20 ноября 2018, 11:17

Мобильная кража

Сегодня поговорим о нашем герое из первого поста. Помните, у него с карточного счета волшебным образом пропали все деньги. Давайте разбираться, как такое произошло и что делать, чтобы максимально осложнить жизнь охотников за вашими деньгами.

С мобильником большинство из нас расстается только ночью. А забыть сотовый дома сродни трагедии общевселенского масштаба – а вдруг позвонят/напишут/позовут? В мобильник плотно упакована немалая часть жизни среднестатистического человека. А если что-то для вас важнО, почему бы не использовать эту вещь для обогащения? Так, или приблизительно так, рассуждают те самые злодеи, работа которых любыми способами разлучить вас с вашими деньгами. И самый простой способ – незаметно опустошить ваш «виртуальный кошелёк».

Тут стоит сделать небольшую ремарку: всё, что будет описано ниже, характерно только для смартфонов на базе операционной системы «Android». Владельцы iPhone-ов могут победоносно откинуться в кресле и по-отечески похлопать своих андроидных товарищей по плечу. Связано это с особенностями архитектуры операционных систем, и об этих различиях мы поговорим в следующих сериях.

НЕМНОГО ТЕХНИЧЕСКИХ ДЕТАЛЕЙ

Чтобы дальше было понятно всем, давайте проясним несколько важных особенностей ОС Android. Во-первых, это очень хорошая, гибкая, и, в достаточной мере, защищённая операционная система. Однако, перефразировав известную армейскую мудрость, «при должном уровне безалаберности сломать можно и то, что обычно не ломают».

В Android-е присутствует возможность установки приложений не только из официального магазина приложений, но и из альтернативных источников. Этим и пользуются киберпреступники. При этом, устанавливая приложение, пользователь сам разрешает ему что-либо делать или не делать. Например, при первом запуске инстаграмма приложение спросит у вас, а можно ли ему использовать камеру? Ответите «да» – операционная система позволит «инсте» получать фоточки с камеры; если ваш ответ «нет» - будете постить только из галереи. И то, если дадите такое разрешение.

ПОПАДАНИЕ ВРЕДОНОСА НА СМАРТФОН

Выше мы уже разобрались с тем, что пользователь и только пользователь решает, что будет стоять на его смартфоне и как это будет работать. То есть для злоумышленника теперь надо решить задачу «Как бы мне тихонечко поставить своё ПО на чужие смартфоны?».

И тут на помощь приходит социальная инженерия. Приведу самые популярные сценарии заражений.

Вы продаете что-нибудь на популярном ресурсе бесплатных объявлений. через какое-то время приходит смс-ка примерно следующего содержания: «Василий, может обмен на www.avato.ru/qwerty&76 ?». Клик по ссылке приводит вас на страницу, где требуется установить какой-нибудь важный плагин, без которого ничего не будет работать, а земля налетит на небесную ось. Во всяком случае именно так будет говорить вам сайт, на который был совершен переход. Опыт показывает, что очень многие соглашаются на установку незаменимого плагина, а это значит заражение почти произошло.

Часто людей подводит жадность и желание «халявы». Распространен сценарий, при котором людям хочется найти в интернете абсолютно бесплатный аналог какого-нибудь нужного ПО. Заплатить разработчикам 50 рублей в официальном магазине приложений за что-то нужное – это, знаете ли, перебор! Поставить «то же самое» из не пойми откуда – вот путь истинного джедая. Ведь мы же только что взломали систему на «полтишок»!

Замыкает топ способов подхватить цифровую заразу установка какой-нибудь супер-игрушки. Скачивая что-либо во всех этих случаях вы сами же инициировали процесс установки вредоносного ПО.

После скачивания необходимого пакета между пользователем и ставящимся вредоносом происходит примерно следующий диалог (помните, мы там выше про разрешения разговаривали?):

Вредонос: мне нужен доступ к передаче данных

Владелец телефона: Да конечно, мне не жалко!

Вредонос: а еще я хочу доступ к смскам. Полный!

Владелец телефона: да да, конечно! Без вопросов!

Вредонос: для полного счастья давай еще доступ к хранилищу данных!

Владелец телефона: конечно-конечно, вот, пожалуйста.

Вредонос: слушай, а там же бомж Семёныч на помойке мерзнет, можно он поднимется к тебе в квартиру, помоется, поест и поспит?

