Как приложения для смартфонов крадут деньги и личные данные

Как избежать фишинга и других видов мошенничества

Если во время просмотра веб-страниц появляется сообщение о наличии вируса на устройстве iPhone, компьютере Mac или другом устройстве Apple, или кто-то утверждает, что звонит из компании Apple и запрашивает ваше имя пользователя и пароль учетной записи, вероятно, вы стали целью мошеннической атаки. Вот несколько мер, которые можно предпринять во избежание ущерба. 

• Защита идентификатора Apple ID. Используйте двухфакторную аутентификацию, всегда храните свою контактную информацию в надежном месте и регулярно обновляйте ее; никогда никому не сообщайте свой пароль идентификатора Apple ID или коды подтверждения. Служба поддержки Apple никогда не запрашивает эту информацию.
• Узнайте, как определить подлинность электронных писем от компании Apple о ваших покупках в App Store или iTunes Store. 
• Никогда не используйте подарочные карты App Store, iTunes и Apple Store для осуществления других типов платежей. 
• Если вы отправляете или получаете деньги с помощью Apple Pay (только для США), относитесь к этому как к любой другой конфиденциальной транзакции.
• Узнайте, как обеспечить безопасность устройств Apple и ваших данных.
• Ни при каких обстоятельствах не передавайте личную информацию, такую как номера кредитных карт, если не можете убедиться, что получатель является тем, за кого себя выдает.
• Не переходите по ссылкам, не открывайте и не сохраняйте вложения в подозрительных или нежелательных сообщениях. 
• Если у вас есть какие-либо сомнения по поводу запроса или сообщения, или если вам просто необходимо направить какой-либо компании обновленные данные, свяжитесь с этой компанией напрямую.

Почему утечка со смартфона — это плохо?

В 2020 году в России продали более 30 миллионов смартфонов. То есть, новый девайс купил каждый пятый житель страны, включая детей и стариков. И если еще недавно было принято считать, что современная техника — удел молодых людей, то сейчас человек без смартфона (или хотя бы кнопочного телефона) — исключение, а не правило. По сути, вся деловая активность современного человека так или иначе присутствует в смартфоне, а для некоторых людей это вообще основной рабочий инструмент.

Но у этой тенденции есть и обратная сторона: чем больше всего привязано к одному устройству, тем проще всего этого лишиться. К тому же, несмотря на истории с утечками информации через мобильные телефоны, россияне продолжают «складывать все яйца в одну корзину». То есть, доверяют своим устройствам буквально всю информацию.

Об этом пока не принято говорить открыто, но смартфон знает о своем владельце буквально все. Например, среднестатистическому устройству на Android доступна такая информация:

1. личный контент — фотографии, видео, аудио, скриншоты и многое другое. Чаще всего это хранится в незашифрованном виде, и почти всегда доступно при подключении устройства к компьютеру по кабелю;
2. аккаунты в Google и других сервисах — так сложилось, что буквально все аккаунты «подвязываются» к аккаунту пользователя на Google, через него так удобно авторизоваться в других приложениях. Но сама по себе учетная запись Google у многих защищена только паролем, иногда к нему добавляется и номер телефона — это легко открывает любые аккаунты, привязанные к той же электронной почте;
3. пароли к разным сервисам — они могут храниться в аккаунте Google, есть аналогичные сервисы у Samsung и других производителей. Это удобно, но при этом чревато проблемами в случае утери смартфона;
4. банковские карты, привязанные к Apple / Google / Samsung / Mir Pay. Платить смартфоном с карты удобно, но тоже поднимает некоторые серьезные вопросы.

Кроме того, аккаунт Google хранит огромный объем информации о пользователе — начиная от истории браузера и заканчивая историей его передвижений (причем передвижения фиксируются очень точно, по дням и часам, с привязкой к географическим координатам).

Другими словами, если смартфон потеряется или к нему кто-то получит удаленный доступ, можно потерять все и сразу — начиная от репутации (в сеть периодически «сливают» фотографии знаменитостей, украденные с их смартфонов) и заканчивая деньгами (через банковские приложения) и даже работой (за нарушение коммерческой тайны могут уволить).

