Статьи рынка безопасности

События

  • Выставка Securika Moscow 16/04/2024

    Москва, МВЦ «Крокус Экспо», павильон 3

Безопасное использование гаджетов

  • 19.03.2019
  • 2602

– Здравствуйте, я из полиции. Полчаса назад ваш сын был задержан на дискотеке за распространение наркотических средств. Сейчас ему грозит уголовное дело и тюремный срок.

– Наконец-то, господин полицейский! Дайте ему лет двадцать, наркоману этому. Житья от него нет!

Неудачная попытка телефонного мошенничества

Мобильные устройства связи – телефоны, смартфоны, планшеты и прочие фаблеты – сейчас широко используются работниками практически любой российской компании. В руках среднестатистического корпоративного специалиста эти устройства (далее будем называть их гаджетами) могут служить многим целям. Как правило, используемые в служебных целях, гаджеты обеспечивают:

  • голосовую связь посредством GSM-сетей общего пользования;
  • голосовую, видео и текстовую связь посредством различных мессенджеров (Skype, WhatsApp, Telegram и др.) через сеть интернет;
  • текстовую связь посредством СМС-сообщений;
  • переписку по электронной почте как с корпоративного, так и с личного аккаунта;
  • звукозапись – запись телефонных переговоров, деловых встреч, совещаний, лекций и др.;
  • банковские операции, включая управление своими счетами, проведение безналичной оплаты в торговых точках (сервис NFC), переводы средств, в том числе с использованием корпоративных банковских карт;
  • удалённый доступ в корпоративную сеть;
  • навигацию на автомобильных дорогах.

Безопасное использование гаджетов

Разумеется, столь обширный набор доступных функций не может не заинтересовать злоумышленников. Получая различными способами доступ к чужому гаджету, эти господа в дальнейшем используют полученную информацию к своей выгоде. В данной статье мы не будем рассматривать применяемые мошенниками методы социальноинженерии – это слишком обширная тема – а сосредоточимся лишь на чисто технических способах причинения вреда, не предусматривающих «сотрудничества» с владельцем гаджета.

Во многих компаниях не считают необходимым организовать для своих работников корпоративную мобильную связь. В конце концов, сейчас у каждого человека есть свой мобильный номер – вот пусть им и пользуется, не обеднеет небось. Увы, сотрудники таких компаний могут обеднеть куда сильнее, чем думали их бережливые работодатели.

Безопасное использование гаджетов

Проблема возникает, когда сотрудник по той или иной причине утрачивает право использования своего мобильного номера, к которому привязан интернет-банк или почтовый ящик. Абонент рискует потерять контроль над своим номером в случае, например, продолжительного отъезда за границу – в командировку, экспедицию или на лечение. 

За рубежом наши сограждане ради экономии расходов на роуминг стараются пользоваться альтернативными видами связи и не контролируют сумму средств на своем счету в компании-операторе связи. В результате, вернувшись на родину, такой абонент рискует узнать, что его номер теперь принадлежит другому человеку.

В такой же ситуации могут оказаться пользователи, приобретшие номер «на всякий случай» – например, только для получения оповещений о движении средств по редко используемому банковскому счету или карте, аварийных сообщений от какой-либо корпоративной системы или просто как резервный. 

При покупке оформляется тариф без абонентской платы, на счет вносится вроде бы вполне достаточная сумма, а затем абонент просто не считает нужным интересоваться состоянием счета. Сообщения время от времени приходят, никаких предупреждений от оператора связи не поступает, чего же ещё надо? И лишь спустя продолжительное время абонент замечает, что его sim-карта мертва[1].

Изъятый таким юридически законным, хотя и несколько сомнительным с этической точки зрения, номер повторно продаётся оператором связи новому клиенту. И этот новый клиент в качестве бесплатного дополнения к услугам связи зачастую получает регулярные СМС-оповещения о движении средств по банковскому счёту или карте, банковские коды подтверждения операций, информационные сообщения от корпоративных информационных систем и т.д. 

Разумеется, что довольный клиент может монетизировать получаемую таким путём информацию. Например, в некоторых банках можно перевести деньги с одного счёта на другой или пополнить баланс мобильного телефона с помощью всего лишь одного СМС-сообщения. При некоторых навыках и отсутствии совести такой мошенник может вывести все средства с карты рассеянного бывшего абонента, а то и загнать его в кредитную задолженность.

Более опытные мошенники предпочитают не надеяться на счастливый случай, а самостоятельно захватить чужой телефонный номер. Сделать это совсем несложно.

