 |
|
|
|
Дмитрий Галов: «Нельзя сказать, что люди становятся доверчивее, скорее эволюционирует ландшафт киберугроз»
Дмитрий Галов:
|
|
|
|
Досье ДМИТРИЙ ГАЛОВ, Дмитрий занимается исследованием вредоносного ПО под non-Windows платформы, анализом сложных целевых атак и уязвимостей интернета вещей. Он пришел в «Лабораторию Касперского» в сентябре 2015 года и стал частью команды GReAT в августе 2018 года. В составе этой команды Дмитрий отвечает за исследование активности криминальных кибергрупп. |
– Дмитрий, сейчас много пишут о мобильных угрозах. Статистика просто пугающая. Но если оглянуться по сторонам – непонятно, откуда эта статистика берется. Наверное, большинство людей может сказать, что ни они, ни их родственники или знакомые с такими проблемами не сталкиваются. Как получается, что в отчётах пишут об одном, а люди видят совсем другое?
– Многие могут полагать, что вредоносное ПО ведет себя как в фильмах: после заражения смартфон сразу начинает моргать, перегреваться, сами собой открываются приложения, на экране выскакивают красочные сообщения. Но ландшафт киберугроз, в том числе для мобильных платформ, очень широкий. Порой пользователь может даже не подозревать, что столкнулся с угрозой.
Например, сегодня распространены скамерские приложения, которые по сути представляют собой «прослойку» между пользователем и скам-ресурсом, на котором у человека под разными предлогами попытаются выманить деньги и данные.
В последнее время в качестве приманки злоумышленники часто используют тему инвестиций: обещают человеку легкий заработок после небольшого вложения средств.
К тому же есть троянцы-подписчики, сейчас они могут мимикрировать, например, под приложения о здоровом образе жизни. Человек скачивает такое приложение, покупает доступ к контенту за небольшую сумму, однако на деле соглашается с неочевидными условиями. После этого с его счета ежемесячно начинают списываться деньги – от нескольких сотен до нескольких тысяч рублей.
С другой стороны, в частности троянцы-шпионы могут долго никак себя не выдавать, но при этом будут собирать большой массив личных данных с устройства и отправлять все это злоумышленникам.
Не стоит забывать и о майнерах, которые могут длительное время оставаться незаметными в системе и использовать вычислительные мощности устройства жертвы – такая угроза актуальна и для мобильных устройств.
Бывает и так, что вредоносная программа «сама заявляет о себе». Например, в прошлом году наши специалисты обнаружили новую программу-вымогатель для Android-устройств – Rasket. Когда она попадала на устройство и активировалась, то получала доступ к фотографиям, видео и документам, к СМС и контактам жертвы. После этого на экране смартфона появлялось сообщение с угрозами обнародовать скомпрометированные данные, если человек не заплатит злоумышленникам пять тысяч рублей.
К слову, только по нашим данным, в 2023 году по сравнению с 2022-м количество кибератак на пользователей Android-устройств в России выросло в 1,5 раза.
– Как попадает троянская программа на устройство? Или это пользователь сам устанавливает вредоносный софт? Тогда может быть достаточно просто не устанавливать много программ на свой телефон?
– Не пользоваться приложениями теоретически можно, почти у всех сервисов есть, например, веб-версия. Но зачем усложнять себе жизнь? Зачастую приложения удобнее и функциональнее, они оптимизированы под экран смартфона.
Стоит понимать, что основной вектор заражения гаджетов на Android – установка приложений из сторонних, неофициальных источников, где отсутствует модерация. Устанавливать можно столько приложений, сколько человек сочтет нужным, только делать это следует, используя официальные магазины приложений или с сайты компаний-разработчиков, а после установки – регулярно эти приложения обновлять (как и ОС). Таким образом можно значительно снизить риски.
Конечно, бывают случаи, когда вредоносная программа попадает на устройство без каких-либо действий со стороны пользователя. Так было, в частности, в рамках кампании «Операция Триангуляция», когда пользователь iOS-устройства получал скрытое сообщение iMessage с вложением, содержащим zero-click эксплойт (эксплойт, которому для работы не нужно, чтобы человек нажал на клавишу или кликнул по ссылке/ кнопке). Но это не массовые инциденты, такие атаки направлены на конкретных пользователей, которые интересны злоумышленникам.
– Допустим пользователь просмотрел «плохую» картинку. Что происходит дальше? Как у него в смартфоне появится троянская программа?
