вторник, 26 ноября 2013 г.

СОИБ. Анализ. Мобильная опасность

Про угрозы и проблемы мобильной безопасности говорят на каждой конференции. Несмотря на это мобильные устройства обзаводятся всё большими возможностями, а средствами защиты далеко не всегда.

Для того чтобы отказаться от какой-то мобильной возможности риски должны быть достаточно высоки и их нужно осознавать. А можно и не отказываться, если принять подходящие меры защиты. 

В этот статье предположим, что произошел несанкционированный доступ к вашему устройству и ещё раз пройдемся по наиболее опасным рискам.

Несанкционированный доступ произошел по одному из трех сценариев (их вероятность достаточно большая, чтобы сказать что с каждым мобильным устройством произойдет как минимум 1 из этих сценариев):
·        Устройство потеряно/украдено
·        Пользователь самостоятельно установил вредоносное ПО (по ошибке или в результате обмана)
·        Вредоносное ПО установлено в результате эксплуатации уязвимости в системном или прикладном ПО

Начнем с персональных рисков:
P1. Вы лишитесь  денег на личном счету у оператора связи.  Для начала это будут прямые переводы между номерами (но, как правило, есть суточные лимиты, например 3000 руб.). POC =

Далее  могут совершаться звонки на платные телефоны или загрузка платного контента со своих же ресурсов, оплата каких либо услуг  или даже перевод на другой банковский счет (POC = https://oplata.megafon.ru/order/1767781) пока ваш счет не опустеет.

Р2. Если вы пользуетесь “Интернет банком” со своего мобильного устройства, то ваш возможный ущерб равен сумме на вашем счету. Простенького кейлогера достаточно чтобы перехватить логин и пароль (POC = http://www.android-keylogger.net/).  Большинство интернет банков если использует усиленную аутентификацию платежей, то по SMS-сообщению, которое придет на то же мобильное устройство/ или OTP приложение на том же мобильном устройстве.
Если вы пользуетесь “Мобильным банком, с управлением через SMS), то не потребуется даже кейлогера. Для перевода на другой счет в том же сбербанке достаточно будет отправить SMSPOC =

А можно по SMS перевести и на карту любого банка. POC  =


P3. Вы можете потерять даже больше средств, чем у вас есть на данный момент.
Для этого придумана услуга автоплатеж. Если вы уже подключили себе эту услугу у мобильного оператора или пользовались интернет банком, то злоумышленник так-же воспользуется этой услугой и подключит свои 10 номеров с правилом перечислить 10000 руб. если баланс телефона опустится ниже 10000 руб. Как только вы разблокируете свой счет/карту после инцидента и получите очередную зряплату с вашего счета продолжат уходить деньги.
POC =



А ещё мобильные операторы придумали личные кабинеты  и различные сервисы (POC = https://oplata.megafon.ru/) которые будут захвачены в момент несанкционированного доступа к телефону. Если вы ещё пользовались этими сервисами, то первый пароль придет по SMS. Если вы уже пользовались сервисом, то новый пароль так-же будет сброшен по SMSPOC =


Если после инцидента, вы забудете перехватить какой-то из сервисов, то злоумышленник продолжит снимать деньги и наносить ущерб. Кроме вывода денег личный кабинет дает ещё следующие интересные возможности:
·        переадресация входящих вызовов

·        отправка SMS от имени пользователя


И конечно злоумышленник отключит все уведомления пользователя, отключит проверку защитного кода. Не забудьте всё это включить. POC =

Р4. Если вы вводили реквизиты банковской карты со своего мобильного устройства, то вашими средствами будут пользоваться и после инцидента. Пока вы не уничтожите или перевыпустите банковскую карту.
Даже если банковскую карту вы уничтожили сразу после инцидента, деньги могут продолжать убывать. Например, при бронировании гостиницы онлайн указывает номер банковской карты, а деньги  списываются не сразу, а после оказания услуг. Таким образом, счет пользователя может уйти в глубокий минус.

