Пандемия дала скачок развитию многих отраслей, в том числе и отрасли онлайн-приложений. Однако с ростом их популярности, возросло и количество уязвимостей, которые умело используют злоумышленники.
Сильнее всего настораживает, что самый высокий процент риска как раз приложениях, имеющих доступ к платежам и банковским счетам. Скачав обычное приложение или игру на смартфон, можно остаться без денег и даже самого смартфона. Актуальность этой проблемы обусловлена тем, что у пользователей операционной системы (ОС) Android существует возможность установки приложений и игр не только с официальных магазинов (Play Market, Google Play, AppGallery, Samsung Galaxy Store и других), но и из других источников, что не является безопасным и несет в себе различные угрозы. Поэтому крайне не рекомендуется скачивание и установка файлов и игр из различных неизвестных источников.
Установка приложений из неофициальных и непроверенных источников может повлечь за собой установку различного вредоносного программного обеспечения, которое несет риски утечки ваших персональных данных, доступ к приложениям вашего интернет-банкинга, считывание SMS-сообщений, а также ваш смартфон может стать частью бот-сетей и использоваться злоумышленниками для осуществления различных кибератак, спам-рассылок, несанкционированных звонков и других.
Удаление опасных приложений
Американский эксперт по кибербезопасности Зак Доффман в статье для журнала Forbes призвал пользователей Android-смартфонов как можно скорее удалить восемь опасных приложений.
Среди приложений из официального магазина Google Play Store, которые содержат вредоносное ПО, оказались Cake VPN, eVPN, Pacific VPN, QR/Barcode Scanner MAX, BeatPlayer, Music Player, tooltipnatorlibrary, а также QRecorder.
По словам Доффмана, опасность этих приложений заключается в том, что они могут украсть банковские реквизиты пользователя и даже обойти двухфакторную аутентификацию.
Эксперт заявил, что в перечисленных программах присутствует троян Clast82, способный устанавливать любое вредоносное ПО на смартфон. Clast82 получает удаленный доступ к зараженному гаджету, после чего устанавливает приложение AlienBot для кражи банковских данных.
Специалист порекомендовал после удаления опасных приложений проверить банковские счета на подозрительную активность, а также изменить пароли для входа в мобильный банк.
Ранее Зак Доффман предупреждал об опасности популярного приложения SuperVPN, которое якобы скрывает вредоносное шпионское программное обеспечение и способствует утечке данных.
Уязвимости в популярных Android-приложений
В 60% самых скачиваемых Android-приложений имеется как минимум одна уязвимость, выяснила компания Synopsys. Всего специалисты обнаружили 3137 уникальных проблем, которые могут привести к утечке данных.
Специалисты по информационной безопасности (ИБ) из компании Synopsys проанализировали 3335 самых скачиваемых мобильных приложений для Android в 18 категориях, включая игры, финансовые утилиты и другие. Выяснилось, что в 98% программ используются модули на основе открытого исходного кода, то есть написанного кем-то раньше: в среднем по 20 компонентов на приложение.
Также из исследования следует, что в 63% приложений содержится как минимум один компонент на основе открытого исходного кода с уязвимостью. А в среднем в каждом приложении с потенциально опасным кодом насчитывается 39 проблем с ИБ. Всего же компания обнаружила 3137 уникальных уязвимостей.
Подавляющее большинство найденных несовершенств (94%) известны ИБ-специалистам, и для их решения можно использовать готовые исправления. Около 5% найденных брешей не имеют на сегодняшний день исправлений. Почти 1% обнаруженных уязвимостей можно активировать удаленно.
Углубленный анализ показал, что около 46% несовершенств относятся к группе «высокого риска». Они либо использовались злоумышленниками, либо имеют эксплойты (программы для использования уязвимостей).
В заключение исследователи подчеркнули, что все найденные уязвимости потенциально могут спровоцировать утечку конфиденциальных данных. Например, адресов посещаемых сайтов, IP-адресов, адресов электронной почты, а также более чувствительной информации вроде паролей.
Отмечено, что на iOS ситуация может обстоять так же или хуже. Некоторые из них считают, что обнаруженные уязвимости представляют реальную угрозу, но соглашаются с тем, что после 2020 года злоумышленники станут чаще атаковать приложения, поскольку в период пандемии аудитория мобильных сервисов сильно изменилась.
