Также способны перехватывать трафик вредоносные приложения, имитирующие оригинальные мессенджеры, и некоторые клиенты, альтернативные официальным. Большинство альтернативных клиентов для «ВКонтакте» и Telegram, как и любые другие вредоносные приложения, создается для кражи персональных данных[326].
Такие программы могут даже перехватывать секретные чаты – например, воспользовавшись штатной функцией кеширования в оперативной памяти смартфона (с ОС Android) снимков экранов запущенных приложений. Существуют приложения, способные извлекать из памяти смартфона такие снимки, в том числе и скриншоты секретных чатов Telegram и Signal; в этих чатах пользователь не может скопировать изображение на экране[327]. Даже если антивирусное приложение заблокирует такие вредоносные программы, сам пользователь может разрешить с виду легитимным приложениям доступ к функциям записи данных, вводимых с клавиатуры; снятия скриншотов и буферу обмена. Иногда утечка информации из секретного чата может произойти, если гаджет находится в поле зрения видеокамеры или за его владельцем кто-то наблюдает сзади.
■ Замена SIM-карты. Злоумышленник может перевыпустить SIM-карту, подкупив сотрудника компании сотовой связи[328] или предоставив доверенность от имени владельца с его паспортными данными (подделав ее или приобретя в интернете)[329],[330], а затем получить доступ к чатам в мессенджерах, перехватив код аутентификации из текстового сообщения[331]. Используя в мессенджере аккаунт жертвы, злоумышленник не только сможет писать сообщения от ее имени, но и (не во всех мессенджерах) получит доступ ко всей прошлой переписке, кроме секретных и зашифрованных чатов. Поэтому важно защищать переписку в мессенджерах не только с помощью пароля и двухфакторной аутентификации, но и дополнительными методами – используя зашифрованные секретные чаты (приватные беседы), которые нельзя просматривать на постороннем устройстве.
■ Дополнительные сеансы (для мессенджеров). Необязательно взламывать сложные алгоритмы шифрования, когда можно пойти простым путем. Например, если пользователь общается в WhatsApp, злоумышленник может подсмотреть графический ключ для доступа к его устройству, дождаться, когда жертва на пару минут оставит смартфон без присмотра, затем запустить на своем компьютере или мобильном устройстве мессенджер и отсканировать смартфоном показанный в нем QR-код. С этого момента злоумышленник может читать всю переписку жертвы, пока в WhatsApp не будет сменен ключ и не потребуется вновь отсканировать QR-код[332]. Аналогичным образом перехватывается переписка и в других мессенджерах, например Signal, Viber и Telegram. Как вариант, злоумышленник может вместо физического доступа к смартфону жертвы запустить на нем троян, отправив пользователю фишинговую ссылку[333].
■ За пользователем могут подсматривать посторонние люди. При этом они могут видеть сообщения, содержащиеся в уведомлениях на экране блокировки. Как правило, в этом случае виден только фрагмент сообщения, но он может быть крайне важным. Например, пытаясь получить доступ к аккаунту жертвы в Сети и оплатить с ее счета покупку, злоумышленник может подсмотреть на смартфоне жертвы код подтверждения, и ему для этого даже не понадобится разблокировать устройство (например, оставленное без присмотра). К тому же уведомления на экране блокировки могут содержать имя отправителя, связь с которым в определенных случаях может скомпрометировать жертву или привести к другим нежелательным последствиям.
Кроме того, отправленное сообщение как минимум сохраняется на устройстве получателя/отправителя и может быть прочитано посторонними лицами, завладевшими девайсом. Проблему решает функция самоуничтожения сообщений (оно происходит сразу или через некоторое время после прочтения), но лишь отчасти, так как получатель (или злоумышленник, завладевший или дистанционно управляющий устройством) может сделать снимок экрана, а дистанционно подтвердить личность собеседника невозможно.
Защита от мошенничества, совершаемого с помощью текстовых сообщений
Принципы защиты от спама и фишинговых сообщений те же, что и при использовании голосовой связи: главное – обеспечить конфиденциальность номера своего личного телефона. Это не гарантирует 100 %-ной защиты, так как злоумышленники могут использовать краденые списки абонентов операторов сотовой связи или попросту перебирать все номера подряд, но все же в несколько раз уменьшит вероятность мошенничества или спама. Чаще всего злоумышленники крадут базы персональных данных, например, с сайтов электронных объявлений, из социальных сетей, у операторов сотовой связи, банков, интернет-магазинов и других структур, в том числе и государственных.