Владелец телефона: нуу не знаю… А, ладно, это же новая игрушка «отбери банан у мартышки», ради неё я согласен и на это!

В результате вы сами даёте вирусу все необходимые разрешения. Зараза разворачивается на вашем мобильном телефоне и начинает свою преступную деятельность.

РАБОТА

Теперь посмотрим, как действует самый популярный вид банковских троянов, ворующих средства через смс-банкинг.

Попав в память устройства и обосновавшись там, вредонос действует по следующей схеме:

1) Получает от командного сервера сценарий своих действий – смски с каких номеров нужно перехватывать и не пропускать в стандартное приложение чтения сообщений. Как правило, в этот список попадают смс с коротких номеров банков, со счетов в которых будут в дальнейшем пропадать средства. И ведь что интересно, хозяин телефона сам, своим указательным (ну или каким там пальцем вы в экран тыкали, разрешая вредоносу всё и вся?) пальцем, позволил вирусу мониторить все входящие сообщения с наивысшим приоритетом.

2) Дальше процесс работы можно проиллюстрировать следующим рисунком:

получив инструкции с командного сервера вирус аккуратно встроенным между операционной системой телефона (2) и пользователем (4) фильтром (3) начинает «просматривать» входящие сообщения (1), и если это переписка с мамой/шефом, то смски спокойно пропускаются в стандартное приложение, а вот если это смс с короткого номера, предположим, «900», данное сообщение обрабатывается по особенному и может быть как пропущено к пользователю, так и отправлено на командный сервер (5), который уже решит, что делать дальше. Получив контроль над входящими и исходящими смс-сообщениями, а также установив связь с управляющим сервером, вирус начинает небольшими траншами отправлять на номер банка (6-7) смс-сообщения с командами по переводу небольших сумм на счета пластиковых карт, оплату мобильных телефонов, на различные электронные кошельки. А поскольку вы позволили вредоносу контролировать процессы обработки смс-сообщений, то сообщения о снятиях и переводах средств до вас просто не доходят.

3) Дальше деньги переводятся на пластиковые карты мошенников, потом на другие, потом еще куда-нибудь до тех пор, пока не соберутся на специальных картах. Эти карты, заведенные на подставных лиц, раздаются специально обученным людям – «дропперам», а они уже идут к банкоматам и там снимают нужные суммы наличных.

4) В зависимости от продвинутости вирусописателя, установленный вредонос после отработки вашего счета может просто самоудалиться, тем самым затруднив последующий разбор инцидента.

В данном сценарии для банка всё выглядит вполне пристойно: пользователь системы со своего номера отправляет команду на перевод денег для другого пользователя системы. Банк послушно проводит транзакцию и отправляет смс-подтверждение. Которое до адресата просто не доходит. Осложняет поиск злоумышленников и «трансграничность» преступления – ваши деньги из Амурской области переводятся на счёт куда-нибудь, скажем, в центральную Россию, оттуда на счёт, предположим, куда-нибудь на Кавказ, а снимают деньги в банкомате, допустим, где-нибудь под Питером. И все это за считанные часы, если не минуты. Как вы сами понимаете, отловить этих хитрых и не глупых парней задача не быстрая и не тривиальная. Да, банки стараются анализировать транзакции клиентов и прикрывать сомнительные до выяснения обстоятельств, но мы имеем дело с весьма образованными противниками, которые обучаются новым правилам игры и адаптируются к вводимым ограничениям.

КТО ВИНОВАТ И ЧТО ДЕЛАТЬ?

Насчет «Кто виноват?» всё весьма и весьма неоднозначно. Давайте оставим этот вопрос в стороне. А вот на вопрос «Что делать?» я могу дать следующие рекомендации:

1) не ставьте что попало откуда попало. Просто отключите в настройках операционной системы саму возможность установки приложений из непроверенных источников. А если уж ставите (на свой страх и риск!), задумайтесь на теми разрешениями, которые у вас будет просить это что-попало-откуда-попало и не позволяйте лишнего.

2) Следите за обновлениями операционной системы и основных приложений. Если обновление появилось, не тяните с установкой.

3) Антивирус не будет панацеей, но он существенно сокращает риск заразы и последующей потери денег.

4) Если есть такая возможность, отключите в настройках своего мобильного банкинга возможность переводов средств и оплат через смс-сообщения. Лучше эти операции проделывать через приложение. Да, я понимаю, это ооочень трудно, сделать пару лишних тапов по экрану(«по-русски – «тыков»), войти в приложение и там произвести нужные действия с деньгами, но это гораздо безопаснее. Банковские приложение защищены сейчас весьма неплохо.

