин, отговорът му беше – “Обадете се в София” (аз съм от провинцията). Е, направих го вместо него.

  • Nvp1

    А може ли някои да ми обясни как могат да направят трансвер от моята карта като при извлечението от баланса пише cupon on.Уведомих банката. Предполагам че това е поредната банкова измама, но не зная към кого още да се обърна  за помощ.Липсва солидна сума.Всякаква информация ще ми бъде от полза

  • anjela

    собтвеникът на блог www. gatchev. info/blog/ ?p=294 … григор гачев е проникнал в личния ми компютър и заплашва да публикува в интернет личните ми данни.по негова вина компютъра ми е повреден.как да постъпя с този “човек”
    “by anjela”

  • Гачев, стига с тия SEO трикчета:-)))

  • Pingback: Защита на вашите лични данни и пари: реални примери за фишинг - Questona.com()