Тест на внимательность. Как защитить аккаунт в соцсетях от собственного любопытства
В начале марта администраторы нескольких телеграм-каналов пожаловались на взломы, а самым популярным приложением в российском AppStore стало GetContact, которое позволяет узнать, как ты записан в телефонах друзей. Эксперты не видят прямой связи между этими событиями, но не исключают, что данные из приложения упростят подобные атаки в будущем, ведь приложение собирает в одной базе информацию, которая необходима для взлома аккаунта.
В соглашении (которое мы все, разумеется, читали) говорится, что данные могут быть переданы третьим лицам, коими могут оказаться банки, мошенники или спамеры.
Лишняя информация
«Полное имя, дружеские прозвища, номер телефона, адрес электронной почты, пол, аккаунты в социальной сети, место работы, фотография, адрес — такого набора данных о человеке достаточно для того, чтобы провести очень хорошо подготовленную целевую атаку и получить доступ не только к социальным сетям, но и к деньгам жертвы, если эти данные окажутся в руках злоумышленников», — предупреждает ведущий контент-аналитик «Лаборатории Касперского» Надежда Демидова.
Она добавляет, что стоит обратить внимание на права, которые предоставляются приложению: доступ к контактам, телефону, памяти телефона или камере открывают излишний простор владельцам приложения. Например, позволяют просматривать и модифицировать историю вызовов, менять контакты в адресной книге, делать снимки, а также совершать звонки.
GetContact как инструмент хакера
Например, GetContact в качестве «вступительного взноса» предлагает пользователю предоставить доступ к данным о городе и стране проживания, а также запрашивает фото, пол, место работы, аккаунты в социальных сетях. Кроме того, «новобранец» GetContact должен поделиться с приложением своей телефонной книгой. Таким образом, в базу попадают не только данные пользователя, но и номера его контактов, которые вовсе не планировали в ней оказываться.
«GetContact получает данные зарегистрированных пользователей, они попадают в их публичную базу. Приложение позволяет найти номер администратора телеграм-канала, если, конечно, это человек публичный (многие телеграм-каналы анонимны, их администратор не известен). Зная номер телефона, вы можете попытаться привязать его к аккаунту в телеграме. Зная, что этот аккаунт является создателем канала, вы уже получаете вектор, понятный для взлома», — считает эксперт по информационной безопасности Group-IB Илья Обушенко.
Безнадежная защита
По его словам, даже двухфакторная аутентификация не гарантирует безопасность, если пользователь легкомысленно относится к защите своей почты и аккаунтов в соцсетях. «Сбросить» один этап аутентификации можно, зная почту администратора канала и имея к ней доступ.
Люди часто привязывают к одному почтовому ящику много аккаунтов в различных сервисах, а также используют для них один и тот же пароль, который зачастую подходит и для почты: знаешь его — знаешь все.
Таким образом, злоумышленнику достаточно взломать какой-то из аккаунтов пользователя, и он получит доступ к почтовому ящику.
«Самое трудоемкое — это получить код из SMS. Как правило, для этого используются два способа. Первый — это возможность с помощью социальной инженерии, фишинга получить этот код. Например, вам звонят, говорят: «Вы выиграли миллион, сейчас вам придет код подтверждения, мы точно должны знать, что это вы, скажите нам его, пожалуйста». А это был код для идентификации в телеграме. Злоумышленник получает доступ к телеграму, там производит изменение номера телефона и удаление аккаунта или очищение его от всего контента. Вторая история — клонирование SIM-карты. Это дело затратное, но возможное. С помощью клонирования SIM-карты злоумышленник получает доступ к телефону, SMS и доступ к аккаунту в телеграме», — поясняет Обушенко.
GetContact вроде бы даже предлагает пользователям возможность удалить себя из базы. Однако эксперты заметили, что вместе с номером телефона приложение запрашивает и IMEI (международный идентификатор мобильного оборудования. — Forbes) устройства, который из базы никуда не исчезает, да и номер на практике удаляется не сразу.