5) В идеале для мобильного банкинга использовать отдельный смартфон, на котором кроме банковского приложения и операционной системы не стоит вообще ничего. Да, это чересчур параноидально, но зато безопасно.

Если в какой-то момент вы вдруг поняли, что стали жертвой киберпреступников, немедленно выключайте телефон, вытаскивайте сим-карту и идите в правоохранительные органы. Не нужно ничего удалять, не нужно чистить телефон, не нужно переустанавливать систему – вы же вроде как пострадавший, а не добровольный помощник злодеев. Ну и запаситесь терпением – найдут злодеев не сразу, а свои деньги вы сможете вернуть еще более «не сразу», чем найдут злодеев. Поэтому будьте внимательны и не дайте себя обмануть.

Просмотров за день: 0
Просмотров всего: 206

метки: безопасность, мошенники, интернет, банкинг.


Поделиться:

А как Вы проверяете не написали...

--

Не совсем понял, о какой проверке идет речь?

--

В идеале для мобильного банкинга использовать отдельный смартфон, на котором кроме банковского приложения и операционной системы не стоит вообще ничего. Да, это чересчур параноидально, но зато безопасно.

так и делаю. это проще, чем думать каждый раз че и как ставить на смарт.

--

В сети появился список приложений в Google Play, которые воруют личные данные клиентов мобильных банков
#Сбербанк #Альфа #ВТБ #Тинькофф

Как выяснилось, 29 приложений содержали вирусы, которые позволили мошенникам получить доступ к данным банковских карт пользователей, а также к логину и паролю для входа в мобильный банк. Полный список:

Astro Plus;
Power Manager;
Master Cleaner – CPU Booster;
Master Cleanser – Power Booster;
Super Boost Cleaner;
Super Fast Cleaner;
Daily Horoscope For All Zodiac Signs;
Daily Horoscope Free – Horoscope Compatibility;
Phone Booster – CPU Cooker;
Ultra Phone Booster;
Free Daily Horoscope 2019;
Free Daily Horoscope Plus – Astrology Online;
Phone Power Booster;
Ultra Cleaner – Power Boost;
Master Cleaner – CPU Booster;
Daily Horoscope – Astrological Forecast;
Speed Cleaner – CPU Cooler;
Horoscope 2018;
Meu Horoscopo;
Master Clean – Power Booster;
Boost Your Phone;
Phone Cleaner – Booster, Optimizer;
Clean Master Pro;
Clean Master – Booster Pro;
BoostFX;
Personal Horoscope.

На данный момент приложения удалены из маркета, однако мы рекомендуем проверить свой телефон и при наличии вышеперечисленных приложений немедленно их удалить.

https://t.me/trehlitrovayabanka

--

Если есть такая возможность, отключите в настройках своего мобильного банкинга возможность переводов средств и оплат через смс-сообщения.

Вот это расшифруйте. В каких-именно настройках это можно отключить?

Покажите пошагово на примере Андроида, т.к. там меню в принципе идентичное во всех версиях.

--
страх потери порождает подозрения

Цифровой Криминалист

10 лет работаю в сфере информационной безопасности.
Специализируюсь на поиске цифровых следов, их анализе и ликвидации последствий кибер атак.
Думаете, ваша цифровая жизнь и бизнес под надежным замком? Давайте проверим.

отправить личное сообщение блогеру

--

это тролль..

--
PomaLLIka

Если есть такая возможность, отключите в настройках своего мобильного банкинга возможность переводов средств и оплат через смс-сообщения.

Вот это расшифруйте. В каких-именно настройках это можно отключить?

Покажите пошагово на примере Андроида, т.к. там меню в принципе идентичное во всех версиях.

Тут я писал прежде всего о настройках функционала самого банкинга. Если говорить об одном из самых распространённых банков (не реклама), то как минимум желательно задуматься об отключении опции "Быстрый платёж" - https://online.sberbank.ru/PhizIC/help.do?id=/private/mobilebank/main

Вообще, данный вопрос лучше уточнять в службах клиентской поддержки вашего банка или у его менеджеров. Сформулировать можете примерно так: "Здравствуйте! Я бы хотел(а) отключить возможность проведения каких-либо операций по своим картам при помощи отправки смс-сообщений на ваш короткий номер, возможно ли это? Если да, то как?".

