К открытому вайфаю подключаться можно? А деньги с мобильного банка украдут? Разбираемся в телефонной кибербезопасности вместе с экспертом

Могут ли у вас украсть деньги в автобусе с помощью терминала и что все-таки лучше — андроид или айфон? «Проспект Мира» задал несколько глупых вопросов эксперту «Лаборатории Касперского» по кибербезопасности Дмитрию Галову на форуме Cyber Security Weekend в Казани.

Тренды киберпреступлений

Одно из главных заблуждений, которые мы слышим: «Мои персональные данные никому не нужны». Мол, кто я такой, все про меня и так все знают, мне нечего скрывать. Это не так. Возможно, отдельные индивидуумы злоумышленникам и не очень интересны, но массивы персональных данных — это другое. Год от года этот интерес никуда не уходит, лишь меняется ландшафт тех данных, которые всех интересуют.

Сейчас наблюдается рост интереса к медицинским данным — цифровизация пришла в больницы. Селфи с документами, водительские удостоверения, — их используют, чтобы выдать себя за кого-то другого при авторизации на сервисах.

Во время пандемии развился новый рынок — доступ к платным подпискам. Это целый сервис, построенный, как ни странно, тоже на платных подписках. Вам не просто логин-пароль от подписки скидывают, а обеспечивают, можно сказать, сервисное обслуживание. То есть если взломанный пользователь перестает платить за Порнхаб, вам скинут новый аккаунт, будете дальше смотреть и радоваться.

По большей части ваши данные оказываются у злоумышленников из-за вашей невнимательности. Это не результат взлома в классическом понимании, это фишинговое письмо, которое вам приходит, или звонок мошенника.

NFC-технология для оплаты — опасно?

В этой системе многое предпринято для безопасности. Во-первых, расстояние использования. Представить, что вы едете в автобусе и к вам кто-то прикладывает терминал – это что-то из области фантастики. Кроме того, оплата без дополнительной авторизации ограничена 1-3 тысячами рублей, то есть большую сумму денег точно не выведешь. Если будешь выводить понемногу, но часто — сработает антифрод-система. Если все-таки боитесь — то можете использовать экранирующие холдеры для карт.

Когда вы добавляете себе карту в Wallet на телефон, то «кошелек» не выдает изначальные данные вашей карты. Там генерируется своя отдельная карта и с помощью токенов производится оплата.

Мобильный банк в телефоне — опасно?

Сам мобильный банк проблем не несет — но проблемы может нести человек, который им пользуется. Потому что, если у вас заражено устройство и на нем стоит мобильный банк, который вы открываете, то возможен неблагоприятный сценарий. Например, вредоносная программа может открыть свое окно поверх банка, и сказать: «Дружище, вышло обновление, введи заново номер карты». Человек вводит, это уходит на сервер злоумышленников, и они пытаются провести оплату. И казалось бы — есть двухфакторная авторизация. Но устройство уже заражено. Злоумышленники пытаются что-то оплатить, на телефон приходит смс, они ее читают, отправляют себе на сервер, у вас ее удаляют — и приехали.

Это не значит, что надо отказываться от технологий — но надо знать, как ими пользоваться. Самое главное — защитить устройство. Многие банковские приложения уже содержат внутри себя SDK, которое работает как антивирус, в том числе наши SDK продаются некоторым банкам и используются в составе их приложений. И когда у вас скачивается вредоносный файл — вас уже пытаются защитить.

Публичные вайфай-сети — опасно или нет?

Истории о том, что вы подключились к публичной сети, и у вас сразу украли все логины и пароли — это уже устаревшая тема, в том числе потому, что сейчас на сайтах в основном идет протокол HTTPS. Раньше вы могли войти в соцсеть по HTTP, и если злоумышленник сидит с вами в одной публичной сети — он просто получает токен, который может подставить себе и зайти из-под вас. Сейчас уже не так.

Но угрозы все равно существуют, существуют уязвимости, которые позволяют воровать какие-то данные, подменять публичные точки доступа: то есть выдавать свое устройство за такую точку, и если, например, у вас включено автоподключение к открытым известным точкам, то вы к нему автоматически подключитесь.

С публичными сетями связаны и таргетированные атаки. Например, был случай, когда группа хакеров атаковала высокопоставленных гостей люксового отеля. Они захватили отельный вайфай, а потом под видом хоспиталити предлагали установить обновления операционной системы. Человек скачивал, устанавливал — и все пропало.

В целом это не директива, чтобы не использовать публичный вайфай вообще, но если можно обойтись без того, чтобы передавать куда-то свой номер телефона и адреса почты, то лучше это сделать.

Что безопаснее — Android или iOS?

Сейчас уже нельзя однозначно ответить на этот вопрос. Их сложно сравнивать. У iOS закрытый исходный код, у Android открытый, поиск уязвимостей в открытом коде проще. iOS разрабатывается Apple для своих же устройств, которых выходит не так много и которые они могут контролировать, поддерживать в течение долгого времени. Android — это лишь операционная система, поверх которой все вендера надстраивают свои оболочки. И андроид-устройств выходит на порядок больше. Ну а любые надстройки могут тоже нести свои уязвимости.

Есть и еще один фактор — версии операционных систем. Если посмотреть статистику, то большинство пользователей iOS относительно своевременно ставят обновления. С Android картинка другая. Тут нужно понимать, что пользователи бюджетных Android-телефонов через какое-то время теряют возможность ставить новые апдейты.

В общем, если по всей совокупности факторов, то можно говорить о том, что пользователи iOS более защищены. Но это не потому, что Android такая помойка, где никто не думает о безопасности. Так, в 2020 году стоимость зеродей (zero day, так называемая уязвимость нулевого дня, про которую никто не знает), которая не требует интеракции пользователя (чтобы кнопки потыкал и по своей воле заразил устройство) у Android превысила стоимость у iOS. Это говорит о том, что уровень безопасности у Android сильно вырос.

Насколько легко получить доступ к гугл-аккаунту или Apple ID?

Если без физического контакта c телефоном — это почти всегда истории про фишинг и социальную инженерию, а не про атаки на какие-то бэкапы, которые хранятся на каких-то серверах. Все более прозаично, как и получение учетных записей от других сервисов. Например, рассылки от «гугл секьюрити тим», которые предлагают что-то сделать и куда-то перейти. Зачем злоумышленникам заморачиваться какими-то сложными технологически продвинутыми вещами, когда старое доброе мошенничество все еще работает?

Если вопрос про то, можно ли в принципе получить доступ без физического контакта — то да, можно. Есть таргетированные атаки, есть шпионаж, за определенную сумму денег можно все и даже больше. Но на рядового пользователя никто тратиться не будет. Верить в теории заговора — это хуже, чем ставить надежные пароли.

• Проверить, есть ли ваши учетные данные в общем доступе, можно на сайте haveibeenpwned.com. И как можно скорее смените утекшие пароли.