Атака на мобильный, жертва – человек

Все разнообразие мобильных атак условно можно разделить на два основных блока: атаки на владельцев мобильного аппарата и использование гаджета жертвы для выполнения атаки на третьи лица. Но цель и в первом, и во втором случае одна – получение денежных средств либо находящейся на мобильном аппарате информации. Исходя из способов и сценариев реализации, все атаки можно разделить на несколько видов, результатом которых становится получение доступа к той или иной информации или к счетам с денежными средствами клиента. На каждом из них хотелось бы остановиться подробнее.

Мама, в меня попал метеорит

У всех на слуху истории, когда злоумышленники, используя в своих целях силу родственных связей, отправляют потенциальной жертве SMS-сообщения с просьбой о помощи от имени ребенка или близкого родственника. Зачастую злоумышленники оперируют минимальным набором "живых" данных, однако жертва, впадая в панику, сама того не замечая, сообщает мошеннику всю необходимую информацию (имя сына, возраст и др.).

Нельзя обойти вниманием и мошенничество с банковскими картами, когда, к примеру, жертва получает SMS-сообщение о том, что карта заблокирована с просьбой перезвонить. А на том конце провода незадачливого владельца карты "встречает" злоумышленник в образе сотрудника службы безопасности банка с историей о попытке взлома карты… Успешный финал такой "сказки" – перевод средств карты через сервисы ДБО банка.

Это частные примеры, однако общая выгода для злоумышленников в этом случае заключается в информации, хранящейся на мобильном устройстве (логины и пароли, телефонная книга, переписка и т.д.), и в непосредственном доступе к денежным средствам на лицевом счете клиента у оператора связи либо других организаций, включая банковские.

Операторы связи, безусловно, ведут работы по вычислению такого мошеннического спама. Основные движения со стороны законодательной власти способствовали появлению п. 22.1 в ст. 2 в законе "О связи". К сожалению, эта правка поспособствовала борьбе с рекламным спамом или мошенническим только в тех случаях, когда речь идет о подмене номера мошенника на номер в альфа-нумерации. Поэтому для дополнительного снижения уровня абонентского "отклика" на подобные сообщения не обойтись без пропаганды самых простых правил поведения при получении подобных сообщений: всегда сверять информацию на сайтах банков, в контактных центрах, при неординарных просьбах от родных и знакомых убедиться в том, что это точно они, и пр.

ПО стоит, мошенник – действует

При помощи установленного на мобильном аппарате жертвы ПО мошенники могут получить доступ не только к информации, хранимой на устройстве (включая переписку и возможность вести запись голосового трафика), но и возможность управлять им самим – просматривать входящие сообщения, отправлять новые и удалять любые из них. Чаще подобные возможности используются для управления лицевым счетом клиента у операторов связи, управления мобильной коммерцией мобильным банком и т.п. при помощи отправки сообщений на премиум-номера (как на короткие номера РФ, так и международные).

Один из наиболее универсальных и удобных для мошенников механизмов таков: потенциальная жертва под видом игры или любого другого приложения/объекта загружает и устанавливает в своем мобильном аппарате вредоносную программу (с установкой прав администратора). Далее в течение недели на периодической основе отправляет запрос на управляющий сервер (в среднем сессия в размере 2 Кб), содержащий IMEI¹ устройства. В ответ на запрос управляющий сервер передает данные об отправке SMS-сообщения на определенный премиумномер с определенным содержимым (префиксом). И подобная процедура повторяется каждую неделю по всей зараженной базе. Обычной практикой является расширение сети до определенного количества и только потом – его использование.

Чтобы не бороться с последствиями заражения устройства, проще использовать антивирусные программы и внимательнее относиться к выбору ресурсов для загрузки ПО, раздачи административного доступа или доступа к сообщениям.

А оператор-то не настоящий!

