Вирусы и «трояны» в смартфонах – явление довольно распространенное. В телефон они могут попасть не только по вине самого пользователя – любителя «гулять» по опасным сайтам и грузить в телефон все подряд из неизвестных источников. Обнаружить подозрительные программы и идентифицировать их как вредоносные антивирус может даже в новом, только что купленном телефоне. Причем обнаружить-то он их может, а вот удалить – не всегда.
Самое неприятное последствие таких «находок» – угроза распрощаться со своими средствами на банковских счетах. В случае заражения девайса при попытке клиента войти в свой личный кабинет банковский антивирус выдает предостережение: телефон заражен вирусом, который необходимо удалить. Но иногда вирус спрятан таким хитрым образом, что удалится только вместе с системными настройками, превратив телефон в «кирпич».
Какова вероятность, что подобный вирус или «троян» действительно украдет со счетов и с кредиток все деньги? Что делать клиенту банка, и кто вообще окажется в этом случае крайним, с невеселой перспективой возмещать (в случае с кредитками) возможный ущерб?
Живучие сюрпризы
Подобная история произошла с москвичкой Еленой. Банковский антивирус в смартфоне выдал предупреждение о наличии вируса, удалить который оказалось невозможно. «Сотрудники банка по согласованию со мной оперативно заблокировали мои кредитки, удалили личный кабинет пользователя со всеми данными, т.к. не ясно было, насколько глубоко успел проникнуть данный вирус и с какими последствиями для моих счетов. Теперь для разблокировки карты каждый раз приходится звонить в банк, а потом снова ее блокировать. Банк советует перевыпустить все карты», – говорит Елена.
Покупка нового телефона ни к чему не привела. «Я купила новый смартфон – в салоне, по предварительному заказу, не «с рук», чтобы загрузить в него банковскую программу – но и в новом телефоне, который мне доставили в запечатанном виде, нашлись аж три новые проблемы! И тоже неудаляемые. Одна из них в заводских настройках бесхитростно обозначена как «троян». А если точнее, Android/Trojan.Agent.gx. Как заявили в сервис-центре, антивирус может «ругаться» на операционную систему Android, которая, «в принципе, ничего плохого не делает», воспринимая ее как вирус. Там готовы перепрошить телефон, но не гарантируют, что это решит проблему. И что мне, ставить на новый телефон с «трояном» банковское приложение, рискуя лишиться всех средств со счетов и кредитки и потом выплачивать все это банку, потому что мои деньги увел «троян»? И где гарантия, что в другом, новом телефоне – а менять их можно до бесконечности – не обнаружится такая же проблема?» – говорит она.
Получается, россиянам продают смартфоны со вшитыми подозрительными или вредоносными (как их идентифицирует антивирус) программами, цель которых рядовому пользователю без хакерских навыков совершенно не понятна. Что сделает «троян» через час – выгрузит личные фотки в сеть, отключит важные программы или обнулит банковские счета, предсказать невозможно. Антивирусы, как отмечалось выше, проблему могут не решить, предоставив клиентам разбираться за свои же деньги с этим букетом радостей самостоятельно.
Спасение утопающих
Кража денег со счетов различными вредоносными программами – серьезнейшая проблема, считает эксперт по информационной безопасности Cisco Systems Алексей Лукацкий. Не важно, дорогой ли у человека смартфон или дешевый, проблема может коснуться любого владельца Андроида.
«Таких случаев очень много. Все зависит от конкретного банка и его приложения, от того, какие механизмы защиты он реализует. Причем 99% всех вредоносных программ для банковских приложений написаны именно под Андроид. Вирус может достаточно легко перехватывать одноразовые пароли, присылаемые по смс, подставлять их и переводить деньги. Многие банковские «трояны» так и действуют. Поэтому сейчас при содействии Центрального банка вводятся новые правила, которые банки обязаны соблюдать, внедряя новые механизмы защиты мобильных пользователей», – говорит эксперт.