Примечание. Только в 2016 г. в США было украдено 27 млн медицинских записей пациентов. Из-за утечки 20 % жертв кражи поставили неверные диагнозы и они получили неправильное лечение[334]. Кроме того, мошенники крадут персональные данные с целью ухода от налогов (налоги на доходы, полученные злоумышленником, начисляются на имя жертвы кражи) – с налогами связано 34 % всех случаев мошенничества[335].
С помощью похищенных баз данных злоумышленники выясняют как минимум телефоны и имена потенциальных жертв, что помогает им проводить атаки с применением методов социальной инженерии. В других случаях злоумышленники в ходе массовой атаки могут перебирать телефонные номера по порядку.
■ Не публикуйте в интернете свой личный номер телефона. Со своей стороны, вы можете предотвратить большинство случаев мошенничества, не указывая свой основной номер телефона на различных сайтах. Если номер телефона необходим, рекомендуется использовать дополнительный номер «для спама» либо виртуальный номер. В идеале у вас должно быть не менее двух номеров для текстового общения: один личный и один «для спама» – для регистрации на разных сайтах и в интернет-магазинах (как должны быть и разные адреса электронной почты для разных целей).
■ Распознать мошенничество поможет и использование псевдонимов на сайтах, где требуют указать номер телефона. Также этот способ поможет выяснить, какой именно ресурс передает посторонним ваши данные, если использовать разные псевдонимы для каждого из них.
■ При получении любого подозрительного SMS-сообщения (даже если номер отправителя вам известен или кажется известным) не переходите по ссылкам, не звоните по указанному в сообщении номеру[336] и не отвечайте на сообщение. Мошенники могут подделать номер отправителя (например, 9OO вместо 900), и тогда сообщение попадает в ту же переписку, что и легитимные SMS. Уточняйте в организации, которой принадлежит данный телефонный номер, не является ли присланная в сообщении ссылка фишинговой (связавшись с этой компанией по контактным данным, указанным на ее сайте, на дисконтной/банковской карте и в других официальных источниках). При необходимости проверяйте подозрительные ссылки в защищенной системе, лучше всего в виртуальной машине или на отдельном устройстве, не содержащем ваших персональных данных.
■ Не поддавайтесь на фишинг. Компании не раздают ценные призы просто так. Если сообщение выглядит неправдоподобно, значит, вас пытаются обмануть. Чтобы убедиться в подлинности акции, свяжитесь с представителями компании. Не торопитесь переходить по ссылкам и вводить учетные данные, если получили сообщение о блокировке аккаунта на сайте или банковской карты. Перейдите на сайт, набрав его адрес собственноручно (не используйте автозаполнение, так как легко ошибиться и перейти на фишинговый ресурс), и проверьте свой профиль. Либо позвоните в компанию по номеру, указанному на карте или на официальном сайте, и попросите уточнить причины блокировки.
■ Не раскрывайте свои персональные данные. Не указывайте в сообщениях свое имя, адрес, банковские реквизиты и любые другие сведения личного характера, которыми могут воспользоваться злоумышленники. Выяснив сведения о вас, они могут от вашего имени совершать преступления против тех, кто есть в списке ваших контактов. Помните, что мошенники могут маскироваться под ваших друзей и даже присылать сообщения от их имени, после чего они попадают в одну ленту с легитимными сообщениями.
■ Отключайте рассылки непосредственно на сайтах компаний, от чьего имени приходят сообщения. Это можно сделать как в личном кабинете, так и с помощью запроса в службу поддержки клиентов компании (можно позвонить по номеру, указанному на дисконтной карте или на сайте, либо обратиться через веб-форму, чат или по электронной почте). Отказаться от спецпредложений оператора сотовой связи тоже в ваших силах. Это можно сделать при заключении договора о предоставлении услуг (в пункте о согласии или несогласии на получение рекламы); также можно подать соответствующее заявление. Если вы уже пользуетесь услугами сотовой связи – в службе поддержки оператора уточните, каким образом можно отказаться от рассылки. В любом случае оператор не вправе отказать[337].
■ Используйте специальные утилиты, защищающие от спама и вредоносного программного обеспечения. Такие программы содержат постоянно обновляемые базы данных различных вредоносных программ для мобильных устройств, а утилиты наподобие «SMS Антиспам» при должных настройках защитят от SMS-спама. Актуальная на момент написания книги публикация с результатами тестирования антивирусных приложений приведена на странице