Знаток Финансов

Новая схема кражи денег с банковских счетов: как не стать жертвой мошенников?

Как защититься

Существуют переходники USB Condom, которые призваны защитить устройства от заражения вредоносным кодом и кражи данных. Однако Майк Гровер продемонстрировал, что его кабелю они не страшны.

Что же делать?

  • Пользуйтесь только своим кабелем от смартфона. Оригинальным, созданным производителем устройства.
  • Если необходимо подзарядиться, подключайтесь не к другим гаджетам через USB, а к розеткам при помощи специального адаптера. Специалист из Authentic8 Дрю Пайк утверждает Free charging stations can hack your phone, here’s how to protect yourself , что они точно безопасны.
  • Не подключайтесь к общественным зарядным станциям.

Соблюдайте эти нехитрые правила, и даже если среди ваших знакомых затесался хакер, он вам ничего не сделает.

Как включить и отключить USB Debugging на Android?

Сначала нужно перейти в режим разработчика. Зайдите в Настройки, прокрутите вниз до пункта Система, а там – в О телефоне.

Много раз тапните по пункту «Номер сборки», пока на экране не появится сообщение Вы стали разработчиком!

Теперь непосредственно включаем режим отладки:

▸ зайдите в Настройки

▸ найдите пункт Для разработчиков (в самом низу списка) и откройте его. В некоторых сборках и оболочках он может быть в подпунктах «Дополнительно», «Система» – «Дополнительно», «Специальные возможности», «Расширенные настройки»

▸ установите переключатель Отладка по USB в активное положение

Соответственно, если ваш смартфон уже в режиме отладки по USB, значит, и режим разработчика на нем включен. Что нужно сделать:

Зайдите в Настройки, найдите пункт Для разработчиков, деактивируйте пункт Отладка по USB. Затем Настройки -> Приложения, где включите отображение всех приложений.

Найдите приложение Настройки, откройте пункт Хранилище и нажмите Стереть данные.

Система сообщит, что все данные, включая аккаунты, удалятся. Но на самом деле всё будет ОК. В данном случае исчезнет только пункт меню Для разработчиков. 

Apple должна усилить защиту своих гаджетов

Минимум, что должна реализовать Apple — сделать возможным отслеживание смартфона/планшета/компьютера через iCloud без подключения к сети.

И это не должно зависеть от оператора сети. Исходя из закона «О связи», производитель обязан представить доступ к местоположению устройства по запросу полиции.

Как минимум, это может сделать оператор. Правда, после запроса правоохранительных органов. Тем не менее, у операторов связи есть возможность отследить геопозицию устройства по местонахождению SIM-карты. А значит, они могут посмотреть, где был ваш смартфон в последний момент времени, пока «симка» не была изъята.

Если вышеперечисленные методы не помогают, пишите официальное заявление в прокуратуру. Его рассматривают в течение 10 рабочих дней.

Это высший орган власти, который способен направить полицию на «истинный» путь, если она не хочет работать, как положено.

По закону полиция обязана:

внести IMEI вашего iPhone в список украденных
попытаться найти ваш смартфон в течение 30 календарных дней
возбудить уголовное дело о краже

Если этого не произошло, обращайтесь в прокуратуру. Иначе вашим смартфоном могут попросту даже не начать заниматься.

А что насчёт кражи цифровой личности и утечки биометрических данных?

Всё более угрожающие обороты набирает кража цифровой личности пользователя целиком. Сам по себе этот феномен не новый. Фейковые страницы в соцсетях появились одновременно с самими соцсетями. Воспользовавшись данными жертвы, злоумышленники могут создать поддельную страничку и писать от её имени непристойности, регистрироваться на сомнительных ресурсах.

Однако сегодня эта угроза получила новое развитие.

Если, конечно, у вас есть хотя бы десяток-другой фотографий в интернете. У большинства наверняка найдётся.

Недавняя история с Deepfakes — это лишь начало. Со временем подобные технологии будут лишь совершенствоваться. Если сегодня поддельный ролик со знаменитостями вполне можно отличить от реального, то в ближайшем будущем нас вполне могут ожидать настоящие «шедевры», которые можно будет распознать лишь с помощью специальных технологий. То же касается и голосовых данных: уже сегодня существуют коммерческие решения для имитации чужого голоса.

