ИНФОРМАЦИОННЫЙ ПОРТАЛ
Ваш путеводитель в мире IRC и ИТ-технологий!

Мир IT стремительно меняется, следите за новинками в сфере IT вместе с нами. Главные новости и события мира информационных технологий, обзоры гаджетов и софта, мнения экспертов о новинках - на нашем сайте.

 

ЭКСПЕРТНОЕ МНЕНИЕ

СОИБ. АНАЛИЗ. МОБИЛЬНАЯ ОПАСНОСТЬ

25 Ноября 2013

По информации блога http://sborisov.blogspot.ru/

 

Про угрозы и проблемы мобильной безопасности говорят на каждой конференции. Несмотря на это мобильные устройства обзаводятся всё большими возможностями, а средствами защиты далеко не всегда.

 

Для того чтобы отказаться от какой-то мобильной возможности риски должны быть достаточно высоки и их нужно осознавать. А можно и не отказываться, если принять подходящие меры защиты. 

 

В этот статье предположим, что произошел несанкционированный доступ к вашему устройству и ещё раз пройдемся по наиболее опасным рискам.

 

Несанкционированный доступ произошел по одному из трех сценариев (их вероятность достаточно большая, чтобы сказать что с каждым мобильным устройством произойдет как минимум 1 из этих сценариев):

·        Устройство потеряно/украдено

·        Пользователь самостоятельно установил вредоносное ПО (по ошибке или в результате обмана)

·        Вредоносное ПО установлено в результате эксплуатации уязвимости в системном или прикладном ПО

 

Начнем с персональных рисков:

P1. Вы лишитесь  денег на личном счету у оператора связи.  Для начала это будут прямые переводы между номерами (но, как правило, есть суточные лимиты, например 3000 руб.). POC =

 

Далее  могут совершаться звонки на платные телефоны или загрузка платного контента со своих же ресурсов, оплата каких либо услуг  или даже перевод на другой банковский счет (POC = https://oplata.megafon.ru/order/1767781) пока ваш счет не опустеет.


Р2. Если вы пользуетесь “Интернет банком” со своего мобильного устройства, то ваш возможный ущерб равен сумме на вашем счету. Простенького кейлогера достаточно чтобы перехватить логин и пароль (POC = http://www.android-keylogger.net/).  Большинство интернет банков если использует усиленную аутентификацию платежей, то по SMS-сообщению, которое придет на то же мобильное устройство/ или OTP приложение на том же мобильном устройстве.

Если вы пользуетесь “Мобильным банком, с управлением через SMS), то не потребуется даже кейлогера. Для перевода на другой счет в том же сбербанке достаточно будет отправить SMSPOC =

 

А можно по SMS перевести и на карту любого банка. POC  =



P3. Вы можете потерять даже больше средств, чем у вас есть на данный момент.

Для этого придумана услуга автоплатеж. Если вы уже подключили себе эту услугу у мобильного оператора или пользовались интернет банком, то злоумышленник так-же воспользуется этой услугой и подключит свои 10 номеров с правилом перечислить 10000 руб. если баланс телефона опустится ниже 10000 руб. Как только вы разблокируете свой счет/карту после инцидента и получите очередную зряплату с вашего счета продолжат уходить деньги.

POC =

 

 

 

А ещё мобильные операторы придумали личные кабинеты  и различные сервисы (POC = https://oplata.megafon.ru/) которые будут захвачены в момент несанкционированного доступа к телефону. Если вы ещё пользовались этими сервисами, то первый пароль придет по SMS. Если вы уже пользовались сервисом, то новый пароль так-же будет сброшен по SMSPOC =

 

 

 

Если после инцидента, вы забудете перехватить какой-то из сервисов, то злоумышленник продолжит снимать деньги и наносить ущерб. Кроме вывода денег личный кабинет дает ещё следующие интересные возможности:

·        переадресация входящих вызовов

 

·        отправка SMS от имени пользователя

 

 

 

И конечно злоумышленник отключит все уведомления пользователя, отключит проверку защитного кода. Не забудьте всё это включить. POC =

 

 

Р4. Если вы вводили реквизиты банковской карты со своего мобильного устройства, то вашими средствами будут пользоваться и после инцидента. Пока вы не уничтожите или перевыпустите банковскую карту.

 

Даже если банковскую карту вы уничтожили сразу после инцидента, деньги могут продолжать убывать. Например, при бронировании гостиницы онлайн указывает номер банковской карты, а деньги  списываются не сразу, а после оказания услуг. Таким образом, счет пользователя может уйти в глубокий минус.