На дворе уже 2021 год, и принято считать, что разработчики софта для смартфонов позаботились о безопасности, говорит аналитик Валерия Губарева. По ее словам, за некоторыми исключениями, злоумышленники, скорее всего, не смогут получить доступ к данным на смартфоне:

Защита на смартфонах iOS или Android от взлома надежна. Среднестатистическому хакеру разблокировать современные смартфоны проблематично. Например, запустить скрипт и взломать девайс не получится, потому что iOS или Android заблокируется. Однако предположим, что злоумышленник смог это сделать, тогда попасть в Галерею получится без труда, поскольку она по умолчанию не закрывается паролем. Сможет ли посмотреть переписку владельца — зависит от конкретного мессенджера и его настроек. Но зачастую это не так сложно. Приложения онлайн-банков и Apple или Google Pay защищены и отпечатком пальца, и паролем. Разблокировав смартфон, злоумышленник сможет разблокировать и владелец использует слабый пароль, например, год рождения, то разблокировать смартфон будет просто. Все остальные варианты обхода уходят в шпионаж и фантастику: подсмотреть какой пин вводит владелец, поискать о нем информацию и угадать числа, имеющие отношение к его личной жизни, забрать в баре его бокал, чтобы перевести отпечаток на форму... Напоминает сюжет фильма и редко встречается в повседневности.

Валерия Губарева, аналитик Digital Security

Однако большинство историй о взломанных смартфонах касаются не высоких криптографических технологий, а банального человеческого фактора. Да, владельцы смартфонов чаще всего сами выдают всю нужную информацию. Об этом поговорим дальше.

Есть ли повод для беспокойства?

Как сообщили представители компании Facebook, они знают о новом программном обеспечении. Однако специалисты по безопасности не считают ее слишком вредоносной, поэтому нет никаких поводов для беспокойства, а вероятность очередной утечки конфиденциальных данных практически полностью исключена.

Тем не менее информация не была проигнорирована. Сейчас специалисты занимаются изучением алгоритма работы программного обеспечения. Если проблема действительно окажется важной, то они займутся ее устранением.

Но, как утверждает глава отела по кибернетической безопасности из компании Positive Technologies Ярослава Бабина, алгоритм всего-лишь автоматизирует процесс подбора адресов электронной почты и получения информации о пользователях. Таким образом он предоставляет доступ к архитектуре социальной сети, благодаря чему злоумышленники получают данные, которые находятся как в свободном, так и в закрытом доступе.

А это говорит о том, что разработать подобную программу удалось только из-за уязвимости сайта, существующей в результате допущенных ошибок программистов.

Атаки на основе IoT

Довольно молодой угрозой и уязвимостью информационной безопасности организации являются подключенные к интернету “умные” устройства. Проблема заключается в том, что не на всех этих интеллектуальных устройствах установлена надежная защита, что позволяет злоумышленникам получить доступ к этим устройствам для проникновения в рабочую сеть организации.

Хорошим примером угрозы информационной безопасности на основе IoT является «Reaper» — вредоносное ПО, использующее уязвимости в устройствах IoT для получения доступа и распространения. Конечным результатом этого типа атаки является то, что субъекты угроз могут привлекать миллионы скомпрометированных устройств IoT для проведения крупномасштабных атак, в том числе распределенных атак типа «отказ в обслуживании» (DDoS), которые обычно нарушают работу веб-сайтов, интернет-сервисов и блокируют их.

Однако для самой организации активно действующей IoT, наибольшей угрозой информационной безопасности является прямое использование устройств IoT злоумышленниками для прослушки рабочих мест и отслеживания внутреннего сетевого трафика организации который часто бывает не зашифрован.

Что такое атаки на основе IoT?

Проще говоря, IoT-атака — это любая кибератака, в которой жертва использует умные устройства, подключенные к Интернету (такие как динамики с поддержкой Wi-Fi, голосовые ассистенты, будильники и т. п.), чтобы обеспечить проникновение вредоносных программ в сеть. Эти атаки нацелены на устройства IoT, в частности, потому что они часто упускаются из виду, когда речь идет о применении патчей безопасности, что подвергает риску именно этот вид устройств.

Уязвимости известных приложений

В официальных приложениях тоже появляются уязвимости. Например, весной 2019 года стало известно о проблеме в Вотсапе: после звонка злоумышленника в телефоне появлялся вирус. Причем пользователь мог даже не отвечать на звонок, а информация о пропущенном вызове удалялась из истории.

Защитите свои деньги!Подпишитесь на нашу рассылку: расскажем, как уберечься от мошенников из интернета и реальной жизниПодписаться

Если уязвимость Вотсапа использовали для атаки на небольшую группу людей, то ошибка в коде Фейсбука поставила под угрозу 50 миллионов аккаунтов. Осенью 2018 года злоумышленники похитили данные входа, и компании пришлось принудительно разлогинить пользователей со всех устройств.

