Как обезопасить доступ к личному кабинету сотового оператора и почему это поможет сохранить средства?

В России участились случаи взлома личных кабинетов сотовых абонентов. Зачем злоумышленники это делают и как защититься от атак? Об этом рассказал в эфире телеканала «МИР 24» эксперт по безопасности высокотехнологичных устройств Павел Мясоедов.

- Для чего ломают личные кабинеты пользователей сотовых операторов?

Павел Мясоедов: Чаще всего злоумышленники таким образом пытаются получить доступ к каким-то конфиденциальным приложениям или какой-то очень конфиденциальной информации. Чаще всего к ней относятся банковские аккаунты, через которые мы совершаем проводки. Обычно в них всегда существует двойная верификация. Первое – это связка логин-пароль, а второй элемент верификации – СМС-код, который приходит на телефон.

- То есть, получив доступ к личному кабинету сотового оператора, достаточно легко получить доступ и к счетам в банках?

Павел Мясоедов: Да, действительно, это так. Злоумышленники достаточно давно апробируют различные схемы попытки перехвата сообщения. И, наверное, один из самых эффективных методов – это получение доступа к приложению вашего сотового оператора.

- Получается, человек проник в личный кабинет, настроил переадресацию звонков и сообщений, и на мой телефон уже ничего не приходит, а приходит тому, кто в данный момент решил попользоваться моим счетом?

Павел Мясоедов: На самом деле, так. Попытки получить доступ к приложению оператора связаны еще с той причиной, что достаточно давно существует уязвимость в сигнальном протоколе. Многие операторы эту уязвимость залатали, но на протяжении нескольких лет злоумышленники массово пользовались этой брешью в защите. Идея заключалась в том, что из роумингового направления, из роуминговой страны к вашей линии связи пытались подключиться злоумышленники. И на какое-то время они могли получать две СМС-ки, которые приходили на устройство в стандартном режиме. Они получали как раз второй элемент верификации для доступа к банк-клиенту.

С этой проблемой боролись не только сотовые операторы. С ней боролись и банки, и они поменяли доступ к своему приложению, заменив второй элемент верификации с СМС-сообщения на push-сообщение. Для обычного пользователя это выглядит так же, но с точки зрения технологии это идет в обход канала связи. Соответственно, злоумышленники потеряли этот доступ, и они начали выдумывать дополнительный метод, попытку перехватить эти сообщения. И, действительно, оставалась альтернатива – это получение полного доступа к мобильному клиенту оператора. Там можно получить доступ не только к СМС-сообщению, но и к трафику. И, соответственно, попытаться через какую-то брешь получить доступ к банк-клиенту.

- А как взламываются кабинеты? И как от этого защититься?

Павел Мясоедов: Мобильные приложения бывают разного уровня защиты. Очевидно, что банки, и вообще наша финансово-техническая индустрия, – одни из самых развитых в мире. И их приложения защищены очень серьезно. И на эту брешь среагировали даже не сами сотовые операторы, а банки, поменяв формат верификации. И взломать такого рода приложения – действительно очень сложная задача. Она, наверное, гипотетически выполнима, но тоже очень сильно зависит от банка. И далеко не каждый мошенник имеет на руках инструменты, чтобы осуществить такой взлом.

Гораздо проще получить доступ к менее защищенным приложениям, к сожалению, к которым до сих пор относятся приложения наших мобильных операторов. Долгое время в этом не было какого-то финансового риска. Сейчас, в последние годы, с учетом увеличения количества услуг, которые сотовые операторы осуществляют, через доступ к клиенту сотового оператора тоже может утечь большое количество данных. Посредством которых можно пойти дальше и получить доступ к банк-клиенту.

- Как защищаться? Регулярно менять пароли, делать их длиной в 24 знака, что делать-то?

Павел Мясоедов: Я уже сказал, что сами по себе приложения мобильных сотовых операторов обычно менее защищены. Но, тем не менее, чаще мошенники пользуются совсем примитивными методами взлома. Для того, чтобы взломать даже средне защищенное приложение, требуются усилия, определенный труд. И он в итоге может не увенчаться успехом, не получится заполучить нужные данные для доступа к тому же банк-клиенту.

Поэтому чаще всего мошенники пользуются совсем нехитрыми методами, когда пытаются получить доступ к вашему логину и паролю. Если он очень простой, то есть если вы его написали в очень простом ключе, или вы случайно где-то опубликовали информацию, наводящую на ваш логин и пароль, либо если вы очень много пользуетесь вредоносными сайтами и у вас нет антивируса на устройстве, мошенник может просто через Троян получить доступ к вашему мобильному телефону.