– От просмотра картинки в интернете или мессенджере активное заражение вряд ли произойдет (при условии, что речь именно про «посмотреть картинку», а не запустить исполняемый файл под видом картинки или программу для ее просмотра, которая на деле окажется вредоносным приложением). Чаще всего пользователь рискует «занести» на устройство зловред, скачав его на «серых» ресурсах или в мессенджерах.
Например, в прошлом году злоумышленники активно распространяли в мессенджерах модифицированные версии программ для удаленного доступа под видом приложений служб поддержки российских банков. Они меняли названия программ и иконки (добавляли наименование и визуал нужного банка), надписи в некоторых текстовых полях. Таким образом авторы троянцев пытались получить доступ к онлайн-банкингу на устройствах с Android.
Другой пример – в прошлом году вместе с модом для мессенджера злоумышленники распространяли (в том числе в Telegram-каналах) шпионское ПО, которое получило название CanesSpy. Троянец воровал данные с зараженного смартфона: список контактов, информацию об аккаунтах на устройстве, документы; по команде начинал вести запись с микрофона устройства. Сам шпионский модуль начинал работать, когда телефон включали или ставили на зарядку.
– Правильно ли я понимаю, что с Android всё плохо, эта система в принципе небезопасна? Там ведь много чего: и Java как основа запуска приложений, и общая файловая система для всех программ и съёмные носители. Как защититься в таких условиях?
– Вопрос безопасности мобильных устройств зачастую сводится к сравнению разных параметров безопасности двух самых популярных мобильных ОС – Android и iOS. Сейчас обе они достаточно сложные с точки зрения взлома и шпионажа.
iOS изначально проектировалась так, чтобы важные для безопасности и приватности функции не были доступны рядовым приложениям. Например, отправка СМС или звонки доступны только приложениям Apple.
Схожим образом стали действовать в Google, поэтому теперь в Android почти ничего нельзя сделать без явного согласия пользователя. Разница в том, что приложения на Android можно установить из сторонних источников, в iOS (если мы говорим про массовые установки) такой возможности нет. К тому же пользователей Android больше, а значит и круг потенциальных жертв шире, что также может привлекать злоумышленников.
Стоит еще обратить внимание, какие именно версии операционных систем установлены у пользователей. Основное различие в том, насколько быстрее пользователи iOS обновляются до последних версий, получая, таким образом, новые патчи.
По разным открытым данным, у заметного числа пользователей Android все еще установлены достаточно старые версии. Это связано, в том числе с двумя факторами: во-первых, Apple зачастую поддерживает свои девайсы дольше, чем производители устройств на Android, что позволяет владельцам iOS-девайсов дольше получать обновления ОС.
Во-вторых, на многих развивающихся рынках есть спрос на бюджетные смартфоны, которые выпускаются на заведомо устаревших версиях Android из-за более низких требований к железу.
Таким образом, в мире много тех, кто пользуется не последней версией Android. А это автоматически делает эти устройства более уязвимыми из-за отсутствия последних обновлений в плане безопасности. В то же время пользователи iOS по большей части оперативно устанавливают свежие версии ОС.
– Помогут ли кастомизированные версии Android крупных вендоров, например, Samsung или Huawei (Honor)? Они устроены лучше в плане безопасности, чем китайские телефоны с «толкучки»?
– На этот вопрос нет однозначного ответа, все зависит от вендора и конкретной версии ОС. Надстройки над Android, которые имплементируют различные вендоры, могут улучшать безопасность устройства (к примеру, это может быть механизм принудительного контроля доступа к данным), но в них также могут обнаруживаться уязвимости, которые могут эксплуатировать злоумышленники.
Отдельный интерес также представляют маркеты приложений, которые поддерживают некоторые производители, предлагая альтернативу официальному Google Play. Таким образом, производители либо пытаются предоставить пользователям доступ к уникальному функционалу и контенту либо стать более независимыми от Google.
Важно помнить, что установка приложений из сторонних источников – это один из главных векторов заражения устройств на Android, но установка приложений из подобных альтернативных сторов (магазины приложений) на порядок безопаснее из-за внутреннего процесса модерации, чем установка приложений с недоверенных площадок.
Вопрос использования альтернативных сторов сейчас, как никогда, актуален для пользователей в России из-за того, что различные приложения пропадают из привычных магазинов. Таким образом, даже те, кто устанавливал софт всегда из официальных магазинов, могут отправиться на сторонние площадки в поисках необходимого приложения, которое пропало. Эту проблему уже пытаются решить, развивая такие площадки как RuStore – официальный российский магазин приложений. Все загружаемые в него приложения проходят проверку на наличие вредоносного кода защитными решениями «Лаборатории Касперского», а также модерацию командой RuStore.
