8 серьезных угроз мобильной безопасности - Взломать WhatsApp

Вредоносное ПО для мобильных устройств? Другие угрозы мобильной безопасности являются более актуальными. Каждое предприятие должно внимательно следить за этими восемью вопросами.

В наши дни мобильная безопасность занимает первое место в списке забот каждой компании — и не без оснований: почти все работники теперь регулярно получают доступ к корпоративным данным со смартфонов, и эта тенденция стала еще более заметной благодаря продолжающейся глобальной пандемии. Подавляющее большинство устройств, взаимодействующих с корпоративными данными, в настоящее время фактически являются мобильными — около 60 %, по данным Zimperium, — и это число будет расти только по мере того, как мир адаптируется к нашей новой реальности удаленной работы.

Все это означает, что держать конфиденциальную информацию подальше от чужих рук становится все более сложной головоломкой. Достаточно сказать, что ставки выше, чем когда-либо: средняя стоимость нарушения корпоративных данных составляет колоссальные 3,86 миллиона долларов, согласно отчету Института Понемона за 2020 год. Это на 6,4 % больше, чем предполагаемые расходы всего тремя годами ранее, и ожидается, что характер пандемии еще больше увеличит эти расходы, учитывая дополнительные проблемы, связанные с организацией работы на дому.

Хотя легко сосредоточиться на сенсационной теме вредоносных программ, правда в том, что заражение мобильными вредоносными программами в реальном мире встречается редко — согласно одной запоминающейся оценке, ваши шансы заразиться значительно меньше, чем ваши шансы быть пораженным молнией. Вредоносное ПО относится к числу наименее распространенных первоначальных действий при инцидентах с нарушением данных, как отмечается в отчете Verizon о расследовании нарушений данных за 2020 год. Это объясняется как природой мобильных вредоносных программ, так и присущими им средствами защиты, встроенными в современные мобильные операционные системы.

Более реалистичные угрозы мобильной безопасности кроются в некоторых часто недооцениваемых областях, все из которых, как ожидается, станут более актуальными в предстоящие месяцы:

Испытанная и верная тактика обмана вызывает больше беспокойства, чем когда-либо, в свете пандемии, и это особенно верно на мобильном фронте. По данным Zimperium, с момента запуска COVID число фишинговых атак увеличилось в шесть раз, и в настоящее время мобильные устройства являются основной целью - в частности, растет число подключенных к COVID схем.

"[Мошенники] знают, что люди работают дома, проводят больше времени на своих мобильных устройствах и не принимают тех же мер предосторожности, что и на традиционных компьютерах", - говорит Нико Кьяравильо, вице-президент по исследованиям в области безопасности в Zimperium. "С точки зрения злоумышленника, это спрос и предложение".

Думаете, это не может повлиять на вашу компанию? Подумай еще раз. Согласно отчету охранной фирмы FireEye, ошеломляющий 91 % киберпреступлений начинается с электронной почты. Он относится к таким инцидентам как "атаки без вредоносных программ", поскольку они полагаются на такие тактики, как олицетворение, чтобы обманом заставить людей переходить по опасным ссылкам или предоставлять конфиденциальную информацию. Фишинг быстро растет в последние несколько лет, говорится в сообщении компании, и мобильные пользователи подвергаются наибольшему риску попасть в него из—за того, что многие мобильные почтовые клиенты отображают только имя отправителя, что особенно облегчает подделку сообщений и обман человека, заставляя его думать, что электронное письмо от кого-то, кого он знает или кому доверяет.

Более того, несмотря на легкость, с которой, как можно было бы подумать, можно избежать недостатков социальной инженерии, они остаются удивительно эффективными в мобильной сфере. Согласно исследованию IBM, пользователи в три раза чаще реагируют на фишинговую атаку на мобильном устройстве, чем на рабочем столе, отчасти потому, что люди, скорее всего, впервые увидят сообщение на телефоне. Исследование Verizon подтверждает этот вывод и добавляет, что меньшие размеры экрана и соответствующее ограниченное отображение подробной информации на смартфонах (особенно в уведомлениях, которые часто включают опции одним нажатием для открытия ссылок или ответа на сообщения) также могут увеличить вероятность успеха фишинга.

