Колонки

«Телефон знает о вас слишком много» — как доверить приложению персональные данные и не попасть в неприятности

Колонки
Федор Мельников
Федор Мельников

Специалист по информационной безопасности Nopaper

Ирина Печёрская

За третий квартал 2020 года мошенники увели у жителей России 2,5 млрд рублей, вернуть удалось лишь 13% от этой суммы. Большая часть атак связана с использованием различных приложений и мессенджеров на смартфонах. Как происходит утечка данных и как защитить себя, рассказала команда приложения для мобильного документооборота Nopaper — Федор Мельников, специалист по информационной безопасности, и Дарья Верестникова, сооснователь сервиса.

«Телефон знает о вас слишком много» — как доверить приложению персональные данные и не попасть в неприятности

Столкнуться с мошенниками может каждый, ведь сейчас куча приложений знает ваш номер телефона, имя, фамилию и адрес. Самым продвинутым нужно даже больше — например, данные вашего паспорта. Если приложение выпускает вам электронную подпись, связывает вас с каким-то государственным ведомством, помогает купить машину — логично, что ему нужны эти данные. Но безопасно ли их давать? 

Кратко: не важно, отсканируете ли вы свой паспорт — ваш телефон уже знает о вас слишком много. Единственный способ защитить себя — это соблюдать правила «цифровой гигиены»: скачивать приложения только из официальных магазинов, использовать двухфакторную аутентификацию и никогда не отвечать на подозрительные входящие звонки от «банков». 

А теперь подробно. 

 

Что хранит ваш смартфон и чем это опасно

  • Информацию о вас

ФИО, дату рождения, телефон и email, паспортные данные в альбоме вашего телефона. Если получить эти данные, можно оформить на вас кредит, подписать вас на рекламные рассылки и даже оформить себе КЭП и продать вашу квартиру. 

  • Доступ к государственным сервисам

Приложение «Госуслуг». Если вы ставите простейший логин/пароль и пренебрегаете двухфакторной аутентификацией, за вас могут получить любые государственные услуги, и не будет никакой гарантии, что это сделали именно вы.

Стать востребованным специалистом по кибербезопасности можно, выбрав онлайн-курс в каталоге курсов по информационной безопасности.
  • Доступ к вашим деньгам

Мобильные и интернет-банки, электронные кошельки, Google Pay/Apple Pay, данные карт. Если его перехватить, можно украсть ваши деньги, делать покупки за ваш счет, оформить на вас кредит и сразу похитить кредитные деньги.

  • Доступ к контактам и перепискам

Телефонные номера, переписки в WhatsApp/Telegram и соцсетях. Если его получить, можно шантажировать вас содержимым ваших чатов, вымогать деньги у ваших близких, просить в долг от вашего имени.

  • Личные фото

Фото в вашей квартире и во дворе, на работе, личные скриншоты, интимные фото. Если их получить, можно найти материал для шантажа, опубликовать личные снимки в сети, использовать ваши фотографии для оформления аккаунтов мошенников. 

 

Способы кражи данных с использованием телефона 

Технологии помогли мошенникам создать несколько новых схем, но самые популярные из них по-прежнему основаны на обычном обмане, манипуляции и страхе. Разберем все способы, которыми у вас могут украсть данные и как-то вам навредить, используя ваш смартфон.

 

Социальные способы: обмануть вас, чтобы вы сами предоставили нужные доступы или отдали деньги

  • Позвонить вам от имени банка

Даже в банках бывают утечки, и тогда вам начинают звонить якобы «сотрудники службы безопасности», которые знают ваше ФИО и где вы держите деньги. Разговор пойдет о том, что на вас берут кредит, вы только что совершили подозрительную операцию и пытаетесь перевести кому-то 15 тыс. рублей, вам меняют телефонный номер, привязанный к мобильному банку. Или другой предлог, из-за которого вы должны назвать код из смс-сообщения, кодовое слово, паспортные данные или что-нибудь еще. 

Все, что нужно знать об этом способе обмана — банки не решают такие вопросы по телефону. Если они заметят что-то подозрительное — они заблокируют счет и подождут, пока вы сами к ним придете. 

  • Написать вам в мессенджерах/соцсетях и выманить деньги

Частый сценарий такой атаки — кто-то взламывает аккаунт вашего друга, пишет вам от его имени и просит срочно занять ему в долг. 




Мошенники изучают переписку и используют личные факты, чтобы их обман выглядел убедительно — если друг жаловался вам на задержку зарплаты или неадекватного хозяина квартиры, мошенник использует эти темы как предлог для займа.  

