Злоумышленники всё активнее используют уязвимости в мобильных приложениях, чтобы монетизировать полученный доступ. В их распоряжении — угнанные аккаунты, которые могут применяться для фишинга, рассылки поддельных уведомлений и выманивания денег за несуществующие услуги. Кроме того, атакующие получают возможность похищать средства с внутренних счетов и пользоваться чужими платными подписками.
Газета «Известия» привела ряд реальных примеров того, как именно злоумышленники могут использовать уязвимости в популярных мобильных сервисах.
По данным AppSec.Sting, на которые ссылается издание, до 70% мобильных приложений содержат уязвимости. В первых 100 самых популярных сервисах было выявлено свыше 2000 уязвимостей, из которых около 500 — критические.
Чаще всего при атаках применяется социальная инженерия. Злоумышленники выдают себя за сотрудников технической поддержки, убеждают пользователей сменить пароль или «пройти проверку», а затем выманивают у них коды авторизации. Аналогичные схемы используются и для кражи учётных записей на Госуслугах.
Как пояснил руководитель исследовательской группы Positive Technologies Фёдор Чунижеков, мошенники часто пугают пользователей «подозрительной активностью» или возможной блокировкой аккаунта. Под этим предлогом они запрашивают логин, пароль, фото документов, одноразовый код из СМС или пуш-уведомления.
Ещё один распространённый способ — фишинг. Жертву привлекают «выгодным» предложением: получить дополнительные функции приложения бесплатно или по сниженной цене. Для этого предлагают перейти по ссылке и ввести данные на поддельном сайте.
Иногда атака возможна из-за конкретных технических уязвимостей. Например, в одном из сервисов адреса электронной почты были недостаточно замаскированы. Это позволило злоумышленникам легко подобрать нужные учётные данные. В результате одна из компаний в сфере услуг лишилась аккаунта, которым пользовалась пять лет. Вместе с ним исчезли подписки и средства на внутреннем счёте — восстановить доступ не удалось.
Схожий случай произошёл с предпринимателем, оказывавшим транспортные услуги. Он находился в отъезде, когда злоумышленники взломали его аккаунт и похитили хранившиеся там средства. Также были утеряны платные функции, информация о клиентах и основной канал взаимодействия с заказчиками.
«Не переходите по ссылкам из подозрительных сообщений, не вводите логины и пароли на сайтах, в подлинности которых сомневаетесь, не поддавайтесь на слишком щедрые предложения или тревожные уведомления, — советует руководитель российского подразделения Kaspersky GReAT Дмитрий Галов. — Одно из главных условий защиты аккаунтов — соблюдение парольной гигиены: используйте уникальные и сложные пароли для разных сервисов, меняйте их регулярно и храните в безопасных решениях — например, в менеджерах паролей, а не в заметках или скриншотах».
«Многие атаки основаны на человеческом факторе — злоумышленники обманывают сотрудников, играя на доверии или незнании, — добавил Фёдор Чунижеков. — Поэтому компании в первую очередь должны обучать персонал. Сотрудникам важно регулярно напоминать о киберугрозах, рассказывать, как их распознать и как действовать при появлении подозрительных сигналов».
Также представитель Positive Technologies отметил важность технической защиты. Среди рекомендуемых мер — внедрение систем мониторинга и корреляции событий (SIEM), защиты конечных точек (EDR), анализа сетевого трафика (NAT), а также своевременное устранение уязвимостей в программном обеспечении.