В частности, речь идет о постепенном уходе от смс в сторону либо push-технологий, либо электронных подписей, использовании специальных токенов или карт с одноразовыми паролями и прочих технологий борьбы с мошенничеством – уже со стороны банка, поясняет Лукацкий. «Это отслеживание нестандартных операций и ряд прочих мероприятий, которые мало кто афиширует. Они направлены на то, чтобы идентифицировать отличительные особенности именно вредоносных программ или хакеров», – говорит собеседник «МИР 24».
С другой стороны, наличие на смартфоне «трояна» не всегда означает, что его предназначение – красть чужие деньги. «Очень часто производители – особенно китайские – устанавливают программы для отслеживания поведения пользователя, чтобы потом продавать эту информацию рекламодателям, которые будут производить более фокусную, контекстную рекламу», – поясняет Лукацкий.
Легально ли это? Сложно представить, что при прохождении обязательной сертификации в России, официально подтверждающей соответствие изделия нормам и стандартам РФ, производитель заявляет, что намерен продавать телефоны с «трояном» для сбора рекламной информации.
«Они не называют это «трояном»: это программа для анализа поведения пользователя, что, по сути своей, делает любой браузер и веб-сайт. Если назвать это программой для сбора пользовательской информации, никто не обратит на нее внимания. Но все это, как минимум, нарушает законодательство о персональных данных, и поэтому нелегально», – говорит эксперт.
Как обычному пользователю – видя уведомление антивируса о вирусе или «трояне» – отличить относительно безвредный объект от того, который может реально обнулить банковский счет? И, главное, почему вообще простые люди должны во все это углубляться?
«К сожалению, в этом случае спасение утопающих – дело рук самих утопающих. За своей безопасностью должны следить сами пользователи. Никто за них эту проблему не решит, никогда не планировал решать и не должен этого делать. Антивирусы снизят риск заражения смартфонов вредоносными программами, но не сведут его к нулю. Кроме того, необходимо регулярно обновлять прошивку смартфона и установленное программное обеспечение», – говорит собеседник «МИР 24».
В случае с Андроидом необходимо также следить за тем, какими правами наделяются те или иные установленные на смартфон приложения. «Очень часто приложения запрашивают избыточные права, потому что в них встроен дополнительный функционал, которого там быть не должно. Например, какое-то погодное приложение запрашивает доступ к контактной информации и к адресной книге. Это нонсенс. Так что пользователь должен трезво оценивать, зачем тому или иному приложению доступ к почте, адресной книге, иной информации», – говорит эксперт.
Руководитель Агентства кибербезопасности, член экспертного совета комитета Госдумы по информационной политике, информационным технологиям и связи Евгений Лифшиц, со своей стороны, считает, что в таком случае в первую очередь виноваты недобросовестные производители смартфонов.
«Во-первых, бывает, что производители целенаправленно закладывают какие-то НДВ – недокументированные возможности устройства, как это называют у нас в силовых органах, во-вторых, они не следят должным образом за безопасностью своих девайсов. И то и другое является большой проблемой», – говорит эксперт.
С помощью НДВ производители собирают информацию и для рекламы, и для собственных баз данных, с целью дальнейшего анализа, согласен с коллегой Лифшиц. В принципе, особого криминала в этом, казалось бы, и нет: выясняя, сколько раз пользователь заряжает смартфон или сколько фоток делает, производитель пытается понять, как улучшить свои устройства в дальнейшем и на что делать акцент – на долгосрочные батарейки или на новую камеру. Если в смартфон вшит откровенный «троян», он тоже собирает и передает какие-то данные. Но какие именно, пользователь никогда не узнает, поскольку не владеет микрокодом этой программы.
«Это говорит не об изначальной вредоносности этого «трояна», а о том, что какие-то пользовательские данные куда-то передаются», – поясняет Лифшиц. Но антивирус, сверив такое программное обеспечение со своими данными, может признать его вредоносным. Так или иначе, если банковский антивирус «ругается» на какое-то приложение, проще поверить антивирусу и заблокировать карты, а не разбираться в том, «хороший» ли у вас «троян», или не очень.
Кроме того, по словам Лифшица, «существуют разновидности действительно опасных «троянов», когда фиксируется все, что у вас на экране, все, что вы нажимаете, все, что вы пишете в смс».