Слежка приложений

После установки приложение просит доступ к геолокации, фотографиям, камере, микрофону, файлам и контактам. С одной стороны, каждый пункт объясним: вы не позвоните друзьям без микрофона и не выложите селфи без камеры, но невольно возникает чувство, что за вами кто-то следит.

Все разрешения, которые мы даем приложениям, можно использовать для других целей: с помощью геоданных, истории поиска, записей с микрофона и информации о пульсе можно настроить таргетированные рекламные кампании.

Еще один инструмент слежки: скрипт Glassbox, который записывает каждое движение пальца и введенные данные. Этот инструмент запрещен в Эпсторе, но вычислить злоумышленников можно только если покопаться в коде приложения. Такой скандал произошел с приложением «Бургер-кинг»: их заподозрили в записи всех данных с экранов пользователей, в том числе и информации банковских карт.

Сведения могут использоваться для улучшения работы приложения и настройки рекламы. А еще их могут продать злоумышленникам, которых больше интересуют деньги пользователя, а не идеально подобранный рекламный баннер.

Настройки доступа к микрофону в Ай-ос Настройки рекламы в Ай-ос

Настройки доступа к микрофону в Ай-осНастройки рекламы в Ай-ос

Как защититься. Скачивать официальные приложения в официальных магазинах. Не давать доступ к функциям, которыми не планируете пользоваться. Отключить рекламный трекинг в настройках Айфона и проверить, к каким функциям приложение имеет доступ.

Что знает налоговая о переводах на вашу карту

Остерегаться мошенников и беречь деньги легче, если знать вот эти правила:

  1. Верить нельзя никому.
  2. Ограбить может кто угодно.
  3. Даже банкомат!

В iOS есть защита от взлома по кабелю. Как работает USB restricted mode

В iOS 11.4.1 появился новый режим USB restricted mode. Он защищает iPhone от взлома через подключение сторонних аксессуаров и перебор паролей. 

Чтобы защита сработала, нужно перевести переключатель USB Accessories в неактивное положение. Система автоматически отключит доступ к порту и сделает невозможным перебор паролей, если с момента последней разблокировки прошел час.

Если же вы больше трех суток не подключали iPhone к компьютеру, проводной аудиосистеме или другим аксессуарам, порт будет блокироваться, как только отключается экран устройства. 

В USB restricted mode смартфон можно только заряжать. Компьютер или другие сторонние гаджеты не понимают, что он имеет собственную память или является чем-то умнее обычного пауэрбанка. 

Специалисты Elсomsoft показывали, как обойти USB restricted mode. Достаточно устройства фирменного адаптера Lightning to USB 3 для камер за 39 долларов. А аналог можно вообще найти доллара за три. 

Суть в том, что при подключении любого MFi-устройства к iPhone с активным USB Restricted таймер, который отсчитывает время с момента блокировки, останавливается. Соответственно, работает это, только если с момента разблокировки прошло меньше часа.

Но так как в среднем iPhone разблокируется каждые 12 минут (80 раз в день, не считая часов сна), это было реально почти всегда. 

В iOS 12 режим доработали, и теперь порт отключается сразу после блокировки. Так что осталась только теоретическая возможность взлома через гаджеты от компаний вроде Cellerbrite или Grayshift. Но это дорого, в общественные зарядки такое точно встраивать не будут. 

Мораль: срочно обновитесь, если до сих пор на iOS 11.4.1 и ниже.

Технические характеристики

Батарея – не единственный пункт, которым может похвастаться китайский смартфон, поэтому стоит прочитать обзор всех его характеристик.

Внешний вид

Дизайн смартфона сильно отличается от современных гаджетов, но от такой модели не стоит ждать изящных линий и нежных цветов. Охарактеризовать внешний вид телефона можно как брутальный, мужской, грубый.

Корпус в форме призмы выполнен из металла и черного пластика, который на задней панели имитирует рельеф кожи. Из-за веса в 330 грамм и толщины в 1,5 см смартфон трудно назвать удобным, но к этому стоить быть готовым.

ПО и производительность

Ulefone Power 5S работает на основе Android 8.1 Oreo. Его интерфейс выглядит очень просто и стандартно, но это позволяет быстро найти нужные функции или меню. Как обычно, на рабочем столе можно увидеть несколько стандартных программ, а остальные можно скачать из официального магазина Play Market.

