Хакерам не повезло на ставках
Многочисленные кибератаки на букмекеров летом не помешали болельщикам
С 14 июня по 14 июля прошел чемпионат Европы по футболу — событие, которое активно освещалось в медиаполе и привлекло на букмекерские площадки колоссальное число болельщиков. Однако не обошлось и без внимания злоумышленников, стремящихся нарушить работу платформ, помешать зрителям и даже заработать на этом. Букмекерские сервисы подвергались кибератакам ежедневно, однако компании сумели отразить их. «Ъ–Review» подвел итоги напряженного месяца и выяснил, что необходимо площадкам для стабильной работы даже в условиях беспрецедентных кибератак.
Фото: Антон Новодерёжкин, Коммерсантъ
Во втором квартале 2024 года букмекеры стали одной из наиболее атакуемых отраслей. Если год назад доля приходящихся на них DDoS-атак составляла 4%, то к концу 1 квартала 2024 она выросла до 11%, а к 1 августа 2024 года достигла 15 %. Таким образом, букмекеры вошли в топ-3 наиболее атакуемых отраслей. К такому выводу пришли аналитики компании Servicepipe. «Возросшая интенсивность DDoS-атак объясняется проведением чемпионата Европы по футболу — одного из ключевых спортивных событий года», — комментирует заместитель генерального директора Servicepipe Даниил Щербаков. Атаки на букмекеров достаточно четко привязаны к датам спортивных событий, и чем ближе к финалу, тем выше мощность атак». Атаки шли одновременно и на сетевом уровне, и на уровне приложений, объем последних в дни решающих матчей достигал 85 млн запросов в минуту, добавил эксперт. В то же время в Servicepipe фиксировали и длительные атаки, не связанные со спортивными событиями. Например, одна из атак на букмекеров длилась 84 дня.
Еще одна проблема букмекеров — атаки ботов. Одна из самых распространенных проблем — специализированные сервисы парсят меняющиеся линии и коэффициенты букмекера, которые предлагаются на исходы спортивных событий, для определения наиболее выигрышных стратегий ставок. Кроме того, с помощью ботов злоумышленники пытаются мошенничать с фрибетами с помощью автоматизированной массовой регистрации новых аккаунтов, могут быть попытки захвата чужих аккаунтов, отмечают в Servicepipe.
«Во время Евро-2024 количество нелегитимных ботов в общем объеме трафика у отдельных игроков превышало 60%, что без соответствующей защиты могло бы существенно затруднить работу ресурса»,— добавляет руководитель отдела корпоративных клиентов ИТ-интегратора «Телеком биржа» Дина Фомичева.
Чемпионат Европы по футболу оказался значимым для российских болельщиков событием. Сумма ставок россиян на групповой этап Евро-24 у крупнейших букмекеров выросла в среднем на 90% по сравнению с предыдущим чемпионатом Европы по футболу, а средняя сумма одной ставки выросла на 42% (См. “Ъ” от 1 июля). Трансляцию же финального матча между Испанией и Англией в рамках чемпионата смотрели почти 3,8 млн человек, оценивал Mediascope (См. “Ъ” от 18 июля).
Со своей стороны, букмекеры в России очень активно развиваются и ежегодно демонстрируют рост пользовательской активности. По итогам 2023 года трафик сайтов легальных букмекеров превысил 1 млрд посетителей, а самым посещаемым сайтом стал Fonbet — 382,4 млн уникальных пользователей.
В 2024 году тенденция сохранилась: по данным Similarweb с января ежемесячная аудитория сайтов букмекеров уже превышала 100 млн. человек. «На долю нашей компании приходилось более 40% пользователей, а по итогам апреля из 119 млн пользователей к нам пришли 63,1 млн, что более 50%»,— рассказали “Ъ” в Fonbet.