Достаточно представить в один из офисов оператора связи поддельную «нотариально заверенную» доверенность от абонента и попросить выдать новую sim-карту в связи с утерей предыдущей. Поскольку внутренние регламенты российских операторов связи не предусматривают проверки нотариальных доверенностей, мошенник тут же получает sim-карту на интересующий его телефонный номер. 

После этого осталось лишь отправить заветное СМС. Можно поступить еще проще даже без поддельной доверенности. Мошенник договаривается с работниками какого-либо офиса продаж оператора связи, а то и сам устраивается туда подработать. В таком случае за несколько дней можно снять деньги со счетов нескольких абонентов. При любой проверке мошенник с самыми честными глазами уверяет, что ему был предъявлен вроде бы подлинный паспорт абонента.

Сейчас уже наработана некоторая судебная практика[2] в пользу пострадавших абонентов, однако спасти свой мобильный номер от неправомерного изъятия можно и более простым способом. Следует организовать корпоративную мобильную связь и обязать всех сотрудников компании к ней подключиться. 

При этом использование личных sim-карт должно допускаться только в аппаратах, заведомо не используемых в служебных целях. Корпоративное подключение к оператору связи свободно от описанных выше рисков. Обслуживание клиентов осуществляется выделенным менеджером оператора связи строго через выделенного сотрудника компании, так что отобрать корпоративный мобильный номер непросто[3].

Вторым по распространенности среди жуликов, после прямой кражи номеров, остается изъятие информации с помощью незаконного подключения к чужим мобильным телефонам. С этой целью на телефон жертвы устанавливается то или иное вредоносное программное обеспечение. 

Практика показывает, что зараженные программы свободно распространяются через вроде бы солидные магазины, не говоря уже о многочисленных «свободных» сайтах. При этом пострадавшие не уделяют достаточного внимания антивирусной защите своих гаджетов.

Действует широко распространённое суеверие: операционная система Android – это клон Linux, а под Linux вирусов не бывает.

В результате владельцы гаджетов либо полностью полагаются на встроенную защиту Android, либо устанавливают бесплатные антивирусные программы. К сожалению, такие программы не обеспечивают по-настоящему действенную защиту. В результате нередки случаи, когда бесплатный антивирус и программа-шпион мирно сосуществуют на одном гаджете. Довольны и владелец гаджета, получивший бесплатную защиту, и злоумышленник, получивший дорогостоящую информацию.

Для избежания такой ситуации необходимо установить на гаджете – да, и на iPhone тоже! – коммерческое антивирусное программное обеспечение. При этом неплохо бы помнить, что зарубежные разработчики антивирусного ПО чрезвычайно отзывчивы к просьбам местных спецслужб[4], так что на данный момент достаточный уровень безопасности дают лишь отечественные продукты – неизменные «Антивирус Касперского» и «Доктор Веб»[5]. 

Правда, эти продукты имеют существенный недостаток по сравнению с бесплатными антивирусами – они стоят денег. Далеко не все владельцы гаджетов осознают риск и готовы платить за предотвращение опасных последствий. И здесь не поможет даже корпоративная мобильная связь – компании принадлежит лишь sim-карта, а сам гаджет был и остаётся в собственности работника. Остаётся надеяться лишь на сознательность работников и профессионализм специалиста по информационной безопасности.

Существует и более сложная технология внедрения вредоносного ПО на смартфон пользователя. Троянская программа не устанавливается под видом приложения, а прячется в т.н. «прошивку» смартфона – неофициальную версию системного программного обеспечения. Многие энтузиасты в погоне за повышением быстродействия, высвобождением оперативной памяти или ростом надёжности своего гаджета устанавливают на нём неофициальные версии операционных систем Android, Fire Fox и т.п. 

Большинство из таких «прошивок» содержат глубоко запрятанный вредоносный функционал. Поскольку системные программы загружаются и запускаются раньше прикладных, то такая вредоносная закладка получает на гаджете привилегии администратора и в дальнейшем успешно скрывается от любой антивирусной программы, работающей с правами пользователя.

Технических методов защиты от таких закладок на данный момент не существует. В какой-то степени может помочь вдумчивый анализ прошивки перед ее установкой в антивирусной лаборатории. Но многие ли пользователи его заказывают? Остается надеяться лишь на организационно-административные меры.

С помощью вредоносного ПО злоумышленники могут получить доступ не только к личным данным владельца гаджета, включая финансовую информацию, но и к сведениям, составляющим коммерческую тайну компании. Используя гаджет как прокси-сервер, злоумышленник получает доступ в корпоративную сеть с правами владельца гаджета. Объём и ценность украденных данных в такой ситуации могут быть ограничены лишь весьма эластичной совестью злоумышленника.

