Для решения проблемы хищения данных путем извлечения SD-карты некоторые современные модели Android-устройств позволяют настраивать SD-карты в составе внутренней памяти устройства, шифруя все данные на ней (если SD-карту вытащить и вставить в другое устройство, файлы на ней невозможно будет просмотреть), а также допускают установку пользовательского пароля на резервные копии памяти устройства в облачном хранилище, защищая их не только от злоумышленников, но и от самой компании Google
[926]. Резервные копии устройств под управлением операционной системы iOS/iPadOS в облаке не поддерживают сквозного шифрования.
SIM-карта
SIM-карты, используемые в каждом смартфоне и большинстве планшетов, а также других устройствах, включая IoT, не лишены уязвимостей. В главе 4 мы говорили о недостатках защиты данных в сотовых сетях. Известны случаи, когда злоумышленники перехватывали ключи из эфира, раскодировали и создавали временные «клоны» SIM-карт для списания денег со счетов абонентов мобильной сети
[927]. Или, используя бреши в наборе сигнальных протоколов ОКС-7, перехватывали SMS-сообщения и даже прослушивали разговоры
[928]. ИБ-специалисты и сотрудники компаний сотовой связи стараются защитить абонентские коммуникации от несанкционированного доступа, но злоумышленники тоже не дремлют и разрабатывают все новые способы перехвата данных. Так, в атаке на мобильные устройства, зафиксированной в 2019 г. специалистами компании AdaptiveMobile Security
[929], были использованы уязвимости SIM-карт. Атака проводилась через одно из приложений на SIM-карте – S@T Browser, входящее в набор программ STK (SIM Toolkit). Именно STK отвечает за работу меню оператора, отображаемого на устройстве, и выполнение определенных действий, например отправку USSD-команд (к примеру, *102# или *105#, позволяющих узнать остаток на счете). С помощью S@T Browser злоумышленники смогли взломать SIM-карту и заставить ее выполнять определенные SMS-команды без уведомления пользователя. Следуя полученным инструкциям, SIM-карта запрашивает у мобильного телефона его серийный номер и идентификатор базовой станции (Cell ID), в зоне действия которой находится устройство, а затем отправляет SMS-сообщение с собранными данными на номер злоумышленника. Тот с помощью полученной информации может с небольшой погрешностью (в зависимости от местности) определить местоположение владельца телефона, используя координаты базовых станций, которые доступны в интернете. Все SMS-сообщения скрыты от пользователя и не попадают в интерфейс телефона (в папки «Входящие» и «Отправленные»).
По словам сотрудников компании AdaptiveMobile Security, атака, названная Simjacker (вы уже читали о ней в главе 4), ведется с целью слежки за конкретными гражданами в нескольких странах. Исследователи отмечают, что в ходе таких атак можно инициировать телефонные вызовы и отправлять сообщения на произвольные номера, открывать ссылки в браузере и даже отключать SIM-карту, оставляя жертву без связи
[930]. Сам пользователь не может защититься от таких атак; обеспечить безопасность абонентов может только оператор сотовой связи, используя алгоритмы перехвата и блокирования недопустимых SMS-сообщений и усиливая криптографическую защиту
[931].
КЕЙС В 2019 г. Шон Кунс за 24 часа лишился 100 000 долларов из-за того, что злоумышленники из другого штата смогли перевыпустить его SIM-карту и перехватить доступ к адресу электронной почты (в числе прочего защищенного двухфакторной аутентификацией), к которому были привязаны персональные аккаунты, в том числе аккаунт криптовалютной платформы
[932],
[933]. В России преступники аналогичным образом перевыпустили SIM-карту Даниила Бондаря и украли у него 26 млн рублей
[934].
Если мошенникам требуется перехватить одноразовый код, они могут действовать методами социальной инженерии. Такие методы рассчитаны на доверчивых и невнимательных пользователей. Например, злоумышленники со взломанного аккаунта вашего знакомого могут прислать SMS-сообщение или сообщение в мессенджере/социальной сети с просьбой помочь разблокировать SIM-карту с помощью одноразового кода. Они могут взломать аккаунт или подменить номер друга жертвы, чтобы усыпить бдительность последней, и действовать от имени этого друга. Перехваченный одноразовый код может быть использован, к примеру, для взлома электронной почты жертвы, платной подписки или регистрации на сомнительных сайтах
[935].
КЕЙС Перехваченные коды подтверждения могут быть использованы преступниками для несанкционированного доступа к переписке в мессенджерах, таких как Telegram. В декабре 2019 г. компания Group-IB зафиксировала подобные атаки в России. Во всех случаях аккаунты не были защищены средствами многофакторной аутентификации и для подтверждения доступа использовали лишь SMS-оповещения. На момент написания книги механизм перехвата SMS-сообщений не был установлен: было известно, что смартфоны жертв не взламывались и не заражались вредоносным кодом, а SIM-карты не перевыпускались. Предполагается использование уязвимостей протоколов ОКС-7/Diameter, а также инсайдов в компаниях – операторах сотовой связи
[936].
Контентный счет
Отдельно следует рассказать об опасности утечки финансовых средств с мобильного счета при подписке на платные услуги. Нередко недобросовестные коммерсанты используют уловки, поддавшись на которые пользователь подписывается на доступ к какой-либо услуге с абонентской платой. Это может происходить из-за невнимательного чтения условий регистрации. Например, чтобы получить временный (на неделю и т. д.) бесплатный доступ к сайту (для просмотра фильмов онлайн, скачивания файлов без ограничений и т. п.), требуется указать реквизиты банковской карты, ввести номер мобильного телефона или отправить SMS-сообщение на короткий номер. По истечении бесплатного периода автоматически начинается платный, со списанием средств с карты или мобильного счета (на что абонент дал согласие при получении доступа к бесплатному периоду). Как правило, соответствующий пункт правил пользования сервисом находится на отдельной странице или набран мелким шрифтом. Или же оформить платную подписку может недобросовестный оператор сотовой связи – например, навязать услугу смены гудка на мелодию; после бесплатного периода действие услуги будет автоматически продлено, и при этом она станет платной.