 

Технические способы: взломать ваш телефон и завладеть доступами

Мошенники заражают файл или приложение и распространяют его под видом чего-то полезного. Ваш телефон может заразиться, когда вы: 

  • устанавливаете приложение из неофициальных магазинов;  
  • реже, но возможно, устанавливаете зараженное приложение из официальных магазинов. Как только служба безопасности магазина это выявит, вам предложат обновиться на безопасную версию; 
  • переходите по ссылкам из подозрительных смс и писем;
  • скачиваете и просматриваете вложения из электронной почты.


Большинство исследовательских компаний выделяют следующие виды угроз:

  • Adware и кликеры. В основном они просто показывают вам неинтересную рекламу и генерируют искусственные переходы на сайты рекламодателей. Особой опасности они не представляют, просто бесят;
  • Spyware. ПО крадет персональные данные и следит за своим носителем. Может перехватывать смс или push-коды подтверждения операций; 
  • дроппер. Загрузчик других вредоносных приложений. Может завезти к вам на устройство любой вирус, троянец и прочую гадость;
  • вирус. Выводит из строя конкретное приложение или одну из функций устройства, шифрует девайс или вешает на главный экран порнобаннер и просит выкуп в биткоинах.

 

Что вы можете сделать, чтобы защитить себя 

  1. Используйте VPN при подключении к общедоступным сетям Wi-FI.
  2. Скачивайте приложения только из официальных магазинов.
  3. Регулярно устанавливайте обновления ОС.
  4. Используйте двухфакторную аутентификацию. Это защита, в которой вы для входа в систему сначала вводите логин и пароль, а потом еще подтверждаете кодом из смс или push-уведомления, что это правда вы. Приложения сами предложат вам ее подключить.
  5. Не давайте избыточные разрешения приложениям: приложению «Фонарик» не нужен доступ к фотографиям и геолокации. 
  6. Не давайте телефон в руки незнакомым людям и неофициальным экспертам, не предоставляйте удаленный доступ к телефону недоверенному источнику, например, сотруднику банка по телефону.
  7. Не получайте права суперпользователя на своем устройстве: это root для Android и Jailbreak для iPhone. Обычно такие права нужны для установки альтернативной прошивки, которая заблокирует официальные обновления ОС.

И, конечно, всегда оставайтесь осмотрительным. Мошенники создают иллюзию срочности и не дают подумать — сделайте паузу, минута на размышления может вас уберечь. Когда вам звонят из банка или пишут от чьего-то имени, просто перестаньте с ними разговаривать. Позвоните в банк сами по номеру на сайте, и, если подозреваете, что угроза реальна, сходите в ближайшее отделение. Также и с другом — если кто-то просит у вас в долг, позвоните ему или напишите в другой чат. 

 

Каким приложениям можно доверять

Что касается данных внутри приложения, чтобы понять, стоит ли доверять сервису какую-то информацию, вам нужно понимать, зачем он ее запрашивает. Если вы хотите поиграть в Angry Birds, а у вас просят телефон, адрес и номер банковской карточки — это странно. Вы не приглашаете их к вам прийти, вы не просите их вам звонить, и игра бесплатная. А вот если вы делаете заказ в приложении H&M, то это нормально. Все это нужно, чтобы доставить заказ и прислать вам чеки. 

 

Дарья Верестникова, сооснователь сервиса Nopaper


Проблема безопасности — проблема не только пользователей, которые не соблюдают «гигиену данных». Сами системы должны быть безопасными. Если вы пользователь и видите, что для регистрации в сервисе нужно чуть больше, чем логин и пароль, если вам предлагают установить двухфакторную аутентификацию или даже отдельное приложение — сейчас это уже не показатель «устаревшего сервиса», а показатель высокого уровня безопасности! Упростить до одного экрана можно всегда, а вот сделать безопасно — настоящее искусство.

 

Мир никогда не будет безопасен на все 100%. Но не позволяйте страху и мошенникам лишить вас удобных приложений. Соблюдайте правила цифровой гигиены, будьте внимательны, и все у вас будет хорошо.

Фото на обложке: Dean Drobot/shutterstock.com

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Не доверяй мне, я социальный инженер: 5 главных правил кибербезопасности для бизнеса
  2. 2 Ищете работу? Следуйте этим правилам, чтобы не попасть на крючок к мошенникам
  3. 3 Правила кибербезопасности для бизнеса в сфере торговли, которые важно знать всем
  4. 4 С какими сложностями может столкнуться компания при внесении данных в IT-системы и как упростить этот процесс
  5. 5 Почему неправильная настройка бэкапов дорого обходится бизнесу