wapSiphone — новый способ похитить деньги абонентов через WAP

wapSiphone — новый способ похитить деньги абонентов через WAP

wapSiphone — новый способ похитить деньги абонентов через WAP

Исследователи рассказали об интересном способе кражи денег с телефонного счёта абонентов сотовой связи. Удивительно, что при такой форме атаки злоумышленники используют технологию, которой уже больше 20 лет.

По словам специалистов компаний Confiant и Protected Media, проблема кроется в возможностях серьёзно устаревшего протокола беспроводной передачи данных WAP (был представлен в 1999 году).

Проблема заключается в том, что WAP ушёл из поля зрения, однако это не значит, что протокол умер. А меж тем WAP напрямую связан с биллингом, один из механизмов которого позволяет изменять телефонные счета.

Это отличная лазейка для киберпреступников, которые могут паразитировать на этом принципе годами. Дело в том, что среднестатистический пользователь вряд ли заметит небольшие изменения суммы оплаты связи.

Специалисты назвали новый принцип атаки «wapSiphone», также они перечислили три основные предпосылки для успешной эксплуатации старого протокола:

  1. Рекламные картинки в Сети могут содержать вредоносный JavaScript-код, который без всякого уведомления выполнится на смартфоне.
  2. WAP предоставляет специальный биллинговый механизм, работающий с номером мобильного абонента MSISDN (Mobile Subscriber Integrated Services Digital Number). Обращаем внимание, что MSISDN не требует аутентификации, имени пользователя или пароля.
  3. Некоторые сотовые операторы спокойно выдают ваш MSISDN через HTTP-запрос.

Таким образом, хакеры могут к каждому вашему счёту за мобильные услуги добавлять небольшую сумму, которая не будет бросаться в глаза. Если таких жертв будет много, добыча злоумышленников будет серьёзной.

Минцифры хотят официально назначить ответственным за сайты правительства

Минцифры России может официально стать ведомством, которое отвечает за развитие сайтов и других интернет-ресурсов правительства. Такой проект постановления вынесли на общественное обсуждение. Объясняется тем, что Минцифры и так уже занимается этой работой, но формально полномочия за ведомством не закреплены.

А без бумажки, как водится, даже развитие правительственных сайтов может двигаться медленнее, чем хотелось бы.

В пояснительной записке говорится, что отсутствие официального статуса мешает оперативно реализовывать мероприятия по развитию интернет-ресурсов правительства.

При этом техническая инфраструктура остаётся за ФСО России. Именно ФСО указана оператором, который обеспечивает функционирование информационно-телекоммуникационной инфраструктуры для размещения официальных сайтов и других интернет-ресурсов правительства.

Отдельно в документах напоминают, что приказом ФСО от 20 января 2020 года центр специальной связи и информации службы отвечает за поддержание, эксплуатацию, развитие и информационную безопасность российского государственного сегмента интернета — RSNet.

Иными словами, расклад предлагают сделать более официальным: Минцифры — за развитие правительственных сайтов, ФСО — за инфраструктуру и безопасность.

Бюрократически звучит сухо, но по сути речь о том, чтобы закрепить уже сложившуюся схему и убрать подвешенное состояние, когда работа есть, а полномочия оформлены не до конца.

RSS: Новости на портале Anti-Malware.ru