Кроме того, заметное размещение кнопок, ориентированных на действия, в мобильных почтовых клиентах и несфокусированный, ориентированный на многозадачность способ, которым работники, как правило, используют смартфоны, усиливают эффект. Тот факт, что большая часть веб-трафика в настоящее время происходит на мобильных устройствах, только еще больше побуждает злоумышленников нацеливаться на этот фронт.

В то время как только около 3,4 % пользователей на самом деле переходят по ссылкам, связанным с фишингом, согласно самым последним данным Verizon, более ранние исследования Verizon показывают, что эти доверчивые парни и девушки, как правило, являются рецидивистами. Компания отмечает, что чем больше раз кто-то нажимал на ссылку фишинговой кампании, тем больше вероятность, что он сделает это снова в будущем. Verizon ранее сообщал, что 15 % пользователей, которые успешно подверглись фишингу, будут подвергнуты фишингу по крайней мере еще один раз в течение того же года.

"Мы действительно наблюдаем общий рост восприимчивости к мобильным устройствам, обусловленный ростом мобильных вычислений в целом [и] продолжающимся ростом рабочих сред BYOD", - говорит Джон "Лекс" Робинсон, стратег по информационной безопасности и борьбе с фишингом в PhishMe, фирме, которая использует моделирование в реальном мире для обучения работников распознаванию и реагированию на попытки фишинга.

Робинсон отмечает, что грань между работой и персональными компьютерами также продолжает стираться. Он отмечает, что все больше работников просматривают несколько почтовых ящиков, подключенных к комбинации рабочих и личных учетных записей, вместе на смартфоне, и почти все ведут какие—то личные дела онлайн в течение рабочего дня (даже когда нет активной пандемии и вынужденной работы из дома). Следовательно, идея получения того, что кажется личным письмом, наряду с сообщениями, связанными с работой, на первый взгляд не кажется чем-то необычным, даже если на самом деле это может быть уловкой.

Ставки только продолжают расти. Киберпреступники теперь даже используют фишинг, чтобы попытаться обманом заставить людей отказаться от кодов двухфакторной аутентификации, предназначенных для защиты учетных записей от несанкционированного доступа. Переход к аппаратной аутентификации - либо с помощью специальных физических ключей безопасности, таких как Google Titan или YubiKeys от Yubico, либо с помощью ключа безопасности на устройстве Google — широко рассматривается как наиболее эффективный способ повышения безопасности и снижения вероятности захвата на основе фишинга.

Согласно исследованию, проведенному Google, Нью-Йоркским университетом и Калифорнийским университетом в Сан-Диего, аутентификация на устройстве может предотвратить 99 % массовых фишинговых атак и 90 % целевых атак по сравнению с показателями эффективности 96 % и 76 % для тех же типов атак с более подверженными фишингу традиционными кодами 2FA.

Кроме того, специальное обучение для мобильных устройств и тщательно подобранное программное обеспечение для обнаружения фишинга - это самые разумные способы уберечь сотрудников компании от того, чтобы стать следующими жертвами фишинга. "Ты так же силен, как самое слабое звено в цепи", - говорит Кьяравильо из Цимпериума.

Это может звучать как диагноз от робота—уролога, но утечка данных широко рассматривается как одна из самых серьезных угроз безопасности предприятия в 2021 году - и одна из самых дорогостоящих. Согласно последним исследованиям IBM и Института Ponemon, наличие чисто удаленной команды может увеличить среднюю стоимость утечки данных на колоссальные 137 000 долларов.

Что делает эту проблему особенно неприятной, так это то, что она часто не является гнусной по своей природе. Скорее, дело в том, что пользователи непреднамеренно принимают необдуманные решения о том, какие приложения могут видеть и передавать их информацию.

"Основная проблема заключается в том, как реализовать процесс проверки приложений, который не перегружает администратора и не расстраивает пользователей", - говорит Дионисио Цумерле, директор по исследованиям в области мобильной безопасности в Gartner. Он предлагает обратиться к решениям для защиты от мобильных угроз (MTD) — таким продуктам, как Symantec Endpoint Protection Mobile, Checkpoint SandBlast Mobile и Zimperium Zips Protection. Такие утилиты сканируют приложения на предмет "протекающего поведения", говорит Цумерле, и могут автоматизировать блокировку проблемных процессов.

