Мобильные приложения стали отмычкой для платежных карт
Сбербанк объявил о предотвращении крупномасштабной атаки на платежные карты жителей России. Заместитель председателя правления Сбербанка Станислав Кузнецов заявил, что за атакой стоял один из украинских разработчиков мобильных приложений. Данные для встроенных покупок, в том числе реквизиты карт, вопреки требованиям международных платежных систем, хранились на устройствах локально, чем и воспользовались злоумышленники.
"Большая часть авторов адекватна и добросовестна, но нельзя исключать и процент, который делает мобильные приложения для совершения мошеннических действий. Более того, нужно учитывать и нынешнюю ситуацию с уходом иностранных компаний с российского рынка: аннулируются не только устные договоренности, но и договоры. По классам ПО нет явной привязки. Репутация, масштаб бизнеса компании гораздо важнее. Ведь уходить с рынка тоже можно по-разному - можно цивилизованно, а можно сжигая все мосты. Между тем текущие потребители тоже видят действия компании и делают выводы, что и с ними могут обойтись не очень хорошо", - полагает аналитик компании Zecurion Мария Ефремова.
Схожей точки зрения придерживается эксперт по кибербзопасности "Лаборатории Касперского" Виктор Чебышев: "В каждой стране есть законы, регламентирующие работу приложений, и разработчики обязаны их соблюдать, чтобы работать на территории той или иной страны. В большинстве случаев авторы приложений добросовестно подходят к сбору и хранению данных, но инциденты, связанные с утечками данных и их некорректным хранением, иногда случаются".
Директор по продуктовой стратегии группы Т1 Сергей Иванов считает данную атаку с использованием человеческого фактора вполне типичной: "Человеческий фактор остается основной причиной инцидентов информационной безопасности уже на протяжении нескольких десятилетий. В 95% случаев к неблагоприятным последствиям приводят неправильные действия или бездействие конечных пользователей информационных систем и финансовых приложений на частных персональных устройствах. Это провоцирует злоумышленников на новые виды атак, которые фактически не предусматривают никаких сложных технологических решений - все необходимые предпосылки дает сам пользователь. Такие случаи достаточно регулярны. Например, в 2015 г. запрещенной в России террористической организации ИГИЛ удалось захватить управление учетной записью Центрального командования США в Twitter, воспользовавшись отсутствием двухфакторной аутентификации".
Руководитель технического взаимодействия с клиентами центра Solar appScreener компании "Ростелеком-Солар" Антон Прокофьев считает, что то, насколько ответственно авторы мобильных приложений подходят к обеспечению защиты обрабатываемых чувствительных данных пользователей, зависит в первую очередь от конкретных авторов приложений, причем доля по-настоящему ответственных разработчиков довольно мала.
"Есть ряд специалистов, которые в рамках разработки ПО опираются на выстроенные процессы безопасной разработки, в результате чего они выпускают действительно качественные и безопасные продукты. К сожалению, процент таких команд относительно всего рынка очень мал. Сегодня большинство приложений содержат уязвимости, а некоторые из них даже НДВ (функциональные возможности ПО, не описанные или не соответствующие заявленным в документации; при их использовании возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации). В нашей практике были примеры, когда заказчики просили проверить приложения, разработанные сторонними разработчиками. В одном случае проверенная в рамках приемочного тестирования версия кода сильно отличалась от той, что находилась в магазине приложений. Сторонние разработчики передали на Review не финальный код. Как выяснилось, финальный код имел критичные уязвимости, нарушающие конфиденциальность данных. В другом случае в приложении для заказа еды была заложена НДВ, где некий "Василий Пупкин" получал привилегии администратора приложений. Таким образом, используя приложение, он получал безграничный доступ к оформлению заказов, которые не требуют оплаты", - рассказывает Антон Прокофьев.
Станислав Кузнецов обратил внимание, что целевой аудиторией мобильных приложений являются молодые люди в возрасте до 25 лет. Однако, как предупреждает Мария Ефремова, явные взаимосвязи между возрастом и уязвимостью к подобным атакам сложно найти. Виктор Чебышёв также не видит корреляции между возрастом потенциальных жертв и их восприимчивостью к атакам, хотя механизмы, которые используют злоумышленники для воздействия на своих жертв, могут отличаться. Вместе с тем, как считает Мария Ефремова, люди разных возрастов не читают внимательно пользовательские соглашения и тем самым дают разработчикам доступ к личным данным. "Атаки на пользователей действительно возможны, ведь обычно пользователь собственноручно устанавливает приложение и дает доступы к своим данным - часто бывает, что пользователь нажимает "Далее" даже не читая, на что он соглашается, - обновляет приложении, но всегда у пользователя есть информации, что содержится в этом самом обновлении. Возможно, данные, которые собирает приложение, окажутся чувствительными для пользователя, а компрометация этих сведений принесет вред. Один из вариантов, как могут быть скомпрометированы данные: в компании-разработчике приложения также может произойти внутренняя утечка данных - например, инсайдер может просто украсть базу данных, где содержатся те самые чувствительные данные, при этом пользователь не будет даже знать о том, что это его коснулось, ведь часто о подобных происшествиях неизвестно в публичном пространстве", - говорит Мария Ефремова.
Антон Прокофьев обращает внимание и на то, что злоумышленники могут воспользоваться разного рода уязвимостями: "На практике уязвимости встречаются в любом ПО. Сейчас свежи в памяти критические Zero-Day-уязвимости, такие как Log4j, и уязвимость в Spring. Поэтому даже если компания проводит проверки на безопасность и в результате анализа приходит к выводу, что продукт безопасен, есть не нулевая вероятность, что какую-то уязвимость пока не обнаружили и не внесли в официальный список CVE. Существуют и атаки, в ходе которых эксплуатируются уязвимости, и НДВ, которые эксплуатируются комплексно. Приведу пример - разработчик забыл убрать отладочный код, который отправлял данные пользователей на сервер, при этом приложение уже находилось в магазине Google Play и содержало уязвимость, которая при определенных обстоятельствах позволяет реализовать атаку Man in the middle. Таким образом, злоумышленник мог получить доступ к конфиденциальным и платежным данным пользователей. И таких примеров можно найти достаточно много".
"Угрозы для пользователей мобильных приложений разнообразны, и злоумышленники не ограничиваются одним лишь вредоносным ПО. Существуют мошеннические приложения, которые обманным способом пытаются заставить жертву ввести данные карты якобы для начисления на нее бонусов или выигрышей, а на самом деле производят списание денежных средств. Есть рекламные приложения, которые в произвольные моменты времени показывают рекламные баннеры и собирают различные данные жертвы. Также есть кроссплатформенная угроза фишинга - когда злоумышленники пытаются выведать логины и пароли, например, от онлайн-банкинга или данные карты. Есть сталкерский софт, который может мониторить все, что происходит с устройством, в том числе делает скриншоты, фото с камер устройства, отслеживает локацию и т.д., - предупреждает Виктор Чебышев. - Ландшафт мобильных угроз постоянно развивается, появляются новые схемы и инструменты, поэтому пользователям стоит всегда сохранять бдительность при работе с различными ресурсами и приложениями. Не лишним будет использовать защитные решения для мобильных устройств, которые помогут заблокировать вредоносное ПО, не дадут перейти по подозрительной ссылке".
Согласно итогам исследования Positive Technologies "Актуальные киберугрозы: итоги 2021 г.", почти четверть (24%) всех атак в отношении частных лиц, совершены с использованием мобильных устройств. В 77% случаев предметом посягательств были данные, из которых почти половина (46%) - реквизиты платежных карт.