Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Jestem mobilny ... nie jestem bezpieczny

Tagi:

Maciej Ziarek, analityk zagrożeń, Kaspersky Lab Polska

klp_mziarek_jestem_mobilny_art.jpg Na rynku telefonów komórkowych pojawia się coraz więcej kuszących promocji mających przyciągnąć nowych klientów. Smartfon za złotówkę, tablet przy podpisaniu umowy na dwa lata czy też możliwość wymiany telefonu na nowy po roku – wszystko to przyciąga klientów. Nowoczesne urządzenia mobilne są zaawansowane technicznie i pozwalają dokonać w zasadzie tych samych rzeczy, które robimy na zwykłym komputerze. Sprawdzanie poczty, wysyłanie i pobieranie plików, oglądanie filmów, korzystanie z serwisów społecznościowych - wszystko dosłownie w zasięgu ręki. Pozostaje jednak pytanie, jak na tle funkcjonalności ma się bezpieczeństwo? Posiadacze mobilnych urządzeń często nie zdają sobie sprawy z pułapek, jakie przygotowali na nich cyberprzestępcy...

Mobilne szkodliwe oprogramowanie to nie mit!

Trojany, wirusy oraz programy szpiegujące były do niedawna kojarzone z komputerami, na pokładzie których znajdowały się tradycyjne systemy operacyjne. Wraz ze spopularyzowaniem smartfonów i tabletów, autorzy złośliwych aplikacji obrali sobie za cel także platformy mobilne. Rynek ten okazuje się być dla przestępców źródłem dużych dochodów. Odpowiednio przygotowane aplikacje mogą wykradać dane, łączyć się z numerami o podwyższonej opłacie czy wysyłać SMS-y na numery premium. Takie zagrożenia mogą budzić obawy posiadaczy smartfonów, a jest to niestety dopiero początek listy z funkcjami zagrożeń mobilnych.

mziarek_jestem_mobilny_01.png
Popularność mobilnych systemów operacyjnych (październik-listopad 2011)
Dane: StatCounter - GlobalStats

mziarek_jestem_mobilny_02.png
Ilość mobilnego szkodliwego oprogramowania pisanego na konkretne platformy (I połowa 2011 r.)
Dane: Kaspersky Lab

Samo istnienie złośliwego oprogramowania na telefony jest niezaprzeczalnym faktem, należy jednak pamiętać, że nie wszystkie systemy operacyjne są zagrożone w jednakowym stopniu i niekoniecznie ma ta związek z popularnością danego OS-a. Powyższy wykres przedstawia ilość mobilnych szkodników jaka jest tworzona dla poszczególnych platform.

Najbardziej rzucającą się w oczy wartością jest udział szkodliwego oprogramowania pisanego dla systemu iOS (iPhone, iPad, iPod Touch) w ogólnym rozrachunku. System ten cieszy się osnącą popularnością na całym świecie, czego dowodem jest pierwszy wykres. Powstaje pytanie, dlaczego twórcy szkodliwych programów nie skupiają większej uwagi na mobilnym systemie Apple? Wynika to z polityki jaką firma ta prowadzi względem swoich produktów. W iOS można zainstalować aplikacje, które pochodzą z oficjalnego sklepu, nad którym pieczę sprawuje sam producent. Dodać należy, że od napisania programu do umieszczenia go w sklepie jest długa droga, podczas której następuje także weryfikacja aplikacji. Z tego względu dodanie złośliwego kodu jest bardzo mało prawdopodobne. Skąd zatem 0,14 proc. na wykresie? Są to najprawdopodobniej telefony po tzw. „jailbreaku”. Mówiąc ogólnikowo, czynność ta polega na zdjęciu restrykcji i ograniczeń z iPhone’a, dzięki czemu możliwe staje się instalowanie aplikacji spoza oficjalnego źródła dystrybucji. Daje to większą swobodę, ale tym samym zwiększa ryzyko instalacji szkodnika. Jednym z nich okazał się być Net-Worm.IphoneOS.Ike. Robak ten wykrada z iPhone’a i iPoda Touch dane użytkownika, a także pozwala cyberprzestępcy na zdalne przejęcie kontroli nad zainfekowanym urządzeniem. Dodatkowo, osoby korzystające z usług holenderskiego banku ING Direct były przekierowywane na stronę phishingową podczas próby łączenia ze stroną banku z zainfekowanego smartfona. Specjalnie spreparowana strona posłużyła cyberprzestępcom do wykradania haseł i loginów do konta.

