Безпека мобільних додатків від кіберзлочинців
Як мінімізувати ризики
Питання забезпечення інформаційної безпеки (безпеки мобільних додатків) завжди актуальне. Компанія, яка створила мобільний додаток повинна постійно інвестувати в його працездатність. Мова йде не тільки про функціонал, а й захист даних, як особистих, так і платіжних. На жаль, кіберзлочинці не сидять склавши руки, тому розробникам не варто зупинятися на досягнутому.
В пошуку слабких місць мобільних додатків
Забезпечення стабільної роботи мобільних додатків залежить від декількох факторів.
Перший — це продуманий до дрібниць функціонал, а другий — здатність розробника передбачити основні фактори ризику. Відкривають перелік незахищені громадські Wi-Fi локації, розташовані, наприклад, в ресторанах. Тут будь-який хакер швидко підключиться до будь-якого мобільного пристрою. Всупереч численним закликам розробників додатків до обачності, юзери ігнорують їх. Кожне незахищене підключення відкриває двері до особистих і фінансових даних користувача. Продовжують перелік факторів ризику додатки, що містять шкідливий ключ. Проблема полягає в тому, що юзери шукають необхідні їм додатки не лише на офіційних платформах, наприклад, Play Market чи App Store. Багато хто завантажує сумнівні версії ПЗ з різних ресурсів, власники яких не гарантують безпеки.
Інші фактори ризику для мобільних додатків:
- – вразливість операційної системи (ОС) — універсальних ОС не існує. Навіть найдосконаліший варіант буде зламаний, тому розробники, враховуючи ситуацію на ринку, повинні постійно випускати оновлення.
- – крадіжка даних безпосередньо з сервера, де зберігається інформація про користувачів окремого додатка. Це відбувається з двох причин. Перша — це “злив” особистих даних власником сервера, який хоче залучити рекламодавців. Друга — недостатній рівень захищеності сервера.
Недостатній рівень мобільної криптографії, коли розробники, бажаючи заощадити, не інвестують в забезпечення належного рівня захисту особистих і платіжних відомостей.
Непереможних мобільних додатків не існує
Міжнародна спільнота закликає позбутися стереотипів. Сучасні технологічні рішення дозволяють кіберзловмисникам отримати доступ майже до будь-якого мобільного додатку. Прикладом стане софт, який використовується в банківській сфері. Зловмисник отримує доступ до додатка, а потім виконує платежі. Власник навіть не дізнається про проблему, тому що шкідливе програмне забезпечення блокує вхідні SMS про проведені транзакції. В групу ризику входять усі користувачі. До прикладу, не обов’язково користуватися сумнівними джерелами отримання додатків. Достатньо лише одного разу перейти за посиланням, що містить шкідливий код. Наприклад, додатки збирають відомості про маніпуляції з клавіатурою, записують все, що відображається на екрані. З одного боку, розробнику така інформація потрібна для подальшого розвитку додатку, а з іншого боку — зібрані дані погано захищені. Зловмиснику не важко їх отримати.
Перехоплення SMS та знімки екрану
Мета кіберзлочинця — це отримання прибутку, інакше неможливо було б окупити інвестиції у створення шкідливого програмного забезпечення. В групі ризику не лише користувачі фінансових додатків, але й ті, хто вносять особисті дані в програмне забезпечення. Складність ситуації полягає в тому, що неможливо точно визначити момент зараження. Часто кіберзлочинці отримують доступ до ПК користувача та додають вірус-вимагач, що вимагає оплату за розблокування даних на ПК. Девайс продовжує роботу в звичному режимі, проте “хвороба” вже почала активно розвиватися:
- – перехоплення SMS;
- – запис екрану;
- – фотографії екрану;
- – копіювання переліку контактів;
- – копіювання документів і медіафайлів на девайсі.
Ще одне популярне, проте невірне судження, що допомагає шахраям, пов’язане з відмовою від додатків. Наприклад, користувач встановив найпростіший “ліхтарик” чи текстовий редактор, який різко вимагає права доступу до текстів, медіа та інших файлів. Логічно припустити, що розширений перелік дозволів йому точно для роботи не потрібен.
Можливості соціальної інженерії
Інформаційна грамотність користувачів росте, тому злочинці шукають більш витончені способи викрадення особистих та платіжних даних. Тут їм на допомогу приходить соціальна інженерія. З психологічної точки зору мова йде про створення умов, за яких вдається спровокувати людину на виконання необхідної дії.
Існує багато варіантів використання соціальної інженерії:
- – лист, дзвінок, SMS від банку;
- – лист від державного органу;
- – повідомлення від компанії, яка інформує про виграш;
- – відправлення жертві посилання, яке схоже на адресу, наприклад, платіжної системи;
- – відправлення користувачу листа зі шкідливим вмістом;
- – дзвінок користувачу від імені банку, служби підтримки та схожих установ.
В групі ризику ті, хто вносить дані платіжної карти в публічних місцях. До прикладу, зловмиснику достатньо лише стояти за спиною безтурботного юзера, щоб зафіксувати номер його банківської картки. Експерти закликають бути обережними в соціальних мережах. Окремі користувачі вказують так багато особистих даних, що суттєво полегшують життя злочинців.
Як убезпечити користувача додатку від кіберзлочинців
Пильність ніколи не буває надмірною, тому не варто покладатися на запевнення розробників операційних систем і додатків. Багато що залежить безпосередньо від користувача. Перший крок — це встановлення на девайс антивірусного ПЗ, що буде стабільно працювати. Регулярний моніторинг трафіку та активності додатків мінімізує ризик. Другий крок — це складні паролі, які не можна “світити”. Третій крок — це регулярне оновлення ПЗ, використовуючи виключно офіційні точки завантаження. Не варто відкладати завантаження чергового “апдейта”, тому що розробники відстежують ситуацію на ринку, оперативно пропонуючи рішення.
Фінансова безпека при використанні мобільного додатку
Контроль банківського рахунку з використанням декількох джерел інформації — це четвертий крок. Не варто повністю опиратися на SMS чи електронні листи від банку, які часто приходять із запізненням. Зловмисникам не важко втрутитися в даний процес. Не зайвим буде нагадати, що в роботі офіційних додатків банку трапляються збої. Доцільніше користуватися опцією “виписка по рахунку”, щоб оперативно відстежити позапланові списання коштів. Ми підібрали для вас цілу статтю про найяскравіші події у світі кібербезпеки за останні 50 років.
Відмова від непотрібного функціоналу
Користувачі не повинні залишати без уваги роботу встановлених додатків. Окремі програми запускають Bluetooth чи Wi-Fi, не кажучи вже про GPS. З одного боку, це, наприклад, дозволяє навігатору швидше вказати фактичне розташування. З іншого боку, на пристрої відкривається кілька додаткових каналів передачі даних, якими скористаються злочинці. Варто обмежити роботу перелічених опцій. Остання деталь — це розсудливість. Вкрай необачно виглядає бажання зберігати конфіденційні відомості чи мультимедійні файли на девайсі. Особливо коли в нотатках прописані всі логіни і паролі для входу на різні сайти та додатки. Ніхто не застрахований від ризику бути зламаним, тому варто знайти більш вдале місце для паролів. В іншому випадку жертва значно спростить життя злочинцеві, після чого виникають масштабні витоки даних. Компанія Datami здатна захистити будь-який додаток на рівні захисту серверів від зломів та витоку даних, а також відновити роботу серверів і додатків, шляхом відновлення втрачених даних.
Ваш Datami.