В топ-100 мобильных приложений нашли более 2000 уязвимостей

В топ-100 мобильных приложений нашли более 2000 уязвимостей

В топ-100 мобильных приложений нашли более 2000 уязвимостей

Злоумышленники всё активнее используют уязвимости в мобильных приложениях, чтобы монетизировать полученный доступ. В их распоряжении — угнанные аккаунты, которые могут применяться для фишинга, рассылки поддельных уведомлений и выманивания денег за несуществующие услуги. Кроме того, атакующие получают возможность похищать средства с внутренних счетов и пользоваться чужими платными подписками.

Газета «Известия» привела ряд реальных примеров того, как именно злоумышленники могут использовать уязвимости в популярных мобильных сервисах.

По данным AppSec.Sting, на которые ссылается издание, до 70% мобильных приложений содержат уязвимости. В первых 100 самых популярных сервисах было выявлено свыше 2000 уязвимостей, из которых около 500 — критические.

Чаще всего при атаках применяется социальная инженерия. Злоумышленники выдают себя за сотрудников технической поддержки, убеждают пользователей сменить пароль или «пройти проверку», а затем выманивают у них коды авторизации. Аналогичные схемы используются и для кражи учётных записей на Госуслугах.

Как пояснил руководитель исследовательской группы Positive Technologies Фёдор Чунижеков, мошенники часто пугают пользователей «подозрительной активностью» или возможной блокировкой аккаунта. Под этим предлогом они запрашивают логин, пароль, фото документов, одноразовый код из СМС или пуш-уведомления.

Ещё один распространённый способ — фишинг. Жертву привлекают «выгодным» предложением: получить дополнительные функции приложения бесплатно или по сниженной цене. Для этого предлагают перейти по ссылке и ввести данные на поддельном сайте.

Иногда атака возможна из-за конкретных технических уязвимостей. Например, в одном из сервисов адреса электронной почты были недостаточно замаскированы. Это позволило злоумышленникам легко подобрать нужные учётные данные. В результате одна из компаний в сфере услуг лишилась аккаунта, которым пользовалась пять лет. Вместе с ним исчезли подписки и средства на внутреннем счёте — восстановить доступ не удалось.

Схожий случай произошёл с предпринимателем, оказывавшим транспортные услуги. Он находился в отъезде, когда злоумышленники взломали его аккаунт и похитили хранившиеся там средства. Также были утеряны платные функции, информация о клиентах и основной канал взаимодействия с заказчиками.

«Не переходите по ссылкам из подозрительных сообщений, не вводите логины и пароли на сайтах, в подлинности которых сомневаетесь, не поддавайтесь на слишком щедрые предложения или тревожные уведомления, — советует руководитель российского подразделения Kaspersky GReAT Дмитрий Галов. — Одно из главных условий защиты аккаунтов — соблюдение парольной гигиены: используйте уникальные и сложные пароли для разных сервисов, меняйте их регулярно и храните в безопасных решениях — например, в менеджерах паролей, а не в заметках или скриншотах».

«Многие атаки основаны на человеческом факторе — злоумышленники обманывают сотрудников, играя на доверии или незнании, — добавил Фёдор Чунижеков. — Поэтому компании в первую очередь должны обучать персонал. Сотрудникам важно регулярно напоминать о киберугрозах, рассказывать, как их распознать и как действовать при появлении подозрительных сигналов».

Также представитель Positive Technologies отметил важность технической защиты. Среди рекомендуемых мер — внедрение систем мониторинга и корреляции событий (SIEM), защиты конечных точек (EDR), анализа сетевого трафика (NAT), а также своевременное устранение уязвимостей в программном обеспечении.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

На мошенничество попадаются даже профессионалы в ИТ и ИБ

Фишинговые атаки становятся всё более изощрёнными. В ловушки злоумышленников попадаются даже опытные специалисты в сфере ИТ и информационной безопасности. Эффективность атак повышается за счёт применения инструментов искусственного интеллекта (ИИ) и глубокого знания цифровых привычек потенциальных жертв.

Как отметила в комментарии для сетевой «Газеты.ru» академический директор онлайн-магистратуры «Информационная безопасность» Skillfactory и МИФИ Ирина Подборская, современный фишинг давно вышел за рамки массовых рассылок с орфографическими ошибками и подозрительными ссылками.

Сегодня злоумышленники используют тонкие методы социальной инженерии, сочетая возможности ИИ с глубоким пониманием цифрового поведения людей. Они с высокой точностью копируют визуальный стиль корпоративных сервисов, применяют дипфейк-технологии для подделки голоса коллег и их манеры общения. В результате жертва нередко даже не догадывается, что общается с мошенниками.

«Сейчас уже недостаточно просто не кликать по странным ссылкам. В письмах мошенников нет ошибок — они написаны в том же стиле, что и сообщения ваших коллег. Подделка голоса руководителя во время звонка стала обычной практикой», — подчеркнула Ирина Подборская.

В итоге на удочку фишеров попадаются и профессионалы. Одной из причин остаётся автоматизм действий: сотрудники привыкают без сомнений открывать письма от коллег, формы входа в рабочие сервисы или уведомления от банков, которые выглядят привычно и вызывают доверие.

Ирина Подборская привела пример атаки на бухгалтера. Тот получил документ на подпись в электронном виде, а звонок «двойника» генерального директора убедил его в срочности перевода. Избежать потери денег помогло лишь правило всегда уточнять подобные запросы в мессенджере.

«Эффективная защита строится не на проверке ссылок, а на формировании новых цифровых привычек. Лучше всего работает так называемый ритуал безопасности. Например, любая финансовая просьба должна проверяться по другому каналу, а любая ссылка — через менеджер паролей. Сегодня важно учиться не просто «не кликать», а распознавать поведение атаки и действовать профессионально», — советует эксперт.

По её мнению, надёжная защита от фишинга требует выработки сценариев поведения: проверять источник любых запросов через независимый канал связи (звонок, мессенджер, личная встреча, если это возможно), выявлять уязвимые точки в рабочих процессах и выстраивать для них дополнительные проверки.

Рекомендуется использовать разные профили, а лучше — отдельные устройства для финансовых операций, рабочих и личных коммуникаций. Необходимо регулярно — хотя бы раз в месяц — проводить мини-аудит цифровой среды: очищать сохранённые пароли в браузере, пересматривать списки доверенных устройств, проверять, нет ли подозрительных перенаправлений почты. И, наконец, важно «замедлять реакцию» — давать себе хотя бы минуту на проверку даже самых срочных запросов.

Защита от атак на сотрудников стала одной из ключевых тем конференции «ИБ без фильтров», организованной «Контур.Эгида». Своими наблюдениями и практическими подходами к борьбе с фишингом поделились представители ряда компаний.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru