Хакерите обичат портфейли: Кои са невидимите рискове за личните финанси

Влизаш в приложението на банката, за да прехвърлиш малко пари към инвестиционния акаунт. Колелцето се върти по-дълго от обичайното, после иконата за транзакции изчезва. Опитваш втори път, после трети. В пощата пристига имейл „за твоята сигурност“, а в социалните мрежи вече има първи постове: проблеми с онлайн достъпа, натоварени линии на колцентровете, съвети да не правиш нищо, „докато се появи повече информация“. Това е моментът, в който технологичната тема се превръща във финансова – и личната ликвидност започва да зависи от нечий чужд код.

Подобен пример се развива през май 2024 година. Испанският банков гигант Santander потвърждава нерегламентиран достъп до база данни, свързана с външен доставчик. Официалното съобщение е внимателно - банката казва, че са засегнати клиенти в Испания, Чили и Уругвай, както и част от служителите, че картите и парите по сметки не могат да бъдат „директно“ откраднати от изтеклата информация.

Паралелно с това в тъмната мрежа се появяват твърдения на известната хакерска група ShinyHunters за кражба на масиви с данни на клиенти и кредитни карти – общо 30 млн. записа и 28 млн. номера на карти, според тях.

От този момент нататък сценарият е познат. Започват таргетирани фишинг кампании към реални клиенти с реални техни данни. Фишингът е най-разпространената форма на измама, която представлява изпращане на имейли, съобщения или обаждания, които изглеждат като от банка, но всъщност са копия, чиято цел е да излъжат потребителя да въведе код, парола или да отвори заразен линк. Част от хората кликат, други звънят на номера от имейла, трети въвеждат еднократни кодове по телефона, защото „банката потвърждава транзакция“.

Santander отговаря с безплатен  мониторинг на кредитните досиета  там, където е приложимо, подмяна на карти и засилени проверки  на подозрителни преводи. За клиентските пари това има проста логика: дори ако балансът не е бил  „ударен“ пряко от пробива, изтичането на персонални данни намалява  прага за успешна измама.

В банковия сектор именно тук влизат в сила вътрешните компенсационни правила – при доказана неоторизирана операция банката възстановява сумата, но изисква клиентът да е спазил минимална хигиена като активна двуфакторна автентикация и незабавно уведомяване. Не е ли спазил потребителят това - компенсацията трудно идва. 

Двуфакторната автентикация е допълнителен слой сигурност – освен парола, се изисква втори код, генериран от приложение или устройство. Без нея дори сложната парола е уязвима.

По линията на доверието щетата е по-скъпа от всяка отделна операция. Клиентите учат важен урок: приложението е само витрина. Зад него стои верига от доставчици, а пробив в един от тях е достатъчен, за да превърне личните данни в инструмент срещу собствените пари на потърпевшия.

Невидимият риск

Около месец след случая със Santander, Evolve Bank & Trust, американска институция, която обслужва редица популярни финтех приложения като Wise, Affirm и Mercury, потвърждава пробив с изтичане на клиентска информация.

Тук уязвимостта засяга и европейската клиентела, включително българската: мнозина вярват, че използват „само приложение“, но в действителност имат банкова сметка при партньор на приложението, а не при самото приложение.

Изтичането на имена, адреси, идентификатори и номера на сметки само по себе си не „източва“ баланси. Но комбинацията от реални данни и слаб многофакторен режим води до бързи измами: преводи към нови получатели, „верифициращи“ обаждания, подмяна на телефони чрез SIM-swap – техника, при която атакуващият успява да прехвърли телефонния ти номер върху своя карта, за да получава SMS кодовете ти.

Компаниите изпращат уведомления, но често писмото идва от партньорската банка, а не от самото приложение, което клиентът реално използва. За хората това е объркващо: парите им са в „приложението“, но комуникацията идва от институция, за която мнозина дори не подозират, че стои зад услугата. Именно тук става критично - кой носи отговорност, кой компенсира и при какви условия: приложението, което виждаш на екрана, или банката, която реално държи средствата.

Първо идват стандартните мерки като подмяна на идентификатори за достъп, кредитен мониторинг, блокиране на подозрителни получатели. После идват индивидуалните решения за възстановяване на загубени суми при доказана измама.

На заден план стоят вътрешните програми за реакция на инциденти - комбинация от технически екипи, юридическа рамка и резерви за спешни случаи. Тяхната роля не е да заменят сигурността, а да осигурят бърза реакция, когато грешката вече се е случила. За клиента обаче най-важното остава простото: има ли безусловно възстановяване при неоторизиран превод и какви условия са поставени за това.

Този казус оголва истината за модерните финанси. „Доверието в приложението“ е функция на киберустойчивостта на неговите партньори.