Экран и звук

Девайс позволит смотреть фильмы не только долго, но и с удовольствием. Разрешение 2160×1080 делает изображение качественным и приятным. Яркость экрана можно настроить под яркое солнце и под ночное чтение в полной темноте. Вряд ли Ulefone Power 5S может исполнять роль колонки с хорошим звуком, но динамика вполне достаточно для разговора. В наушниках музыка звучит намного лучше, но нужна гарнитура с Type-C, так как разъем 3,5 мм отсутствует.

Камера

Как на передней, так и на задней панели смартфона можно увидеть две камеры. Разное значение диафрагмы и разные функции объективов позволяют получать красивые и четкие снимки.

Также это позволяет добиться эффекта размытого фона, что особенно красиво смотрится в режиме портрета. Качественный сенсор передает все детали и естественные цвета.

Автономность

Пришел черед самого интересного пункта. Внутри Ulefone Power 5S находится аккумулятор с емкостью 13000 мАч. Для среднего пользователя это равно 4-5 дням использования телефона.

Кроме этого, телефон можно использовать в качестве портативной батареи и заряжать от него другие устройства. Возобновлять заряд самой новинки можно через шнур за 2,5 часа или немного дольше с помощью беспроводной станции.

Apple все ещё не способна обеспечить полную сохранность ваших данных

Как бы Apple ни заявиляла о защищённости вашего смартфона/планшета/компьютера, это невозможно реализовать на 1000%. И я это прекрасно понимаю.

На каждое действие найдётся противодействие. Следовательно, для каждого метода защиты существует средство для его обхода.

За последнюю неделю у меня украли:

данные кредитных карт
логин к iCloud
пароль к двум социальным сетям

Не спрашивайте, как это произошло. Увы, я сам этого не знаю.

Защитить себя можно только в одном случае. Если вы создадите разные пароли ко всем сервисам, где вы их используете.

Учитывая, что их может может быть очень много, я бы посоветовал применять для сохранения паролей сервис 1Password. К слову, Apple обязала сотрудников пользоваться именно этим сервисом.


iPhones.ru

Дай Бог вам с этим не столкнуться.

Артём Баусов

Главный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией.

Telegram: @TemaBausov

Режим USB debugging в Android – как открытая дверь в квартиру

Режим USB-отладки (USB Debugging) – фича для разработчиков. Он позволяет:

получать root-права (суперпользователя) на устройстве
устанавливать на смартфон приложения не из Google Play

заливать разные версии прошивок
восстанавливать неработающий смартфон, в том числе кастомными рекавери
выполнять команды в ADB Shell через утилиту ADB (Android Debug Bridge)

создавать резервные копии файлов и приложений
копировать и перемещать файлы со смартфона

Но фича ли это для рядового пользователя или всё-таки баг? С точки зрения безопасности, это дыра размером с Техас. С USB Debugging у хакеров появляется гораздо больше возможностей, чтобы хозяйничать в вашем смартфоне. 

Вы можете даже не подозревать, что на вашем смартфоне активирован USB Debugging. Особенно если купили смартфон б/у или если его перепрошивали с китайской версии на международную. 

Сеть передачи данных отсутствует…

Недорогое устройство позволяет создать скрытый канал связи в
электрическом токе, возникающем, когда смартфон подключен к внешнему
аккумулятору. Эксперт в сфере информационной безопасности Оксфордского
университета Риккардо Сполаор
(Riccardo Spolaor) продемонстрировал новый метод атаки, получивший название
PowerSnitch (примерно можно перевести как «аккумуляторный стукач»).

Фактически речь идет о том, что целеустремленному хакеру не
обязательно сетевое подключение, чтобы взломать нужный смартфон и вытащить из
него важные данные, например пароли. Общественные зарядные станции и даже
некоторые личные внешние аккумуляторы уязвимы перед этой атакой. Причем она
может быть успешно произведена, даже если смартфон оснащен блокировщиком
данных, защищающим коннектор от несанкционированной их передачи.

Для осуществления атаки потребуется приложение, скрытно или
не очень установленное на телефон жертвы, и декодер стоимостью всего $24. Приложение кодирует данные через
интенсивность электрических импульсов между зарядным устройством и смартфоном;
в свою очередь, внешний аккумулятор с декодером может реконструировать цифровые
данные из этих импульсов. Никакого подключения к сотовой или беспроводной сети
при этом не требуется.

Объекты воздействия

Объекты краж данных можно разделить на два основных типа: физические носители информации и логические (виртуальные) сущности.

