Хакеры в iGaming: как защитить инфраструктуру и клиентов от кибератак

iGaming-индустрия привлекает не только инвесторов и медиабайеров, но и хакеров. Действия последних наносят как денежный, так и репутационный ущерб для участников рынка. Они могут украсть конфиденциальную информацию, зашифровать базы данных и требовать «выкуп», обрушить всю инфраструктуру и т.д.

Пример конца 2024 года — хакеры атаковали инфраструктуру британской компании International Game Technology (IGT). Для решения проблем оператору пришлось отключать свои системы, а информация об атаке просочилась в СМИ. Ситуация с IGT — это не единичный случай. 

Мы решили узнать о всех нюансах, связанных с кибербезопасностью. Для этого взяли интервью у экспертов из LAOLAB Cyber Security. Разобрались в распространенных хакерских методах, их последствиях для компаний и требованиях по безопасности.

Какие основные киберугрозы существуют для партнерских программ и гемблинг-платформ в 2025 году?

Одна из самых распространенных угроз — фродовый трафик. В этом случае боты имитируют реальных пользователей: проходят регистрацию, базовый KYC, выполняют целевые действия. Мошенники используют эту схему, чтобы «заработать» на таких лидах. 

Вторая проблема — хакерские атаки на платежные системы. Злоумышленники используют схемы с фейковыми транзакциями и чарджбэками (оспаривание платежа с банковской карты). Также хакеры ищут уязвимости в API, особенно, в интеграциях с платформами. 

Еще существуют проблемы, связанные с человеческим фактором. Хакеры могут получить доступ к системе через сотрудников, партнеров или поддержку. Это называется разведкой.

Отдельно выделим злоупотребление акциями казино. С помощью скриптов злоумышленники массово фармят бонусы. Если не отследить такую активность, то компания может уйти в минус.

Как обучать сотрудников и партнеров основам кибербезопасности, и стоит ли? Возможно, выгодней привлекать аутсорс-службы и агентства?

Социальная инженерия — это проблема, с которой сталкиваются все компании, независимо от отрасли. Хакеры часто манипулируют людьми, чтобы получить доступ к важной информации.

Специалисты на аутсорсе — это хороший вариант сотрудничества, например, для проведения пентестов или создания политики безопасности. Только ключевое здесь — внутренние процессы компании. Необходимо регулярно обучать сотрудников, проводить фишинговые тесты, разбирать ошибки и работать над осведомленностью всей команды.

Обучение — это не разовая задача, а постоянный процесс. Без этого не будет ни настоящей безопасности, ни готовности команды к угрозам.

Какие самые распространенные последствия могут быть у утечки данных в iGaming?

Самое очевидное — это ущерб для репутации компании. Игроки и партнеры перестанут доверять платформе и уйдут к конкурентам, а вернуть хорошую репутацию в iGaming-нише крайне сложно. Полный список последствий довольно объемен.

• Уничтожение части инфраструктуры. Это приводит к остановке всех процессов, потере денег и части клиентов уже в процессе атаки.
• Выгрузка и уничтожение баз данных. Хакеры могут получить доступ к паролям и другим конфиденциальным данным, что может привести к вымогательству. Например, в случае с M1 хакеры требовали выкуп за пароль от баз данных.
• Доступ к аккаунтам клиентов. В результате этого клиенты могут потерять деньги, и компании придется компенсировать эти потери. Так произошло с Dolphin Anty.
• Подмена информации. Например, хакеры могут подменить адрес кошелька компании на «левый», что приведет к утечке средств клиентов на их счета.
• Получение доступа к платежной инфраструктуре. Это произошло с одной из криптобирж, что привело к серьезным финансовым потерям.

Еще один не самый очевидный исход — это штрафы от регуляторов. Особенно чувствительны к этому лицензированные бренды. Если компания нарушит правила хранения данных, то может готовиться к проверкам, санкциям и даже риску потери лицензии.

В целом, после крупных утечек бизнес может не оправиться: заморозка платежей, проблемы с провайдерами, уход партнёров. Иногда хакерская атака заканчивается закрытием бизнеса.

Как злоумышленники атакуют гемблинг-платформы?