«Подобные кейлоггеры, в первую очередь, нужны тем, кто собирается похитить ваши банковские аккаунты и данные. Они записывают все действия с телефоном и могут полностью захватить над ним контроль», – отмечает эксперт. Этих кейлоггеров (которые, кстати, можно спокойно скачать в интернете) – огромное количество, несколько сотен. Опять же, что именно попало в телефон гражданина, и чем оно чревато, может выясниться, увы, уже постфактум, когда будет поздно.
Apple, по словам Алексея Лукацкого, защищен более надежно. «Истории со встроенным вирусом там не встречались еще ни разу и, наверное, в обозримом будущем не встретятся. Там более жесткий отбор программы. Кроме самого Apple, смартфонов на iOS никто не делает. А на Андроиде их уже несколько тысяч производителей. Поэтому, действительно, такая вакханалия приводит к установке вредоносных программ сплошь и рядом», – поясняет он.
«Ответственности не несем»
В то же время, если ознакомиться с инструкцией к некоторым смартфонам на платформе Андроид, выясняется масса забавных вещей.
«Устройство может содержать данные, включая приложения и программное обеспечение, которые предоставляются сторонними лицами для использования в устройстве («Приложения сторонних лиц»). Все приложения третьих сторон в этом устройстве предоставляются «как есть», без каких-либо гарантий, прямых или косвенных, в том числе товарной гарантии», – говорится в документе.
Далее совсем замечательно: «Компания-производитель не несет ответственности за претензии, иски или какие-либо иные действия, возникающие в результате использования или попытки использования приложений сторонних лиц. Наличие приложений может изменяться в зависимости от страны, где используется устройства. Ни в каких случаях компания-производитель не несет ответственности перед покупателем за доступные приложения и программное обеспечение данного устройства, отсутствие одного или нескольких приложений и какие-либо последствия, которые могут возникнуть после удаления данных приложений».
Проще говоря, в телефоне может быть что угодно с любыми последствиями для покупателя, но производитель не несет за это никакой ответственности «ни в каких случаях», и точка.
Антивирус: друг или враг?
Антивирус иногда не может справиться с заразой, поскольку производитель прописывает ее в операционной системе как некую системную службу. Без root-доступа антивирус ничего не сделает, но нужно ли предоставлять ему таковой?
«Есть теория, согласно которой производители антивирусов сами эти вирусы и производят, поскольку для них это – лучший маркетинг и каналы продаж. И я готов эту теорию обсудить. История знает случаи, когда антивирус в базе антивирусов появлялся до того, как в системе появлялся сам вирус. Любой антивирус, по функциям, тоже является «трояном» и имеет больше доступа к вам и вашим банковским данным, чем большинство «троянов». Если «недобросовестный» антивирус или сотрудник антивирусной компании захочет опустошить ваш банковский счет, он сделает это гораздо быстрее, чем вирус», – говорит Лифшиц.
Кстати, поэтому многие пользуются кнопочными телефонами. «С того момента, как вы попадаете в глобальную сеть, вы слабо защищены. Только владея специальными знаниями, можно себя как-то обезопасить. Так что большинство граждан очень уязвимы. Но если мы говорим про деньги, то о защите и безопасности своих клиентов, в первую очередь, должен думать банк. И он должен публиковать рекомендации, на каких смартфонах устанавливать банковское приложение, а на каких нет. С точки зрения юридической казуистики, в случае обнуления кредитки вирусом расплачиваться могут заставить и клиента, хотя заботиться о сохранности счетов клиентов – прерогатива банка. И если у клиента исчезли со счета деньги, банк должен разобраться, почему такое случилось. Для него это чревато большими репутационными потерями. Потерпевший же должен обратиться в банк, а не в полицию, с заявлением на производителя вируса. На такое в полиции пошлют», – уверен Лифшиц.
Лукацкий, со своей стороны, полагает, что антивирусы все же не так страшны, как их «оппоненты».