Доступ к физическим носителям возможен путем прямой кражи, временного выноса за периметр, обращения с просьбой к владельцу компьютера о возможности недолго поработать на его машине. Также злоумышленник может установить с внешнего носителя вредоносные программы, которые крадут и передают данные по сети на внешний сервер.

Информационно-логическое воздействие осуществляется посредством поиска уязвимого или устаревшего ПО, незащищенных портов, путем подбора логинов и паролей. Последнее, к слову, актуально и в случае хищения носителей — с той разницей, что при краже ноутбука или смартфона преступник может не торопиться, тогда как временный либо удаленный доступ подразумевает необходимость взломать систему быстро.

Какая польза от хлама в женских сумках?

Значительная доля женщин — мстительные создания с отличной памятью на лица. Вы никогда не задумывались, зачем многим из нас огромные сумочки, забитые предметами непонятного назначения? Милая женская глупость? Древний инстинкт собирательства? Оказывается, носить с собой хлам может быть выгодно.

Чтение текстов приговоров позволило выявить очень интересный повторяющийся феномен. При краже телефонов вместе с сумкой, девушки описывают ВСЕ содержимое своей сумки, чтобы увеличить сумму ущерба. И, возможно, какие-то вещи придумывают.

Например, одна потерпевшая из Тюмени оценила свой бритвенный станок Gilette Venus в 1500 рублей (реальная цена 700-800 рублей), а пудру Maybellinе в 1500 рублей (новая стоит 500 рублей).


iPhones.ru

«Зенит», «Рекорд» или MacBook? Анализируем реальные судебные приговоры.

Ирина Чернова

Рас*здяйка. Графоманка. Боюсь людей. Страдаю манией величия. Фото удалено модераторами, так как внешность безнадежно испорчена тяжелой жизнью.

Ваш кабель – ключ от смартфона

Объединить процесс зарядки и передачи данных в одном кабеле – это удобно. Но есть и обратная сторона. 

Так, изначально с Android-смартфонами при подключении по USB можно было работать в UMS-режиме, практически как с флешками. Разрешалось даже их форматировать. 

В версии Android 4.4 UMS-режим убрали. Появился режим MTP (Media Transfer Protocol), заточенный под работу с медиафайлами. Копировать и удалять файлы с устройства по-прежнему разрешалось, но хоть форматирование убрали. Вообще говоря, UMS – это про работу с секторами на диске, а MTP – про файлы, но суть не в этом, а в небезопасности обоих вариантов. 

К слову, MTP есть только для Windows и Linux (c пакетом libmtp). На macOS протокол в чистом виде не работает, нужно устанавливать отдельные приложения.

В iOS всё иначе. Когда вы подключаете свой iPhone к компьютеру с iTunes, устройство сразу спрашивает, доверять ему или нет. 

Решите доверять – iPhone запросит пароль для подтверждения. Если выберете Не доверять, смартфон будет просто заряжаться. 

При подключении без iTunes смартфон спросит, разрешить ли компьютеру доступ к фото и видео. Но даже если вы разрешите это, сможете только просматривать и копировать на компьютер файлы. Удалить их с iPhone или отредактировать не получится. 

По крайней мере, пока iPhone не собрались взломать.

Как защитить свои данные?

Не делитесь большим количеством информации

Особенно на открытых площадках. Хотя были и такие случаи, когда фотографии людей утекали из закрытых публикаций. Любое ваше действие в Сети оставляет цифровой след. Во многих случаях с этим ничего нельзя поделать, если не прибегать к радикальному отказу от технологий. Но до определённой степени это можно контролировать.

Обновите настройки приватности в соцсетях

Ограничьте доступ незнакомых людей к той информации, которую вы бы не хотели увидеть в плохих руках. На некоторых сайтах достаточно поставить одну-две галочки. Гибкие настройки предполагают, что разные параметры можно выставить даже для разных фотоальбомов. Поэтому будьте внимательны.

Если вы обнаружили где-то свои данные, не паникуйте

Если это не мёртвый ресурс, всегда можно связаться с администрацией и попросить удалить. Как правило, в большинстве случаев это происходит вполне оперативно.

Ограничьте доступ приложений к личной информации

Ваши данные могут попасть в базы, даже если вы пользуетесь кнопочным телефоном, а в интернет выходите только по праздникам. Помните GetContact? Некоторые приложения при установке получают доступ к списку контактов. Таким образом беспечный пользователь сливает не только свои данные, но и контакты всех друзей. С этим тоже можно бороться. В Facebook, например, есть специальная настройка, которая позволяет выбрать, доступ к какой информации открыт для приложений в подобных случаях.

