Мобильные приложения стали отмычкой для платежных карт

Сбербанк объявил о предотвращении крупномасштабной атаки на платежные карты жителей России. Заместитель председателя правления Сбербанка Станислав Кузнецов заявил о том, что за атакой стоял один из украинских разработчиков мобильных приложений. Данные для встроенных покупок, в том числе реквизиты карт, вопреки требованиям международных платежных систем, хранились на устройствах локально, чем и воспользовались злоумышленники. "Большая часть авторов адекватна и добросовестна, но нельзя исключать и тот процент, который делает мобильный приложения для совершения мошеннических действий. Более того нужно учитывать и нынешнюю ситуацию с уходом иностранных компаний с российского рынка: аннулируются не только устные договоренности, но и договора. По классам ПО нет явной привязки. Репутация, масштаб бизнеса компании гораздо важнее. Ведь уходить с рынка тоже можно по-разному, можно цивилизовано, а можно сжигая все мосты. Между тем, текущие потребители тоже видят действия компании и делают выводы, что и с ними могут обойтись не очень хорошо", - полагает аналитик компании Zecurion Мария Ефремова. Схожей точки зрения придерживается эксперт по кибербзопасности "Лаборатории Касперского" Виктор Чебышёв: "В каждой стране есть законы, регламентирующие работу приложений, и разработчики обязаны их соблюдать, чтобы работать на территории той или иной страны. В большинстве случаев авторы приложений добросовестно подходят к сбору и хранению данных, но инциденты, связанные с утечками данных и их некорректного хранения, иногда случаются". Директор по продуктовой стратегии Группы Т1 Сергей Иванов считает данную атаку с использованием человеческого фактора вполне типичной: "Человеческий фактор остается основной причиной инцидентов информационной безопасности уже на протяжении нескольких десятилетий. В 95% случаев к неблагоприятным последствиям приводят неправильные действия или бездействие конечных пользователей информационных систем и финансовых приложений на частных персональных устройствах. Это провоцирует злоумышленников на новые виды атак, которые фактически не предусматривают никаких сложных технологических решений – все необходимые предпосылки дает сам пользователь. Такие случаи достаточно регулярны. Например, в 2015 году запрещенной в России организации ИГИЛ удалось захватить управление учетной записью Центрального командования США в Twitter, воспользовавшись отсутствием двухфакторной аутентификации". Руководитель технического взаимодействия с клиентами Центра Solar appScreener компании "Ростелеком-Солар" Антон Прокофьев считает, что то, насколько ответственно авторы мобильных приложений подходят к обеспечению защиты обрабатываемых чувствительных данных пользователей, зависит в первую очередь от конкретных авторов приложений, причем доля по-настоящему ответственных разработчиков довольно мала. "Есть ряд специалистов, которые в рамках разработки ПО опираются на выстроенные процессы безопасной разработки, в результате чего они выпускают действительно качественные и безопасные продукты. К сожалению, процент таких команд относительно всего рынка очень мал. Сегодня большинство приложений содержат уязвимости, а некоторые из них даже НДВ (функциональные возможности ПО, не описанные или не соответствующие заявленным в документации; при их использовании возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации). В нашей практике были примеры, когда заказчики просили проверить приложения, разработанные сторонними разработчиками. В одном случае проверенная в рамках приемочного тестирования версия кода сильно отличалась от той, что находилась в магазине приложений. Сторонние разработчики передали на Review не финальный код. Как выяснилось, финальный код имел достаточно критичные уязвимости, нарушающие конфиденциальность данных. В другом случае в приложении для заказа еды была заложена НДВ, где некий "Василий Пупкин" получал привилегии администратора приложений. Таким образом, используя приложение, он получал безграничный доступ к оформлению заказов, которые не требуют оплаты", - рассказывает Антон Прокофьев. Станислав Кузнецов обратил внимание на то, что целевой аудиторией мобильных приложений являются молодые люди в возрасте до 25 лет. Однако, как предупреждает Мария Ефремова, явных взаимосвязей между возрастом и уязвимостью к подобным атакам сложно найти. Виктор Чебышёв также не видит корреляции между возрастом потенциальных жертв и их восприимчивостью к атакам, хотя механизмы, которые используют злоумышленники для воздействия на своих жертв, могут отличаться. Вместе с тем, как считает Мария Ефремова, люди разных возрастов не читают внимательно пользовательские соглашения, и, тем самым, дают разработчикам доступ к личным данным. "Атаки на пользователей действительно возможны, ведь обычно пользователь собственноручно устанавливает приложение и дает доступы к своим данным (часто бывает, что пользователь нажимает "Далее" даже не читая, на что он соглашается), обновляет приложении, но всегда у пользователя есть информации, что содержится в этом самом обновлении. Возможно, те данные, которые собирает приложение, окажутся чувствительными для пользователя, а компрометация этих сведений принести вред. Один из вариантов, как могут быть скомпрометированы данные: в компании-разработчике приложения также может произойти внутренняя утечка данных, например, инсайдер может просто украсть базу данных, где содержатся те самые чувствительные данные, при этом пользователь не будет даже знать о том, что это его коснулось, ведь часто о подобных происшествиях неизвестно в публичном пространстве", - говорит Мария Ефремова. Антон Прокофьев обращает внимание и на то, что злоумышленники могут воспользоваться разного рода уязвимостями: "На практике уязвимости встречаются в любом ПО. Сейчас свежи в памяти критические Zero Day уязвимости, такие как Log4j и уязвимость в Spring. Поэтому даже если компания проводит проверки на безопасность, и в результате анализа приходит к выводу, что продукт безопасен, есть не нулевая вероятность, что какую-то уязвимость пока не обнаружили и не внесли в официальный список CVE. Существуют и атаки, в ходе которых эксплуатируются уязвимости и НДВ, которые эксплуатируются комплексно. Приведу пример - разработчик забыл убрать отладочный код, который отправлял данные пользователей на сервер, при этом приложение уже находилось в магазине Google Play и содержало уязвимость, которая при определенных обстоятельствах позволяет реализовать атаку Man in the middle. Таким образом, злоумышленник мог получить доступ к конфиденциальным и платежным данным пользователей. И таких примеров можно найти достаточно много". "Угрозы для пользователей мобильных приложений разнообразны, и злоумышленники не ограничиваются одним лишь вредоносным ПО. Существуют мошеннические приложения, которые обманным способом пытаются заставить жертву ввести данные карты якобы для начисления на нее бонусов или выигрышей, а на самом деле производят списание денежных средств. Есть рекламные приложения, которые в произвольные моменты времени показывают рекламные баннеры и собирают различные данных жертвы. Также есть кроссплатформенная угроза фишинг – когда злоумышленники пытаются выведать логины и пароли, например от онлайн банкинга, или данные карты. Есть сталкерский софт, который может мониторит все, что происходит с устройством, в том числе делает скриншоты, фото с камер устройства, отслеживает локацию и так далее, - предупреждает Виктор Чебышёв. - Ландшафт мобильных угроз постоянно развивается, появляются новые схемы и инструменты, поэтому пользователям стоит всегда сохранять бдительность при работе с различными ресурсами и приложениями. Не лишним будет использовать защитные решения для мобильных устройств, которые помогут заблокировать вредоносное ПО, не даст перейти по подозрительной ссылке". Согласно итогам исследования Positive Technologies "Актуальные киберугрозы: итоги 2021 года", почти четверть (24%) всех атак, которые были совершены в отношении частных лиц, совершены с использованием мобильных устройств. В 77% случаев предметом посягательств были данные, из которых почти половина (46%) – реквизиты платежных карт. Ссылка на источник