P5. Вы потеряете данные и доступ ко всем популярным персональным приложениям, которыми пользовались с мобильного устройства - Электронная почта, соцсети, службы мгновенных сообщений, облачные хранилища файлов, фотографий, электронные деньги и кошельки, аукционы, службы бронирования, службы доставки, онлайн игры и т.п. Потеряете даже доступ к госуслугам. POC =

А всё почему? Потому, что все сервисы позволяют сменить пароль, используя электронную почту или sms на телефон. В редких случаях нужна  почта и SMS одновременно. Но на вашем мобильном устройстве как раз установлен автоматический вход в вашу почту и на него же приходят SMS.

Самые хитрые злоумышленники потом продадут вам доступ к вашим персональным приложениям. POC = http://www.cnews.ru/top/2013/11/20/ostanovleny_hakery_vymogavshie_dengi_za_razblokirovku_vkontakte_i_odnoklassnikov_550482

P6. Вы потеряете данные и доступ ко всем данным, хранящимся локально на мобильном устройстве. А это контакты, история смс, фото, видео, записки, календарь, локальные документы.
Причем самые хитрые злоумышленники зашифруют все ваши данные и потом будут продавать доступ к ним.

P6. Если вредоносное ПО будет скрытным, то какое-то время вы будете отдавать персональные данные злоумышленнику:   а именно -  информацию о местонахождении (небольшой автоматический анализ выявит ваш адрес работы, дома и других часто посещаемых мест), любой вводимый текст, содержание звонков, запись с звука микрофона, фото и видео с мобильного устройства в любой момент.

Это все персональные риски, которые мне удалось осознать. Возможно, я что-то упустил? Тогда поправьте. Про корпоративные риски в следующей статье.

Так-же мне интересует, какие риски лично для вас будут неприемлемыми и остановят Вас от использования какого-то сервиса?   Электрошоковый удар? Потеря авто/недвижимости? Условный срок  за участие в DDoS атаке?

PS: Интересно будет послушать на Антифрод Раша 2013 как предлагается уменьшать эти риски.
PPS: Proof-of-concept


4 комментария:

Alexey Komarov комментирует...

Отличный пост. Вот только, чем более сложную и многоходовую атаку будет осуществлять злоумышленник, тем больше следов своей деятельности он оставит и тем проще его будет найти.

Пока всё же больше в ходу схемы быстрого получения пусть небольшого, но массового дохода. Когда сумма ущерба для каждого абонента не настолько велика, чтобы, например, обращаться в правоохранительные органы.

Большинство описанных рисков больше подходят на сценарий эдакой APT (Advanced Persistent Threat), только применительно к конкретному человеку. Сумма на его счетах должна быть достаточной, чтобы риск стал оправданным.

И ещё важный момент - чтобы всё это осуществить, злоумышленник должен быть достаточно квалифицированным. Вероятность того, что именно такой найдёт телефон - крайне мала. А для кражи телефона нужны другие навыки. Не думаю, что есть много людей, сочетающих в себе оба этих таланта.

Более-менее реальным сценарием остаётся только использование вредоносного ПО. Так что антивирусы для мобильных устройств - это наша ближайшая неизбежность (ну, разве что у смартфонов с закрытой ОС тут есть небольшое преимущество).

Сергей Борисов комментирует...

Да, есть много сложностей для злоумышленника.

Во-первых автоматизировать сценарий чтобы он выполнялся быстро.

Во-вторых сделать его гибким - подготовить сценарии для разных банков и мобильных операторов

В-третьих обеспечить анонимный и быстрый вывод денег со своих счетов в банке, в сотовом операторе, в других платежных системах (то есть это должны быть часто меняющиеся и анонимные способы)

Но прецеденты есть. И думаю ещё увидим сложные атаки.

PS: Совсем забыл, что если у человека украсть по чуть, то он вряд ли будет обращаться в органы. Если его разорить - то пожалуй обратится

Tomas комментирует...

Про P.S. не согласен, потому что если у большинства взять со счета 100 руб. (условно="по чуть"), то уже будут обращаться в банк или к оператору связи, во избежание того, что бы 100 не превратилось в 1 000...
банк или оператор в случае хищения обратятся (или подскажут обратиться пострадавшему, с описанием его дальнейших рисков) в органы, если не брать в расчет олигархов или олигофренов.

А.А. комментирует...

Отличная статья, показывающая что: Думать надо какое ПО ставишь и НЕ стоит пользоваться мобильным банкингом в принципе. Если у вас не blackberry