Security Week 38: слежка за мобильными устройствами через SIM-карту
Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять лет широко обсуждаются уязвимости в протоколе SS7, используемом для взаимодействия между операторами связи и построенном на принципе доверия участников друг к другу. Уязвимости в SS7 позволяют, например, отслеживать местоположение абонента или перехватывать SMS с одноразовыми кодами авторизации.
Но SS7 требует специализированного оборудования или компрометации оператора связи. Специалисты компании AdaptiveMobile Security обнаружили (новость, подробное описание) активную атаку на мобильные телефоны и IoT-устройства, для которой требуется только GSM-модем. Атака эксплуатирует уязвимость в SIM Toolkit — наборе расширений функциональности обычной SIM-карты. С помощью одного из компонентов SIM Toolkit, известной как S@T Browser, можно получать координаты абонента и IMEI устройства, зная только его телефонный номер.
По версии AdaptiveMobile Security, атака работает следующим образом: на телефон жертвы отправляется подготовленное SMS, которое задействует функциональность S@T Browser. В нормальном режиме эта программа реализует систему меню для общения с оператором — для запроса баланса и тому подобного. Атакующие используют возможности этой программы для запроса IMEI и координат устройства по ближайшим базовым станциям. Данные в виде SMS отправляются злоумышленникам, причем владелец телефона не видит ни входящих, ни исходящих сообщений.
S@T Browser можно считать устаревшей технологией из времен, когда мобильные телефоны еще не являлись смартфонами. Функциональность такого софта перекочевала в нативные приложения для Android и iOS, а спецификации ПО не обновлялись с 2009 года. Тем не менее, для обратной совместимости этот элемент по-прежнему встраивается в SIM-карты. Решение за оператором, но по грубым прикидкам авторов исследования, этот специализированный софт используется операторами в 30 странах с совокупным числом абонентов более миллиарда.
В AdaptiveMobile делают громкое заявление о первом случае вредоносного ПО, распространяемого через СМС. Не факт, что эксплуатацию возможностей кода на SIM-карте стоит называть именно так, но важны не термины, а тот факт, что геолокацией все не ограничивается. Такой метод атаки дает злоумышленникам доступ и к другим командам, которые инициируются программным кодом на SIM-карте и могут дальше передаваться в основную операционную систему телефона. Например, есть возможность проиграть мелодию, инициировать звонок, отправить произвольное SMS на произвольный номер, выполнить USSD-запрос и так далее. Не все функции можно задействовать без ведома пользователя. Так, исходящий звонок на некоторых телефонах потребует подтверждения.
Еще один важный момент заключается в том, что это активно эксплуатируемая уязвимость. Предположение исследователей заключается в том, что организатором атаки является частная организация, работающая на правительственные структуры. Оценивается и количество жертв: например, в одной из стран были зафиксированы атаки на 100–150 телефонных номеров, причем на некоторые из них поступают десятки запросов в неделю. Наряду с запросами через SMS, те же самые атакующие используют известные уязвимости в протоколе SS7.
Методы защиты от атаки подобного типа предполагают определенные действия оператора связи. Можно блокировать сами сообщения или деинсталлировать ПО с SIM-карты. Для абонента особых средств защиты пока не предлагается: особенность атаки в том, что она работает и на смартфонах, и на старых мобильниках, и на IoT-устройствах с GSM-модулем. Кроме того, исследователи намекают, что S@T Browser может быть не единственным слабым звеном в коде SIM-карт.
Чуть менее сложная атака была описана на прошлой неделе специалистами компании Check Point (новость, исследование). Проблемы с настройкой мобильного интернета на смартфоне или обычном телефоне уже давно в прошлом, но функциональность рассылки «настроек доступа к сети и для отправки MMS» сохранилась. Как выяснили исследователи, SMS с настройками могут отправлять не только операторы, но и вообще кто угодно. Технология работает не во всех случаях и требует подтверждения пользователя, но когда работает, для атаки также достаточно дешевого USB-модема. В результате злоумышленник может подменить адрес прокси-сервера оператора своим (а также настройки домашней страницы и даже сервер для синхронизации контактов) и перехватывать мобильный трафик жертвы.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Источник - habr.com/users/Kaspersky_Lab/
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Исследователи обнаружили шпионскую кампанию, эксплуатирующую прошивку SIM-карт. Злоумышленники используют скрытые системные приложения, чтобы отслеживать перемещения своих целей во множестве стран по всему миру.
Вредоносная технология получила название Simjacker; аналитики полагают, что за ней стоит профессиональная кибергруппировка, которая начала кампанию как минимум два года назад. Этот метод гораздо сложнее известных ранее способов слежки за сотовыми абонентами, но при этом требует практически нулевых инвестиций в инфраструктуру — все операции идут через простой GSM-модем стоимостью $10.
