Слово «спам» ассоциируется в первую очередь с электронной почтой, но с развитием технологий передачи сообщений через мобильные устройства спам стал распространяться и посредством SMS-сообщений, и через мессенджеры. Нередки случаи, когда рекламные сообщения начинают поступать вскоре после приобретения SIM-карты, если сотрудники компании – оператора сотовой связи передают (продают) сведения об абонентах злоумышленникам. В других случаях количество спама увеличивается после публикации номера телефона в интернете, к примеру на сайтах электронных объявлений или социальных сетей. Несмотря на то, что операторы сотовой связи используют специальные системы фильтрации трафика, проблема спама по-прежнему остается актуальной.
Стоит отметить, что не только злоумышленники рассылают рекламный спам. Нередко это могут быть письма от добросовестных компаний, например магазинов, если вы указали телефон при оформлении дисконтной карты или в профиле на сайте и по невнимательности согласились на получение рекламы в SMS-сообщениях. В этом случае достаточно «отписаться» – перейти на сайт компании, от чьего имени производится рассылка, и, войдя в аккаунт, отказаться от подписки в личном кабинете.
Примечание. Как уже упоминалось в одной из предыдущих глав, не рекомендуется переходить по ссылке «Отписаться», указанной в сообщении (когда такая ссылка присутствует), если вы не уверены, что письмо поступило от легитимного отправителя. С помощью таких ссылок злоумышленники могут направлять пользователей на фишинговые сайты для кражи персональных данных.
Кроме того, для отказа от рассылки можно обратиться в службу поддержки компании по контактным данным, указанным на ее сайте.
В некоторых случаях абоненты сотовой связи подвергаются DDoS-атаке, чаще целенаправленной. Это может быть как отправка тысяч SMS/MMS-сообщений, так и многократные телефонные вызовы с отбоем после первого гудка. Как правило, телефон отправителя (вызывающей стороны) подделывается (причем каждый вызов может совершаться с «нового номера») или скрывается, поэтому занесение номера в черный список неэффективно. К тому же для организации DDoS-атак злоумышленники могут использовать сотни и тысячи ботов – инфицированных устройств.
Цель таких атак – лишить жертву возможности совершать телефонные звонки и отправлять SMS-сообщения, а также вынудить отключать телефон, например в целях психологического давления. Также целью может быть шантаж и вымогательство, когда хакер в течение суток атакует телефоны компании, а затем требует деньги за прекращение атаки.
Если у отправителя один или несколько определенных номеров, поможет занесение их в черный список, если много или номера неизвестны – создание белого списка телефонов и запрет звонков со всех остальных. Это не самая надежная, а часто и неудобная мера защиты, но в некоторых случаях она может помочь. Кроме того, как правило, такие атаки редко проводятся дольше нескольких дней, так как дороги для злоумышленника. Поэтому при отсутствии результата он переходит к другой жертве[297].
SMS-сообщения и сообщения в мессенджерах (а также публикации в социальных сетях) могут использоваться для манипуляции общественным мнением. Этот прием называется астротурфингом. Термин происходит от названия американской компании AstroTurf, производящей искусственное покрытие для стадионов, которое имитирует траву, подобно тому, как сфабрикованная общественная инициатива имитирует настоящую. Такие сообщения могут распространяться по заказу государственных организаций. Также их могут рассылать злоумышленники, в том числе и криминальные структуры.
КЕЙС В 2013 г. компания Samsung была оштрафована на 340 000 долларов за астротурфинг. Корейский производитель электроники нанимал людей, которые должны были расхваливать его продукцию и критиковать конкурентов[298].
Астротурфинг более распространен в социальных сетях и на различных сайтах, но и в мессенджерах, в частности в публичных группах, происходит распространение недостоверных сведений, что также можно назвать формой астротурфинга. Могут распространяться сообщения «о возможном скором теракте» (например, «со слов папы, работающего в службе безопасности») или о «похищении детей от ворот школы» («со слов мамы, работающей в полиции») и т. п. Как правило, в сообщениях дается указание распространить информацию среди всех своих друзей.
Подобные слухи специалист по компьютерной безопасности Брюс Шнайер описывает[299] как одну из форм «семантического сетевого оружия»: такие атаки учитывают особенности сетей и человеческой психологии и способны изменить поведение больших целевых групп населения.