Устройства Apple тоже в опасности
Как недавно выяснилось, не только андроиды подвергаются атакам вредоносных приложений. Появилась информация о том, что в Apple AirDrop существует уязвимость, которая затрагивает около 1,5 миллиарда устройств Apple.
Ранее на этой неделе исследователи из Технического университета Дармштадта опубликовали в своём блоге информацию об уязвимости технологии передачи данных AirDrop, которая была разработана компанией Apple и впервые представленная в операционных системах OS X Lion и iOS 7.
Уязвимость связана с тем, что AirDrop использует механизм взаимной аутентификации для сравнения номера телефона и электронной почты пользователя с записями в адресной книге устройства, с которым он обменивается данными. Исследователи обнаружили, что злоумышленники могут получить эти данные, имея устройство с поддержкой Wi-Fi и находясь близко к цели, что инициирует процесс обнаружения, открывая панель обмена файлами на устройстве с iOS или macOS. Уязвимость вызвана способом хеширования номера телефона и адреса электронной почты во время аутентификации.
Исследователи отмечают, что впервые обратили внимание на эту проблему еще в 2019 году и сразу же проинформировали об этом Apple. Однако калифорнийский технический гигант до сих не предпринял никаких действий для устранения уязвимости.
Пользователям, опасающимся утечки данных, исследователи рекомендуют полностью отключить AirDrop.
Рекомендации по борьбе с утечками данных
На прошлой неделе заместитель руководителя глобального центра исследований и анализа угроз «Лаборатории Касперского» Сергей Новиков рассказал в беседе с «Известиями», как противостоять утечкам данных при работе в облачных программах для управления проектами.
Недавно стало известно о том, что данные нескольких сотен крупных и тысяч небольших компаний, размещенных на сервисе Trello, оказались в публичном доступе.
«Использование таких бесплатных сервисов сопряжено с некоторыми рисками. Данные в них передаются по нешифрованному каналу, а значит, могут быть перехвачены злоумышленниками. Например, полученные в результате утечки конфиденциальные данные могут быть проданы в даркнете и впоследствии использованы для атак на компанию, откуда они утекли», — сообщил Сергей Новиков.
Для безопасной командной работы следует работать только в платных аналогах таких сервисов с функциями шифрования передаваемых данных, сказал представитель «Лаборатории Касперского».
При этом бесплатные сервисы без функций шифрования следует использовать только для планирования базовых задач, например семейных, которые не содержат конфиденциальной информации.
Ни в коем случае не размещать в бесплатных сервисах для совместной работы конфиденциальную информацию, такую как логины и пароли, клиентские базы данных, подчеркнул IT-специалист.
Кроме того, руководству компаний необходимо регулярно повышать цифровую грамотность сотрудников, что поможет сохранить конфиденциальную информацию от утечки.
По словам Сергея Новикова, особую популярность бесплатные программы для командной работы приобрели среди представителей малого и среднего бизнеса, так как они позволяют оперативно планировать и распределять рабочие задачи, в том числе в командах с удаленными сотрудниками.
Потери от мошенничества с онлайн-платежами
Специалисты аналитической компании Juniper Research полагают, что убытки в электронной коммерции, связанные с мошенничеством, в этом году превысят 20 млрд долларов. Учитывая, что в прошлом году они составили 17,5 млрд долларов, прогноз соответствует росту на 18%.
Проведенное Juniper Research исследование показало, что мошенники нацелены на потребителей, поскольку те все чаще обращаются к электронной коммерции, и на продавцов, уделяющих недостаточно внимания вопросам безопасности.
Одним из способов противодействия мошенничеству названо использование ИИ, которое позволит повысить безопасность на всех потенциально уязвимых направлениях за счет анализа поведенческой биометрии. При этом аналитики уточняют, что повышение безопасности не должно влечь за собой сложности для потребителей.
Исследователи уверены, что лидером по потерям от мошенничества в электронной коммерции будет Китай. В 2025 году на эту страну будет приходиться более 40% убытков от мошенничества в электронной коммерции во всем мире или более 12 млрд долларов.
Слив личных данных на сайтах
Казахстанцы пожаловались на слив их персональных данных на сайтах, в том числе государственных. О работе с ними рассказал глава Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Руслан Абдикаликов.
Наиболее часто граждане жалуются на коммерческие интернет-ресурсы, распространяющие их персональные данные в открытом доступе. То есть человек в поисковике вводит свою фамилию и инициалы, а в ответ выводятся ссылки на сайты, которые содержат сведения о нем: ИИН, дату, место рождения, а при наличии – даже судебные решения.