Даже это не всегда покрывает утечку, которая происходит в результате явной ошибки пользователя — что-то такое простое, как передача файлов компании в общедоступное облачное хранилище, вставка конфиденциальной информации в неправильном месте или пересылка электронной почты непреднамеренному получателю. Для такого типа утечки средства предотвращения потери данных (DLP) могут быть наиболее эффективной формой защиты. Такое программное обеспечение разработано специально для предотвращения раскрытия конфиденциальной информации, в том числе в случайных сценариях.

Мобильное устройство так же безопасно, как и сеть, через которую оно передает данные. В эпоху, когда мы все постоянно подключаемся к сетям, которые могут быть недостаточно защищены — будь то неправильно настроенные домашние сети, для удаленных работников или общедоступные сети Wi—Fi, - наша информация часто не так защищена, как мы могли бы предположить.

Насколько это серьезно вызывает беспокойство? Согласно исследованию Wandera, в более типичный год корпоративные мобильные устройства используют Wi-Fi почти в три раза чаще, чем сотовую связь. Почти четверть устройств подключается к открытым и потенциально небезопасным сетям Wi-Fi, и 4 % устройств сталкиваются с атакой "человек посередине", при которой кто-то злонамеренно перехватывает связь между двумя сторонами в течение среднего месяца. Эти цифры снизились в прошлом году из—за сокращения поездок и меньшего количества физических предприятий, открытых во время COVID, но это не означает, что угроза исчезла - или что нет необходимости оставаться впереди игры, даже если сотрудники работают в основном из дома.

"Вместо того, чтобы полагаться на обнаружение атак "человек посередине" для реагирования, мы рекомендуем организациям применять более активный подход к обеспечению безопасности удаленных подключений", - говорит Майкл Ковингтон, вице-президент по продуктам Wandera. "Самое простое, что могут сделать компании для обеспечения надлежащей безопасности Wi-Fi, - это просто внедрить модель доступа к сети с нулевым уровнем доверия для удаленной работы".

Смартфоны, планшеты и более мелкие подключенные устройства — интернет вещей (IoT) — представляют угрозу для безопасности предприятия, поскольку, в отличие от традиционных рабочих устройств, они, как правило, не имеют гарантий своевременного и постоянного обновления программного обеспечения. Это особенно заметно на фронте Android, где подавляющее большинство производителей крайне неэффективно поддерживают свои продукты в актуальном состоянии — как с обновлениями операционной системы, так и с небольшими ежемесячными исправлениями безопасности, — а также с устройствами интернета вещей, многие из которых даже не предназначены для получения обновлений.

"У многих из них даже нет встроенного механизма исправления, и в наши дни это становится все более и более серьезной угрозой", - говорит Кевин Ду, профессор компьютерных наук в Сиракузском университете, специализирующийся на безопасности смартфонов.

По данным Wandera, в 2020 году около 28 % предприятий полагались на устройства, которые не только имели устаревшее программное обеспечение операционной системы, но и программное обеспечение с известной уязвимостью безопасности. "Хотя, безусловно, существует тенденция к тому, чтобы удаленные работники могли использовать больше неуправляемых устройств, текущая ситуация, похоже, высветила реальные риски, возникающие, когда система безопасности становится слишком слабой", - говорит Ковингтон.

В дополнение к беспокойству, связанному с пандемией, данные Wandera указывают на 100 % увеличение подключений к "неподходящему контенту" в рабочее время с начала кризиса COVID - и, что ж, сайты такого рода печально известны тем, что пытаются обмануть посетителей, заставляя их загружать сомнительные материалы (или, эм, так я слышал). Устаревшая операционная система делает любые опасные материалы еще более опасными, поскольку может отсутствовать надлежащая защита.

Повышенная вероятность атаки в стороне, широкое использование мобильных платформ повышает общую стоимость утечки данных, согласно Ponemon, а обилие продуктов интернета вещей, подключенных к работе, только увеличивает эту цифру. Интернет вещей - это "открытая дверь", как выразилась фирма по кибербезопасности Raytheon. Raytheon спонсировал исследование, которое показало, что 82 % ИТ—специалистов предсказали, что незащищенные устройства интернета вещей вызовут утечку данных — вероятно, "катастрофическую" - в их организации.