«Существует известный миф о том, что антивирусные компании сами и пишут вирусы, но это не доказанный факт. У них и без этого хватает работы. А расширенные права антивирусу зачастую нужны, чтобы иметь возможность как можно глубже заглянуть и вылечить устройство от вредоносных программ. Поэтому это – неизбежное зло», – считает он.
В свою очередь, в «Лаборатории Касперского» «МИР 24» заверили в том, что утверждения про антивирусные компании, якобы пишущие вирусы – это миф, у которого нет ни исторической, ни какой-либо иной подоплеки. «Мы не занимаемся написанием и распространением вредоносных программ. Это все равно, что спросить у пожарных: поджигали ли вы когда-нибудь дома? Это не только противоречит профессиональной этике, подлежит уголовной ответственности, но и, самое главное, в этом нет никакого смысла: ежедневно «Лаборатория Касперского» обрабатывает более 380 000 образцов нового вредоносного ПО, которые создаются вирусописателями. Для них это весьма прибыльный бизнес», – отметили в компании.
Кроме того, как пояснили в «Лаборатории Касперского», если бы там занимались чем-то подобным, и об этом прознали бы конкуренты и СМИ (а они обязательно прознали бы), репутационный ущерб был бы невосполнимым. «Часть задачи по исследованию зловредов – это атрибуция, то есть попытка по различным признакам установить, кто написал вредоносный код. Часто это удается сделать с довольно высокой точностью. Во-вторых, нашей компании не нужно писать зловреды самим для повышения востребованности антивируса: вредоносного ПО, от которой нужно защищать людей, хватает. В штате компании около 4000 человек – и всем есть чем заняться, причем без написания вирусов. Мы не без гордости заявляем, что стараемся спасти мир, и написание зловредов в эту миссию никак не укладывается», – подчеркнули в компании.
Что происходит в этом смысле у коллег, в «Касперском» комментировать не стали.
Однако существует еще одна проблема, на которую обращает внимание Алексей Лукацкий. «Заразиться» может и сам антивирус, и прочие программы, скачанные даже из надежных источников.
«Вероятность этого, по сравнению с вероятностью заражения каких-то иных программ, не очень высока, хотя и полностью исключить ее нельзя – особенно если антивирусная программа скачивается с какого-нибудь бесплатного сайта, где предлагается бесплатно полечить от вирусов. Существуют вредоносные программы, которые маскируются под антивирус. Кстати, достаточно много вредоносных программ может быть и на Google Play. Компания Google гораздо менее пристально следит за качеством и защищенностью того ПО, которое выкладывается в Google Play – в отличие, опять же, от того же Apple. Разумеется, Google прикладывает усилия, чтобы чистить это, но изначально там концепция другая – открытость. Поэтому любой желающий может залить туда все, что угодно. Выявить и потом удалить эти программы можно только постфактум, но за это время их могут скачать сотни тысяч пользователей. И таких случаев с Google огромное количество», – говорит Лукацкий.
В Google «МИР 24» на это пояснили, что обеспечение безопасности данных всех пользователей Google Play – первый приоритет компании. «Каждое приложение до появления на платформе проходит тщательную проверку и блокируется, если нарушает правила Google (в 2018 году количество отклоненных заявок на загрузку приложений в Google Play выросло на 55% по сравнению с 2017 годом). Но даже после этого наша система ежедневно сканирует все установленные на Android-устройствах приложения и уведомляет пользователей, если какое-либо из них несет даже минимальную угрозу безопасности данных», – отметили там.
Обокрали: что делать?
Так или иначе, если деньги со счета по вине «трояна» или вируса все же пропали, существует набор экстренных мер.