Криптоборсите и табелата „временно без тегления“

В криптосектора драматизмът е по-малко прикрит. Юни 2024 минава с няколко инцидента, които напомнят, че горещите портфейли са удобство и атака в един и същи интерфейс. Тук „горещ“ не е нещо хубаво, а означава, че портфейлът е свързан с интернет и може да бъде достъпен не само от клиента, но и от атакуващ.

Част от борсите временно спират депозити и тегления, докато проверяват отклонения по веригите. Сред тях е Lykke, швейцарска криптоборса, която потвърди пробив на стойност около 22 млн. долара и блокиране на средствата на потребителите. 

Борсата по-късно прекрати дейността си - един от първите случаи в Европа, при които киберинцидент води до фалит на регулирана платформа.

По-големите криптоборси, като Binance и OKX, вече поддържат собствени буфери за инциденти. Най-известният е SAFU - резервен фонд за потребители, който се използва за компенсиране при пробив. Този тип механизъм не решава проблема на секундата, но спира паниката, защото борсата публично поема отговорност, възстановява баланси и печели време, за да залепи дупките.

По-малките борси нямат този лукс. При тях следват реструктуриране, поетапно възстановяване, понякога и съдебен надзор. За крайния клиент това означава замразени средства и седмици на несигурност.

Който е минал по този път, знае: няма по-дълга седмица от тази, в която парите са налични „по принцип“, но не и „на разположение“.

Как се губят и се връщат пари

И в трите сцени има обща математика. Пробивът рядко „взема“ парите директно. Първият удар е по данните и по процесите: известия, смяна на инструменти за достъп, блокада на тегления, усилени проверки на нови получатели. Вторият удар е по доверието: фишингът става по-убедителен, измамите са по-успешни. Третият е по ликвидността на клиента - ако не можеш да наредиш превод или да затвориш позиция, губиш време, а времето е пари.

Компенсациите работят по различни линии. Банки и финтехи възстановяват суми при доказана неоторизирана операция и спазени от клиента изисквания за сигурност. Брокерите допълват с по-строги правила за достъп и списъци с разрешени адреси за тегления. Криптоплатформите компенсират чрез вътрешни резерви. Отстрани изглежда като „големи компании с много пари“. На практика това е последната линия на защита – ресурсът, който покрива щетите, докато инфраструктурата се възстанови.

Къде сме ние в този пъзел

Българският инвеститор е изложен на същите рискове, защото използва същите приложения и инфраструктура. През 2025 г. регулаторите у нас излизат по-често с предупреждения за измами чрез имперсонизация – обаждания „от името на банка“ или „инвестиционен посредник“, имейли с истински данни в заглавката, SMS с линк към копие на логин страница.

С въвеждането на NIS2 банките, платежните институции и доставчиците на критични услуги ще са длъжни да докладват пробиви в кратък срок и да поддържат по-ясни планове за реагиране. Това няма да спре атаките, но ще ускори признаването на проблема и практиките за компенсация. Най-прагматичният ефект е друг: веригите на доставки ще изискват по-висок минимум мерки от всички участници – включително от малки български компании, които обработват плащания или данни.

Рискът е особено висок за сайтовете на компании, които обработват плащания, потребителски профили или чувствителни клиентски данни. Нападенията срещу ценните данни биха могли да бъдат предотвратени, ако компаниите предприемат по-систематизиран подход към киберсигурността. Компрометиран сайт може да изложи на опасност не само финансовата информация на потребителите, но и цялостното доверие към бранда.

Затова превенцията е от решаващо значение. Решенията за киберсигурност, които А1 предлага – от защита на крайните устройства (Endpoint Protection) и Pen Test проверки до денонощния мониторинг на оперативния център за сигурност (SOC) – дават на компаниите възможност да откриват и спират подозрителни действия преди да се стигне до изтичане на данни за кредитни карти или други финансови злоупотреби. Всяка организация, която обработва плащания или разполага с чувствителна клиентска информация, се нуждае от подобна проактивна защита, за да минимизира риска и да запази доверието на своите потребители.

Хигиената важи за всички и е безплатна. Един вариант за защита от страна на потребителите е променяне на SMS верификацията с приложение за автентикация или хардуерен ключ. Много хора си правят „бял списък“ с разрешени адреси за теглене там, където платформата го предлага. 

Разделянето на риска също е вариант - банкови спестявания, инвестиционен акаунт и крипто не живеят под един и същи имейл, нито под една и съща парола.

Известията за вход от ново устройство и лимити за преводи са доказани мерки за сигурност. 

Политиките за компенсации и вътрешните резерви помагат в кризисни моменти, но не могат да заместят личната киберхигиена. Само тя носи спокойствие, дори когато колелцето пак се върти по-дълго от обичайното.