Если гаджет используется для навигации, то в навигационной программе, как правило, остается вся история поездок. Особенно «удачно», когда гаджет используется на инкассаторском автомобиле, например, в качестве трекера. Повезёт злоумышленникам и в случае, если гаджет принадлежит высокооплачиваемому top-менеджеру[6]. Получив расписание поездок и адреса частого посещения, злодеи могут нанести компании уже не только финансовый урон. 

Диапазон способов заработка весьма широк – от банального шантажа (если, например, руководитель решил прокатиться к знакомой по секрету от жены) до разбойного нападения и похищения человека. Этот способ, впрочем, далеко не нов. По одной из версий, именно таким способом еще в 2002 году был выслежен и впоследствии похищен высокопоставленный руководитель одной из крупных российских компаний.

В связи с бездумными блокировками ряда информационных ресурсов у пользователей смартфонов стали популярными различные vpn-сервисы, позволяющие обойти эти блокировки. Конечно же, особым спросом пользуются бесплатные сервисы.

Однако сторонники «свободного интернета» забыли, где чаще всего встречается бесплатный сыр. Проведённое независимыми специалистами исследование показало, что самые лучшие бесплатные vpn-сервисы для Android и iOS предлагаются некими малоизвестными фирмами, не указывающие ни своих сайтов в сети интернет, ни даже телефонов и адресов электронной почты[7]. 

Велика вероятность, что «добрые» поставщики бесплатных vpn-сервисов накапливают и анализируют проходящую через них информацию с целью её дальнейшего использования. Не будет исключением и «самый защищённый от спецслужб» браузер Tor и его сервис для смартфонов Orbot. В противовес бесплатным vpn-сервисам, аналогичные платные сервисы обычно предоставляются вполне респектабельными компаниями, успевшими зарекомендовать себя на рынке. Монетизация трафика своих пользователей таким фирмам в принципе не требуется.

Наконец, одним из способов повышения благосостояния злоумышленников служит банальная кража гаджета – реальная или виртуальная. В случае реальной кражи злоумышленник тем или иным способом присваивает чужой смартфон, после чего распоряжается им в зависимости от своей квалификации. Обыкновенные «щипачи» просто сбрасывают гаджет к заводским настройкам и продают за ¼ заводской цены. Более квалифицированные преступники могут с выгодой для себя распорядиться информацией в смартфоне. Особенно удобно им работать, если на аппарате отключена защита от возврата к заводским настройкам и функция поиска телефона.

Как показывает практика, правильно задействуют эти подсистемы не более 30% пользователей гаджетов.

Злоумышленники, избегающие риска, практикуют виртуальные кражи смартфонов вместо реальных. В основном так воруют смартфоны от Apple. Получив тем или иным способом данные от учётной записи владельца смартфона в iCloud, мошенник привязывает iPhone к своей учётной записи и дистанционно блокирует его как утерянный. 

После такой виртуальной кражи владельцу смартфона предстоит выбор меньшего из трёх зол – остаться с «кирпичом» на руках вместо любимого телефона, заплатить мошенникам отступного за разблокировку аппарата или, собрав фирменную коробку и кассовые чеки, обратиться с соответствующим заявлением в службу технической поддержки Apple. 

В последнем случае приблизительно через два месяца потерпевший сможет воссоединиться со своим iPhone, ничего не уплатив жуликам. По оценкам прошедших через эту эпопею, наиболее сильное впечатление оставляет виртуальная кража iPhone, когда его владелец находится в командировке или в отпуске за границей.

Предотвратить подобные происшествия чисто техническими мерами невозможно. Однако служба безопасности компании может минимизировать возможный ущерб с помощью комплекса организационно-административных и технических мероприятий.

Первое. В компании необходимо разработать политику использования мобильных устройств в служебных целях. Как минимум, такая политика должна предусматривать получение каждым работником, желающим использовать личный смартфон на рабочем месте, соответствующего согласования от службы безопасности компании. Без такого согласования работник может использовать в офисе компании только кнопочные мобильные телефоны, не предусматривающие установки на них какого-либо программного обеспечения.

Как вариант, в компаниях, располагающих достаточным бюджетом, может быть предусмотрена выдача работникам настроенных служебных смартфонов на всё время работы в компании, с одновременным запретом использования в тех же целях личных устройств.

Второе. В соответствии с описанной выше политикой, внос в офис и использование в служебных целях, в том числе доступ в корпоративную WiFi сеть, к корпоративной электронной почте и другим ресурсам личных смартфонов без согласования со службой безопасности должно быть исключено.