Внимательно относитесь ко всем ссылкам, по которым переходите

Сборщики данных могут поджидать в самых неожиданных местах. Например, в популярных тестах вроде «Какой вы фрукт?» или «Кем бы вы были в викторианской Англии?». Не хотим никого огорчать, но зачастую главная цель таких тестов — не помочь пользователям лучше узнать себя, а перепродать маркетологам или мошенникам ваш цифровой портрет. Ярким примером может служить недавняя история с Cambridge Analytica. Прежде чем давать приложениям доступ к профилю, подумайте, надо ли вам оно.

Защитите свои биометрические данные

Очень часто они собираются без вашего ведома и не только в интернете. Например, одним из источников информации служат камеры наблюдения. Но некоторые меры принять всё-таки можно. В том же Facebook распознавание лиц можно отключить вовсе. Хотя бы до тех пор, пока не будет уверенности, что эти данные хранятся безопасно. Кроме того, в соцсетях с фотографий, на которых вы отмечены, можно удалить соответствующие отметки.

При взаимодействии с современными онлайн-технологиями лучше сто раз всё перепроверить, чем потом отбиваться от спамеров или выискивать собственных клонов в интернете.

Фальшивые приложения

Такие приложения изначально не то, чем кажутся. Они попадают на телефоны жертв под видом других сервисов и превращаются в бомбы замедленного действия.

Одни из них относительно безобидны: они не воруют данные, а только зарабатывают на показах рекламы. В начале 2019 года разработчики антивируса «Эсет» обнаружили 19 приложений, которые маскировались под «Гугл-карты». Они использовали официальное приложение Гугла, но создавали дополнительный слой, на котором крутили рекламу. Некоторые предлагали купить платную версию без рекламы.

В сумме эти приложения скачали 50 миллионов раз. Доверие вызывали скриншоты оригинального приложения и высокие оценки, которые ставили неразобравшиеся пользователи

Вариант похуже — когда приложения воруют данные или деньги. Для этого злоумышленники выпускают клоны программ, которые получают доступ к картам и счетам. Это могут быть банковские сервисы, онлайн-магазины или программы для оплаты штрафов и налогов. Мы уже писали про фальшивое приложение «Мой налог» для самозанятых, которое предлагало задекларировать доход и уплатить его с выгодной ставкой. Все бы хорошо, но был нюанс: деньги уходили не в налоговую, а в карман мошенников.

Фальшивые приложения «Мой налог» появлялись в Эпсторе — это доказывает, что под прицелом не только пользователи устройств на Андроиде

Как защититься. Скачивать приложения по прямым ссылкам с официальных сайтов, смотреть на рейтинг, количество загрузок и проверять отзывы. Часто иконка фальшивых приложений отличается от оригинала.

12 нормальных приложений для ведения бюджета

Каждая третья кража — кража телефона

Чаще всего воров интересует кэш. Словосочетание «денежные средства» встречается в 12 563 приговорах (32.52%), но мобильные телефоны отстают совсем немного. 30.73% (11 872) судебных приговоров содержат слова «Мобильный телефон»/«Cотовый телефон»/«Смартфон». Другие виды техники встречаются реже:

«Телевизор» — 3115 приговоров (8.06%).
«Флеш-карта»/«Карта памяти» — 2786 приговоров (7.21%).
«Ноутбук» — 2373 приговора (6.14%).
«Зарядное устройство» — 2158 приговоров (5.59%).
«Планшет»/«Планшетный компьютер» — 1508 приговоров (3.9%).
«Холодильник» — 1480 приговоров (3.83%).
«Фотоаппарат» — 619 приговоров (1.6%).
«Системный блок» — 445 приговоров (1.15%).
«DVD-плеер» — 329 приговоров (0.85%).

Разблокировали загрузчик на Android? Ну держитесь теперь

OEM unlock, или разблокировка загрузчика (bootloader) на Android – возможность устанавливать и запускать на смартфоне сторонний код, не подписанный производителем. Это стороннике прошивки и кастомные рекавери, ядра от других разработчиков и т.п.

Чаще всего загрузчик разблокируют, чтобы получить root (права суперпользователя). Делают это, к примеру, прошивая модуль Magisk. Он, кстати, позволяет платить через Google Pay даже с разблокированным загрузчиком.