Из недавних уязвимостей: мошенники могли использовать приложение «Зум» для подключения любого пользователя к видеозвонку без его ведома. Похожая ошибка ранее возникала в «Фэйстайм»: звонивший видел запись с фронтальной камеры другого абонента до того, как он возьмет трубку.

Как защититься. Следовать примеру Марка Цукерберга и заклеивать камеру. Скачивать последние версии приложений: после выявления бага разработчики обычно быстро выпускают обновление — можно успеть защитить данные.

Чем опасен простой пароль

Как избавиться от сообщения «ненадежный корпоративный разработчик» на айфоне

Как убрать безопасный поиск в ВК на айфоне

Вопрос о том, как сделать приложение надежным на айфон, еще не решен. Чтобы программы из неофициальных источников могли спокойно устанавливаться, необходимо убрать уведомление, то есть полностью избавить себя от его появлений. Для этого есть два способа:

• удалить программу, которую операционная система считает забракованной;
• выполнить добавление разработчика в «доверенные».

Первый способ самый простой и объяснять его не нужно. Программа просто удаляется и ей ищется замена. Это не всегда устраивает пользователей, поэтому следует перейти ко второму способу.

Для его выполнения:

1. Включают телефон и переходят в его главное меню.
2. Выбирают пункт «Настройки» и раздел «Основные».
3. Находят параметр «Управление устройством».
4. После открытия сразу же будет виден список корпоративных программ, которые установлены на девайсе.
5. Выбирают программу, которую необходимо внести в этот список и нажимают на кнопку «Доверять (Название программы)».

После этих действий разработчик и все его приложения станут доверенными, и операционная система айфона или айпада не будет «ругаться» на их установку.

Отключать сообщение нужно в конфигурациях смартфона

Вредоносные приложения

Еще одной киберугрозой, поджидающей пользователей мобильных устройств, являются вредоносные приложения, они тоже постоянно развиваются. Такие программы могут осуществлять самую разнообразную злонамеренную активность на устройстве жертвы, например, без его ведома совершать покупки в магазинах приложений. Деньги пользователя в таких случаях идут прямиком в карман злоумышленников. Порой таким приложениям даже не требуется взаимодействия с пользователем, что по-настоящему пугает.

Поскольку эти программу внедряются в прошивку, они могут установить в систему любое приложение, которое пожелает киберпреступник. При этом никакого взаимодействия с пользователем девайса не требуется.

Среди злонамеренных приложений есть и те, что маскируются под легитимный софт. Недавно, например, был обнаружен вредонос, атакующий пользователей Android, который при этом маскировался под Google Maps. После загрузки эти приложения пытались замаскироваться, отображая пользователю официальную иконку Google Maps или логотип Google Play Store.

Рисунок 3. Иконка вредоносного приложения, маскирующегося под Google Maps

Различные уязвимости в мобильных операционных системах только усложняют ситуацию. Многие киберпреступники отслеживают появление новых брешей, некоторые даже организуют стартапы, которые предлагают до $3 млн за 0-day эксплойты для Android и iOS.

А с помощью недостатков в безопасности устройств можно сделать многое — например, обнаруженная в апреле уязвимость «Trustjacking» позволяла злоумышленникам удаленно управлять iPhone. Trustjacking можно было использовать, заманив пользователя на сайт, на котором размещен специальный код.

Иногда не спасают и меры безопасности, разработанные корпорациями Google и Apple для своих магазинов Google Play и App Store. Так, в Google Play эксперты наткнулись на шпионскую программу, которая пыталась замаскироваться под мессенджер. После установки мессенджер загружал второе приложение, которое собирало информацию о местоположении устройства, сохраненные звонки, аудио- и видеозаписи, текстовые сообщение и другую частную информацию пользователей.

С ростом популярности криптовалют, а также их курса, злоумышленники заинтересовались программами-майнерами, добывающими для хозяина криптовалюту за счет устройств обычных пользователей. В том же Google Play исследователи нашли легитимные программы, которые были оснащены скрытыми майнерами.

Сбор конфиденциальных данных также интересует преступников, поэтому они разрабатывают приложения вроде KevDroid, который может записывать звонки, совершаемые пользователем по мобильному устройству под управлением операционной системы Android.

Многие придерживаются мнения, что по части защиты от вредоносных приложений система iOS справляется куда лучше, чем ее основной конкурент. Бывший глава Владивостока Игорь Пушкарев, находящийся под следствием, как-то призвал граждан не пользоваться мобильной операционной системой Android. По мнению Пушкарева, эта система крайне недостойно защищена.