«Все зависит от того, что написано в договоре между клиентом и банком. Самое главное – оперативно заявить о несанкционированном списании средств, уведомления о котором должны приходить в смс. Клиент должен незамедлительно написать заявление в банк для того, чтобы тот смог приостановить данный платеж. Он все-таки производится не мгновенно. И далее следовать инструкциям службы безопасности банка, заготовленным на такой случай. Если клиент протянет хотя бы день, деньги могут уйти со счета банка, и в лучшем случае можно будет остановить их зачисление на счет мошенников, но вернуть их можно будет только по решению суда. А для этого потребуется возбуждение уголовного дела. Поэтому со стороны клиента необходима максимальная оперативность и заявление, что он таких операций не производил. Тогда можно попробовать остановить платеж. Правда, это не гарантирует, что клиент не будет признан виноватым в случае кражи средств: если он не выполнял рекомендаций по безопасности, подготовленных банком, это будет халатностью и виной самого клиента», – поясняет Алексей Лукацкий.
Заявление придется писать письменно – простого звонка в банк будет недостаточно. Времени на то, чтобы предотвратить несанкционированный платеж будет немного, несколько часов.
«Банку необходимо будет письменное заявление о приостановлении действий по счету, и это не прихоть банка, а требование законодательства, поскольку от имени клиента может звонить и мошенник. Подделать телефонный номер сегодня несложно, и банк в этом плане подстраховывается. Если он незаконно приостановит движение по счету, без решения владельца, может последовать наказание со стороны регулятора. Поэтому письменное заявление должно быть. А что касается времени, общего правила, наверное, нет. Если человек спал, и за время его сна перевели деньги, все зависит от того, где у него был банк. Если в том же часовом поясе, все не столь критично – в ночное время многие платежи не проводятся, они осуществляются во вполне конкретные временные интервалы. А если человек находился в отпуске в другом часовом поясе, и спал в то время, когда в его московском банке проводились основные операции, может быть уже поздно. Если прошло больше дня, вероятность приостановить платеж и вернуть деньги очень мала», – отметил собеседник «МИР 24».
То есть оптимально действовать в течении первых 2-3 часов.
«Встать, суд идет»
По мнению Евгения Лифшица, в случае кражи средств со счетов «трояном» или вирусом можно попробовать подать в суд на производителя девайса – даже если он сидит где-нибудь в Китае.
«Все эти устройства сертифицируются на предмет соответствия российским стандартам, и если в устройстве есть вредоносное программное обеспечение, а сертификат ему выдали, нарушается закон. В суд на производителя можно подавать на том основании, что он получил лицензию на безопасное устройство, а продает его с заведомо вредоносным ПО. Получается, устройство сертифицировали с одним оборудованием и программно-аппаратным комплексом, а по факту поставляют другое, и это жесточайшее нарушение. Такое грозит производителю серьезным разбирательством. Но чтобы разобраться в реальных перспективах судебного процесса такого рода, кто-то должен его начать, создать прецедент. А почему нет?», – отмечает аналитик.
Со своей стороны, Алексей Лукацкий в успех этого предприятия особо не верит.
«Теоретически, такое всегда возможно, но на практике этого пока никто не сделал. Любой продукт, особенно в области информационных технологий, обычно продается по принципу «как есть». Его покупают и пользуются тем, что дано, на свой страх и риск. Претензии после продажи обычно не принимаются, такого рода техника возврату не подлежит, и с претензиями обычно достаточно сложно. Он же работает? Работает, а доказать наличие «трояна», или утверждения о том, что он внесен именно производителем, а не где-то по дороге или в магазине, где этот телефон был куплен, очень сложно», – сказал собеседник «МИР 24».
Но есть ли способ стратегически обезопасить себя от всех возможных рисков? Или действительно стоит подумать о возвращении к кнопочным телефонам и удалении банковских приложений?
«Как минимум, необходимо задуматься о том, какие механизмы защиты предлагаются банком для защиты ваших денег. Во-вторых, сейчас большинство банков по требованию регулятора предоставляет возможность ввести определенные ограничения на операции, осуществляемые через интернет, с карточки, через мобильные приложения и т.д. Например, можно ограничиться определенной суммой в день, больше которой снять со счета будет нельзя, или создать «белый список», куда можно переводить средства без подтверждения. Прочие потребуют подтверждения – в том числе, голосового звонка от сотрудников банка. Есть разные схемы, которые не позволят злоумышленникам украсть все деньги со счетов. Может, это будут не все средства, а очень небольшая сумма», – подытожил Лукацкий.
