Firmy zagrożone atakiem przez smartfony? Poznaj 4 metody cyberprzestępstw

Telefon służbowy: najczęściej smartfon, podłączony do Internetu 24 godziny na dobę, 7 dni w tygodniu, z dostępem do firmowej poczty, danych osobowych klientów, poufnych informacji. Rzadko chroniony tak, jak firmowe komputery, wydany do swobodnego użytku pracownika, z dużym zaufaniem do jego ogólnej wiedzy na temat cyberprzestępstw.

Telefon prywatny: także najczęściej smartfon, prawie zawsze online, nagabywany przez kuszące aplikacje, żądające zgód wszelakich, także wysoce ryzykownych i – jak pokazują badania – często wykorzystywany przez pracowników w celach służbowych (obsługa poczty, sprawdzanie kalendarza, harmonogramów prac), ale pozostający przy tym całkowicie poza kontrolą firmy.

Cyberprzestępcy mogą zainteresować się telefonem Twojego pracownika, gdyż jest on najprostszym do rozwiązania kodem dostępu do zasobów Twojej firmy. Robią to coraz śmielej (raport firmy Symantec mówi o 12% wzroście cyberataków na duże organizacje i przedsiębiorstwa), wykorzystując najczęściej ludzką nieświadomość i błędy. Skutki? Wyciek poufnych informacji, utrata danych, ogromne koszty i kary (choćby wynikające z naruszenia regulacji RODO), a w konsekwencji nawet likwidacja firmy.

Nawet jeśli Twoi pracownicy pobierają na służbowe smartfony aplikacje z oficjalnego sklepu Google Play, nie gwarantuje to całkowitego bezpieczeństwa. Google broni się dzielnie, wciąż jednak trafiają tam produkty, których głównym celem jest upolowanie danych z urządzenia mobilnego. W najlepszym razie zasypują nas spamem, w najgorszym – mogą przejąć konta użytkownika na portalach społecznościowych, uzyskać dostęp do konta bankowego, czy też ujawnić tajemnice przedsiębiorstwa lub wykraść bazę kontaktów.
Kilka takich złośliwych aplikacji wykryła ostatnio firma Symantec. Okazuje się, że leżały na półkach sklepu Google już od roku i w tym czasie sięgnęło po nie ponad 1,5 mln użytkowników. Aplikacje (OCR Text Scanner, GTD, Color Notes i Beauty Fitness) wyłudzały kliknięcia w fałszywe reklamy, spowalniały transfer danych i działanie telefonów.

Drugą kategorią szkodliwych aplikacji są takie, które wprost podszywają się pod inne, przeważnie bankowe. Ich nazwa i logo łudząco przypominają oryginał, a atak polega na masowej wysyłce SMS-ów z aktywnym linkiem. Ponieważ aplikacja taka wymaga wpisania loginu i hasła do konta, przestępca wkrótce może swobodnie poruszać się po panelu usług. Mając kontrolę nad telefonem, dysponuje także przychodzącymi SMS-ami z jednorazowym hasłem, co pozwala mu zmieniać limity transakcji na koncie czy wykonywać przelewy na wskazany przez siebie rachunek.
Dokładnie tak działała aplikacja, którą w zeszłym roku hakerzy zaatakowali klientów mBanku. Otrzymali oni SMS-y z linkiem do aktualizacji bankowego oprogramowania. Wszyscy, którzy postąpili według instrukcji i podali swój identyfikator oraz hasło, stracili kontrolę nad swoim kontem.

Planujesz zakupić dla swoich pracowników smartfony mniej znanej, egzotycznej marki? Widziałeś w serwisach ogłoszeniowych oferty sprzedaży Doogee BL7000, M-Horse Pure 1, Keecoo P11 lub VKworld Mix Plus? Zapalamy dla Ciebie czerwoną lampkę. Niektórzy dostawcy sprzętu, prócz standardowego systemu operacyjnego i mniej lub bardziej użytecznych gadżetów, wyposażają telefony w oprogramowanie szpiegujące lub wirtualne „tylne drzwi”, za pomocą których otrzymują zdalny dostęp do urządzenia i zawartych w nim informacji, bez wiedzy użytkownika.

Fałszywe stacje bazowe, tak zwane „IMSI Catchery”, lub mówiąc potocznie „jaskółki”, używane są najczęściej przez uprawnione do tego służby. Okazuje się jednak, że urządzenie takie można kupić na czarnym rynku – lub – wersja dla hakerów-złotych-rączek – skonstruować samodzielnie. Umożliwiają one podsłuchiwanie, nagrywanie rozmów, a nawet przechwytywanie SMS-ów. IMSI catcher nie jest przypisany ani instalowany dla konkretnego urządzenia, zagrożenie związane jest z miejscem, gdzie znajduje się „cel”. To dlatego zarówno zapobieganie, jak i wykrycie tej pułapki nie jest łatwe.
W naszym szkoleniu mówimy także o innych rodzajach ataków z grupy „Man in the Middle”, zakładającej wejście napastnika między telefon a zaufany element systemu.

Twoi pracownicy – nawet jeśli nie są tego do końca świadomi – strzegą bezpieczeństwa zasobów Twojej firmy, stojąc na pierwszej linii obrony przed cyberatakiem. Najprawdopodobniej posiadają smartfony (podział rynku to obecnie 74,45% Android vs 22,85% iOS), które są dużo bardziej podatne na ataki niż iPhony. Jeśli wyposażasz ich w służbowe telefony komórkowe, rozważ wdrożenie systemu MDM (Mobile Device Management), który pozwoli Ci zapewnić odpowiedni poziom bezpieczeństwa danych. Same narzędzia jednak nie wystarczą, jeśli zwyczajnie brakuje wiedzy i świadomości istniejących zagrożeń. Szkolenie z bezpieczeństwa informacji powinno dziś znajdować się w podstawowym wyposażeniu każdego pracownika. Skoro stoi on na straży bezpieczeństwa Twojej firmy, warto dać mu do ręki najlepszą broń.