Інтернет-магазин монет НБУ зламали: названо небезпеки для клієнтів
Потенційно скомпрометованими можуть бути лише дані, які вводилися під час реєстрації в інтернет-магазині, зловмисники можуть використати ці дані для фішингу
Інтернет-магазин нумізматичної продукції тимчасово недоступний унаслідок кібератаки на компанію-підрядника. Потенційно зловмисники могли отримати доступ до персональної інформації користувачів інтернет-магазину, а саме: ім’я / прізвище, номер телефону, e-mail, адреса доставки нумізматичної продукції. Про це повідомляє НБУ.
“Водночас жодні ваші фінансові дані – реквізити платіжних карток, інша конфіденційна інформація, пов’язана з банківськими операціями, не скомпрометовані”, - йдеться в повідомленні.
Системи захисту даних та інформаційні системи Національного банку України працюють у штатному режимі. Наразі вживаються необхідні заходи для з’ясування обставин інциденту та оцінки його можливих наслідків. Національний банк України спільно з постачальником послуг працює над усуненням наслідків інциденту.
Чому зловмисники атакували підрядника?
Supply chain-атаки – поширена тактика хакерів у всьому світі. Нещодавні приклади: SolarWinds у США, атака на Kaseya, компрометація ASUS. Зловмисники намагаються знайти найслабшу ланку в ланцюгу постачання. Саме тому НБУ з самого початку проєктував архітектуру з ізоляцією підрядників від критичних систем. І цей підхід себе виправдав.
Чи не свідчить це про слабкість кібербезпеки НБУ?
“Навпаки. Жодна організація у світі не може гарантувати 100% захист від атак – це реальність сучасної кібербезпеки. Але зріла кібербезпека – це, коли атака не досягає критичних систем. І саме це і сталося: завдяки правильній архітектурі інцидент, що стався у підрядника, не вплинув на НБУ. Це підтверджує ефективність нашого підходу”, - повідомляє НБУ.
Чи були скомпрометовані дані клієнтів, і що варто зараз зробити?
Потенційно скомпрометованими можуть бути лише дані, які вводилися під час реєстрації в інтернет-магазині і перелічені вище. Зловмисники можуть використати ці дані для фішингу, тому просимо вас бути особливо пильними і пам’ятати, що працівники НБУ:
- не надсилають листи з проханням підтвердити дані;
- не телефонують для уточнення інформації про платіжні картки;
- не просять оплатити замовлення альтернативними способами;
- не надсилають посилання для "термінової верифікації".
Що таке фішинг?
Фішинг — це вид шахрайства, коли зловмисники обманом змушують жертву розкрити особисту інформацію (паролі, дані карток, логіни) або встановити шкідливе програмне забезпечення. Шахраї створюють підроблені сайти, електронні листи чи повідомлення, які виглядають як офіційні, щоб викрасти дані. Фішинг часто використовує психологічний тиск, наприклад, терміновість чи страх.
Приклади фішингу:
- Підроблений лист від банку. Ви отримуєте email із логотипом вашого банку, де просять перейти за посиланням і «оновити дані» через «проблему з рахунком». Посилання веде на фальшивий сайт, який краде ваші логін і пароль.
- SMS із підозрілим посиланням: Повідомлення типу «Ваша картка заблокована, перейдіть за посиланням для розблокування» містить URL, що веде на сайт, який імітує офіційний банківський портал.
- Фальшиве повідомлення в месенджері: Вам пишуть із «офіційного акаунта» сервісу (наприклад, OLX чи ПриватБанк) і просять підтвердити дані через посилання, яке веде на шкідливий сайт.
- Підроблені сторінки в соцмережах: Ви отримуєте сповіщення про «порушення правил» у Facebook чи Instagram і посилання для «відновлення акаунта», яке краде ваш пароль.
Читайте нас у Facebook
Зараз читають на Інформаторі