Третье. Политика использования мобильных устройств должна включать следующие технические меры:

  • фиксация IMEI смартфона, а также MAC-адресов его WiFi и Bluetooth-интерфейсов;
  • перевод sim-карты на корпоративную мобильную связь[8];
  • обязательная установка на смартфон отечественной антивирусной программы. В настройках программы следует обязательно включить режим «антивор» и установить либо централизованное управление (если компания имеет соответствующую инфраструктуру), либо регулярное автоматическое обновление антивирусных баз;
  • при наличии технической возможности активировать встроенную защиту смартфона от hard reset (сброса к заводским настройкам). Соответствующие действия описаны в инструкции к конкретной модели смартфона;
  • активировать в смартфоне функцию «Поиск устройства» на случай кражи или утери;
  • установить на смартфоне необходимое программное обеспечение для доступа в корпоративную сеть, к электронной почте и другим корпоративным сервисам. При этом не использовать для доступа к электронной почте встроенные программы Android или iOS – именно к этим программам имеется больше всего эксплоитов;
  • при необходимости работы с заблокированными ресурсами[9] установить на смартфон платный vpn-сервис от компании с хорошей репутацией;
  • не реже одного раза в месяц проводить полную проверку смартфона антивирусной программой, а также наличия на нём потенциально вредных программ.

Четвёртое. Политика использования мобильных устройств должна включать также следующие организационно-административные меры:

  • безусловный запрет работникам передавать свой смартфон третьим лицам, а также оставлять его без присмотра в общественных местах;
  • обязанность работника немедленно уведомлять службу безопасности компании об утере или краже смартфона;
  • безусловный запрет работникам получать т.н. root-доступ на смартфонах, а равно устанавливать какие-либо программы для получения такого доступа;
  • безусловный запрет работникам использовать смартфон в противоправных целях, в том числе для распространения оскорбительной, клеветнической, экстремистской, порнографической информации, контрафактных материалов, а также для действий, могущих быть истолкованными как харассмент;
  • обязательное информирование службы безопасности компании о подключении на номер работника каких-либо уведомлений от корпоративных сервисов (банковские уведомления, отчеты о работе серверов и автоматизированных систем и т.д.);
  • стимулирование работников к использованию смартфонов какой-либо одной модели или хотя бы модельной линии (например, частичная компенсация стоимости приобретения смартфона);
  • периодические инструктажи о правилах безопасного использования смартфонов.

Пятое. При увольнении работника из компании специалист службы безопасности удаляет с его смартфона реквизиты и средства доступа в корпоративную сеть и к корпоративным сервисам, а также все документы и материалы, являющиеся собственностью компании. При наличии корпоративных лицензий на соответствующее программное обеспечение производится удаление этого ПО со смартфона работника. 

Номер телефона работника отключается от корпоративной связи и регистрируется у оператора связи как частный. Все уведомления о работе корпоративных систем переводятся с номера бывшего работника на номер его коллеги, которому передано исполнение его обязанностей. Все эти действия очень хорошо сочетаются с подписанием обходного листа работника в процессе его увольнения.

Шестое. При поступлении в службу безопасности компании уведомления о краже или утере используемого для корпоративных нужд смартфона специалист службы безопасности предпринимает следующие неотложные меры:

  • блокировка доступа с пропавшего смартфона в корпоративную сеть, к банковским счетам и иным подсистемам, куда имел доступ работник;
  • блокировка sim-карты через оператора связи;
  • попытка обнаружения пропавшего смартфона с помощью соответствующих сервисов;
  • уведомление государственных правоохранительных органов и при необходимости оказание им содействия в розыске и изъятии пропавшего смартфона.

Политика использования мобильных устройств может предусматривать и другие меры по обеспечению безопасного использования гаджетов в интересах компании. Совокупность этих мер позволит в значительной степени минимизировать риски использования современных гаджетов.

1 Автору известен случай, когда владелец банковского счёта в течение 2 месяцев не замечал, что лишился мобильного номера, к которому была привязана оформленная «на чёрный день» кредитная карта.
2 Например, в 2018 году новосибирский суд взыскал с оператора связи в пользу гражданина Е. 281 500 рублей – всю сумму, украденную с его банковской карты мошенниками.
3 До настоящего момента таких случаев не выявлено.
4 Достаточно вспомнить нашумевшую в своё время историю с Magic Lantern.
5 К сожалению, российский «Наноантивирус» пока не портирован для смартфонов.
6 Или персональному водителю топ-менеджера.
7 В редких случаях указываются адреса в доменах altavista.com и google.com, а также контакты в китайском мессенджере Wechat.

Поделиться:

Все права защищены
© ООО АДВ Секьюрити,
2003—2024
Яндекс.Метрика
Метрика cайта: новости: 8222 | компании: 528 | бренды: 423 | статьи: 1150

О проекте / Контакты / Политика конфиденциальности и защиты информации

Techportal.ru в соц. сетях