Смартфон стал продолжением нас самих, что делает его очевидной мишенью для мошенников и киберпреступников.
Мобильный телефон стал естественным продолжением человека. Он есть у каждого из нас. С его помощью мы организовываем свою жизнь, будь то поддержание физической формы или управление финансами. Переоценить его невозможно. Но преимущества телефона идут рука об руку со все большим количеством угроз.
Мир мобильных устройств
С появлением смартфонов мобильные устройства стали неотъемлемой частью нашей повседневной жизни. С их помощью мы связываемся с друзьями и коллегами, управляем умными домашними устройствами, совершаем покупки и банковские операции онлайн. Находясь где угодно и в любое время. Молодые пользователи отказываются от традиционных форм банковского обслуживания и отдают предпочтение онлайн-услугам.
Мы храним на устройствах все свои цифровые учетные данные, используем их для совершения самых разных действий. Неудивительно, что мобильные телефоны используются при совершении все большего количества киберпреступлений и все чаще становятся их мишенью. Данные Sift свидетельствуют, что устройства с операционными системами Android и iOS затрагиваются в более чем 50% случаев онлайн-мошенничества.
Угрозы смартфонов
В отчете Verizon 2020 Mobile Security Index мобильные угрозы распределены по четырем основным категориям: пользователи, приложения, программное обеспечение, а также устройства и сети, к которым они подключаются. Обсудим некоторые из этих угроз, двигаясь в том же порядке.
Угрозы пользователей
Сами пользователи — первый рубеж защиты любого устройства. Их способность противостоять угрозам напрямую зависит от их знаний, бдительности и технологий защиты.
Фишинг — самый старый, наименее технологичный, но при этом наиболее постоянный и распространенный тип онлайн-угроз. Обладатели мобильных устройств часто становятся их мишенью, а методы злоумышленников становятся все изощреннее.
Большинство традиционных фишинговых кампаний осуществляется посредством электронной почты. Мошеннические письма распространяются якобы от имени добропорядочных организаций и используются для получения конфиденциальных данных от жертвы. Но мобильные устройства открывают множество новых векторов атаки. Атаки по электронной почте никуда не делись, но помимо них пользователи могут получать вредоносные текстовые сообщения, телефонные звонки и даже мошенническую рекламу (разновидность вредоносной рекламы) в приложениях и на веб-страницах. По данным, предоставленным Lookout, почти половина пользователей, переходивших по фишинговой ссылке, становилась жертвой подобных атак не меньше шести раз. Хотя такие угрозы отнюдь не новы, фишинговые атаки по-прежнему остаются эффективными.
Мы можем пострадать от этого вида мошенничества, даже не являясь непосредственной мишенью. Один из городов во Флориде потерял около 750 тысяч долларов из-за фишинговой атаки, в ходе которой мошенник выставил себя в роли подрядчика и попросил местные власти обновить платежные данные. В результате средства города были отправлены злоумышленнику. А год назад правительство Пуэрто-Рико потеряло 2,6 миллиона долларов из-за фишингового письма, что фактически привело к краже этих денег у налогоплательщиков. Мобильные телефоны часто используются для запуска масштабных мошеннических кампаний, так как злоумышленник может объяснить свои сложности с подтверждением личности тем, что находится в дороге.
Атаки с искажением URL-адреса нередко являются частью фишинговой кампании и могут рассматриваться как мобильная угроза сами по себе. На мобильном устройстве бывает намного сложнее проверить подлинность ссылки или URL-адреса, чем на компьютере. Мобильные приложения для выхода в интернет не предоставляют информацию, связанную с безопасностью, в таком же доступном виде, как браузеры ПК, а ссылки, отправленные в текстовом сообщении, можно без труда исказить при помощи различных техник. Искажение URL-адресов может ограничиваться простой заменой домена верхнего уровня в адресе или использованием похожих символов (например, «0» вместо «О», «cl» вместо «d» и т. п.).
Более изощренная форма этой атаки основана на использовании омографов. В этом случае один или несколько символов доменного имени заменяется похожими знаками из другого языка, например греческая буква «τ» вставляется на место латинской «t». Это позволяет преступникам зарегистрировать адрес вроде microsofτ.com (это лишь пример) и использовать его для создания вредоносного сайта. Пользователя будет несложно убедить, что ссылка ведет на настоящий сайт microsoft.com.
Пользователи мобильных устройств часто предоставляют приложениям разрешения, не вдаваясь в подробности. В теории это позволяет мошенническим приложениям использовать камеру устройства для шпионажа за пользователем или записывать информацию о нем (например, учетные данные, включая банковские). Подобное не всегда происходит по вине невнимательного пользователя. Некоторые вредоносные мобильные программы могут накладывать выглядящие безобидно запросы на разрешения на настоящие, убеждая жертву, что она не дает разрешения ни на что серьезное, тогда как в действительности программа получает доступ ко всем файлам на устройстве или конфиденциальным данным.