P5. Вы потеряете данные и доступ ко всем популярным персональным приложениям, которыми пользовались с мобильного устройства - Электронная почта, соцсети, службы мгновенных сообщений, облачные хранилища файлов, фотографий, электронные деньги и кошельки, аукционы, службы бронирования, службы доставки, онлайн игры и т.п. Потеряете даже доступ к госуслугам. POC =

 

А всё почему? Потому, что все сервисы позволяют сменить пароль, используя электронную почту или sms на телефон. В редких случаях нужна  почта и SMS одновременно. Но на вашем мобильном устройстве как раз установлен автоматический вход в вашу почту и на него же приходят SMS.

 

Самые хитрые злоумышленники потом продадут вам доступ к вашим персональным приложениям. POC = http://www.cnews.ru/top/2013/11/20/ostanovleny_hakery_vymogavshie_dengi_za_razblokirovku_vkontakte_i_odnoklassnikov_550482

 

P6. Вы потеряете данные и доступ ко всем данным, хранящимся локально на мобильном устройстве. А это контакты, история смс, фото, видео, записки, календарь, локальные документы.

Причем самые хитрые злоумышленники зашифруют все ваши данные и потом будут продавать доступ к ним.

POC = http://www.esetnod32.ru/company/press/center/eset-preduprezhdaet-o-trekhkratnom-vspleske-aktivnosti-vymogatelya-filecoder/

 

P6. Если вредоносное ПО будет скрытным, то какое-то время вы будете отдавать персональные данные злоумышленнику:   а именно -  информацию о местонахождении (небольшой автоматический анализ выявит ваш адрес работы, дома и других часто посещаемых мест), любой вводимый текст, содержание звонков, запись с звука микрофона, фото и видео с мобильного устройства в любой момент.

POC = http://www.spy-soft.net/phone-control-android/

 

Это все персональные риски, которые мне удалось осознать. Возможно, я что-то упустил? Тогда поправьте. Про корпоративные риски в следующей статье.

 

Так-же мне интересует, какие риски лично для вас будут неприемлемыми и остановят Вас от использования какого-то сервиса?   Электрошоковый удар? Потеря авто/недвижимости? Условный срок  за участие в DDoS атаке?


PS: Интересно будет послушать на Антифрод Раша 2013 как предлагается уменьшать эти риски.

PPS: Proof-of-concept

 


ЕЩЕ ПО ТЕМЕ:

СОЦИАЛЬНЫЙ КАПИТАЛ

27.11.2013

Главным компонентом, который дополняет человеческий капитал, является социальный капитал. Социальный капитал (social capital) представляет собой связи между людьми, которые зависят от нормы поведения и доверия. Социальный капитал в организации представляет собой пусковой механизм для распространения знаний. В экономической литературе понятие «социальный капитал» используется довольно часто. Ведь  тип устройства экономики зависит от социального капитала.

САЙТЫ ЗНАКОМСТВ: СРЕДНЕВЕКОВАЯ АЛХИМИЯ В СТИЛЕ ХАЙ-ТЕК

27.07.2013

Создатели сайтов знакомств похожи на средневековых алхимиков. Каждый пытается найти свою «формулу любви» на тонкой грани между математикой и «химией», считает сооснователь Flirtic.com Андрес Суси. В своей авторской колонке он рассуждает, в каком направлении движется рынок дейтинговых сервисов.

GOOGLE УБЬЕТ МОБИЛЬНЫЕ КОНТРАКТЫ?

1.09.2013

В компании Google решили перевернуть рынок мобильной связи, запатентовав совершенно нечеловеческую технологию, которая позволит гражданам отказаться от заключения контрактов с сотовыми операторами.

ПАВЕЛ БЕТСИС: «ГЛАВНОЕ - СТАБИЛЬНОСТЬ И ПРЕДСКАЗУЕМОСТЬ БИЗНЕСА»

22.11.2013

Интервью генерального директора ООО «Сиско Системс» Павла Бетсиса. - Главное, что удалось сделать за прошедший период, - это определить приоритетные направления дальнейшего развития бизнеса компании. Удалось разобраться с тем, что работает хорошо, где есть определенные проблемы и на что следует обратить особое внимание. Сформировалось понимание необходимости некоторых структурных изменений в компании и понимание того, как лучше перераспределить ресурсы. Вместе с тем для меня было принципиально важно не делать резких изменений в работе компании, тем более, что я убедился в том, что в целом стратегическое направление развития бизнеса Cisco в России определено правильно.