Соответственно, чтобы заблокировать загрузчик, нужно перейти в режим fastboot (что нажать, гуглите – схемы у разных производителей отличаются) и ввести команду oem lock

Но осторожно! Некоторые китайские смартфоны после этого могут закирпичиться. . Если же OEM lock доступен в настройках или в ПО производителя, то всё должно пройти штатно. 

Если же OEM lock доступен в настройках или в ПО производителя, то всё должно пройти штатно. 

Придумайте по-настоящему сложный пароль

Год рождения — плохой пароль, лучше выбрать что-то подлиннее. А хороший графический ключ — тот, который ваши знакомые не могут ввести даже после того, как вы им показали, что рисовать пальцем.

Не прикрепляйте все карты к смартфону

Кто спорит, это очень удобно. Но лучше бы карты, на которых лежит целое состояние, оградить от липких рук мошенников. Тем более что физическая кража телефона — не единственный путь заполучить ваши деньги.

Отдельно обратите внимание на карты с кредитным лимитом. Кража с дебетовых карт делает вас беднее, с кредитных — загоняет в долги

Активируйте функцию «Найти телефон»

В зависимости от смартфона она называется немного по-разному, но суть ясна. Если аппарат пропадёт, вы сможете быстро заблокировать устройства, а при необходимости и удалить с него все данные дистанционно.

Как обезопасить свой смартфон и не только от взлома по кабелю?

Включите шифрование. На iOS и iPhone оно доступно, начиная с iOS 8. Зайдите в Настройки -> Touch ID и код-пароль (Face ID и код-пароль). Опция Защита паролем должна быть активной.

Лучше придумать длинный пароль вместо 6-значного PIN-кода или использовать биометрическую идентификацию. В нижней части экрана должна появиться запись о том, что защита данных активна.

В Android можно использовать Secure Startup. Это особый режим, в котором ключ шифрования данных создается на основе кода блокировки. Если код блокировки достаточно длинный, то взлом займет годы. Включается в настройках: Блокировка экрана и безопасность -> Secure startup.

Также нужно задать пароль для дальнейшей загрузки устройства (не путайте его с паролем для разблокировки экрана). Затем на вкладке Безопасность выберите пункт Зашифровать смартфон.

Ещё можно предохраняться. Да, действительно существуют USB-презервативы (так их назвали создатели изначально, теперь продаются как SyncStop).

Такие заглушки надеваются на USB-кабель, оставляя 5 ватт для зарядки и массу, при этом отсекая шины данных на входе. Стоит такая штука 7 долларов без корпуса и 13 долларов в корпусе.

Можно и заклеить контакты скотчем – дешево и сердито. Левый масса, правый 5 В, два средних – для данных. В USB3.0 (тип А) также нужно заклеить все внутренние контакты напротив конца штекера.

Наконец, можно вставить кабель не до упора, чтобы контакт был только на крайних пинах. Но это сложно.

А если совсем страшно, заряжайтесь от личного портативного аккумулятора. И носите шапочку из фольги.


iPhones.ru

Не стоит тыкать чужим кабелем куда попало.

Программы, которые получают права суперпользователя

Обычно права суперпользователя — так называемый рутинг телефона — получают продвинутые пользователи, чтобы снять ограничения производителя и свободно манипулировать функциями смартфона.

К сожалению, хакеры постоянно находят уязвимости в мобильных операционных системах. В том числе такие, которые позволяют безобидным с виду приложениям сделать рутинг смартфона без ведома пользователя.

Например, вы скачиваете из магазина приложение «Фонарик». Оно не просит доступ ни к каким системным возможностям, ему даже смс неинтересны. Но если у вас несвежая операционная система, если в ней уязвимость, то «Фонарик» сделает рутинг смартфона, а вы даже не заметите.

После этого злоумышленник получит полный доступ к устройству и всем приложениям. Он зайдет в мобильный банк и украдет оттуда номера карт и пароли.

Борьбу с такими вирусами осложняет то, что многие производители годами не обновляют программное обеспечение на своих телефонах, поэтому уязвимости, которые находят хакеры, никто не устраняет. Особенно это касается дешевых устройств.