Однако сильная политика может иметь большое значение. Некоторые устройства Android действительно получают своевременные и надежные текущие обновления, и могут быть приняты меры для повышения безопасности практически любого телефона. До тех пор, пока ландшафт Интернета вещей не станет менее похожим на дикий запад, компании придется создавать вокруг себя собственную сеть безопасности.

Вы могли бы подумать, что мы уже прошли этот момент, но каким-то образом пользователи все еще не защищают свои учетные записи должным образом. Когда у них есть телефоны, которые содержат как учетные записи компании, так и личные входы, это может быть особенно проблематично.

Опрос, проведенный Google и Harris Poll, показал, что чуть более половины американцев повторно используют пароли в нескольких учетных записях. В равной степени это касается и того, что почти треть не использует 2FA (или не знает, используют ли они его — что может быть немного хуже). Только четверть людей активно используют менеджер паролей, что говорит о том, что подавляющее большинство людей, вероятно, не имеют надежных паролей в большинстве мест, поскольку они, по-видимому, генерируют и запоминают их самостоятельно.

С этого момента все становится только хуже: согласно одному анализу LastPass, полная половина профессионалов призналась, что использует одни и те же пароли как для рабочих, так и для личных учетных записей. Если этого недостаточно, средний сотрудник делится примерно шестью паролями с коллегой в течение своей работы, как показал анализ.

Чтобы вы не подумали, что все это пустая болтовня, в 2017 году Verizon обнаружила, что слабые или украденные пароли были виноваты в более чем 80 % нарушений, связанных со взломом в бизнесе. В частности, с мобильного устройства, где сотрудники хотят быстро входить в приложения, сайты и службы, подумайте о риске для данных вашей организации, если даже один человек небрежно вводит тот же пароль, который они используют для учетной записи компании, в приглашение на случайном сайте розничной торговли, в приложении для чата или на форуме сообщений. Теперь объедините этот риск с вышеупомянутым риском помех Wi-Fi, умножьте его на общее число сотрудников на вашем рабочем месте и подумайте о слоях вероятных точек воздействия, которые быстро складываются.

Возможно, самое досадное из всего, что большинство людей, похоже, совершенно не замечают своих упущений в этой области. В опросе Google и Harris Poll 69 % респондентов поставили себе "А" или "Б" за эффективную защиту своих онлайн-аккаунтов, несмотря на последующие ответы, в которых указывалось иное. Очевидно, что вы не можете доверять собственной оценке рисков пользователя.

Мобильная реклама генерирует горы долларов — в общей сложности, согласно недавнему прогнозу eMarketer, в 2021 году эта сумма, вероятно, превысит 117 миллиардов долларов, даже несмотря на замедление расходов, связанное с пандемией. Киберпреступники следят за деньгами, поэтому, вероятно, неудивительно, что они нашли способы выкачивать деньги из потоков доходов от мобильной рекламы. Оценки того, сколько стоит мошенничество с рекламой, различаются, но Juniper Research прогнозирует убытки в размере 100 миллиардов долларов в год к 2023 году.

Мошенничество с рекламой может принимать несколько форм, но наиболее распространенным является использование вредоносных программ для создания кликов по объявлениям, которые, как представляется, принадлежат реальному пользователю, использующему законное приложение или веб-сайт. Так, например, пользователь может загрузить приложение, которое предлагает кажущуюся действительной услугу, такую как прогноз погоды или обмен сообщениями. Однако в фоновом режиме это приложение генерирует мошеннические клики по обычным объявлениям, которые появляются. Издателям обычно платят за количество кликов по рекламе, которые они генерируют, поэтому мошенничество с мобильной рекламой крадет рекламные бюджеты компаний и может лишить издателей дохода.

Хотя рекламодатели и издатели могут быть наиболее очевидными жертвами, мошенничество с рекламой также может нанести вред мобильным пользователям. Вредоносное ПО для мошенничества с рекламой работает в фоновом режиме и может снизить производительность смартфона, разрядить его батарею, привести к увеличению расходов на передачу данных и вызвать перегрев. Основываясь на собственных данных отслеживания, поставщик средств безопасности Upstream оценивает, что пользователи смартфонов (или компании, оплачивающие счета за свои устройства) теряют миллионы долларов каждый год в результате повышения платы за передачу данных, вызванного вредоносными программами для мобильной рекламы.

