За третий квартал 2020 года мошенники увели у жителей России 2,5 млрд рублей, вернуть удалось лишь 13% от этой суммы. Большая часть атак связана с использованием различных приложений и мессенджеров на смартфонах. Как происходит утечка данных и как защитить себя, рассказала команда приложения для мобильного документооборота Nopaper — Федор Мельников, специалист по информационной безопасности, и Дарья Верестникова, сооснователь сервиса.
«Телефон знает о вас слишком много» — как доверить приложению персональные данные и не попасть в неприятности
Ирина Печёрская
Столкнуться с мошенниками может каждый, ведь сейчас куча приложений знает ваш номер телефона, имя, фамилию и адрес. Самым продвинутым нужно даже больше — например, данные вашего паспорта. Если приложение выпускает вам электронную подпись, связывает вас с каким-то государственным ведомством, помогает купить машину — логично, что ему нужны эти данные. Но безопасно ли их давать?
Кратко: не важно, отсканируете ли вы свой паспорт — ваш телефон уже знает о вас слишком много. Единственный способ защитить себя — это соблюдать правила «цифровой гигиены»: скачивать приложения только из официальных магазинов, использовать двухфакторную аутентификацию и никогда не отвечать на подозрительные входящие звонки от «банков».
А теперь подробно.
Что хранит ваш смартфон и чем это опасно
-
Информацию о вас
ФИО, дату рождения, телефон и email, паспортные данные в альбоме вашего телефона. Если получить эти данные, можно оформить на вас кредит, подписать вас на рекламные рассылки и даже оформить себе КЭП и продать вашу квартиру.
-
Доступ к государственным сервисам
Приложение «Госуслуг». Если вы ставите простейший логин/пароль и пренебрегаете двухфакторной аутентификацией, за вас могут получить любые государственные услуги, и не будет никакой гарантии, что это сделали именно вы.
-
Доступ к вашим деньгам
Мобильные и интернет-банки, электронные кошельки, Google Pay/Apple Pay, данные карт. Если его перехватить, можно украсть ваши деньги, делать покупки за ваш счет, оформить на вас кредит и сразу похитить кредитные деньги.
-
Доступ к контактам и перепискам
Телефонные номера, переписки в WhatsApp/Telegram и соцсетях. Если его получить, можно шантажировать вас содержимым ваших чатов, вымогать деньги у ваших близких, просить в долг от вашего имени.
-
Личные фото
Фото в вашей квартире и во дворе, на работе, личные скриншоты, интимные фото. Если их получить, можно найти материал для шантажа, опубликовать личные снимки в сети, использовать ваши фотографии для оформления аккаунтов мошенников.
Способы кражи данных с использованием телефона
Технологии помогли мошенникам создать несколько новых схем, но самые популярные из них по-прежнему основаны на обычном обмане, манипуляции и страхе. Разберем все способы, которыми у вас могут украсть данные и как-то вам навредить, используя ваш смартфон.
Социальные способы: обмануть вас, чтобы вы сами предоставили нужные доступы или отдали деньги
-
Позвонить вам от имени банка
Даже в банках бывают утечки, и тогда вам начинают звонить якобы «сотрудники службы безопасности», которые знают ваше ФИО и где вы держите деньги. Разговор пойдет о том, что на вас берут кредит, вы только что совершили подозрительную операцию и пытаетесь перевести кому-то 15 тыс. рублей, вам меняют телефонный номер, привязанный к мобильному банку. Или другой предлог, из-за которого вы должны назвать код из смс-сообщения, кодовое слово, паспортные данные или что-нибудь еще.
Все, что нужно знать об этом способе обмана — банки не решают такие вопросы по телефону. Если они заметят что-то подозрительное — они заблокируют счет и подождут, пока вы сами к ним придете.
-
Написать вам в мессенджерах/соцсетях и выманить деньги
Частый сценарий такой атаки — кто-то взламывает аккаунт вашего друга, пишет вам от его имени и просит срочно занять ему в долг.
