Контакты
Подписка
МЕНЮ
Контакты
Подписка

Атака на мобильный, жертва – человек

Атака на мобильный, жертва – человек

В рубрику "Спецпроект: mobile security" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Атака на мобильный, жертва – человек

Повсеместное проникновение информационных технологий в жизнь человека, безусловно, повышает общий уровень коммуникаций человечества, его мобильности, комфорта и т.п. Но не только: вместе с “бонусами" всеобщая информатизация повышает и уровень риска, связанного с мошенничеством. В том числе в сфере мобильной связи.
Василий Сергацков
Архитектор FM&RA-решений Центра
информационной безопасности компании
“Инфосистемы Джет"

Все разнообразие мобильных атак условно можно разделить на два основных блока: атаки на владельцев мобильного аппарата и использование гаджета жертвы для выполнения атаки на третьи лица. Но цель и в первом, и во втором случае одна – получение денежных средств либо находящейся на мобильном аппарате информации. Исходя из способов и сценариев реализации, все атаки можно разделить на несколько видов, результатом которых становится получение доступа к той или иной информации или к счетам с денежными средствами клиента. На каждом из них хотелось бы остановиться подробнее.

Мама, в меня попал метеорит

У всех на слуху истории, когда злоумышленники, используя в своих целях силу родственных связей, отправляют потенциальной жертве SMS-сообщения с просьбой о помощи от имени ребенка или близкого родственника. Зачастую злоумышленники оперируют минимальным набором "живых" данных, однако жертва, впадая в панику, сама того не замечая, сообщает мошеннику всю необходимую информацию (имя сына, возраст и др.).

"Они" за нами следят и читают Операторы связи обмениваются сигналами для установки соединения или разъединения абонентов, для маршрутизации вызовов. То есть даже до момента установки соединения между абонентами: между абонентом, коммутатором (вызывающего абонента) и коммутаторами сети вызываемого абонента и самим вызываемым абонентом происходит обмен сигнальным трафиком. Таким образом, зная MSISDN (номер абонента) и IMSI и др., можно сообщить мобильному оператору (которым пользуется жертва), что он теперь зарегистрирован в нашей сети. К примеру, абонент из Германии окажется зарегистрирован у оператора в РФ. В дальнейшем весь, скажем, голосовой трафик и SMS-переписка уже будут проходить через нашего оператора. Каковы возможности подобной схемы? Как минимум – чтение переписки и прослушивание голосового трафика. При определенных обстоятельствах подобные схемы можно выявить при помощи систем классов FMS и RAS (Revenue Assurance System).

Нельзя обойти вниманием и мошенничество с банковскими картами, когда, к примеру, жертва получает SMS-сообщение о том, что карта заблокирована с просьбой перезвонить. А на том конце провода незадачливого владельца карты "встречает" злоумышленник в образе сотрудника службы безопасности банка с историей о попытке взлома карты… Успешный финал такой "сказки" – перевод средств карты через сервисы ДБО банка.

Это частные примеры, однако общая выгода для злоумышленников в этом случае заключается в информации, хранящейся на мобильном устройстве (логины и пароли, телефонная книга, переписка и т.д.), и в непосредственном доступе к денежным средствам на лицевом счете клиента у оператора связи либо других организаций, включая банковские.

Операторы связи, безусловно, ведут работы по вычислению такого мошеннического спама. Основные движения со стороны законодательной власти способствовали появлению п. 22.1 в ст. 2 в законе "О связи". К сожалению, эта правка поспособствовала борьбе с рекламным спамом или мошенническим только в тех случаях, когда речь идет о подмене номера мошенника на номер в альфа-нумерации. Поэтому для дополнительного снижения уровня абонентского "отклика" на подобные сообщения не обойтись без пропаганды самых простых правил поведения при получении подобных сообщений: всегда сверять информацию на сайтах банков, в контактных центрах, при неординарных просьбах от родных и знакомых убедиться в том, что это точно они, и пр.

ПО стоит, мошенник – действует

При помощи установленного на мобильном аппарате жертвы ПО мошенники могут получить доступ не только к информации, хранимой на устройстве (включая переписку и возможность вести запись голосового трафика), но и возможность управлять им самим – просматривать входящие сообщения, отправлять новые и удалять любые из них. Чаще подобные возможности используются для управления лицевым счетом клиента у операторов связи, управления мобильной коммерцией мобильным банком и т.п. при помощи отправки сообщений на премиум-номера (как на короткие номера РФ, так и международные).

Один из наиболее универсальных и удобных для мошенников механизмов таков: потенциальная жертва под видом игры или любого другого приложения/объекта загружает и устанавливает в своем мобильном аппарате вредоносную программу (с установкой прав администратора). Далее в течение недели на периодической основе отправляет запрос на управляющий сервер (в среднем сессия в размере 2 Кб), содержащий IMEI1 устройства. В ответ на запрос управляющий сервер передает данные об отправке SMS-сообщения на определенный премиумномер с определенным содержимым (префиксом). И подобная процедура повторяется каждую неделю по всей зараженной базе. Обычной практикой является расширение сети до определенного количества и только потом – его использование.