Цифры наглядно демонстрируют важность онлайн-сегмента для бизнеса, объясняют в компании. «Болельщики и любители спорта приходят туда не только, чтобы сделать ставку, но и за статистикой и видеотрансляциями: мы бесплатно показываем большое количество спортивных соревнований, которые не доступны на ТВ или без подписки на видеосервисах». Соответственно, перебои в работе сайта или приложения, даже секундные, могут вызвать негатив, отток клиентов и болельщиков, которые будут искать возможность посмотреть матч в другом месте.
Тенденция по росту кибератак на букмекеров и другие ресурсы, связанные с оборотом финансов и ставками характерна не только для России. Как рассказали в «Вебмониторэкс», в сентябре 2023 года в Лас-Вегасе казино MGM столкнулось с атакой шифровальщиков-вымогателей. Кибератака затронула и казино, и букмекерскую контору MGM, что привело к переводу всех финансовых операций в ручной режим.
«Это подчеркивает, насколько уязвимы такие компании перед лицом современных киберугроз и насколько важно для них серьезно относиться к защите своей платформы»,— говорит Младший аналитик «Вебмониторэкс» Анастасия Травкина.
В Servicepipe объясняют, что DDoS-атаки на букмекеров существенно отличаются от атак на компании из других отраслей. Для большинства характерно, что атаки прекращаются сразу после того, как ресурс «встает под защиту» (в 75% случаев), говорит заместитель генерального директора Servicepipe Даниил Щербаков. Еще в 20% инцидентов злоумышленники пытаются развивать атаки по нарастающей, однако если увеличение мощности не дало результата, они скорее откажутся от цели.
Букмекеры же «идут против общего тренда» на прекращение атак в результате появления защиты от DDoS и относятся к тем 5%, где характерны длительные атаки или развитие атак по нарастающей. Причина этому — другой характер атакующих и их мотивация, считает эксперт. Например, самая долгая непрекращающаяся DDoS-атака в отрасли длится с 26 февраля 2023 года, она входит в топ-5 самых длительных DDoS-атак за всю историю наблюдений, констатируют в Servicepipe.
При этом среди частых кибератак на такие компании можно выделить атаки, связанные с подменой контента: когда злоумышленники размещают на сайте информацию, которая может навредить или ввести в заблуждение пользователей, предупреждает руководитель направления Standoff Bug Bounty Positive Technologies Анатолий Иванов. Также стоит отметить, что букмекеры обрабатывают большое количество данных пользователей, что делает их привлекательной мишенью с точки зрения злоумышленников. Украденные данные могут использоваться, например, для дальнейших атак с помощью социальной инженерии на пользователей, а также конкурентами, что может привести к оттоку пользователей на другие платформы.
Веб-ресурсы являются критичными для деятельности букмекеров — если они будут недоступны, это может являться для организации недопустимым событием, реализацией которого станут значительные финансовые убытки, заключают в Positive Technologies.
Существует мнение, что атаки на букмекерскую отрасль редко политически мотивированы, так как находятся вне интересов мировых хакеров, а наоборот являются частью недобросовестной конкуренции, рассказывают в FONBET. «Мы не можем подтвердить случаи атак со стороны наших коллег-конкурентов из легальной сферы». Возможно, какие-то атаки могут быть инициированы теми компаниями, которые не имеют лицензию на территории России и ведут свою деятельность в стране незаконно. «Возможно, таким образом они пытаются привлечь к себе часть наших клиентов»,—предполагают в компании.
В Fonbet видят решение проблемы в переходе на отечественный софт и профильные решения для защиты от кибератак. А также в размещении собственной IT-инфраструктуры на территории России. Основные мощности букмекера — например, процессинговый сервер — расположены в Серпухове, Data-центр в Москве.
Также компания переориентировала защиту персональных данных пользователей и данные о транзакциях на отечественные стандарты: компания еще год назад получила сертификат соответствия ГОСТ Р ИСО/МЭК 27001-2006 «Системы менеджмента информационной безопасности». «Наша задача как компании — сделать пребывание пользователей у нас комфортным, предоставить им наилучшие сервисы, а также обеспечить безопасность их данных»,— заключают в Fonbet.