Опять же, они используют что-то достаточно универсальное. И защищаться от этого универсального можно и нужно, в первую очередь, достаточно универсальными методами. Первое – это антивирус, второе – цифровая гигиена, не публикуйте слишком интимную информацию о себе в интернете. И третье – проверяйте сайты, на которых вы вбиваете любую информацию о себе. Проверяйте домены, чтобы там не было подставных, подменных букв.

- Как не специалист может понять, что к личному кабинету мобильного оператора кроме меня кто-то еще имеет доступ?

Павел Мясоедов: Это очень сильно зависит от мобильного оператора и того приложения, которое он выпустил на рынок. Наши топовые сотовые операторы, естественно, разработали достаточно неплохие программные продукты. У некоторых из них есть истории пользования, то есть история событий, журнал, его можно по-разному называть. То есть, вы можете туда пройти и посмотреть не только историю ваших звонков, но и историю использования, входа и выхода в ваше мобильное приложение. Если же этой информации вы там не видите и у вас есть какие-то подозрения, есть два варианта решения проблемы. Первое – на всякий случай поменять связку логин-пароль. Причем проверить, чтобы это не было подключено к мастеру сейф-ключей, а такие приложения сейчас есть и в IOS, и в Android. Это так называемое агрегирующее приложение внутри самой операционной системы, которое хранит все ваши логины и пароли. И если вы меняете пароль, имея подозрения, что компрометирован какой-то ваш логин-пароль, нужно поменять и мастер- ключ, который дает доступ к этому агрегатору.

Соцсети взломаны, персональные данные утекли

Антивирус бессилен?

Второй метод дополнительной проверки – это звонок оператору и попытка получить от него информацию, когда входили в мобильное приложение. Здесь могут быть ньюансы, потому что оператор может вам сообщить так называемые активные сессии. Это когда ваш телефон обращался к этому программному продукту. А такого рода обращение не всегда связано непосредственно с вашими манипуляциями. Может быть, фоново приложение смотрело вашу геолокацию или что-то еще. И это не было связано с мошенником, а было связано с работой программного продукта.

- Вы сказали, что чтобы взломать даже средне защищенное приложение, нужны усилия, специальные инструменты, навыки и так далее. То есть получается, что взлом кабинета мобильного оператора – тоже не самый простой способ получить доступ к банковским картам и счетам?

Павел Мясоедов: Да, это не самый простой способ. Да, действительно, есть маленькие локальные сотовые операторы, которые предлагают более примитивные приложения, которые легче взломать. Но опять же, мошенники работают обычно в массовом ключе, для них точечный взлом вашего приложения – это дорого, сложно и не факт, что окупится. Поэтому они работают по универсальным стандартным методам, для максимизации эффекта.

И из более-менее серьезных инструментов взлома телефона оказываются Трояны. А они оказываются на телефоне, если на нем нет антивируса, а вы сильно гуляете по каким-то вредоносным сайтам. Либо просто где-то случайно компрометировали себя, оставив какие-то намеки на ваш логин-пароль на каком-нибудь сайте, в соцсети или на фишинговом сайте, который изображал из себя сайт одного из сотовых операторов, а вы не проверили домен и вбили туда что-то.

- Получается, что все упирается в человеческий фактор. Самый простой способ узнать данные все равно через человека, а не через технику.

Павел Мясоедов: Однозначно так, кроме Троянов. Защита от них – это качественный обновленный антивирус.

- Но здесь опять получается человеческий фактор. Если человек не ставит себе антивирусные программы на телефон, то он открывает дорогу Троянам.

Павел Мясоедов: Да, именно так.

- Давайте резюмируем разговор. Какие есть правила для защиты себя и своих средств от мошенников, от взлома кабинета мобильных операторов?

Павел Мясоедов: Первое правило – обновляйте программное обеспечение на ваших девайсах до самого последнего. К этим обновлениям относятся и обновления антивирусов. Даже когда вы обновляете операционную систему, какие-то бреши в защите телефона закрываются.

Второе правило, естественно, следить за цифровой гигиеной, то есть не публикуйте интимную информацию о вас. Потому что иногда пароль можно узнать, запросив ответ на какой-то контрольный вопрос. А контрольные вопросы бывают очень простые – имя вашей матери, место, где вы живете и так далее. Поэтому не публикуйте такого рода информацию о себе в интернете и следите за фишинговыми сайтами. Их меньше не становится, они маскируются под обычный сайт. Их отличие – это замена одной или двух букв от оригинального сайта в строке адреса.