Частина репортерів і редакторів українського Forbes на початку січня масово отримувала смс-повідомлення про спроби реєстрації в онлайн-магазинах, сервісах мікрокредитів та інших ресурсах. Їм також надходили дзвінки з проханням «продовжити оформлення заявки на отримання мікрокредиту». Про це редакція повідомила на своєму сайті.

4 січня п’ятеро співробітників Forbes почали масово отримувати повідомлення з кодами авторизації для зміни пароля від відомих брендів, зокрема Adidas, Intertop, Kasta, Yakaboo, Allo, Dnipro-M, сервісу доставки Zakaz.ua та інших. На телефони деяких співробітників за день було надіслано до 200 смс-повідомлень та ще близько сотні у Viber. 

Зловмисники також намагалися отримати доступ до акаунтів застосунку Privat24 в шести працівників редакції. 

Спам-атака тривала до 6 січня включно. Згодом стало відомо, що з 30 грудня мішенню масової розсилки стали ще чотири співробітники. 

За словами співрозмовника Forbes у правоохоронних органах, наприкінці 2023 року на одному з даркнет-форумів розмістили замовлення на злам акаунтів співробітників видання. Окрім цього, на хакерському ресурсі оприлюднили адресу реєстрації, номери банківських карток та картку в Synevo одного з працівників «Forbes Україна». Особисту інформацію, ймовірно, взяли зі злитих банківських баз.

Як пояснив в коментарі Forbes консультант з інформаційної безпеки Тимур Сидорук, смс-бомбінг частково могли автоматизувати через спеціальне програмне забезпечення для реєстрації на сайтах, що часто використовують для збору інформації в маркетингу та рекламі. Однак хакери також іноді можуть робити це через вразливості в програмному інтерфейсі застосунків (API) фірм-підрядників, які компанії використовують для смс-розсилок. 

За словами деяких ритейлерів, кілька номерів журналістів Forbes реєстрували вручну, а це може знову ж таки свідчити про цілеспрямованість атаки.

Наразі невідомо, хто стоїть за атакою. Однак надані двома ритейлерами IP-адреси, з яких відбувалася реєстрація телефонів, свідчать про те, що зловмисники використовували сервери компаній Wnet, EGIHosting, а також директора та співзасновника компанії XServer (ТОВ «Харків-Сервер») Віталія Іванова. Згідно із судовим рішенням, у 2016 році серверами XServer користувалися кіберзлочинці. Утім, експерти зауважують, що хакери можуть купувати вже зламані сервери, а реальний власник навіть не здогадуватиметься про підозрілу активність.  

Акаунти реєструвалися з IP-адрес, орендованих кіпрською компанією Ithostline LTD та зареєстрованою в Лондоні компанією Proline IT LTD. Їхнім директором є громадянин Росії Зуфар Дусметов.

Редакція Forbes уже звернулася до Кіберполіції.

У листопаді минулого року працівників редакції Forbes Ukraine намагалася переманити до нового «політичного» ЗМІ нібито представниця великої рекрутингової агенції буцімто на замовлення медіагрупи Creators Media Group. Однак у медіагрупі заперечили будь-які нові медіапроєкти, а рекрутингова агенція заявила, що вперше чує про псевдорекрутерку. За словами фахівців, імовірно, діяв бот.

Нагадаємо, напередодні ми писали про те, що сайт українського видання «Цензор.НЕТ» став мішенню потужної хакерської DDoS-атаки, яка тривала кілька годин. Технічна команда медіа наразі працює над встановленням джерела та мотивів кібернападу.

• Читайте також: Кількість зареєстрованих в Україні кіберінцидентів у 2023 році зросла на 62,5%, — Держспецзв’язку

Колаж: Анастасія Решетнік / Forbes Ukraine