Несмотря на то, что в настоящее время в РФ публикация недостоверных новостей запрещена законодательно, эта форма манипуляции общественным мнением продолжает использоваться злоумышленниками.
Как мы уже говорили, неосторожный пользователь может перейти на созданную для фишинга поддельную веб-страницу, передающую его данные злоумышленникам. Но также велика вероятность загрузки вредоносного контента при переходе по ссылке, содержащейся в текстовом сообщении. Такие объекты чаще предназначены для нанесения вреда устройствам под управлением операционной системы Android и способны похищать данные с мобильных устройств, оформлять платные подписки, перехватывать управление (звонить и отправлять SMS-сообщения без ведома пользователя), рассылать спам и фишинговые сообщения абонентам из списка контактов и шантажировать владельца, блокируя доступ к устройствам, пока не будет заплачен выкуп.
КЕЙС В 2019 г. сотрудники израильской компании Check Point обнаружили[300] в Android-смартфонах уязвимость, позволившую злоумышленникам перенаправлять трафик с мобильных устройств на собственные серверы. Преступники, представлявшиеся операторами сотовой связи, отсылали потенциальным жертвам сообщения с настройками для устройства, которые меняли пути передачи трафика, используя уязвимость в стандарте Open Mobile Alliance Client Provisioning (OMA CP). Суть уязвимости в том, что подлинность сообщений не проверяется. После применения пользователем фишинговых параметров весь трафик с его устройства начинал передаваться через прокси-сервер злоумышленников. Проблема была замечена на устройствах компаний Samsung, Huawei, LG и Sony, которые (кроме Sony) впоследствии выпустили патчи безопасности, тем не менее угроза актуальна для моделей, срок поддержки которых истек[301].
Нередки случаи, когда, чтобы усыпить бдительность получателя, в SMS-сообщение со ссылкой на вредоносное приложение вставляют имя владельца устройства, например: «Антон, посмотрите фотографии по (ссылка)», «Антон, получено MMS (ссылка) от Владимира», «Антон, обмен с моей доплатой рассмотрите? (ссылка)», «Антон, и тебе не стыдно после этого?! (ссылка)». Дело в том, что сообщения рассылаются трояном с телефона предыдущей жертвы, и в них автоматически вставляются имена из телефонной книги на зараженном устройстве. В других случаях связки «имя плюс номер телефона» берутся с сайтов электронных объявлений, знакомств и из прочих баз данных[302].
Примером мобильного вредоносного программного обеспечения, который предлагается скачать в SMS-сообщениях, может служить банковский троян Rotexy. Эта программа, скачиваемая на устройство в виде файла с именем AvitoPay.apk или похожим на него, в процессе установки запрашивает права администратора, пока пользователь не согласится их дать; если тот соглашается, то сообщает, что приложение загрузить не удалось, и скрывает свой значок из системы. Передав информацию об устройстве злоумышленникам (напрямую на сервер или посредством SMS-сообщения), Rotexy получает набор соответствующих инструкций и, переведя смартфон в беззвучный режим, начинает перехватывать сообщения и пересылать их хакерам. Кроме того, выводя на экран устройства фишинговую страницу, Rotexy провоцирует пользователя на ввод данных о банковской карте и при этом сверяет вводимый номер карты с ранее перехваченным в SMS-сообщении[303].
Примечание. Обратите внимание: вредоносные файлы могут распространяться и в мессенджерах. Нельзя открывать никакие файлы, полученные из неизвестного источника[304] (если файл получен от пользователя из вашего списка контактов, позвоните ему и уточните, действительно ли он отправил вам файл).
Помимо прочего, вредоносное программное обеспечение способно обходить системы защиты, использующие одноразовые SMS-пароли. Когда пользователь запускает оригинальное приложение, например банковское, троян определяет его и перекрывает экран собственным, фишинговым интерфейсом, имитируя подлинный. Пользователь вводит логин и пароль, которые отправляются злоумышленникам, и те входят в аккаунт жертвы на своем устройстве. Пробуя перевести некоторую сумму, злоумышленники инициируют отправку на телефон жертвы SMS-сообщения с одноразовым кодом, который троян скрывает, перехватывает и отправляет мошенникам. А те, подтвердив транзакцию, получают деньги на свой счет[305]. Другие вредоносные приложения (например, Hesperbot) способны автоматически, без участия злоумышленников, производить транзакции с перехватом SMS-кодов и даже после удаления со смартфона сохранять доступ преступников к устройству