Инциденты с фейковыми базовыми станциями случаются достаточно редко, хотя на просторах нашей родины нам приходилось встречаться и с такими. Фейковая базовая станция представляет собой аналог базовой станции оператора. Только с более сильным сигналом, чтобы мобильные устройства потенциальных жертв регистрировались не в своей домашней сети, а именно на мошеннической базовой станции. Далее фейковая базовая станция выполняет роль промежуточного звена между абонентом и оператором связи с возможностью инициирования любых действий "от лица" абонента. Например, такая базовая станция позволяет:

• получать информацию об абоненте – IMSI² и пр., – но, конечно, не включая его персональные данные;
• осуществлять действия от лица абонента: принимать и отправлять SMS-сообщения, входящие и исходящие вызовы и др.;
• читать любой трафик между оператором связи и абонентом: SMS-трафик, голосовой трафик, передача данных (интернет-трафик);
• подавлять сотовую связь.

Способы частично избежать регистрации на фейковой базовой станции есть, но они не являются панацеей. Оператор способен вычислить работу такой станции только при использовании хорошо настроенного модуля Velocity в FMS (Fraud Management System) с учетом анализа резкой смены сот в определенной точке.

Ваш мобильный аппарат – чужой сообщник

Зараженные мобильные устройства жертв часто используются даже не столько для получения информации с него или для получения денежных средств жертвы, сколько для организации атак на другие устройства/сети. И в этом случае все схемы можно условно разделить на два основных направления: получение информации с устройств/сетей третьих лиц и DDoS-атаки.

В первом случае предположим, что будущая жертва использует мобильное устройство для работы, к примеру, с корпоративной почтой и другими корпоративными ресурсами, подключается к корпоративным точкам Wi-Fi и т.п. Злоумышленник, получивший доступ к перечисленным "источникам" данных, вместе с ними вполне может получить доступ к данным компании, персональным данным ее сотрудников или клиентов. А иногда в этом случае злоумышленник получает возможность управления частью ресурсов компании.

Второй, не менее распространенный, способ заключается в использовании ботнета для генерации максимально возможного числа запросов на сервер-жертву. А в результате – информационные системы компании-жертвы временно приостанавливают свою работу либо злоумышленник получает доступ к необходимой ему информации и т.п. В отдельных случаях инициируется DDоS-атака в виде шквала вызовов на конкретные номера компании-жертвы, что сводит практически к нулю возможность дозвониться для обычных (в том числе потенциальных) клиентов. К примеру, можно "глушить" номера конкурирующих такси или сделать невозможным осуществление записи на регистрацию в ФМС для юридических лиц… Также злоумышленники могут использовать включение звуковой записи для "черного пиара". Кстати, подобные схемы часто используются во время проведения предвыборных кампаний и выборов, когда на пул номеров избирателей генерируются вызовы с записью избирательной кампании конкурента на выборах, и все это происходит в ночное время.

В качестве защиты, конечно, можно рекомендовать традиционное использование антивирусов и пр., но, к счастью, операторы связи и интернет-провайдеры в том числе и на своей стороне стараются выявлять ботнеты.

Итог

К сожалению, как бы сами абоненты, операторы связи и правоохранительные органы ни старались защититься от нападок злоумышленников, единственным способом полностью обезопасить себя является полный отказ от мобильной связи и Интернета. С одной стороны, антивирусные программы никогда не будут гарантировать стопроцентного выявления всех вирусов, а абоненты, как показывает опыт, всегда будут устанавливать сомнительные программы и даже давать им права администратора. С другой – хотя операторы связи внедряют и активно используют системы по защите самих себя и своих абонентов, все же все новые и новые схемы мошенничества появляются ежемесячно, да и "дыры" в алгоритмах защиты, благодаря которым мошенники все равно добиваются своего, тоже никто не отменял. При этом правоохранительные органы не всегда готовы противостоять всем злоумышленникам: зачастую имеющейся законодательной базы недостаточно для определения и трактования тех или иных действий злоумышленников как мошеннических и подлежащих уголовному преследованию.