По данным Wandera, Android на сегодняшний день является самой популярной платформой для подобных проблем, при этом на устройствах с этой операционной системой вероятность установки уязвимого приложения примерно в 5,3 раза выше, чем на телефонах под управлением iOS. Это не означает, что воздействие неизбежно.

Как и во многих других областях мобильной безопасности, немного здравого смысла имеет большое значение. Помимо поддержания политик, которые позволяют пользователям загружать приложения только из официального магазина приложений платформы, обучение сотрудников может подчеркнуть такие основы, как просмотр обзоров приложения вместе с запрошенными разрешениями и историей разработчиков, чтобы убедиться, что все в нем кажется кошерным перед его установкой. С точки зрения ИТ, мониторинг использования данных для необычных скачков также может помочь выявить потенциальные проблемы на ранней стадии.

Криптоджекинг - это тип атаки, при которой кто-то использует устройство для добычи криптовалюты без ведома владельца. Если все это звучит как много технической чепухи, просто знайте следующее: подобно мошенничеству с мобильной рекламой, процесс криптомайнинга использует устройства вашей компании для чужой выгоды. Он в значительной степени зависит от вашей технологии, чтобы выполнить свои требования, что означает, что у затронутых телефонов, вероятно, будет плохое время автономной работы и они могут даже пострадать от повреждений из—за перегрева компонентов.

В то время как криптоджекинг возник на рабочем столе, с конца 2017 года по начало 2018 года наблюдался всплеск на мобильных устройствах. Нежелательный майнинг криптовалют составил треть всех атак в первой половине 2018 года, согласно анализу безопасности Skybox, с увеличением популярности за это время на 70 % по сравнению с предыдущим полугодием. Согласно отчету Wandera, атаки криптоджекинга, ориентированные на мобильные устройства, полностью взорвались осенью 2017 года, когда число затронутых мобильных устройств выросло на 287 %.

С тех пор ситуация несколько остыла, особенно в области мобильных устройств — шаг, которому во многом способствовал запрет приложений для майнинга криптовалют как в магазине приложений Apple для iOS, так и в магазине Google Play, связанном с Android, пару лет назад. Тем не менее, охранные фирмы отмечают, что атаки продолжают иметь некоторый успех с помощью мобильных веб-сайтов (или даже просто мошеннической рекламы на мобильных веб-сайтах) и приложений, загружаемых через неофициальные сторонние рынки.

По данным Verizon, атаки, связанные с криптовалютой, в настоящее время составляют около 2,5 % проблем, связанных с вредоносным ПО, на предприятии, при этом около 10 % компаний сообщают о связанных с этим проблемах безопасности. Verizon предполагает, что фактический уровень инцидентов выше, так как о многих подобных атаках не сообщается.

На данный момент нет отличного ответа — кроме тщательного выбора устройств и соблюдения политики, которая требует, чтобы пользователи загружали приложения только с официальной витрины платформы, где потенциал для взлома кода заметно снижается.

И последнее, но не менее важное - это то, что кажется особенно глупым, но остается тревожно реалистичной угрозой: потерянное или оставленное без присмотра устройство может представлять серьезную угрозу безопасности, особенно если у него нет надежного PIN-кода или пароля и полного шифрования данных.

Для сравнения, в исследовании Ponemon 2016 года 35 % специалистов указали, что на их рабочих устройствах не было предписанных мер по обеспечению безопасности доступных корпоративных данных. Что еще хуже, почти половина опрошенных заявили, что у них нет пароля, PIN—кода или биометрической защиты, защищающей их устройства, и около двух третей заявили, что они не используют шифрование. Шестьдесят восемь процентов респондентов указали, что они иногда обменивались паролями между личными и рабочими учетными записями, к которым они получали доступ через свои мобильные устройства.

С тех пор ситуация улучшилась по большинству показателей. В своем анализе ландшафта мобильных угроз 2020 года Wandera отметила, что у 3 % устройств, используемых для работы, по-прежнему отключены экраны блокировки. Еще более тревожным было то, что риск других угроз оказался значительно выше на устройствах, где виртуальные входные ворота не были должным образом защищены. Как мы тщательно установили, требуется лишь небольшое количество уязвимостей для отдельных пользователей, чтобы создать огромную корпоративную головную боль.

Вывод на дом прост: недостаточно оставить ответственность в руках пользователей. Не стройте предположений, разрабатывайте политику. Ты поблагодаришь себя позже.