“В этой связи нами приняты меры по пресечению публикаций в общедоступных ресурсах избыточных данных как в отношении госорганов, так и в отношении частных интернет-ресурсов. В частности, отрегулировано функционирование сервиса Комитета государственных доходов Минфина “Поиск налогоплательщика” в части предоставления ИИН при наборе ФИО и наоборот. В настоящее время сервис доступен только для поиска ИП и юридических лиц”, – рассказал Абдикаликов на брифинге СЦК.
Также, по его словам, два частных интернет-ресурса, распространявших незаконно полученные персональные данные, оштрафовали на 20 МРП – по 58 340 тенге.
Граждане обращаются в связи с распространением своих персональных данных в общедоступных местах, чатах мессенджеров. Жилищно-строительные кооперативы, объединения собственников имущества и коммунальные службы размещают списки должников в подъездах, распространяют в чатах. Зачастую эти списки содержат персональные данные: ФИО, адрес, телефоны владельцев.
“Распространение таких данных является избыточным и может повлечь их использование в целях причинения вреда в случае, если они попадут в руки злоумышленников”, – отметил Абдикаликов.
Он уточнил, что за незаконное распространение в чатах WhatsApp персональных данных жильцов на 20 МРП оштрафовали две управляющие организации столичных жилых комплексов.
“Поступают жалобы на отдельных лиц, которые тем или иным способом незаконно распространили персональные данные. Например, должностные лица неправомерно передают документы, содержащие персональные данные, третьим лицам либо не соблюдают меры по защите, следствием чего становится утечка персональных данных”, – добавил он.
За такие нарушения, по его словам, 6 коммерческих организаций оштрафовали на 100 МРП – по 291 700 тенге, а также одного чиновника на 500 МРП – 1 миллион 458 тысяч тенге.
Он заверил, что все неправомерно распространенные персональные данные изымаются из общедоступных источников.
Продуманные рассылки от злоумышленников
Даже эксперты по информационной безопасности (ИБ) уязвимы перед мошенническими рассылками, которые могут стать причиной компрометации той или иной организации. Во время учебных фишинговых атак это выяснили специалисты BI.ZONE (компания по управлению цифровыми рисками). В тестах кибербезопасники открыли 30% вредоносных писем.
Это самый низкий показатель среди всех исследуемых групп. Но и он показывает, насколько продуманными и подготовленными бывают рассылки от злоумышленников, сказали в BI.ZONE.
Самой уязвимой категорией работников в исследовании BI.ZONE названы сотрудники отделов продаж. В этих подразделениях вредоносные письма были открыты в 68% случаев. Опасна не только высокая доля сама по себе, но и то, что сотрудники отделов продаж работают с данными клиентов и партнеров своих компаний. Такой доступ часто делает «продажников» главной целью злоумышленников, отметили авторы исследования.
«Успешные атаки на специалистов по продажам могут привести к утечкам информации и нанести удар по репутации. Наиболее уязвимые группы — сотрудники коммерческих подразделений и те, кто активно работает с внешними партнерами и заказчиками», — подчеркнул руководитель Центра мониторинга и реагирования на инциденты информационной безопасности Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.
При атаках на эти отделы злоумышленники часто используют мотивацию работников на получение прибыли, уточнил эксперт.
Данные пользователей Clubhouse слили в сеть
Содержащая 1,3 млн учетных записей пользователей Clubhouse база данных SQL оказалась в открытом доступе на популярном хакерском форуме. Об этом сообщает издание CyberNews.
Уточняется, что архив содержит только информацию об аккаунтах Clubhouse. Конфиденциальных сведений, таких как данные кредитной карты или юридические документы, там нет.
Отмечается, что слитые данные злоумышленники могут использовать для проведения целевого фишинга или других видов атак социальной инженерии. Издание подчеркивает, что даже имени профиля с установленными связями с другими профилями пользователя в социальных сетях может быть достаточно для нанесения реального ущерба. Обладая этой информацией киберпреступники смогут проводить более убедительные фишинговые атаки.
В издании отметили, что связались с представителями компании, однако те на запрос журналистов пока не ответили.
Ранее, 9 апреля, сообщалось, что хакеры выставили на продажу данные 500 млн пользователей социальной сети LinkedIn. Архив данных содержал пользовательский ID, имена, почтовые адреса, телефонные номера и ссылки на страницы в других соцсетях.