Опасные программы встречаются даже в официальных магазинах

Чтобы снизить риск, обращайте внимание на рейтинг приложения, отзывы и количество скачиваний. И не забывайте обновлять антивирус

В чём опасность

Времена, когда смартфоны и планшеты имели отдельные разъёмы для зарядного устройства и передачи данных, давно прошли. Сейчас все гаджеты заряжаются через USB-кабели, которые передают и информацию, и электроэнергию. Это удобно и практично, но такое положение вещей открывает кибервзломщикам новые возможности.

На ежегодной конференции DEF CON взломщик по имени Майк Гровер, известный под псевдонимом MG, показал созданный им поддельный кабель Apple Lightning для iPhone. По виду его не отличить от обычного, однако внутри спрятан These Legit-Looking iPhone Lightning Cables Will Hijack Your Computer специальный чип с модулем беспроводной связи.

После того как жертва подключит свой смартфон к компьютеру через поддельный кабель, хакер сможет получить полный доступ к системе. MG утверждает Twitter-аккаунт MG , что шнур одинаково работает с Windows, macOS и Linux, а также может использоваться для взлома мобильных устройств. Управлять таким гаджетом можно через приложение, написанное хакером.

И пусть владельцы Android не обольщаются: под угрозой не только iPhone.

Хакер может подключаться к смартфонам, в которые воткнули такой кабель, на расстоянии 90 метров. Но модифицированное устройство можно настроить и так, чтобы оно подключалось к ближайшей беспроводной сети, так что расстояние вообще может быть неограниченным.

Майк Гровер создал пробную партию кабелей под названием O.MG, которую успешно распродал Prototype O.MG Cable with early access по 200 долларов за штуку. Примечательно, что все их он собрал Twitter-аккаунт MG на собственной кухне буквально на коленке. В будущем Гровер намеревается поставить производство на поток и продавать свои кабели за 100 долларов всем желающим.

Майк Гровер не единственный, кто догадался использовать для взлома поддельные USB-кабели. Год назад Кевин Митник разработал USBHarpoon Is a BadUSB Attack with A Twist аналогичное устройство под названием USBHarpoon, выглядящее как обычный зарядный шнур. Принцип действия его тот же.

Винсент Ю, коллега Митника, показал, как работает USBHarpoon. Он подзарядил свой беспилотник от ноутбука через скомпрометированный USB-кабель, и тот немедленно начал выполнять на компьютере заложенные в нём команды.

Подобные истории не новы. У хакеров даже появилось жаргонное выражение Juice Jacking — «выжимание сока». Вы подключаете Juice Jacking: Phone Charging свой телефон по USB к одной из общественных зарядных станций, модифицированных хакером, и на ваше устройство передаётся зловредный код.

Ещё в 2011 году на конференции DEF CON Брайан Маркус, президент Aires Security, продемонстрировал How Juice Jacking Works, and Why It’s a Threat зарядную USB-станцию, созданную им с коллегами. Она воровала с подключавшихся к ней смартфонов личные данные пользователей, контакты, переписку, ПИН-коды, пароли и даже интимные фотографии.

Прототип этой станции тогда простоял Beware of Juice-Jacking на DEF CON три с половиной дня, и 360 ничего не подозревающих посетителей подключались к нему. Нет ничего проще, чем установить такую же штуковину в гостинице, супермаркете или аэропорту.

Уязвимости известных приложений

В официальных приложениях тоже появляются уязвимости. Например, весной 2019 года стало известно о проблеме в Вотсапе: после звонка злоумышленника в телефоне появлялся вирус. Причем пользователь мог даже не отвечать на звонок, а информация о пропущенном вызове удалялась из истории.

Если уязвимость Вотсапа использовали для атаки на небольшую группу людей, то ошибка в коде Фейсбука поставила под угрозу 50 миллионов аккаунтов. Осенью 2018 года злоумышленники похитили данные входа, и компании пришлось принудительно разлогинить пользователей со всех устройств.

Из недавних уязвимостей: мошенники могли использовать приложение «Зум» для подключения любого пользователя к видеозвонку без его ведома. Похожая ошибка ранее возникала в «Фэйстайм»: звонивший видел запись с фронтальной камеры другого абонента до того, как он возьмет трубку.

Как защититься. Следовать примеру Марка Цукерберга и заклеивать камеру. Скачивать последние версии приложений: после выявления бага разработчики обычно быстро выпускают обновление — можно успеть защитить данные.