Что такое Simjacker Метод использует возможности служебной программы S@T Browser, которая поддерживает рабочие сервисы SIM-карт (например, запрос баланса или трансляцию сообщений от сотового провайдера). Это приложение считается устаревшим — в последний раз его обновляли в 2009 году. Тем не менее, оно все еще установлено на значительной части устройств.
Чтобы наладить слежку за абонентом, преступники отправляют на его аппарат специальное SMS-сообщение, адресованное напрямую S@T Browser. В нем закодированы команды, которые позволяют скрытно выполнять различные операции с пользовательским устройством. Обмен данными происходит без ведома владельца — полученные и отправленные сообщения не появляются в меню телефона.
В ходе выявленных атак злоумышленников интересовало географическое расположение и IMEI-номера целевых устройств. Исследователи определили, что таким образом можно заставить телефон совершить звонок, отправить SMS или открыть канал для передачи данных. В результате Simjacker предоставляет набор вредоносных возможностей, включая подписку на платные услуги, отправку SMS и MMS от лица жертвы, загрузку вредоносного ПО через браузер телефона.
Масштаб угрозы По словам экспертов, уязвимую технологию применяют сотовые операторы в 30 странах, которые суммарно обслуживают миллиард абонентов. Обнаруженные атаки были направлены на владельцев телефонов Apple, Motorola, Samsung, Google и других крупных производителей. Simjacker можно также использовать для атак на IoT-устройства с SIM-картами.
Исследователи не раскрывают свои предположения относительно организаторов кампании, уточняя только, что это частная организация, которая работает с правительственными структурами. Помимо Simjacker, злоумышленники используют уже известные эксплойты на базе протоколов SS7 и Diameter.
Авторы атак ежедневно следят за сотнями пользователей. Некоторые жертвы вызывают у них особый интерес — преступники отправляли на их устройства по несколько сотен запросов в неделю. В других случаях эта цифра не превышала нескольких обращений в месяц. Такой характер слежки позволяет предположить, что атаки таргетированы, а организаторы подбирают метод в соответствии с конкретной целью.
Как защититься от Simjacker Провайдеры могут защитить своих абонентов, блокируя сообщения с командами для S@T Browser. Кроме того, они могут удаленно перепрограммировать SIM-карты или вовсе удалить с них уязвимое приложение. В то же время эксперты называют эти меры временными, а реальную безопасность обеспечит только новый подход к защите.
«Мобильные операторы должны понять, что существующих рекомендаций недостаточно для защиты пользователей, поскольку злоумышленники постоянно пытаются обойти эти препятствия, — поясняют эксперты. — Провайдеры должны постоянно следить за подозрительной активностью [в своих сетях], чтобы находить скрытые угрозы. Преступники уже не просто атакуют незащищенные сети — их кампании построены на целом комплексе протоколов, программных сред и технологий. Чтобы блокировать эти действия, операторам также нужно расширить свои способности и увеличить инвестиции [в информационную безопасность]».
Ранее специалисты обнаружили возможность скрытно менять сетевые настройки Android-устройств нескольких мировых производителей. Метод позволяет злоумышленникам подменить сервер для передачи информации на собственный и получить таким образом доступ к электронной почте, контактам и сообщениям жертвы.
Эксперты также предупреждали, что сотовые провайдеры зарабатывают на геолокационных данных абонентов, продавая их сторонним компаниям. В ходе эксперимента журналисты смогли определить местоположение целевого устройства с точностью до 500 метров, заплатив около $300.
Источник - threatpost.ru
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Зачем хакеры крадут ваши данные и что происходит с ними после
Повсеместное проникновение интернета порождает все новые страхи. Появляются понятия хакерофобии и цифровой паранойи, а психиатры посвящают книги тому, как пребывание в Сети влияет на наше поведение и здоровье. В России 65 % интернет-пользователей переживают из-за возможного взлома их аккаунтов в соцсетях, почтовых клиентах и других онлайн-сервисах. И не зря: с попытками хакеров похитить персональные данные сталкивался каждый четвертый.
Кибермошенникам можно противостоять. Для этого нужно понять, зачем им красть ваши данные, что конкретно происходит после того, как они попадают к хакерам, и как действовать, чтобы всего этого не произошло. Разбираемся вместе с «Лабораторией Касперского».
Зачем хакерам ваши данные
Большинство людей убеждены: обычные пользователи мошенникам не интересны. Возможно, вы им и правда не нужны, зато ваши личные данные — да. И вот зачем.
Чтобы украсть ваши деньги Для этого хакерам потребуется доступ к платежной информации. Внимательно следите за тем, на каких сайтах оставляете данные банковской карты, тем более с CVV-кодом, не храните фотографии карты с обеих сторон на телефоне и не передавайте данные для входа в онлайн-банк сотрудникам финансовой организации по телефону (об этом просят только мошенники). Это же относится к одноразовым паролям для подтверждения операций.
