Перебои в работе банков возникли во второй половине дня 9 июня. С одной стороны, в целом ряде банков начались проблемы с проведением оплаты по картам в интернете. С другой, как сообщили «Ведомости», временно перестали работать платежные терминалы «Сбербанка»; в колл-центрах еще нескольких банков изданию заявили, что у клиентов может не получиться расплатиться из-за проблем с картами. Также поступали сообщения о проблемах в работе сервиса «Сбербанк-онлайн» и банкоматов Сбербанка. Сбои в работе платежных систем были устранены в течение нескольких часов; к 7 вечера в банках заявили, что все работает в обычном режиме. При этом проблемы с проведением оплаты по картам в интернете сохранялись по крайней мере до позднего вечера 9 июня.
Проблемы с проведением оплаты в интернете были связаны с «дырой» в реестре Роскомнадзора. О том, как работает уязвимость в реестре, «Медуза» подробно рассказывала ранее. Вкратце это выглядит так. Роскомнадзор предусматривает блокировку по доменным именам, а владелец любого ресурса может в базе данных доменных имен (DNS) связать со именем своего ресурса любые IP-адреса. Прописывая таким образом адреса сторонних сайтов (от «Википедии» до интернет-кинотеатров), активисты добивались их блокировки теми провайдерами, у которых не предусмотрена система защиты от такого рода манипуляций.
9 июня владельцы заблокированных доменов стали привязывать к именам своих ресурсов в DNS серверы авторизации интернет-платежей крупнейших российских банков. Например, владелец сервиса обхода блокировок antizapret.prostovpn.org сообщил «Медузе», что человек, владеющий заблокированным доменом segodel.com, привязал к нему IP-адрес банка «Русский стандарт». В телеграм-канале «Сайберсекьюрити и Ко» был опубликован список из сотен IP-адресов, который мог быть использован для того, чтобы заблокировать банковские сервера.
Роскомнадзор отрицает, что проблемы с платежными сервисами были связаны с хакерскими атаками. О том, что «информация об атаках на платежные системы не подтверждается», представитель ведомства заявил ТАСС. Позже МВД заявило, что намерено провести проверку в связи с распространением «заведомо ложной информации» о сбоях в работе платежных систем крупных российских банков «в результате DNS-атаки», уточнив, что лица, причастные к распространению этой информации, уже установлены.
Представители Роскомнадзора в нескольких регионах попросили провайдеров прекратить блокировку с использованием DNS-резолвинга (то есть обращений к базе DNS). Об этом «Медузе» рассказали несколько провайдеров Северо-Западного федерального округа, которым позвонили представители ведомства. В телеграм-канале «Сайберсекьюрити и Ко» было опубликовано письмо, которое предположительно было разослано провайдерам управлением Роскомнадзора по Уральскому федеральному округу; в нем сообщается, что «до 16 июня 2017 года необходимо осуществлять ограничение доступа к интернет-ресурсам только по тем IP-адресам, которые указаны в Реестре (не осуществлять DNS-резолвинг)».
Руководитель пресс-службы Роскомнадзора Вадим Ампелонский на звонки и сообщения «Медузы» днем 10 июня не ответил.