Чем опасен простой пароль

Программы, которые отправляют платные смс

Вирус, который рассылает смс на платные номера, — самый простой сценарий. Злоумышленнику не нужны даже банковские данные жертвы. Программа незаметно отправляет сообщения на короткий номер, и деньги со счёта уходят мошеннику.

В описание некоторых смс-вирусов авторы даже включали мелкий текст, по которому пользователь соглашался на платную подписку. Конечно, этого никто не читал, но формально получается, что жертва давала согласие на списание денег.

Чтобы защитить абонентов, операторы ввели двойное подтверждение платных смс: это когда после отправки сообщения вам приходит запрос и вы должны подтвердить его еще одним смс. Второе сообщение уже никак нельзя замаскировать, его должен отправить лично пользователь. Воровать деньги через платные смс стало сложнее, и популярность этих вирусов пошла на спад.

Если пришел запрос на подтверждение платного смс, а вы ничего не отправляли, проверьте телефон антивирусом, он может быть заражен. Если у вас стали быстро кончаться деньги на счете, посмотрите на историю списаний в личном кабинете мобильного оператора.

Классификация и способы кражи данных

Все хищения данных осуществляются либо перехватом сообщений на линиях связи, либо через воровство носителя информации. Основные сценарии описаны далее.

Кража физического носителя

Самый прямой и грубый способ. Большинство современных устройств — ноутбуки, смартфоны, планшеты, подключаемые внешние диски и флешки — достаточно малы, чтобы можно было украсть их мимоходом, пройдя рядом со столом, где они лежат (например, если владелец отлучился на минуту от рабочего места).

У крупных компьютеров можно похитить жесткие диски, причем не обязательно безвозвратно. Весьма легко вообразить злоумышленника, который извлечет диск после окончания рабочего дня, скопирует всю интересующую его информацию и вернет накопитель на место ранним утром следующего дня. В таком сценарии владелец устройства даже не догадается о несанкционированном доступе к его данным.

Кража при доступе к носителю

При наличии физического доступа к носителю можно просто поработать на компьютере в отсутствие хозяина. Обеденный перерыв, длительные совещания, время после ухода по окончании рабочего дня — у коллеги-злоумышленника есть немало способов посидеть за чужой клавиатурой. Если пароль учетной записи слаб или вообще отсутствует, то украсть данные сумеет любой, кто работает рядом. Впрочем, даже очень хороший пароль не всегда спасает: в конце концов, сотрудник может открыто попросить разрешения воспользоваться устройством, сославшись на неисправность собственного компьютера и необходимость срочно отправить письмо или файл. Далее, например, к машине подключается флешка с вредоносной программой, скачивающей данные.

К этой же категории относится возможность подсмотреть информацию. Распространены случаи, когда множество сотрудников работает в одном большом помещении без перегородок, и соседям хорошо видно, кто что делает. Соответственно, преступник может как наблюдать лично, так и установить небольшую камеру, которая запишет все, что выводилось на экран чужого монитора.

Удаленная кража по сети

Если машина подключена к проводной или беспроводной сети, то прямой физический доступ к ней необязателен. В интернете доступно множество вирусов, троянских программ, бекдоров и прочих вредоносных агентов, которые злоумышленник может внедрить разными способами (скажем, путем эксплуатации уязвимостей). Также данные могут быть перехвачены при помощи снифферов, если каналы связи плохо защищены.

Кража данных с внешних серверов

Наконец, если данные хранятся в интернете (в облачном хранилище, на почтовом сервере и т.п.), то преступники могут осуществить несанкционированный доступ к этим ресурсам. Для пользователей такой сценарий опасен тем, что помимо установки хорошего пароля у них нет никакой другой возможности повлиять на сохранность информации — всё программное обеспечение и все настройки доступа осуществляет владелец сервиса.

Что такое Ulefone Power 5S

Компания из Китая Ulefone не очень известна в России и в Европе. Но тем, кто следит за техническими новинками, наверняка знакома популярная линейка смартфонов под названием Ulefone Power. Она была создана для тех, кто согласен отказаться от тонкого корпуса и стильного внешнего вида ради длительной автономности гаджета.

При этом телефон имеет неплохую техническую начинку и функционал. Такое сочетание будет особенно полезным в путешествиях или походах, когда нужен выносливый девайс с доступом к интернету и картам. Последняя модель линейки Power 5S, кроме мощного аккумулятора, получила также функцию беспроводной зарядки, чтобы с комфортом пополнять запас энергии.

Добавить комментарий