«Вы меняете номер, вставляете в телефон SIM-карту с новым номером, но кто-то уже знает ваш IMEI, привязанный к другому номеру телефона. И ему не составит труда привязать ваш новый номер телефона к старому. Таким образом, появляется понимание, с кем связан номер, и вас снова нашли», — добавляет Обушенко.
Слишком любопытные тесты в соцсетях
Но GetContact не единственное приложение, которое собирает наши персональные данные. Тесты, которые запрашивают доступ к соцсетям, чтобы проанализировать их или дать вам возможность поделиться результатом с друзьями, тоже пополняют таким образом чьи-то базы данных, а иногда могут направлять на фишинговый сайт или давать ссылку на скачивание вредоносного ПО.
Правда, их аппетиты, как правило, скромнее: они запрашивают доступ к списку друзей, открытому профилю и электронной почте. Но есть и более любопытные, которым нужен доступ ко всем постам, место жительства, работы, фотографии и дата рождения.
«На Facebook, например, есть возможность восстановить пароль, опознав людей на фотографиях, а если вы уже предоставили эту информацию каким-то приложениям, мошенники могут сделать это за вас», — описывает потенциальную атаку Демидова. Она добавляет, что сейчас данные стоят «действительно много», и напоминает, что в соглашении GetContact прямо указано, что они могут быть переданы третьим лицам.
«И кем окажутся эти третьи лица, банком или мошенником, — большой вопрос», — заключает эксперт «Лаборатории Касперского».
Исправление ошибок
Пройдена ли точка невозврата, если страница пестрит результатами тестов, да и GetContact уже установлен? Скорее всего, да. Но на будущее все равно нужно сменить все пароли, причем важно, чтобы они были разными. Для каждого аккаунта. И для почты тоже.
Двухфакторная аутентификация — must have. Здесь компромиссов быть не может. И конечно, нужно следить за тем, какие ссылки вы открываете и на каких сайтах вводите свои данные.
Обушенко рекомендует владельцам каналов в телеграме, групп «ВКонтакте» или Facebook не привязывать их к личному аккаунту, с которого ведется общение. По мнению эксперта, безопаснее купить отдельную SIM-карту и использовать ее. Лучше не применять публичные беспроводные сети или выходить в них только через VPN.
«Это обеспечит шифрованное соединение. Даже если кто-то будет пытаться вас прослушать или паразитировать, ничего не выйдет... И почаще менять пароли, раз в месяц-три», — рекомендует эксперт Group IB.
Демидова советует также зайти в настройки социальной сети и посмотреть, каким приложениям даны разрешения, и ограничить их при необходимости.
«Тесты, популярные в социальных сетях, часто запрашивают доступ на размещение контента в социальной сети от вашего имени, то есть без вашего ведома они могут разместить любой контент на вашей странице, например, фишинговую ссылку», — предупреждает она. Демидова добавляет, что такие приложения запрашивают доступ к адресу электронной почты, контактам пользователя и его фото. Даже если владелец потом удалит приложение или отзовет право на использование своих фотографий, нет гарантий, что приложение выполнит его пожелание. «Информация, которую вы уже предоставили этим приложениям, может остаться у них, и ей могут воспользоваться злоумышленники», — опасается Демидова.
Информационная гигиена
Каждый раз, когда пользователи думают, что вот теперь-то они видели все, появляется новый способ отвлечь внимание и выманить персональные данные. Вот только основные правила безопасности не меняются, и их стоит помнить.
«Сколько бы людям ни говорили, что нужно беречь свои персональные данные, сколько бы таких историй ни происходило, все равно они повторяют свои ошибки», — печалится Обушенко.
Он сокрушается, что многие пользователи беспорядочно раздают свой номер телефона различным сайтам, а потом понимают, что надо бы перестать и поменять SIM-карту. Но поезд уже ушел: из интернета нельзя ничего стереть. Если задаться целью, то все равно можно найти и сопоставить все аккаунты, которые были привязаны к одному номеру.
«Такой сейчас мир: начать жизнь с чистого листа так, чтобы нельзя было связать вас с вашим прошлым, уже практически невозможно», — заключает эксперт.
Поэтому пора задать самим себе вопрос: насколько надежно вы храните персональные данные по шкале от одного до Владимира Путина?