– Если пользователь покупает телефон подешевле, он обязательно вынужден устанавливать специальный софт для защиты? Или нет такой необходимости?
– Несмотря на то, что некоторые известные уязвимости и вредоносы могут быть актуальны только для более старых операционных систем из-за их технических особенностей, защитные решения важно использовать вне зависимости от стоимости или новизны модели телефона. Так пользователь сможет обезопасить себя от целого комплекса самых разных угроз. Защитные программы достаточно эффективно противостоят файловым угрозам (вредоносному ПО), а еще фишингу и скаму. Кстати, в их состав может входить определитель номера, который поможет защититься от телефонного мошенничества.
– По каким признакам пользователь может понять, что его смартфон или планшет на Android взломан?
– Есть так называемые «народные приметы»: устройство перегревается, начинает разряжаться батарея, активнее расходуется интернет-трафик. Но это скорее косвенные признаки, которые зачастую не имеют никакого отношения к признакам заражения. Современное вредоносное ПО очень хорошо защищено от невооруженного глаза.
В целом после заражения устройства есть два варианта развития событий. Если речь идет про зловредное ПО, задача которого – побудить человека как можно скорее выполнить какое-либо действие, например, про программы-вымогатели, которые требуют выкуп, то такие приложения сами себя проявляют.
Однако существует большой пласт зловредов, задача которых, как можно дольше оставаться незамеченными на устройстве. Среди них, например, банковские троянцы, майнеры, шпионское и сталкерское ПО, майнеры. Поэтому однозначно ответить на вопрос, заражено ли устройство, можно только с помощью защитного решения.
– Apple iOS устроена иначе, чем Android. Каждое приложение имеет свою внутреннюю файловую систему, свой сегмент оперативной памяти. Это осложняет работу троянских программ? Какие возможны попытки обхода таких препятствий?
– Да, действительно iOS изначально спроектирована таким образом, чтобы изолировать приложения друг от друга и исключить возможность получения доступа к данным другого приложения. Это важный аспект с точки зрения безопасности, но при этом есть масса примеров, когда даже он не спасает.
Например, шпионское ПО, которое использовалось в рамках кампании «Операция Триангуляция», могло незаметно передавать информацию с iPhone жертвы на удаленные серверы: записи с микрофонов, фотографии из мессенджеров, геолокацию и данные о других действиях владельца.
Android спроектирована иначе, по дефолту такой «изоляции» как у iOS у нее нет. Но при этом некоторые производители добавляют специальные механизмы, которые отвечают за принудительный контроль доступа к данным. Тем не менее, нужно понимать, что это всего лишь один из аспектов, которые влияют на уровень защиты пользовательских данных на устройстве.
– Аналогичный вопрос: по каким признакам пользователь может понять, что его iPhone или iPad взломан?
– Вопрос сложный. Сделать это с помощью защитного ПО (как на Android) не получится, из-за технических особенностей iOS. В таких условиях пользователю важно регулярно обновлять iOS, чтобы были установлены самые свежие патчи по безопасности.
Для обнаружения сложных угроз мы разрабатываем разные opensource-утилиты, благодаря которым можно проверить, не заражено ли устройство (так было в том числе с «Операцией Триангуляцией»). Как раз из-за сложностей в плане мониторинга, проверки устройств на предмет компрометации, и потенциальным разбором инцидентов, в последнее время идет отказ от iOS в пользу Android в корпоративном сегменте, в том числе и у нас в компании.
– Если человек купит простой телефон без операционной системы – он будет более защищен?
– Тот факт, что на кнопочные телефоны нельзя поставить дополнительные приложения, действительно сводит вероятность его заражения к минимуму. Почему не к нулю? Потому что все равно есть истории с предустановленными вредоносами, которые могут, например, списывать деньги через отправку СМС.
– Сейчас огромная проблема – это телефонное мошенничество. Люди сами переводят деньги. Можно ли от этого защититься и как это сделать?
– Телефонное мошенничество – большая и сложная проблема. В 2023 году почти половине пользователей нашего приложения Kaspersky Who Calls поступали звонки с неизвестных номеров с подозрением на мошенничество. При этом злоумышленники становятся все более изобретательными: прежде чем позвонить, пишут в мессенджерах, притворяясь коллегами; пытаются получить доступ к личному кабинету на сайте оператора связи, используют голосовые сообщения.