Злоумышленники становятся изобретательнее в своих действиях, ежемесячно появляются новые уязвимости и способы для обхода систем. Основные методы, которые используют хакеры:

• SQL-инъекции. Они возникают, когда разработчик пишет небезопасный код, что позволяет хакеру изменять запросы к базе данных. В результате злоумышленник может напрямую взаимодействовать с базой данных, например, изменять пароль администратора или создавать дамп данных.

• XSS (межсайтовый скриптинг) — уязвимость на стороне клиента (client-side). Она может возникнуть, когда на сайте не фильтруется пользовательский ввод. Например, на форуме пользователь может ввести код <script>alert()</script> в комментарии и сохранить его. При посещении страницы с таким комментарием у других пользователей будет исполняться JavaScript-код (в данном случае простой алерт). Это может позволить злоумышленнику изменить пароль и получить доступ к чужому аккаунту..
• Вредоносный код через партнёрские кабинеты — да, даже свои партнёры могут быть точкой входа. Заливаются скрипты, которые перехватывают данные или открывают бэкдоры в систему.
• DDoS-атаки. Злоумышленники направляют большие объемы трафика на платформу до тех пор, пока система не перестанет работать. Иногда может быть простая цель: «плати или гасим».
• Обход KYC и AML. В этом случае злоумышленники подключают бот-сети, которые массово проходят верификацию по поддельным документам. После этого на аккаунтах получают бонусы, отмываются деньги, прокручиваются схемы.

Отдельно отмечу такой вид угроз, как brute force, перебор логинов и паролей. Если на платформе нет ограничений по попыткам входа или слабая двухфакторная аутентификация, то хакеры быстро взламывают аккаунты. 

Кроме обычного подбора данных, злоумышленники используют сведения из других утечек. Например, хакер может использовать действующий пароль пользователя с другого сайта. Часто пароли совпадают, что позволяет взломать аккаунт с первой попытки. 

В последнем случае классического брутфорса нет, и с такими атаками сложно бороться. Поэтому все пользователя должны использовать уникальные пароли для защиты собственных аккаунтов.

Какие методы шифрования и аутентификации наиболее эффективны для защиты пользовательских данных и почему? Эти методы выступают стандартом безопасности или компании используют разные методы?

Базовые стандарты шифрования — это AES-256 для хранения и TLS 1.3 для передачи данных. Их используют все крупные платформы, чтобы защитить информацию и инфраструктуру от перехвата, взлома и MITM-атак. 

Для защиты доступа к аккаунтам необходимо использовать двухфакторную аутентификацию (2FA). Если есть мобильные приложения, то стоит подключить авторизацию по биометрии (Face ID, отпечаток пальца).

Если в компании работают удаленные сотрудники, обязательно «заворачивайте» всю внутреннюю инфраструктуру в VPN, и дополнительно к паролю подключите авторизацию по сертификату.

В целом, существуют определенные стандарты, но каждая команда комбинирует решения под свою архитектуру. Главное условия — нужно регулярно проводить аудит и не надеяться, что «однажды настроили — и забыли».

Какие стандарты кибербезопасности должны соблюдать компании в iGaming? Эти стандарты распространяются на всех в обязательном порядке или что-то можно не внедрять?

Ключевые стандарты для iGaming:

• ISO/IEC 27001. Стандарт по управлению информационной безопасностью.
• PCI DSS. Обязательный стандарт безопасности для работы с платежными системами и банковскими картами.
• OWASP. Это чек-лист по безопасности веб-приложений.

Если компания работает с лицензией, например, от MGA или UKGC, соблюдение этих стандартов — обязательное требование. При этом некоторые требования могут быть «рекомендательными», но на деле — это возможные проблемы в будущем. 

Главное для компаний: кибербезопасность — это не галочка для отчётности, а ежедневная работа. Даже надежная сертификация не спасёт, если защита только «на бумаге».

Как обеспечить безопасность платежных транзакций в iGaming? И распространены ли мошеннические действия в этой плоскости?

Для эффективной защиты важно не только следить за соблюдением стандартов безопасности, но и регулярно обновлять системы, проводить внутренние проверки и обучать сотрудников, чтобы они могли вовремя распознавать мошеннические схемы.