Если говорить о настройках операционной системы Андроид, то там надо просто отключить возможность установки приложений из не доверенных источников. Вот первая ссылка из поисковика, как это сделать: http://androidnik.ru/kak-razreshit-ustanovku-prilozhenij-ne-iz-marketa-android/ Если для вашей версии Андроида или конкретной модели это описание не подходит (например, в силу наличия надстройки на операционку от производителя телефона), спросите у Google, как вам надо действовать именно на вашей моделе телефона.

--

хрень полная... хожу с мотороллой l7 хрен кто-что сопрет..

--
Законы жизни везде одинаковы! Убей – или будешь убитым, сожри – или останешься голодным, трахни или ее трахнет кто-то другой! Квинтэссенция философии войны…

Хакер наверно андроид разложит по винтикам и сложит со своим вирусом. Не только андроид.

--
благовещенск


Цифровой Криминалист

10 лет работаю в сфере информационной безопасности.
Специализируюсь на поиске цифровых следов, их анализе и ликвидации последствий кибер атак.
Думаете, ваша цифровая жизнь и бизнес под надежным замком? Давайте проверим.

отправить личное сообщение блогеру
Топ авторов за 7 дней все блогеры
Игорь Павлов

Фотографъ. Хранитель старины. Член творческого союза художников России.

Просмотров: 1515

Олеся Портнягина

Travel блогер

Просмотров: 583

Наталья Калинина

политический хулиган

Просмотров: 440

Денис Куликов

Просмотров: 348

Петр Глазунов

директор мебельного ателье

Просмотров: 234

Авторы блогов все блогеры
Евгений Волков

юрист-идеалист

вчера, 19:38
Святослав Шевченко

cвященник и видеоблогер

20 марта, 20:46
Игорь Павлов

Фотографъ. Хранитель старины. Член творческого союза художников России.

20 марта, 14:19
Светослав Ильиных

журналист

20 марта, 10:08
Олеся Портнягина

Travel блогер

19 марта, 22:33
Виталий Злочевский

юрист, риелтор, медиатор

19 марта, 22:10
Петр Глазунов

директор мебельного ателье

19 марта, 14:30
Наталья Калинина

политический хулиган

19 марта, 00:43
Галина Одинцова

Оптимистка. Иногда...

18 марта, 13:03
Денис Куликов
17 марта, 16:13
Марина Синельникова

Амурское отделение "Общества "Россия-Япония"

17 марта, 11:10
Игорь Волобуев

юрист

12 марта, 14:28
Сергей  Труш

Депутат Законодательного собрания Амурской области (ЛДПР), заместитель председателя фракции.

7 марта, 10:41
Антон Черноок
19 февраля, 15:43
Андрей Ягелло

финансист

8 февраля, 10:08
Правила раздела «Блоги»
  1. Настоящие правила обязательны для соблюдения авторами блогов (далее по тексту – Автор), а также посетителями раздела «Блоги».

  2. Раздел «Блоги» на Амур.инфо, расположенный по адресу http://blogs.amur.info, является интернет-площадкой, предназначенной для размещения Авторами информации и сведений, открытых для дискуссий на освещаемые ими вопросы.

  3. Содержание блога Автора определяется им самостоятельно исходя из его убеждений, является выражением субъективного мнения и суждений Автора, при учёте ограничений, установленных настоящими Правилами. Содержимое блога является интеллектуальной собственностью Автора. Автор обязуется в своих блогах соблюдать законодательство Российской Федерации, положения настоящих Правил. Содержание раздела «Блоги» не является продукцией средства массовой информации информационного агентства «Амур.инфо» или иного другого средства массовой информации.

  4. Автору принадлежат права административного доступа к своей странице, позволяющие ему производить управление блогом самостоятельно без участия и премодерации администрации сайта www.amur.info. Право редактирования содержания блога, в том числе комментариев к постам блога, принадлежит Автору и администрации сайта www.amur.info.

  5. Автор гарантирует, что сведения, распространяемые им в блоге, не нарушают авторских, смежных, патентных прав третьих лиц, права на товарный знак и т. д., а также не наносят ущерба чьим-либо чести, достоинству или деловой репутации.

