Плохие новости

Мессенджеры настолько захватили рынок обмена текстовыми сообщениями, что об СМС мы вспоминаем только тогда, когда с помощью этого «канала общения» приходит уведомление из банка или от почтового сервиса с включенной двухфакторной аутентификацией. Вот только то, что с помощью СМС приходят именно эти сообщения, не слишком правильно. Более того, не слишком правильно» — довольно мягкая формулировка. СМС уже давно не является надежным защитным механизмом. Ни с точки зрения безопасности при передаче кодов доступа к банковским аккаунтам, ни с позиции надежности при авторизации в почтовых сервисах. При этом текстовые сообщения используются для этих целей огромным количеством людей, которые даже не подозревают об опасности, думая, что они хорошо защищены. Так в чем же проблема? Старо как мир Для начала стоит сказать, что текстовые сообщения, по сути, никак не изменились за годы, а протоколы связи уже давно изучены вдоль и поперек как спецслужбами, так и их «антиподами». Перехват сообщения двухэтапной аутентификации и авторизация с помощью кода в почтовом сервисе или мессенджере вместо его настоящего хозяина — суровая реальность. Стоит вспомнить хотя бы взлом мессенджеров оппозиционных гражданских активистов Олега Козловского и Георгия Албурова. По мнению жертв, в произошедшем был замешан сотовый оператор, отключивший передачу сообщений на телефоны жертв во время атаки и передавший их содержимое злоумышленникам. Однако специалисты в области информационной безопасности говорят, что операция могла быть произведена и без помощи оператора. Перехватить сообщение можно разными способами. В том числе с помощью уязвимостей сигнальной сети. Хотя сотовые операторы (пусть и неспешно) их прикрывают, остается еще масса возможностей получить доступ к банковским и прочим аккаунтам пользователей с помощью СМС. Кроме всего прочего, эсэмэски — в принципе крайне ненадежное средство для переписки. Они хранятся в незашифрованном виде, и получить доступ к ним может по большому счету кто угодно без каких-либо серьезных ухищрений. Вирус Заполучить на телефон зловред можно множеством разных способов. По сути, от этого не застрахован никто: даже в официальные магазины приложений то и дело попадают программы, выполняющие вредоносные функции. А антивирусы могут не среагировать на новую «заразу», которой еще нет в их базах данных. Однако важно понимать, что большинство таких приложений не сможет выполнить свои деструктивные функции без одобрения пользователя. Для этого зловреды могут выдавать свои сообщения за системные оповещения. Пользователь, соглашаясь с чем-то, на первый взгляд, безвредным, на самом деле предоставляет вредоносному приложению повышенные привилегии или доступ к чтению СМС. Определенным вредоносным приложениям удается полностью взять на себя функции программы для обмена текстовыми сообщениями. К чему это может привести? Зловред может легко прятать сообщения от банков и почтовых сервисов. Кроме того, вирус может отправлять сообщения в ответ таким образом, что пользователь ничего не заподозрит. Итогом, как можно догадаться, станет опустошенный банковский счет или «угнанный» почтовый аккаунт. По словам специалистов информационной безопасности, серьезная проблема заключается в огромном количестве Android-смартфонов с устаревшей операционной системой. Вирусописателям даже не нужно придумывать новые способы обхода защитных механизмов, появляющихся в последних версиях операционной системы — она попросту не установлена на большинстве смартфонов, которые, по сути, даже не успели как следует устареть с точки зрения технических характеристик. Что самое печальное — современные вирусы научились заражать даже резервный образ системы. Таким образом, не поможет даже сброс до заводских настроек. Мошенничество Куда менее технологичный способ отъема денег у населения — банальное мошенничество. В отличие от тех же мессенджеров, где кредитная (да и не только) организация может получить «верифицированный» администрацией сервиса аккаунт, сообщение можно элементарно подделать. Этот не новый способ до сих пор отлично срабатывает. В ход идут базовые принципы социальной инженерии, но они тем не менее работают: человек, привыкший получать сообщения после каждой операции по карте, может попросту не заметить, что сообщение пришло не с того номера или что оно написано с ошибками. Справедливости ради надо сказать, что сообщение может быть получено и с «правильного» номера — благодаря фальшивой соте, которую сегодня можно без особых проблем приобрести. Что делать Всеми силами стремиться дистанцироваться от этого ненадежного средства коммуникации. Использовать для авторизации специальные приложения, генерирующие одноразовые коды. А в работе с банковскими сервисами на смартфоне применять специальные приложения, использующие вместо СМС push-уведомления. Для доступа к онлайн-банку c компьютера лучше пользоваться таблицей одноразовых кодов, если другого способа банк не может предложить. В общем, будьте как Мачете. Павел ШОШИН, Banki.ru