в iGaming важно использовать следующие меры для защиты:

• Токенизация. Это технология замены реальных реквизитов банковских карт на уникальный токен, который невозможно использовать в случае утечки. 
• 3D Secure 2.0. Метод требует от пользователя пройти дополнительную проверку перед завершением операции.  
• Антифрод-системы с поведенческим анализом. Системы отслеживают активность на платформе в режиме реального времени и могут определить необычные транзакции. Например, если кто-то пытается внести депозит с нескольких карт подряд или использовать одну карту в разных странах, сотрудник компании узнает об этом.
• Проверка подлинности документов и KYC (Know Your Customer). Проверка данных пользователей и их документов помогает предотвратить фальшивые регистрации и отмывание денег.

Какие инструменты антифрода вы рекомендуете использовать партнерским программам и продуктам, чтобы избежать накрутки «мертвого» трафика?

Не будем рекомендовать конкретные бренды и инструменты, потому что компаниям лучше развивать собственные системы защиты, адаптированные под конкретные нужды бизнеса. Методы, которые могут помочь:

• Антифрод-инструменты. Создайте систему, которая будет отслеживать источники трафика и выявлять аномалии, например, подозрительные клики или фальшивые регистрации.
• Анализ поведения пользователей. Обратите внимание на время сессий, частоту кликов и уникальные идентификаторы устройств. Например, если пользователь несколько раз зарегистрировался с одного и того же устройства, то стоит проверить аккаунты.
• Использование машинного обучения. Системы на основе ИИ помогают находить сложные схемы фрода, даже если они не очевидны.

Лучше инвестировать в создание собственного решения, которое будет идеально подходить для вашего проекта, чем полагаться на готовые инструменты.

Какие требования к кибербезопасности предъявляют регуляторы гемблинга (MGA, UKGC, Curacao)? Нужно ли согласовывать с ними свои действия?

Такие регуляторы, как UKGC и MGA, предъявляют очень строгие требования по безопасности. Например, необходимо внедрять шифрование данных, проводить регулярные аудиты и иметь систему для предотвращения мошенничества. 

У Кюрасао требования мягче по сравнению с другими юрисдикциями, но их нельзя игнорировать. Если не соблюдать базовые стандарты, могут быть проблемы с лицензией.

Если у казино лицензия Кюрасао, то можно не согласовывать все действия по безопасности. Только если что-то пойдет не так, стоит проконсультироваться с юристами или даже с регулятором.

Как партнерским программам соблюдать KYC (Know Your Customer) и AML (Anti-Money Laundering) политики и важно ли это в «серых» нишах?

Если компания работает в «серых» нишах, то важно соблюдать KYC и AML, чтобы избежать проблем с блокировками платежей и другими юридическими рисками. 

Партнерки могут использовать автоматические системы для верификации пользователей, отслеживать подозрительные активности, а также вести логи всех операций. Это поможет не только соблюсти требования, но и снизить риски мошенничества и потери доверия со стороны платежных систем.

Какие новые угрозы вы ожидаете в ближайшие годы? С чем придется столкнуться партнеркам и продуктам, и как этого избежать?

Можно ожидать несколько новых угроз, которые будут требовать особого внимания, среди них:

• Атаки через API и внешние интеграции.
• Мошенничество с использованием ИИ и машинного обучения.
• Мошенничество с криптовалютами.
• Угрозы со стороны инсайдеров.
• Атаки на инфраструктуру и DDoS-атак.

Это малая часть, т.к. хакеры не спят, и нужно быть готовым к любым угрозам. 

В нише за последний год было, как минимум, 1-2 очень громких взлома. Из-за этого слили базу данных игроков крупного бренда. Это проблема на уровне кибербезопасности или на управленческом уровне? Дайте свою оценку произошедшему.

Это сложная и многогранная ситуация, где ошибка, скорее всего, не в одном конкретном месте, а в совокупности факторов. 

Хакеры не действуют быстро — они могут долго планировать свою атаку, изучая систему, выявляя слабые места. В случае с утечкой данных могло быть несколько причин: уязвимости в системе, недостаточный контроль со стороны руководителей или неэффективное обучение персонала. 

Например, социальная инженерия — это один из распространённых способов атаки, когда хакеры вливаются в коллектив, используют доверие сотрудников и подталкивают их к ошибочным действиям.С точки зрения управления, безопасность — это не только про защиту от атак, но и про корпоративную культуру. Безопасность должна быть встроена в процессы компании на всех уровнях, а не быть отдельной задачей для технических специалистов. Это постоянный процесс, где все должно работать согласованно.