Чтобы не стать жертвой телефонных мошенников, мы рекомендуем сохранять бдительность при любых звонках и сообщениях, даже если они поступают от знакомых людей, никому не сообщать свои личные данные, коды из СМС и push-уведомлений, критически относиться к щедрым предложениям и не поддаваться на запугивания. Защитное решение, которое предупредит о нежелательном вызове, тоже будет очень кстати.
– Какие шаги предпринимаются командой «Лаборатории Касперского» для защиты пользователей от социальной инженерии?
– Большинство кибератак и мошеннических схем, действительно, завязаны на использованиии тех или иных приемов социальной инженерии. Например, когда фишеры мимикрируют под популярный сайт или авторы троянцев распространяют вредоносное ПО под видом легитимных приложений; людей могут торопить, пугать или, наоборот, делать крайне щедрые предложения.
Важную роль с точки зрения защиты от киберугроз играет повышение цифровой грамотности. Поэтому мы регулярно рассказываем на своих ресурсах и в СМИ о новых мошеннических схемах, разработках и методах защиты. Но, к сожалению, распознать злоумышленников вовремя у людей может не всегда получиться. На этом этапе помогут технологии: защитное решение не даст перейти на фишинговый сайт или установить вредоносное ПО.
– Как работает Kaspersky Who Calls? Это какая-то база данных? Кто её наполняет?
– База наполняется из разных источников. Например, наши пользователи могут сообщить о номере, с которого поступает спам. Мы добавим информацию в базу, если на такой номер пожалуется достаточное количество человек. К тому же наша база пополняется номерами с официальных общедоступных сайтов организаций.
В дополнение ко всему этому, чтобы определять нежелательные звонки, в Kaspersky Who Calls используются различные технологии, в том числе несколько моделей машинного обучения, учитывающие отзывы пользователей.
– Вы анализируете громкие утечки? Как происходит анализ? Если можно, приведите, пожалуйста, пример, как вам помогла такая практика?
– В «Лаборатории Касперского» есть команда Kaspersky Digital Footprint Intelligence, которая помогает организациям снизить риски информационной безопасности, в том числе с помощью мониторинга даркнета.
Например, недавно коллеги рассказали о значимых утечках данных российских компаний в 2023 году: за период с января по октябрь было зафиксировано 133 факта публикаций значимых баз данных, при этом их объем вырос на 33%. А прочитать о том, как эксперты анализируют факты утечек данных и как бизнесу подготовиться к внешним атакам и реагировать в случае компрометации, можно в полноценном отчете (https://dfi.kaspersky.ru/data-leakage-2023).
– Я жил во времена СССР и с трудом представляю себе, чтобы в то время чья-то бабушка сама пришла на почту и оформила почтовый перевод неизвестному мошеннику. По Вашему мнению, люди сейчас стали глупее или доверчивее?
– Тактики мошенников с каждым годом становятся все менее примитивными. Это в том числе реакция на постепенный рост цифровой грамотности пользователей. Например, на звонки от якобы службы безопасности банка люди уже в большинстве своем не реагируют, на «нигерийский спам» тоже. Поэтому нельзя сказать, что люди становятся доверчивее, скорее эволюционирует ландшафт киберугроз.
– Если человек не пользуется социальными сетями – он в меньшей зоне риска?
– Смотря, с какой точки зрения оценивать. Если человек не выкладывает излишне много информации о себе в социальных сетях, то он действительно в какой-то степени может быть меньше подвержен риску столкнуться, например, с доксингом.
С другой стороны, для реализации мошеннических схем злоумышленники все чаще используют даже не соцсети, а мессенджеры. Количество фишинговых атак на мессенджеры, в результате которых мошенники крадут аккаунты пользователей, росло в течение прошлого года, и на сегодняшний день эта угроза остается актуальной, в том числе из-за роста популярности и расширения функционала таких сервисов.
К тому же значительная часть кибегуроз и мошеннических схем не связана напрямую с данными, которые пользователь размещает в социальных сетях. Злоумышленники разрабатывают свои приманки так, чтобы охватить как можно больше жертв.
– Сейчас среди молодых людей снова популярны печатные книги. Многие из них предпочитают видеозвонкам личное общение. Понемногу растёт движение антипотребителей, которые стремятся продлить жизнь вещам, посещают секонд-хенд, обмениваются книгами и т. д. Возможно ли появление в будущем движения интернет-отшельников, людей, которые не пользуются соцсетями и предпочитают офлайн-сервисы и другие аспекты эпохи до появления интернета? Будет ли такой мир безопасней?