Чтобы шантажировать вас Если найдется чем. Это могут быть пикантные видео, переписка или скрины закладок в браузере, которые вы не хотели бы сделать достоянием общественности. Последствия зависят от въедливости взломщика и вашего отношения к мнению окружающих. Сегодня злоумышленникам даже не нужно обладать особыми техническими навыками, чтобы создать компрометирующее вас фото или видео — «спасибо» технологиям вроде Deepfake.
Чтобы выманить деньги у вас или ваших знакомых Например, рассылая от вашего имени сообщения вроде «Привет! Можешь занять тысячу? Очень надо». Та же схема работает и в обратном направлении. Поэтому насторожитесь, если в социальной сети или мессенджере к вам с просьбой дать в долг обратится человек, с которым вы давно не общались. Если вам пришло такое сообщение, свяжитесь с человеком по другому каналу или задайте вопрос, на который сможет ответить только он.
Подделать сегодня можно и голос. Этим уже воспользовались злоумышленники, которым при помощи телефонного звонка удалось выманить 220 тысяч евро у одной немецкой компании. Ответивший хакерам сотрудник думал, что он действительно говорит с начальником.
Чтобы воспользоваться вашими привилегиями Помимо электронной почты и аккаунтов в соцсетях, есть и профили в платных онлайн-сервисах. Например, в онлайн-кинотеатрах и на порносайтах. То, что кто-то параллельно с вами смотрит сериалы через ваш же аккаунт, вы можете и не заметить. А вот отказ охраны пропустить вас на прощальный концерт любимой группы точно запомнится. Крадут не только пароли — злоумышленники могут использовать фото билетов (главное, чтобы было видно штрихкод), которыми вы похвастались в инстаграме, и пройти на мероприятие вместо вас.
Чтобы украсть вашу личность Порой хакеры взламывают чужие аккаунты, чтобы затем использовать их в своих личных целях. Например, раскрученный профиль в инстаграме могут переделать в онлайн-магазин, а персональную страницу во «ВКонтакте» — в представительство паблика, которому нужно нагнать подписчиков. В вашем профиле появляются посторонние ссылки, ленту новостей наводняют репосты, но подписчики по-прежнему думают, что все это — ваши рекомендации. Также, воспользовавшись данными жертвы, злоумышленники могут создать поддельную страничку, чтобы регистрироваться на сомнительных ресурсах.
Чтобы продать данные на черном рынке Даркнет и сейчас полон предложений о покупке чужих аккаунтов, но с каждым годом их становится все больше.
По данным «Лаборатории Касперского», в 2018 году в продаже насчитывалось более 10 тысяч уникальных объявлений с предложением купить данные для доступа к премиум-аккаунтам на порносайтах. За пять — десять долларов за штуку при реальной цене подписки примерно 150 долларов. В начале 2019 года стало известно о торговой площадке Genesis, через которую продавали 60 тысяч украденных цифровых личностей — с «отпечатками пальцев» браузера, именами и паролями пользователей, файлами cookies и реквизитами банковских карт.
Популярностью пользуются и геймерские аккаунты. В некоторых сервисах к профилю привязываются все оплаченные игры — с прогрессом персонажей, их деньгами и экипировкой. В даркнет попадают и аккаунты пользователей каршеринговых компаний. Например, в 2018 году можно было купить доступ к одному из таких сервисов, чем и воспользовался петербургский школьник.
Какими уловками пользуются кибермошенники
Это лишь несколько примеров того, зачем хакерам могут понадобиться ваши данные и что с ними происходит после того, как они оказались у злоумышленников. Теперь пора разобраться, как именно действуют киберпреступники.
Самым слабым звеном с точки зрения информационной безопасности до сих пор остается сам человек. Поэтому хакеры прибегают к социальной инженерии и используют знания о психологии людей. В их распоряжении — внушительный набор личных данных, которые находятся в общем доступе.
Часто злоумышленникам даже не приходится ничего взламывать: пользователи сами выдают им все пароли и явки. Особенно часто жертвы теряют контроль над ситуацией, если с ними связываются подставные представители службы безопасности банка. Ссылаясь на необходимость заблокировать сомнительные операции, они выманивают коды двухфакторной авторизации для входа в личный кабинет онлайн-банка или данные карты. По данным опроса, треть россиян уже теряла деньги из-за телефонных мошенников, 9 % лишились крупных сумм.
Особенно часто жертвы теряют контроль над ситуацией, если с ними связываются подставные представители службы безопасности банка
Также популярны сообщения о розыгрышах, которые якобы проводят крупные компании и знаменитости. Помните рекламу викторины крупного банка с гарантированным вознаграждением на сумму до 150 тысяч рублей или сообщения в WhatsApp о бесплатных авиабилетах? Чтобы снизить бдительность жертв, мошенники специально используют на своих сайтах логотипы и фирменные цвета известных брендов. Таким образом киберпреступники выманивают не только личные данные, но и деньги.