Новая версия WhatsApp крадёт личные данные
В Сети доступны различные модифицированные версии WhatsApp, но не все они являются безопасными, а некоторые версии могут содержать вредоносное ПО.
Недавно появилась новая версия WhatsApp под названием WhatsApp Pink. В описании говорится, что вы получаете улучшенную версию WhatsApp с дополнительными функциями. Но правда в том, что это приложение является вредоносным.
Сообщения пересылаются со ссылкой для загрузки приложения WhatsApp Pink, которое запрашивает вашу регистрационную информацию, и после регистрации ваши личные данные легко украсть. Информацию обнаружил специалист по кибербезопасности Раджшекхар Раджахария (Rajshekhar Rajaharia).
“Остерегайтесь WhatsApp Pink! В группах #WhatsApp распространяется вирус по ссылке для скачивания APK. Не переходите по ссылке с названием WhatsApp Pink. Полный доступ к вашему телефону будет потерян.” – отметил Раджшекхар Раджахария.
Специалисты рекомендуют никогда не загружать приложения по перенаправленным ссылкам. Для этого необходимо использовать Google Play Store.
Приложение СберБанка определит звонок мошенника
Команда СберБанка объявила о новом полезном новшестве в «СберБанк Онлайн». Теперь в мобильном приложении можно подключить сервис проверки входящих вызовов, который предупредит о том, что звонит мошенник.
Для этого достаточно зайти в раздел «Безопасность» на главном экране и в настройках активировать кнопку «Проверять входящие звонки».
Сервис проверки звонков доступен пользователям свежей версии мобильного приложения на устройствах Android и iOS. Может потребоваться обновить приложение.
Как отмечают разработчики, ежедневно СберБанк обрабатывает порядка 10 тысяч сообщений о попытках мошенничества и, используя собственную модель анализа телефонных номеров, формирует базу для проверки. На данный момент база содержит более 600 тысяч уникальных мошеннических номеров.
Заместитель председателя правления Сбербанка Станислав Кузнецов пояснил:
“Безопасность наших клиентов — это главный приоритет Сбера. К сожалению, количество преступлений с использованием методов социальной инженерии растёт, и сегодня сложно найти человека, которому бы ни разу не позвонили преступники от имени «службы безопасности банка». Наш новый высокотехнологичный сервис помогает клиентам сразу же распознать мошенника и не реагировать на его просьбы. Пользуясь случаем, хочу ещё раз напомнить, что никому, даже сотруднику банка, нельзя сообщать конфиденциальную информацию: номер карты, коды из SMS, трёхзначный код с обратной стороны банковской карты. Передавая эти данные другим лицам, вы фактически предоставляете им доступ к своим деньгам: это всё равно что дать вору ключ от своей квартиры.”
Казахстанцам платят за ошибки на госсайтах
Казахстанские разработчики госсайтов делают работу над ошибками, что конечно же заслуживает уважения. Этичные хакеры теперь зарабатывают на уязвимостях казахстанских госсайтов. О найденных ошибках системы они сообщают с помощью программы Bug Bounty. Об этом рассказал директор WebTotem Олжас Сатиев.
“Такие программы существуют во многих организациях: Mail.ru, Яндекс, Uber, Google. Если какой-то исследователь, этичный хакер нашел уязвимость, он может ее сдать и получить денежное вознаграждение. В Казахстане мы запустили уникальную программу, такой во всем мире нет. Граждане могут сообщить об уязвимости во всех государственных системах. Сейчас уже многие этичные хакеры по Казахстану сдали какие-то уязвимости в критично важной инфраструктуре, в банках: где-то были утечки персональных данных, были уязвимости электронного правительства”, – сообщил Сатиев на брифинге СЦК.
Как рассказал глава Комитета по информационной безопасности Министерства цифрового развития Руслан Абдикаликов, с декабря 2020 года по Bug Bounty получили 172 отчета об уязвимостях. По 11 отчетам белым хакерам выплатили около миллиона тенге.
Олжас Сатиев уточнил, что вопрос о подключении всех банков к программе BugBounty сейчас решается совместно с Нацбанком.
“Неуязвимых систем не бывает, взламывают и Пентагон. Но надо как-то организовать процесс защиты. Например, на прошлой неделе один из исследователей сдал уязвимость, которая влияет на обеспечение жизнедеятельности всего города.. Это уже, можно сказать, окупает всю программу”, – констатировал Сатиев.