Telefon - atrybut bezpiecznej bankowości

Telefony komórkowe służą także jako narzędzie mające chronić nasze środki zgromadzone na koncie bankowym. Spora część osób korzystających z bankowości elektronicznej jako dodatkową formę autoryzacji, konieczną do wykonania np. przelewów, wybiera kody jednorazowe dystrybuowane poprzez wiadomości SMS. Do niedawna metoda ta uchodziła za bardzo bezpieczną i z pewnością lepszą niż kody umieszczone na kartach zdrapkach. Niestety pojawienie się trojana Zbot, znanego także jako ZeuS okazało się zwiastunem nowej ery. Szkodnik ten jest w pewnym sensie "przełomowy", niestety nie w pozytywnym tego słowa znaczeniu. Zeus atakował klientów banków w różnych częściach świata, także w Polsce. Jego działanie było kilkuetapowe. W pierwszej kolejności infekowany był system operacyjny ofiary. Kiedy użytkownik łączył się ze stroną internetową banku, szkodliwe oprogramowanie wyświetlało fałszywą witrynę instytucji finansowej. Wszystkie wpisane tam dane były rejestrowane przez trojana. Na poniższym obrazku widać etap logowania na sfałszowanej stronie banku.

mziarek_jestem_mobilny_03.gif
Fałszywa strona logowania wygenerowana przez konia trojańskiego ZeuS (1)
Źródło: ING Bank Śląski

Warto zwrócić uwagę na dwa szczegóły. Po pierwsze wygląd strony banku nie uległ zmianie, dzięki czemu uśpiona została czujność klientów. Po drugie, konieczność podania całego hasła, a nie pięciu wybranych przez system znaków (co sugeruje podpowiedź zamieszczona przez bank małą, szarą czcionką) wskazuje na ingerencję trojana w stronę banku wyświetlaną w przeglądarce. W ten sposób autorzy szkodnika omijają zabezpieczenie nazywane hasłem maskowanym, gdzie do autoryzacji podaje się jedynie kilka znaków z całego hasła głównego. Znajomość loginu i hasła nie wystarczy jednak do przelania środków zgromadzonych na koncie. Większość polskich banków jako drugi stopień zabezpieczeń stosuje wspomniane wcześniej hasła jednorazowe wysyłane do klienta przy pomocy SMS-ów (tzw. kody mTAN, Transaction Authentication Number). Kolejne obrazki pokazują, jak przestępcy rozwiązali ten problem.

mziarek_jestem_mobilny_04.gif
Fałszywa strona logowania wygenerowana przez trojana ZeuS (2)
Źródło: ING Bank Śląski

mziarek_jestem_mobilny_05.gif
Fałszywa strona logowania wygenerowana przez trojana ZeuS (3)
Źródło: ING Bank Śląski

Autorzy trojana postanowili skorzystać z socjotechniki. Powołując się na względy bezpieczeństwa i gwarantując, że poprzez instalację odpowiedniego certyfikatu na smartfonie nikt poza właścicielem rachunku nie będzie mógł zalogować się do konta, zachęcali do pobrania aplikacji na swój telefon. Aby dopasować program do konkretnego platformy z jaką współpracował smartfon, użytkownik musiał podać markę i model urządzenia, a także wpisać swój numer telefonu. W krótkim czasie na wskazany numer był wysłany SMS z linkiem prowadzącym do strony, z której można było pobrać aplikację. Na chwilę obecną istnieją wersje dla systemów Symbian, Windows Mobile, Android oraz BlackBerry. Od momentu zainstalowania rzekomego "certyfikatu", wszystkie przychodzące wiadomości tekstowe, wliczając w to kody jednorazowe autoryzujące przelewy, będą przekazywane na numer przestępcy.

Telefony komórkowe miały stać się narzędziem, dzięki któremu klienci banków poczują, że ich rachunki są bezpieczne. Kody wysyłane są tylko w przypadku konieczności autoryzowania transakcji lub modyfikacji ustawień konta. Dodatkowo telefon najczęściej nosimy przy sobie czego nie można powiedzieć np. o zdrapkach z kodami. Wydawało się, że znaleziono rozwiązanie idealne, a bezpieczeństwo zostało połączone z wygodą. Niestety stanie w miejscu oznacza cofanie się i przestępcy dobrze o tym wiedzą. Wraz ze wzrostem popularności smartfonów, a co za tym idzie mobilnych systemów operacyjnych, dostrzegli szansę na ominięcie zabezpieczeń poprzez wykorzystanie ludzkiej naiwności i łatwowierności.

mziarek_jestem_mobilny_06.png
Schemat ataku trojana ZeuS na klientów polskich banków

Telefon niczym skarbonka

Pierwsze aparaty cyfrowe w telefonach komórkowych robiły zdjęcia tak niskiej jakości, że służyły bardziej za gadżet, którym można się pochwalić znajomym. Matryca 0,3 Mpx nie pozwalała na fotograficzne szaleństwa. Obecnie montowane matryce 5 czy 8 Mpx wraz z lepszą optyką pozwalają wykonać zdjęcia w bardzo dobrej jakości. Jeżeli połączymy to z faktem, że telefon komórkowy mamy praktycznie przez cały czas przy sobie, otrzymujemy urządzenie, którym uwiecznimy większość niezwykłych chwil, jakie mogą nas spotkać na co dzień. W ten sposób wypełniamy pamięć telefonu zdjęciami, które mogą dużo o nas powiedzieć i niekiedy wolelibyśmy się nimi nie chwalić. Na co dzień mało kto rozpatruje scenariusz kradzieży telefonu czy infekcji szkodliwym oprogramowaniem. Gdy jeden z powyższych schematów zostanie zrealizowany, jest już najczęściej za późno na działanie, a nam pozostaje zastanawianie się, w posiadanie jakich informacji mógł wejść "nowy właściciel" telefonu i co z nimi zrobi.