Угрозы приложений
Назвать количество смартфонов, используемых по всему миру, непросто. По одной из оценок, в 2018 г. было 2,3 миллиарда смартфонов с ОС Android. Согласно другим данным, около 100 миллионов из них было заражено вредоносными программами. Телефонов с iOS меньше, но обе категории пользователей постоянно подвергаются атакам через используемые ими приложения.
Очень часто атаки выполняются с помощью приложений, которые были вредоносными изначально или стали такими из-за действий злоумышленников. Обычно они проникают на устройство, когда пользователь устанавливает программу не из официального магазина приложений. Во многих случаях в качестве приманки используется «взломанная» версия коммерческого продукта, но это может быть и специально созданное приложение, имитирующее игру, но содержащее вредоносное ПО.
Но мошеннические приложения можно встретить и в официальных магазинах. Недавно нши исследователи обнаружили 204 новых приложений в App Store и Google Play, которые были загружены более миллиарда раз и принесли разработчикам более 400 миллионов долларов дохода.
Опасность вредоносных приложений также растет. Некоторые программы-вымогатели не просто блокируют локальные файлы, они добираются и до облачных хранилищ (например, Google Drive). Все чаще встречаются и программы, не только блокирующие данные, но и угрожающие опубликовать личные файлы в сети. Удивительно много людей делает собственные интимные фотографии с помощью мобильных устройств, чтобы отправить их своим возлюбленным. Опрос, проведенный в 2014 года, показал, что 90% молодых женщин из поколения миллениалов делали интимные снимки с помощью телефона. Их публикация может вызвать крайнюю неловкость и привести к травле в Интернете. В метаданных изображений может содержаться информация о местоположении, раскрытие которой не всегда безопасно для пользователя.
Наблюдается рост в сфере шпионских — сталкерских — программ обычно устанавливаемых ревнивым партнером для слежки за местоположением и друзьями жертвы. Все это показывает разнообразие не только самих угроз для мобильных телефонов, но и их источников.
Угрозы устройств
Подмена SIM-карты — серьезная угроза, распространенность которой с 2016 г. удваивалась ежегодно. Киберпреступники обращались к мобильному оператору, услугами которого пользовался обладатель телефона, и убеждали его перенести телефонный номер жертвы на другую SIM-карту («Я купил новый телефон, вот вся информация, перенесите мой телефонный номер»). Преступник будет вместо жертвы получать все звонки и текстовые сообщения, включая коды двухфакторной аутентификации, пока обман не вскроется. К сожалению, провернуть подобное очень просто, и жертвой становился даже генеральный директор Twitter Джек Дорси.
Для большинства атак не требуется непосредственный физический доступ к устройству, но получение такого доступа позволяет просто и эффективно нарушить конфиденциальность жертвы. Хакеры могут подменить или модифицировать общедоступную точку зарядки, чтобы добраться до устройства. В английском этот вид атаки получил красочное название juice jacking — «сбор сока». Взломанное зарядное устройство можно использовать для установки вредоносных программ.
Все эти инновационные способы атак становятся необязательными, если злоумышленник получает доступ к телефону. А для этого достаточно подобрать забытое или потерянное устройство.
Сетевые угрозы
Наши мобильные устройства по определению являются устройствами Интернета вещей (IoT), часто они выступают в роли центра управления другими такими устройствами. Они требуют той же осторожности, что и другие IoT-устройства, ведь их потеря может привести к злоупотреблению всеми умными устройствами, управляемыми с телефона.
Атаки посредника (Man in the middle) часто выполняются при помощи общедоступных точек доступа Wi-Fi. Для этого злоумышленники могут взломать чью-то сеть или создать собственную вредоносную точку доступа. По статистике, ежегодно с атакой посредника сталкивается 7% мобильных устройств. К каждой бесплатной точке доступа Wi-Fi необходимо относиться с осторожностью, где бы она ни находилась: в кафе, гостиницах, аэропортах или любом другом месте.
Как защитить себя
Большинство мобильных угроз основано на социальной инженерии (хотя есть и исключения): злоумышленник убеждает пользователя сделать то, что нужно ему, а не самому пользователю. Первой линией самообороны является ваша осведомленность об угрозах. Здесь мы обсудили некоторые из них, но далеко не все. Необходимо постоянно сохранять осведомленность, проявляя бдительность и получая новую информацию.
Не все угрозы основаны на социальной инженерии. В 2019 году из-за ошибки в приложении WhatsApp для удаленного заражения достаточно было телефонного звонка, при этом пользователю даже не нужно было отвечать на него. Там, где осведомленность не может предотвратить заражение, помогут технологии. Каждому пользователю необходимо установить на свой телефон надежную программу защиты от вредоносных программ.
Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.