Чтобы не бороться с последствиями заражения устройства, проще использовать антивирусные программы и внимательнее относиться к выбору ресурсов для загрузки ПО, раздачи административного доступа или доступа к сообщениям.

А оператор-то не настоящий!

Инциденты с фейковыми базовыми станциями случаются достаточно редко, хотя на просторах нашей родины нам приходилось встречаться и с такими. Фейковая базовая станция представляет собой аналог базовой станции оператора. Только с более сильным сигналом, чтобы мобильные устройства потенциальных жертв регистрировались не в своей домашней сети, а именно на мошеннической базовой станции. Далее фейковая базовая станция выполняет роль промежуточного звена между абонентом и оператором связи с возможностью инициирования любых действий "от лица" абонента. Например, такая базовая станция позволяет:

  • получать информацию об абоненте – IMSI2 и пр., – но, конечно, не включая его персональные данные;
  • осуществлять действия от лица абонента: принимать и отправлять SMS-сообщения, входящие и исходящие вызовы и др.;
  • читать любой трафик между оператором связи и абонентом: SMS-трафик, голосовой трафик, передача данных (интернет-трафик);
  • подавлять сотовую связь.

Способы частично избежать регистрации на фейковой базовой станции есть, но они не являются панацеей. Оператор способен вычислить работу такой станции только при использовании хорошо настроенного модуля Velocity в FMS (Fraud Management System) с учетом анализа резкой смены сот в определенной точке.

Ваш мобильный аппарат – чужой сообщник

Зараженные мобильные устройства жертв часто используются даже не столько для получения информации с него или для получения денежных средств жертвы, сколько для организации атак на другие устройства/сети. И в этом случае все схемы можно условно разделить на два основных направления: получение информации с устройств/сетей третьих лиц и DDoS-атаки.

В первом случае предположим, что будущая жертва использует мобильное устройство для работы, к примеру, с корпоративной почтой и другими корпоративными ресурсами, подключается к корпоративным точкам Wi-Fi и т.п. Злоумышленник, получивший доступ к перечисленным "источникам" данных, вместе с ними вполне может получить доступ к данным компании, персональным данным ее сотрудников или клиентов. А иногда в этом случае злоумышленник получает возможность управления частью ресурсов компании.

Второй, не менее распространенный, способ заключается в использовании ботнета для генерации максимально возможного числа запросов на сервер-жертву. А в результате – информационные системы компании-жертвы временно приостанавливают свою работу либо злоумышленник получает доступ к необходимой ему информации и т.п. В отдельных случаях инициируется DDоS-атака в виде шквала вызовов на конкретные номера компании-жертвы, что сводит практически к нулю возможность дозвониться для обычных (в том числе потенциальных) клиентов. К примеру, можно "глушить" номера конкурирующих такси или сделать невозможным осуществление записи на регистрацию в ФМС для юридических лиц… Также злоумышленники могут использовать включение звуковой записи для "черного пиара". Кстати, подобные схемы часто используются во время проведения предвыборных кампаний и выборов, когда на пул номеров избирателей генерируются вызовы с записью избирательной кампании конкурента на выборах, и все это происходит в ночное время.

В качестве защиты, конечно, можно рекомендовать традиционное использование антивирусов и пр., но, к счастью, операторы связи и интернет-провайдеры в том числе и на своей стороне стараются выявлять ботнеты.

Итог

К сожалению, как бы сами абоненты, операторы связи и правоохранительные органы ни старались защититься от нападок злоумышленников, единственным способом полностью обезопасить себя является полный отказ от мобильной связи и Интернета. С одной стороны, антивирусные программы никогда не будут гарантировать стопроцентного выявления всех вирусов, а абоненты, как показывает опыт, всегда будут устанавливать сомнительные программы и даже давать им права администратора. С другой – хотя операторы связи внедряют и активно используют системы по защите самих себя и своих абонентов, все же все новые и новые схемы мошенничества появляются ежемесячно, да и "дыры" в алгоритмах защиты, благодаря которым мошенники все равно добиваются своего, тоже никто не отменял. При этом правоохранительные органы не всегда готовы противостоять всем злоумышленникам: зачастую имеющейся законодательной базы недостаточно для определения и трактования тех или иных действий злоумышленников как мошеннических и подлежащих уголовному преследованию.

___________________________________________
1 IMEI (International Mobile Equipment Identity – международный идентификатор мобильного оборудования) – число, уникальное для каждого использующего его аппарата. Применяется в сотовых телефонах сетей GSM, WCDMA и IDEN, а также в некоторых спутниковых телефонах.
2 IMSI (International Mobile Subscriber Identity) – международный идентификатор мобильного абонента (индивидуальный номер абонента), ассоциированный с каждым пользователем мобильной связи стандарта GSM, UMTS или CDMA. При регистрации в сети аппарат абонента передает IMSI, по которому происходит его идентификация.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2015
Посещений: 12074

Приобрести этот номер или подписаться
  Автор

Василий Сергацков

Василий Сергацков

Архитектор FM&RA-решений Центра информационной безопасности компании “Инфосистемы Джет"

Всего статей:  1

В рубрику "Спецпроект: mobile security" | К списку рубрик  |  К списку авторов  |  К списку публикаций