  6. Не подлежат распространению в блогах сведения, содержащие государственную или иную специально охраняемую законами тайну; способствующие разжиганию расовой, национальной, социальной, религиозной нетерпимости или розни; призывающие к захвату власти, насильственному изменению конституционного строя или разрушению целостности Российской Федерации; пропагандирующие культ насилия или жестокости; побуждающие граждан к агрессивным и иным опасным действиям, способным нанести вред здоровью физических лиц или угрожающим их безопасности; содержащие текстовую, зрительную, звуковую информацию, нарушающую общепринятые нормы гуманности и морали путем употребления оскорбительных слов, сравнений, образов или унижающую честь, достоинство и деловую репутацию физических и (или) юридических лиц, а также избирательных объединений; порочащую государственные или религиозные символы Российской Федерации и иных государств, а равно использующую заведомо ложные сведения и умышленно вводящую в заблуждение относительно существующих или не существующих событий, обстоятельств, решений, характеристик.

  7. Не допускается распространение в качестве сообщений/материалов блогов сведений, являющихся предвыборной агитацией, политической рекламой/антирекламой.

  8. В период проведения избирательной кампании по выборам (вне зависимости от территории проведения) не допускается распространение в качестве сообщений/материалов блогов сведений, содержащих любое указание на наименование, символику, действия (бездействия) избирательных объединений, выдвинувших кандидатов, содержащих любое указание на персональные данные, изображения, действия (бездействия) выдвинутых кандидатов, проведение/опубликование результатов опросов общественного мнения, связанных с проводимыми выборами.

  9. В случае однократного нарушения Автором положений настоящего пункта, Администрация сайта www.amur.info производит блокировку блога Автора до дня окончания соответствующей избирательной кампании.

  10. В случае предъявления к администрации сайта  www.amur.info претензий/требований относительно противоправного использования сведений или результатов интеллектуальной деятельности, средств индивидуализации, использованных в блоге Автора, и/или вынесении решений уполномоченными органами государственной власти о наличии в размещаемых сведениях нарушений законодательства Российской Федерации Автор обязуется удовлетворить упомянутые претензии/требования за счет своих сил и средств.

  11. Администрация сайта www.amur.info не берет на себя обязанности, но оставляет за собой право осуществления контроля за содержанием блогов и размещаемых к ним комментариев, в том числе в целях пресечения нарушений законодательства Российской Федерации, положений настоящих Правил.

  12. Осуществление контроля со стороны Администрации сайта www.amur.info предполагает возможность без направления какого-либо уведомления удаления сообщений/материалов блогов и комментариев к ним, редактирования сообщений/материалов блогов и комментариев к ним, блокировки блога в случае неоднократного нарушения Автором положений настоящих Правил.

  13. Автор имеет возможность осуществлять постмодерацию комментариев к блогу. Автор обязан осуществлять контроль за содержанием комментариев к постам его блога и пресекать распространение сведений, предусмотренных п. 5-7 настоящих Правил.

  14. Комментарии к постам блога, не совпадающие с мнением Автора, являющиеся отражением критической позиции оппонента, выражающие критику в отношении позиции Автора, оценочные суждения, удалению не подлежат.

  15. Для участия в дискуссиях в разделе «Блоги» посредством оставления комментариев к постам необходима регистрация на форуме www.amur.info. При комментировании постов обязательными к соблюдению являются настоящие Правила и Правила общения на форуме Амур.инфо.

  16. Предметами дискуссий в разделе «Блоги» являются темы, поднимаемые их авторами. Обсуждение личностей авторов в комментариях к их записям не приветствуется, а в случае явных злоупотреблений пресекается. Не допускается распространение участником дискуссии сведений, предусмотренных п. 5-7 настоящих Правил.

  17. Участникам дискуссии рекомендуется соблюдать правила уважительного общения и внимательно прислушиваться к рекомендациям (указаниям) модераторов.

  18. В случае несоблюдения участником дискуссии настоящих Правил, правил Форума модератором или Автором подлежит применению способ контроля над действиями пользователей. Это  бан, заключающийся в лишении прав пользователя на создание/отправление новых сообщений или создание новых тем на Форуме, на комментирование в блогах. В случае если способ контроля применяется Автором, срок бана составляет 72 часа. В случае если его применил модератор, срок бана определяется им на свое усмотрение. По истечении периода времени бана ограничение автоматически снимается. Повторное применение указанного способа контроля по инициативе Автора может быть осуществлено снова только по истечении суток с момента снятия предыдущего бана.