Как защититься от кибермошенников
Заведите отдельный (мусорный) электронный ящик для неважных задач и указывайте его для участия в маркетинговых акциях, при регистрации на различных сайтах и так далее. Не используйте личную почту для рабочей переписки.
Делайте для всех аккаунтов разные пароли. Проследите, чтобы все они были достаточно сложными — 8–12 букв в разном регистре, с цифрами и специальными символами. И никаких упоминаний ваших личных данных — например, имени или даты рождения. Не храните пароли на бумажках или в текстовых файлах, для этого есть специальные сервисы (идеально, когда они периодически напоминают, что пароль пора сменить).
Включите двухфакторную авторизацию во всех сервисах, где это возможно. Так для входа в аккаунт злоумышленникам потребуется не только ваш пароль, но и проверочный код, который обычно высылают в СМС или генерируют в отдельном приложении.
Не храните конфиденциальные файлы (например, скан паспорта) в незащищенном виде на компьютере или в общедоступных файлах. Для этого лучше воспользоваться специальными решениями.
Не подключайтесь к сомнительным Wi-Fi-сетям. Важные данные, например логины и пароли, вводите, используя мобильный интернет. Или установите VPN.
Регулярно обновляйте защитное решение, другие программы и саму операционную систему. Это касается как компьютеров, так и мобильных гаджетов.
Ставьте под сомнение все сообщения от незнакомцев. Особенно если они предлагают что-то купить или заполнить неизвестную форму. Это же касается и телефонных звонков — пробивайте в поисковике неизвестные номера или воспользуйтесь программами, которые распознают спамерские звонки.
Перепроверяйте, правильно ли указан адрес сайта, когда необходимо ввести логин и пароль от аккаунта или заполнить данные банковской карты для оплаты.
Не переходите по сомнительным ссылкам в электронной почте, социальных сетях и мессенджерах, даже если их прислали знакомые. Либо установите надежное решение с защитой от фишинговых сайтов.
Устанавливайте программы и приложения только из официальных магазинов и проверяйте, доступ к каким функциям вы им предоставили. Особенно это касается пользователей Android.
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Информацию об утечках можно найти на сайте Have I Been Pwned. Здесь есть данные о более чем 8 миллиардах скомпрометированных аккаунтов. В списке значится свыше 400 сайтов, которым не удалось уберечь данные пользователей.
Постоянно проверять все свои аккаунты проблематично. К тому же есть риск не распознать утечку вовремя. Благодаря постоянному мониторингу информации из открытых источников Kaspersky Security Cloud само сообщит пользователю, если данные его учетной записи попали в Сеть, и объяснит, как действовать дальше.
Поменяйте пароль от вашего почтового ящика и во всех аккаунтах в других сервисах, для доступа к которым вы использовали этот имейл и такой же пароль.
Включите двухфакторную аутентификацию.
Проверьте настройки конфиденциальности и при наличии такой возможности завершите сессии на всех устройствах.
Сообщите о факте утечки в службы поддержки.
Предупредите об утечке знакомых, чтобы они могли оповестить вас о странной онлайн-активности.
Если злоумышленники воспользовались вашими данными или нанесли вам материальный ущерб, сообщите об этом в правоохранительные органы — лично или через интернет-приемную.
В заявлении о киберпреступлении можно ссылаться на следующие статьи: Если кибермошенники украли сумму свыше 2 500 рублей, то это уже уголовно наказуемое деяние. Обычно такие дела рассматриваются по статье 159 УК РФ («Мошенничество»), но если хакеры заполучили ваши деньги, взломав электронную почту или аккаунты в соцсетях, это уже мошеннические действия в сфере компьютерной информации — статья 159.6 УК РФ.
Если украденная сумма не превышает 2 500 рублей, мошенник подлежит административной ответственности по статье 7.27 КоАП РФ («Мелкое хищение»).
Если злоумышленник требовал деньги, угрожая распространением конфиденциальных сведений, это уже не мошенничество, а вымогательство — статья 163 УК РФ.
Кибермошенникам также могут назначить наказание за преступления в сфере компьютерной информации. Согласно статьям 272–274 УК РФ, к ним относится неправомерный доступ к информации, создание и распространение вирусов, а также нарушение правил эксплуатации ЭВМ и информационных сетей. Источник - the-village.ru
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Приветствую тебя гость! Что-бы иметь более широкий доступ на сайте и скачивать файлы, советуем вам зарегистрироваться, или войти на сайт как пользователь это займет менее двух минут.Авторизация на сайте
Шпионаж через SIM-карту - Форум о Зоне Отчуждения и о модах игры Stalker