O tym, że przechowywanie prywatnych danych w smartfonie nie popłaca, przekonało się niedawno kilka amerykańskich celebrytek , między innymi Scarlett Johansson. We wrześniu nagie zdjęcia gwiazdy, wykonane telefonem komórkowym, zostały opublikowane przez hackera w Internecie. Johansson nie była w stanie powiedzieć w jaki sposób komuś udało się dotrzeć do jej smartfonu, a o całym zdarzeniu poinformowała FBI, które zatrzymało sprawcę.

mziarek_jestem_mobilny_07.png
Dane, do których dostęp mogą uzyskać osoby trzecie

Nawet jeżeli ktoś nie robi i nie trzyma kompromitujących zdjęć w smartfonie, przestępcy mogą zainteresować się innymi danymi. Wiele osób używa telefonu do odbierania korespondencji firmowej. Często zawiera ona newralgiczne dla firmy dane, kontakty do klientów, strategie marketingowe czy metody wdrażania nowych produktów. Utrata takich informacji może nieść ze sobą daleko idące konsekwencje. Kolejnym zagrożeniem jest możliwość przejęcia haseł i loginów do różnych serwisów i usług (np. portali społecznościowych), które dostarczą jeszcze więcej informacji na temat właściciela.

Usługi dostępne dla urządzeń mobilnych mają ułatwić życie, należy jednak zdać sobie sprawę, że skumulowanie wielu informacji w jednym miejscu sprawia, że utrata telefonu może być bardzo dotkliwa. Zamiast rezygnować z używania smartfonu do wyżej wymienionych celów, lepiej odpowiednio go zabezpieczyć. Mobilne programy antywirusowe chronią przed złośliwym kodem, jednak w przypadku kradzieży telefonu to zabezpieczenie jest niewystarczające. Najlepszym wyjściem jest trzymanie ważnych informacji czy zdjęć w zaszyfrowanych folderach. Dzięki temu nawet jeżeli osoby trzecie wejdą w posiadanie naszego urządzenia, nie będą w stanie odczytach informacji na nim zapisanych. Niektóre programy pozwalają także na zdalne czyszczenie całej pamięci utraconego smartfonu. Wystarczy z innego telefonu komórkowego wysłać odpowiedni kod w postaci SMS-a, by błyskawicznie skasować wszystkie wiadomości, kontakty, historie połączeń, zdjęcia i wiele innych informacji.

Znalezione, nie kradzione!

W dobie miniaturyzacji każdego cyfrowego nośnika bardzo łatwo jest zgubić drogi sprzęt. Konsekwencje zgubienia telefonu są w zasadzie identyczne, jak w przypadku jego kradzieży - osoby niepowołane mogą uzyskać dostęp do naszych danych. Zgubienie telefonu daje użytkownikowi jednak nadzieję, że uda mu się go odzyskać, zanim ktoś inny "zaopiekuje" się znaleziskiem. Serwis OneMobileMedia.com opublikował dość ciekawe statystyki dotyczące dziesięciu miejsc, gdzie najczęściej gubimy smartfony oraz szans, jakie mamy na ich odzyskanie.

mziarek_jestem_mobilny_08.png

Jakby nie patrzeć są to miejsca, w których przebywamy na co dzień. W zależności od tego gdzie zostawiliśmy urządzenie, szanse na jego odnalezienie mogą być bardzo małe lub zerowe. Utrata drogiego smartfonu może być bardzo kosztowną lekcją. Z tego względu producenci oprogramowania zabezpieczającego coraz częściej decydują się na implementację usługi pozwalającej zlokalizować zgubiony telefon przy pomocy wbudowanego nadajnika GPS. W ten sposób użytkownik ma znacznie większe szanse na sukces podczas poszukiwań.

Podsumowanie

Rynek urządzeń mobilnych stale rośnie i nic nie wskazuje na to, żeby w najbliższym czasie miało nastąpić zahamowanie popytu na smartfony. W związku z tym należy się spodziewać eskalacji zagrożeń na mobilne systemy operacyjne, głównie w postaci szkodliwego oprogramowania. Już teraz liczba sygnatur mobilnych wirusów i trojanów przekracza 3 000, a dodać należy, że z miesiąca na miesiąc jest ona coraz większa. Cyberprzestępcy szukają nowych metod infekowania urządzeń, czego dowodem jest wspomniany w artykule ZeuS. Trudno przewidzieć, jakie będą możliwości zagrożeń mobilnych za kilka miesięcy, ale jedno jest pewne - dla przestępców nie istnieją żadne świętości, a smartfony to bardzo dochodowy interes, do którego będą chcieli mieć dostęp.

Źródło:
Kaspersky Lab