– Это вопрос скорее из области социологии и того, как эволюционирует наше общество. Но при этом уже сейчас есть люди, которые не используют социальные сети, умные устройства или другие современные девайсы. Но не из-за того, что они не знают, как ими пользоваться, а потому что, например, пытаются минимизировать информационный шум, который распространяется по всем каналам и при этом скорее отвлекает, а не приносит что-то полезное.
Я, например, не пользуюсь соцсетями или ненужными лично мне умными устройствами. Но это означает лишь то, что я просто пытаюсь найти баланс между тем, что будет приносить мне пользу и отнимать мое время.
– Что бы Вы хотели пожелать нашим читателям?
– Следить за современными технологиями, которые каждый день стараются сделать нашу жизнь проще и лучше, но при этом не забывать про безопасность. К сожалению, злоумышленники всегда будут стараться даже самые положительные вещи неправомерно использовать в своих корыстных целях.
|
Еще по теме В 2023 году число атак на пользователей мобильных устройств в России выросло в полтора раза По данным[1] «Лаборатории Касперского», в 2023 году по сравнению с 2022-м количество кибератак на пользователей Android-устройств в России выросло в 1,5 раза. Одним из наиболее распространённых видов мобильных зловредов стали различные троянцы, то есть программы, которые зачастую маскируются под легитимные. В целом функционал троянцев отличается в зависимости от вида вредоносного ПО, к которому они принадлежат. Например, они могут красть данные жертв на устройствах, оформлять нежелательные подписки, выманивать деньги. Векторы заражения троянцами очень разнообразны. Часто пользователи могут столкнуться с ними, когда устанавливают программы из неофициальных источников. При этом злоумышленники используют различные приманки, чтобы убедить жертву скачать вредоносную программу, – маскируют её под полезное или известное приложение. Другой вектор – заражение устройств на одном из этапов цепочки поставок. В этом случае человек может приобрести устройство с уже предустановленной вредоносной программой. Стоит отметить, что такая угроза актуальна и для российских пользователей. «Злоумышленники используют разные приманки для распространения троянцев на неофициальных ресурсах. Среди наиболее актуальных в прошлом году для русскоязычного сегмента можно отметить фальшивые установщики обновлений различных системных приложений, например предустановленных сторов. За такими приложениями чаще всего скрывались банковские троянцы, реже – СМС-троянцы и нежелательные рекламные приложения. Среди приманок также использовались ненастоящие приложения банков. В этом случае вредоносное приложение открывало фишинговую страницу авторизации в личном кабинете финансовой организации. Вредоносное ПО также активно распространялось в составе модов для мессенджеров. Таким образом в том числе распространялся троянец-шпион CanesSpy. Он мог красть данные с заражённого смартфона список контактов и информацию об аккаунтах на устройстве, документы, а также начинал по команде вести запись с микрофона устройства», – комментирует Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского». Среди других приманок, под видом которых распространялись троянцы, эксперты также выделяют моды для игр и фальшивые инвестиционные проекты, под вторыми на самом деле скрываются скам-приложения. В «Лаборатории Касперского» также представили прогнозы по ландшафту мобильных угроз на ближайшее будущее и обратили внимание на потенциальные векторы развития, за которыми экспертам предстоит наблюдать особенно пристально. «Полагаем, что в ближайшем будущем вырастет количество продвинутых атак на мобильные платформы, так как злоумышленники постоянно ищут новые способы доставки зловредов, а сами вредоносные программы становятся сложнее. Как следствие, злоумышленники могут искать новые способы монетизации своих усилий. К тому же, важно наблюдать и анализировать, как изменится ландшафт киберугроз, если на iOS появится возможность устанавливать приложения из альтернативных магазинов в обход App Store без джейлбрейка. Риск для пользователей представляет ситуация с удалением российских приложений из зарубежных сторов. Злоумышленники могут пользоваться этой ситуацией и распространять на неофициальных площадках под видом удалённых приложений вредоносные», – комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского». Для защиты от различных киберугроз для мобильных платформ эксперты «Лаборатории Касперского» рекомендуют соблюдать основные правила безопасности:
[1] Данные на основе анонимизированной статистики срабатывания решений компании за 2023 год.
|
Ключевые слова: мобильные угрозы, Android, iPhone, троянцы, шпионское ПО, телефонное мошенничество, официальные магазины приложений
Подпишитесь на журнал
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