Мошенники изучают переписку и используют личные факты, чтобы их обман выглядел убедительно — если друг жаловался вам на задержку зарплаты или неадекватного хозяина квартиры, мошенник использует эти темы как предлог для займа.
Технические способы: взломать ваш телефон и завладеть доступами
Мошенники заражают файл или приложение и распространяют его под видом чего-то полезного. Ваш телефон может заразиться, когда вы:
устанавливаете приложение из неофициальных магазинов;
реже, но возможно, устанавливаете зараженное приложение из официальных магазинов. Как только служба безопасности магазина это выявит, вам предложат обновиться на безопасную версию;
переходите по ссылкам из подозрительных смс и писем;
скачиваете и просматриваете вложения из электронной почты.
Большинство исследовательских компаний выделяют следующие виды угроз:
Adware и кликеры. В основном они просто показывают вам неинтересную рекламу и генерируют искусственные переходы на сайты рекламодателей. Особой опасности они не представляют, просто бесят;
Spyware. ПО крадет персональные данные и следит за своим носителем. Может перехватывать смс или push-коды подтверждения операций;
дроппер. Загрузчик других вредоносных приложений. Может завезти к вам на устройство любой вирус, троянец и прочую гадость;
вирус. Выводит из строя конкретное приложение или одну из функций устройства, шифрует девайс или вешает на главный экран порнобаннер и просит выкуп в биткоинах.
Что вы можете сделать, чтобы защитить себя
Используйте VPN при подключении к общедоступным сетям Wi-FI.
Скачивайте приложения только из официальных магазинов.
Регулярно устанавливайте обновления ОС.
Используйте двухфакторную аутентификацию. Это защита, в которой вы для входа в систему сначала вводите логин и пароль, а потом еще подтверждаете кодом из смс или push-уведомления, что это правда вы. Приложения сами предложат вам ее подключить.
Не давайте избыточные разрешения приложениям: приложению «Фонарик» не нужен доступ к фотографиям и геолокации.
Не давайте телефон в руки незнакомым людям и неофициальным экспертам, не предоставляйте удаленный доступ к телефону недоверенному источнику, например, сотруднику банка по телефону.
Не получайте права суперпользователя на своем устройстве: это root для Android и Jailbreak для iPhone. Обычно такие права нужны для установки альтернативной прошивки, которая заблокирует официальные обновления ОС.
И, конечно, всегда оставайтесь осмотрительным. Мошенники создают иллюзию срочности и не дают подумать — сделайте паузу, минута на размышления может вас уберечь. Когда вам звонят из банка или пишут от чьего-то имени, просто перестаньте с ними разговаривать. Позвоните в банк сами по номеру на сайте, и, если подозреваете, что угроза реальна, сходите в ближайшее отделение. Также и с другом — если кто-то просит у вас в долг, позвоните ему или напишите в другой чат.
Каким приложениям можно доверять
Что касается данных внутри приложения, чтобы понять, стоит ли доверять сервису какую-то информацию, вам нужно понимать, зачем он ее запрашивает. Если вы хотите поиграть в Angry Birds, а у вас просят телефон, адрес и номер банковской карточки — это странно. Вы не приглашаете их к вам прийти, вы не просите их вам звонить, и игра бесплатная. А вот если вы делаете заказ в приложении H&M, то это нормально. Все это нужно, чтобы доставить заказ и прислать вам чеки.
Дарья Верестникова, сооснователь сервиса Nopaper
Проблема безопасности — проблема не только пользователей, которые не соблюдают «гигиену данных». Сами системы должны быть безопасными. Если вы пользователь и видите, что для регистрации в сервисе нужно чуть больше, чем логин и пароль, если вам предлагают установить двухфакторную аутентификацию или даже отдельное приложение — сейчас это уже не показатель «устаревшего сервиса», а показатель высокого уровня безопасности! Упростить до одного экрана можно всегда, а вот сделать безопасно — настоящее искусство.
Мир никогда не будет безопасен на все 100%. Но не позволяйте страху и мошенникам лишить вас удобных приложений. Соблюдайте правила цифровой гигиены, будьте внимательны, и все у вас будет хорошо.
Источник: