Что говорят логи?
Если все-таки что-то вызывает вашу тревогу, с чего начать? Если есть возможность, отключите систему от остальной сети и поработайте автономно. Это гарантирует, что никакой дальнейший ущерб не будет распространяться. К сожалению, зачастую у вас не будет такой роскоши.
Некоторые компьютеры и особенно серверы слишком важны в работе организации, чтобы по первому подозрению снять их с работы. Однако, как только действительно подтверждается инцидент, немедленно без малейших колебаний сделайте систему автономной, чтобы уменьшить ущерб.
Само исследование должно начаться с полной экспертизы файлов системного журнала. Особенно стоит просмотреть записи логов, события системы и административные действия. К сожалению, в таких записях нет комментариев, что мол это – обычная работа, а вот это – действия злоумышленника.
Странные времена соединений, незапланированные перезагрузки, неудачные попытки соединений и внеплановые административные процедуры вызовут подозрения, но многого вам не расскажут. Для большей глубины поиска пробуйте рассмотреть логи прикладных программ типа созданных FTP, почтой, web или базами данных демонами. Эти файлы уже могут сообщить много интересного и конкретного.
Теперь плохие новости. Многие опытные злоумышленники изменяют, чистят или полностью уничтожают после атаки файлы системного журнала. Если вы не осуществляете запись логов на отдельный сервер, то зачастую у вас мало что останется для изучения. Но все равно процесс обзора не должен отвергаться.
Хакеру очень трудно полностью замаскировать все следы, и только самые виртуозы (их не более двух десятков во всем мире) способны полностью оставаться незамеченными. Вторичные логи, типа определенных файлов приложений, способны фиксировать неопределенные события.
Введение
Это все-таки случилось… Скорее всего вы прочитали об этом на своей любимой домашней страничке, которую теперь в таком испохабленном состоянии стыдно кому-либо показать. А может быть, вам позвонил неизвестный и сообщил это неприятное известие по телефону, причем АОН вместо номера собеседника выдавал что то непонятное – то ли меняющиеся цены на Нью-Йоркской бирже, то ли расстояние от Земли до Марса, а может и функцию половой активности сусликов в Каракумской пустыне.
Что-то действительно было не так с компьютером в последние дни. Вы не можете сказать точно, что именно вас раздражало или настораживало, но было ощущение чего-то неправильного: вялая, «тормозная» работа, неожиданные зависания и перезагрузки, к тому же можно припомнить и аномально высокую загрузку процессора тогда, когда вы вроде бы ничего особенного не делали, или слишком большую сетевую активность, появляющиеся непонятные временные файлы, или наоборот, отсутствие каких-нибудь файлов. Короче, сейчас вы думаете, что надо было раньше обо всем догадаться и принять какие-нибудь меры. А сейчас…
Что-то неправильно – определение возможности злонамеренного кода
Хотя некоторые эксплоиты и разработаны для того, чтобы в явном виде заявить об успехе взлома (или насмехаться над жертвой), работа подавляющего большинства из них остается на первый взгляд незаметной. Нетрудно сообразить, что они остаются тихими по причине проведения какой-то особо важной тайной деятельности.
Поэтому такой код трудно обнаружить. Известен случай, когда код очень долго оставался в компьютерной системе банка и незначительно округлял в пользу хакера операции с крупными суммами – ничтожная ошибка учета в несколько центов ни у кого не вызывала подозрений!
В нашем случае признаками проблемы также могут являться даже незначительные аномалии. Так, в крупной российской корпорации один из офисных сотрудников утверждал, что у него не всегда с первого раза получается войти в систему с его компьютера. Все остальные загружались без проблем.
От сотрудника долго отмахивались, так как проблемы никто не видел. Когда же, в конце концов, специалисты решили исследовать причину ошибки, выяснили, что в сценарий запуска на данной машины встроен троян-шпион. Если у вас имеется чувство, что что-то работает неправильно, стоит внимательно изучить проблему. К сожалению, часто оказывается, что ваши подозрения были оправданы.
Что делать, если твой телефон взломали
Изучив все возможные способы взлома, и проверив факт противоправного действия, нужно переходить к решению проблемы. Оптимальный вариант – обратиться с заявлением в правоохранительные органы. Если вам удастся доказать факт взлома, полиция возьмет в обработку это дела.
К сожалению, людям не всегда удается найти веское доказательство противоправного действия по отношению к себе. В таком случае придется решать проблему самостоятельно.
Поскольку слежка и взлом осуществляются при помощи стороннего ПО или вредоносных файлов, рекомендуется выполнить сброс смартфона до заводских настроек. Операция удалит все данные, включая вирусы. А чтобы не потерять личные файлы, необходимо заранее создать резервную копию. Подробно о том, как выполнить сброс, рассказывается на видео.
После сброса настроек необходимо заменить все пароли от социальных сетей и прочих аккаунтов. Это позволит минимизировать риск кражи персональных данных.
Если вы считаете, что телефон находится на прослушке, обратитесь в салон связи своего оператора для выяснения обстоятельств. По возможности купите новую SIM-карту.
Как защитить себя, если есть подозрения, что кто-то подключается к вашему мобильному телефону:
- Не переходите по ссылкам с номеров, которых вы не знаете, или в необычно расплывчатых сообщениях от друзей, особенно если вы не видите полную ссылку;
- Если вы все-таки нажмете ссылку и попытаетесь загрузить неофициальное приложение, ваш телефон на Андроид должен уведомить вас перед установкой. Если вы проигнорировали предупреждение или приложение каким-то иным образом обошло безопасность системы, удалите приложение и запустите сканирование устройства на предмет наличия зловредов.
Почему атаки становится все труднее заметить
Переломным моментом в процессе усложнения хакерских атак стало появление червя Stuxnet в 2022 году, которого многие называют первым кибероружием. Он долгое время находился незамеченным в сети иранской ядерной программы, контролировал скорость работы центрифуг по обогащению урана и выводил оборудование из строя.
Хакеры начали объединяться в группировки. Если в нулевых мы наблюдали больше хакеров-одиночек, то в 2022-х начался активный рост организованной киберпреступности. Вместе с тем стало быстро увеличиваться количество преступлений. При этом в начале десятилетия владельцы бизнеса мало задумывались об информационной безопасности своей организации, что позволяло хакерам почти беспрепятственно красть миллионы долларов.
Сегодня существуют решения и для выявления взломов, и для обнаружения активности злоумышленников в инфраструктуре. В ответ на это хакеры разрабатывают методы обхода, чтобы оставаться незамеченными как можно дольше. Например, они используют техники типа living-off-the-land.
При таких атаках для удаленного выполнения команд на узлах используются встроенные в ОС механизмы и доверенные программы. В Windows-инфраструктуре это могут быть PowerShell, WMI, утилиты из набора Sysinternals. Например, утилита PsExec хорошо зарекомендовала себя как среди IT-администраторов, так и среди злоумышленников.
Злоумышленники также используют технику watering hole — взламывают отраслевой сайт или приложение, которые часто посещают и используют сотрудники компании, и размещают в них вредоносный код. После того как пользователь запускает приложение или заходит на сайт, на его устройство скачивается ВПО, через которое злоумышленник попадает в инфраструктуру. Этот метод взят на вооружение такими APT-группировками как Turla, Winnti.
Некоторые хакерские группы, например Cobalt, Silence, TaskMasters, используют метод supply chain attack. Злоумышленники заранее взламывают серверы партнера целевой организации и уже с его почтовых ящиков производят фишинговые рассылки. Хакеры не ограничиваются рассылкой писем, а атакуют разработчиков софта, которым пользуются интересующие организации, и встраивают вредоносный код, например, в очередное обновление.
Однако при всех преимуществах ВПО злоумышленника может обнаружить антивирус или песочница, если оно отправлялось через почту. В связи с этим злоумышленники изобретают все более сложные техники обфускации кода — например, его виртуализацию — проводят бесфайловые атаки, вставляют в код методы anti-VM и antisandbox.
Нельзя исключать, что злоумышленник сможет обойтись внутри сети вообще без вредоносного ПО, ограничиваясь инструментами, разрешенными политиками безопасности.
Как поймать хакера в инфраструктуре: передовой опыт и основные ошибки
Самый простой способ предотвратить появление незваного гостя в своей инфраструктуре — выстроить правильную линию защиты. Здесь можно выделить три главных составляющих:
Есть отличное высказывание из книги Сунь-Цзы «Искусство войны»: «Идти вперед, туда, где не ждут, атаковать там, где не подготовились». Обеспечение кибербезопасности не должно ограничиваться периметром и традиционными средствами защиты. Как показали результаты нашего
, 92% угроз выявляются тогда, когда враг уже внутри.
Кибергруппировки успешно научились преодолевать защиту на периметре интересующих их организаций, и об этом свидетельствует тенденция к росту доли успешных целевых атак. Это повод сместить фокус внимания с предотвращения атак на периметре на своевременное выявление компрометации и реагирование внутри сети.
Если инцидент все-таки произошел, необходимо выстроить всю цепочку событий, которые совершал хакер на пути к своей цели — таймлайн. При обнаружении инцидента многие не умеют правильно реагировать, паникуют и совершают ошибки уже на ранних этапах. Начинается суматошное устранение последствий самого инцидента, которое приводит к затиранию его артефактов.
Бывает так, что в процессе инцидента хакер еще остается в сети и жертва пытается «выбить» его всеми доступными способами, не поняв при этом, какая часть инфраструктуры и сервисов контролируется злоумышленником. В этом случае хакер может уйти, громко хлопнув дверью: например, зашифровав подконтрольные узлы.
Поиск «засевшего» в инфраструктуре хакера не всегда является тривиальной задачей. При грамотном подходе он может оставаться в инфраструктуре долгое время. Например, группа TaskMasters, которую обнаружили специалисты PT Expert Security Center в 2022 году, в некоторых организациях годами скрывала свое присутствие.
При этом хакеры несколько раз возвращались во взломанную инфраструктуру, чтобы выгрузить очередную порцию данных, после чего засыпали выкопанную яму, оставляя несколько точек доступа во внутреннюю сеть. И каждый раз они оставались незамеченными. В таких случаях хакеров можно было вычислить по аномальной сетевой активности (которая преимущественно происходила в ночное время) по большому объему трафика на внешние узлы или нестандартным горизонтальным перемещениям внутри.
Но что делать, если мы не знаем, есть ли хакер внутри сети, и хотим обезопасить себя, проверив отсутствие взлома? Для этого необходимо иметь большую базу знаний о том, как хакер может действовать: как проникнуть, как закрепиться, как передвигаться. К счастью такая база знаний есть и называется она ATT&
CK, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. База представляет собой наглядную таблицу тактик, к которым может прибегнуть хакер для того, чтобы успешно достигнуть своей цели. В ней структурированы знания о целевых атаках и категоризированы действия злоумышленников.
База постоянно пополняется исследователями со всего мира, что позволяет специалистам по ИБ всех стран разговаривать на одном языке. Помимо этого, знание тактик позволяет успешно выявить следы взлома и заранее подготовиться — усилить слабые места, установить за ними повышенный контроль и оперативно отреагировать на появление злоумышленника.
Помимо этого, взломщики оставляют следы в сетевом трафике, а значит, задача специалиста по кибербезопасности — обнаружить эти следы. Результаты наших пилотных проектов показали, что решения класса NTA позволяют эффективно выявлять угрозы разной степени риска — от нарушений регламентов ИБ до сложных целенаправленных атак.
Технические подробности о том, как поймать хакера в сетевом трафике (подробный мануал со скриншотами), читайте в нашей статье на Anti-Malware.
Айфон
Главный недостаток смартфонов Apple – закрытость операционной системы. Но в то же время данный фактор играет в плюс, поскольку устройства американской компании реже подвергаются воздействию вирусов и вредоносных программ.
Тем не менее, даже пользователи Айфонов иногда замечают странные действия, происходящие с девайсом. Бывают даже случае, когда на кране появляется уведомление о взломе и требовании перевести деньги на определенный счет.
Подобные уведомления появляются редко. Значительно чаще владельцы iPhone получают сообщения о том, что в аккаунт на iCloud был совершен вход с другого устройства. И здесь не нужно иметь особых знаний для понимания ситуации. Вывод один – телефон взломан.
Как и на Андроиде, пользователи Айфонов могут замечать странные включения/отключения функций, пропажу денежных средств с карты или вылеты из отдельных приложений.
Андроид
Операционная система Android является самой популярной, поскольку предоставляет разработчикам массу возможностей кастомизации. У владельца смартфона на Андроид нет проблем с загрузкой файлов, но в то же время устройства на этой ОС чаще всего подвергаются хакерским атакам.
Нужно понимать, что взлом может быть разовым или постоянным. В первом случае злоумышленник, забрав нужные ему данные пользователя, перестает получать доступ к устройству.
Понять, что произошел взлом, можно будет только по сомнительным списаниям с банковской карты. Если мошенник получил доступ к аккаунту, то на почту владельца смартфона наверняка придет сообщение о попытке смены пароля. Это и будет свидетельством того, что доступ к устройству получил посторонний человек.
Также злоумышленник может постоянно взаимодействовать с телефоном. Тогда на гаджете будут без видимых причин включаться/выключаться сервисы Wi-Fi, Bluetooth и GPS. А еще взломанный Андроид-смартфон работает с периодическими лагами и вылетами из приложений.
Учтите, что со временем все смартфоны начинают работать медленнее. Возможно, ваш аппарат не взломан, а нестабильность функционирования объясняется устаревшим железом.
Помимо указанных способов проверки наличия следов взлома рекомендуется посмотреть:
Все это позволит сделать изначальный вывод о том, получил ли злоумышленник доступ к мобильному устройству.
Атака «человек посередине»
Данный способ мошенничества, известный как MITM-атака, предполагает наличие посредника между пользователем и банком. Этот «человек посредине» мониторит информацию, которая проходит через незащищенный сервер. Данные, открывающие доступ к личным финансам, в подобных случаях попадают к мошеннику при помощи сниффинга.
Также эта схема может быть реализована посредством отправки кэша DNS для подмены настоящего сайта поддельным. То есть, переходя на площадку банка, «жертва» автоматически попадает на ресурс злоумышленника.
Для защиты от таких способов мошенничества нужно:
Последний вариант актуален, когда человек для онлайн-банкинга использует незащищенную сеть.
Взлом bluetooth на телефоне без ведома абонента
Любое беспроводное соединение может быть уязвимо для киберслежки. Ранее специалисты обнаружили уязвимость в ОС Андроид 9 и более старых системах. Такая уязвимость позволяла хакерам тайно соединиться с вашим телефоном без вашего ведома, и собирать данные с вашего устройства.
Хотя уязвимость была исправлена в позднейших обновлениях безопасности, злоумышленники могут взломать ваше соединение Блютуз с помощью других уязвимостей. Или обманом заставив вас соединиться со своим устройством, присвоив ему другое имя (например, AirPods или другое универсальное имя). После такого подключения ваша личная информация окажется под угрозой.
Как защитить себя от такого подключения без ведома хозяина устройства:
- Включайте блютуз только тогда, когда вы действительно его используете;
- Не подключайте девайс в общественных местах, чтобы не стать жертвой злонамеренных запросов на сопряжение;
- Всегда загружайте обновления безопасности, чтобы исправлять уязвимости, как только они обнаруживаются.
Взлом чужих устройств – уголовное преступление
Подключение к чужому компьютеру не законно и попадает под статью № 272 Уголовного кодекса РФ. Однако отсутствие правоприменительной практики в России сводит шансы поимки преступника до минимума. В случае, если речь идет об обыкновенном хулиганстве, полиция даже не станет возбуждать уголовное дело за отсутствием события преступления.
“Если же речь идет о воровстве – необходимо обращаться в полицию, но стоит помнить, что доказать факт преступления и вернуть средства – очень сложно. Если деньги были похищены с банковского счета, в первую очередь необходимо обращаться именно в свой банк.
Вирусы трояны
Рассылка вирусных приложений считается наиболее популярным способом воровства личных данных пользователей. Потенциальные жертвы получают «зараженные» программы путем:
- личных сообщений;
- массовой онлайн-рассылки с привлекательными приложениями;
- при скачивании непроверенных файлов из интернета и другими способами.
Вирусы содержат, в основном, файлы с расширениями .exe. Однако мошенники научились прятать вредоносные программы в архивах.
Заблокируйте установку приложений из неизвестных источников
В Android по умолчанию разрешена установка приложений только из фирменного магазина Google Play. Для установки программ из других источников требуется активация соответствующей функции в настройках. До 7-й версии Android такая функция находится в разделе настроек «Безопасность».
Пункт разрешения установки из неизвестных источников в Android 7.
Пункт разрешения установки из неизвестных источников в Android 7.
Разрешение установки из неизвестных источников в Android 9 на примере приложения Solid Explorer.
Замена sim-карты на мобильном телефоне
Злоумышленники могут позвонить операторам сотовой связи, изображая себя как законных клиентов, учётные записи которых заблокированы. Предоставив оператору украденную информацию, они могут перенести номер телефона на своё устройство, и использовать его для захвата чужого онлайн-аккаунта.
Как защитить себя:
- Не используйте угадываемые числа для PIN-кода оператора связи – например, день рождения или дни рождения в семье, которые можно найти в социальных сетях.
- Выберите приложение для аутентификации, такое как Authy или Google Authenticator, вместо SMS для двухфакторной аутентификации;
- Используйте надежные пароли и многофакторную аутентификацию для всех своих учетных записей в Интернете, чтобы минимизировать риск взлома.
Зачем хакерам атаковать компании
, в этом году мы выявили рост числа APT-атак на различные отрасли. Если в прошлом году в поле нашего зрения попали 12 APT-группировок, то в этом году предметом исследований стали уже 27 группировок. Эта тенденция коррелирует и с постоянным ростом числа уникальных киберинцидентов из квартала в квартал (по нашим данным, в третьем квартале 2022 года зафиксировано на 6% больше уникальных инцидентов, чем во втором).
Эти выводы подтверждаются данными Генеральной прокуратуры: число преступлений в сфере ИТ в прошлом году выросло почти вдвое по сравнению с 2022 годом и к концу года достигла 270 000 только зарегистрированных случаев, то есть 14% от общего числа всех зарегистрированных преступлений в России. Как и ожидалось, целенаправленные атаки
над массовыми. В течение 2022 года мы наблюдали рост целенаправленных атак: в третьем квартале их доля составила 65% (против 59% во втором квартале и 47% в первом).
За хакерской атакой почти всегда стоит финансовая мотивация. Чаще всего злоумышленники крадут деньги напрямую со счетов компании. В иных случаях — воруют конфиденциальные данные и документы для вымогательства или взламывают инфраструктуры компаний и продают к ним доступ на черном рынке.
Также нельзя списывать со счетов обычный шпионаж, при котором атакующих интересуют не деньги, а информация. Чаще всего мотивацией для такого рода атак является конкурентная борьба: хакеры могут по заказу воровать коммерческие тайны, нарушать работу другой компании, вовлекать ее в скандал.
В рамках нашего исследования мы выделили 10 APT-группировок, которые на протяжении последних двух лет атаковали государственные компании в России, и отметили, что главным их мотивом был шпионаж. Кроме того, мы провели опрос специалистов в области ИТ и ИБ о готовности их компаний противостоять APT-атакам.
Наши проекты по ретроспективному анализу и расследованию инцидентов свидетельствуют о том, что многие компании, которые перешли к практике выявления киберинцидентов, обнаруживают следы взломов, произошедшие несколько месяцев, а то и несколько лет назад (в прошлом году была выявлена группировка TaskMasters, которая находилась в инфраструктуре одной из жертв как минимум восемь лет).
Это означает, что преступники уже давно контролируют множество организаций, но сами организации не замечают их присутствия, думая, что на самом деле защищены. При этом часто оказывается, что в инфраструктуре таких компаний «живет» даже не одна, а несколько группировок.
По нашей оценке, набор инструментов для проведения атаки, направленной на кражу денег из банка, может стоить от 55 тыс. долл. США. Кибершпионская кампания обходится на порядок дороже, ее минимальный бюджет составляет 500 тыс. долл. США.
Казалось бы, рынок предлагает множество продуктов по защите от взломов. Но как же злоумышленники проникают в сеть организаций? Этот вопрос мы и рассмотрим в сегодняшнем материале.
Инструкция по восстановлению доступа
Основное, чем следует заняться, если узнали, что страница ВКонтакте взломана – получить над ней полный контроль. Делается это путём изменения пароля.
- Вызываете выпадающее меню, кликнув по имени/аватару справа вверху,
- Жмёте по пиктограмме «Настройки»,
- На вкладке «Безопасность» кликаете «Завершить все сеансы», чтобы выйти из аккаунта на всех устройствах одновременно,
- В центральном окне вкладки «Общее» щелкаете по надписи «Изменить», расположенной правее от пункта «Пароль» с данными о времени его обновления,
- Вводите старый пароль в первое текстовое поле, затем новый и подтверждаете его.
Как взламывают телефоны
Для начала нужно определить такое понятие, как взлом. Это незаконный метод получения доступа к личной информации пользователя. И как бы производители смартфонов не уверяли покупателей в том, что их устройства самые безопасные, риск столкнуться со злоумышленниками есть у каждого.
В 2022 году произошла массовая утечка данных пользователей онлайн-хранилища iCloud. Хотя компания Apple уверяла, что облачные сервисы намного безопаснее, чем карты памяти MicroSD.
Теперь необходимо понять, как злоумышленник получает доступ к данным другого пользователя. И здесь у мошенника есть 3 варианта:
- физическая кража;
- удаленный доступ посредством интернет-сетей и софта;
- вирусы.
Первый способ похищения личных данных с каждым годом теряет свою популярность. Из-за относительно благоприятной обстановки в мире, кражи смартфонов происходят очень редко. Кроме того, заполучить мобильное устройство в свои руки не одно и тоже, что получение доступа к личным данным.
Однако, нередко кража личных данных происходит в ситуации, когда человек об этом даже не подозревает. Например, после сдачи девайса в ремонт. Недобросовестный мастер без труда разберет телефон и при необходимости похитит персональную информацию.
Тем не менее, в настоящий момент самым распространенным способом взлома является удаленный доступ. Когда человек посещает сайты в интернете, всегда есть определенный риск наткнуться на подозрительный ресурс. Он при помощи инструментов шифрования взламывает устройство. А иногда пользователь сам по неопытности указывает личную информацию во время регистрации на таких сайтах.
Заражение смартфона вирусом можно отнести к подвидам удаленного доступа. В память устройство закачивается вредоносный файл, который сложно обнаружить встроенными средствами девайса. А он, в свою очередь, отслеживает действия пользователя с экрана телефона или через фронтальную камеру. Потом злоумышленник довольно легко подберет пароль от банковской карты или аккаунта в социальной сети.
Как защитить телефон от взлома
Даже если человек еще никогда в жизни не сталкивался со взломом мобильного устройства, нужно всегда быть на чеку. Наши специалисты дали ответы на главные вопросы о том, как защитить свой смартфон от злоумышленников.
Вячеслав
Несколько лет работал в салонах сотовой связи двух крупных операторов. Хорошо разбираюсь в тарифах и вижу все подводные камни. Люблю гаджеты, особенно на Android.
Задать вопрос
Вопрос эксперту
Как повысить уровень безопасности устройства?
Установите антивирусное приложение. Это может быть Kaspersky Internet Security, Dr.Web, Avast или любая другая подобная программа. К сожалению, доступ к расширенным функциям является платным, но безопасность того стоит.
Как защитить смартфон без антивируса?
В данном случае вы должны надеяться только на себя. Не посещайте сомнительные сайты и ни в коем случае не указывайте данные банковских карт при регистрации на непроверенных ресурсах. Также не загружайте файлы, имеющие странные форматы (.bin и так далее).
Как не потерять личные данные, сдавая телефон в сервисный центр?
Старайтесь обращаться по вопросу ремонта в проверенные организации. Пускай там будет более высокая цена оказания услуг, но безопасность того стоит. А для полной защиты выполните сброс настроек перед тем, как отправиться в сервис.
4.6 / 5 ( 31 голос )
Как проверить телефон на взлом
Указанные ранее признаки доступа к устройству со стороны злоумышленника не являются серьезным доказательством. Поэтому требуется 100процентное подтверждение факта взлома.
Одним из способов, позволяющих ответить на вопрос, не взломали ли ваш телефон, представляется программа iVerify. Она доступна для смартфонов на iOS. После прохождения проверки приложение выдает свой вердикт по факту взлома.
На Андроид-устройствах подобное приложение не распространяется, поэтому следует отталкивается лишь от визуальных ощущений при взаимодействии со смартфоном.
Как проверить телефон на прослушивание
Еще один фактор, нарушающий конфиденциальность пользователя – прослушивание телефонных разговоров. Конечно, обычному человеку можно даже не переживать по этому поводу. А вот крупный бизнесмен или руководитель какой-либо организации должен обеспокоиться проверкой мобильного устройства на факт прослушки.
Понять, получил ли кто-то доступ к телефонным звонкам, можно несколькими способами:
- внешний осмотр;
- проверка специалистом;
- USSD-команда;
- Специальное приложение.
При выборе первого варианта следует обратить внимание на качество связи во время разговора. Если часто происходят обрыва или в эфир врываются посторонние голоса – вас прослушивают. В некоторых случаях плохую связь можно списать на качество покрытия мобильного оператора, но в современных реалиях эпохи 4G и наступающей эры 5G, это становится большой редкостью.
Также можно попросить осуществить проверку специалистом. Зачастую подобные услуги оказывают в сервисных центрах, но все, что делает мастер – обращается к помощи двух заключительных вариантов в списке.
Итак, USSD-команда. На самом деле, их существует несколько. Каждый запрос направлен на проверку наличия тех или иных функций во время звонка:
- ожидание вызова – *#43# (позволяет понять, не подключен ли телефон к другому устройству);
- переадресация звонков – *#21# (чтобы разобраться, не переводятся ли вызовы на линию прослушки);
- блокировка звонков – *#62#.
Если активной оказывается одна или сразу несколько указанных функций, необходимо набрать запрос ##002# для их отключения.
Наконец, проверить факт прослушки можно при помощи специальных программ. Например, Eagle Security. Приложение делает проверку устройства, после чего выдает заключение о вероятности осуществления слежки через звонки.
А еще диагностику можно выполнить при помощи приложений Incognito, Anti Spy Mobile и Dr.Web. Загрузите их на свой телефон и проверьте, не осуществляется ли прослушка звонков.
Как это проявляется?
Следующим шагом в процессе анализа должно стать наблюдение за аномалиями в поведении системы. Цель состоит в том, чтобы обнаружить аномалии или изменения в запущенной конфигурации системы. Для начала, надо определить, какие процессы происходят и определить их назначение, то есть вы должны выучить, почему запущена та или иная программа при работе вашей системы.
Когда ситуация вдруг меняется, вы легко определите, что конкретно изменилось и что было запущено. В наблюдаемые статистики включите: использование процессора, частоту или расписание запуска программ, и владельца процессов. Также стоит знать, что эксплоит может входить в состав стандартного процесса или называть себя тем же именем.
Так что требуется внимание и усердие в изучении. Представьте, что это – своего рода охота. И как в любой другой охоте сперва требуется много времени, чтобы обнаружить свою добычу. Хакеры редко облегчают эту работу нам, но обученным глазом при определенном терпении и надлежащих инструментах, мы можем найти их ошибки.
Ведь хакеры ошибаются. Причем гораздо чаще рядового пользователя, так как обычно используют свежие, не до конца отработанные методы, программы или приемы, к тому же вынуждены действовать во многих случаях практически вслепую. И тогда вы сами удивитесь, насколько вы будете рады увидеть злоумышленника в своей системе, будете бояться нечаянно его спугнуть или чем-то выдать себя. Азарт, который трудно с чем-то сравнить.
Продолжение следует ….
Можно ли взломать смартфон и как это сделать
Существует разнообразие способов получить доступ к вашему телефону без вашего ведома. Ниже мы разберём самые распространённые из них, а также покажем, как их можно устранить.
Существует множество мобильных приложений, предназначенных для скрытого отслеживания местоположения телефона и ведущейся с его помощью переписки. Можно вспомнить «Spyera», «TheOneSpy», «mSpy», «FlexiSPY», «Highster Mobile» и другие.
Такие приложения можно использовать для удалённого просмотра текстовых сообщений, электронных писем, истории браузера, фотографий, записи телефонных звонков и местоположения по GPS. Некоторые из них могут использовать микрофон телефона для записи ваших личных разговоров. И вы даже можете не узнать, что кто-то подключается к вашему устройству без ведома владельца.
Несанкционированный доступ к аккаунту гугл или icloud без ведома владельца
Взломанные учетные записи Гугл и iCloud предлагают доступ к огромному количеству информации с вашего смартфона. Это фотографии, телефонные книги, местоположение, сообщения, журнал вызовов и в случае iCloud – сохраненные пароли к учетным записям электронной почты, браузерам и другим приложениям.
Кроме того, взломанная учетная запись Google означает взломанный Gmail, основной адрес электронной почты для многих пользователей.
Несколько лет назад mediaget уже участвовал вирусных в скандалах
“В конце 2022 – начале 2022 годов программа была замечена во вредоносной деятельности и официально была внесена в черный список антивирусов. Программу изучили и нашли интересное поведение: если сейчас пакет установки MediaGet проверить с помощью бесплатного анализа подозрительных файлов и ссылок, то результат покажет, что 10 из 55 антивирусных программ указывают на то, что это вредоносное ПО”, – продолжил он.
Бойко объяснил, что создатели подобных программ зарабатывают на продаже возможности загрузки через свое ПО чужого программного обеспечения – начиная от безобидных тулбаров для браузеров и заканчивая вредоносными кейлоггерами.
Обезопасить от подобного может только внимательность пользователя – необходимо проверять каждый скачанный из интернета файл антивирусом, а также читать условия использования программы. “Дополнительную защиту обеспечивает сочетание инструментов – операционная система со всеми обновлениями, антивирус и межсетевой экран”, – продолжил эксперт.
Нет, сынок, это не фантастика
О существовании мобильных вредоносных программ слышали, пожалуй, все владельцы смартфонов и планшетов, но многие, увы, в них не верят. Мол, Андроид – это Линукс, которому вирусы не страшны, а закрытый Apple и подавно им не по зубам. На самом же деле зловредное ПО (речь идет не о классических вирусах) способно заражать любые платформы.
95% заражений приходится на Андроид. У iOS в этом плане дела обстоят лучше, однако вредоносы – любители «погрызть яблочки» если и нападают, то всегда неожиданно (владелец-то думает, что девайс в безопасности) и появляются, откуда не ждали: из официальных магазинов контента.
Самые масштабные разрушения грозят рутованным и джейлбрейкнутым устройствам – чем большими правами наделил себя пользователь, тем глубже сможет внедриться вредоносная программа. Но большинству зловредов, чтобы нанести вам серьезный урон, привилегии не нужны.
Отслеживание телефона через открытые сети wi-fi без ведома владельца
Если вы видите публичную сеть Wi-Fi без пароля, лучше не используйте её для выхода в Интернет. Злоумышленники в незащищенной сети вай-фай могут просматривать весь ее незашифрованный трафик, и легко подключиться к вашему мобильному телефону без вашего ведома..
Как защитить себя:
Повышенное использование данных на устройстве
Вы можете заметить, что потребляемый вашим устройством ежемесячный объём данных слишком велик. К примеру, если вы используете интернет на телефоне очень редко и преимущественно для мессенджеров, то потребление траффика размером в гигабайты может навести на мысли о стороннем вмешательстве. Шпионские программы могут использовать значительный объём данных для отправки собранной информации с вашего смартфона.
Подмена sim-карты
В связи с тем, что для входа на большинство сайтов, содержащих конфиденциальную информацию и открывающих доступ к деньгам людей, используется верификация через SMS-сообщения, злоумышленники научились подменять SIM. Для этого мошенники связываются как бы от имени владельца и сообщают об утрате карты. Если информация, предоставленная злоумышленником, убедит оператора, то тот поменяет SIM на новую.
Получение сведений о взломщике
Выяснить, кто стал преступником, покушающимся на ваши персональные данные, или получил доступ к аккаунту для решения собственных проблем, невозможно. И не потому, что разработчики ВКонтакте не хотят думать над этой задачей, а ввиду особенностей функционирования глобальной сети.
Единственное, что можно узнать о взломщике, это IP-адрес и браузер, из которого осуществлялся вход на сайт.
- В выпадающем меню вызываете «Настройки», как ранее,
- Переходите во вкладку «Безопасность»,
- Жмёте «Показать историю активности».
Здесь размещена информация о последних посещениях ресурса, страны, откуда они осуществлялись, и интернет-обозревателя. На специальных сервисах по IP можно узнать место расположения злоумышленника с точностью до города и даже используемого провайдера, но не более.
Признаки стороннего подключения к телефону
Функционал сегодняшнего смартфона даёт злоумышленникам богатые возможности для взлома системы телефона и получения доступа к её данным. После взлома телефона его можно настроить нужным злоумышленнику образом, и девайс будет пристально следить за нами, отправляя важные данные третьим лицам. При этом пользователь может даже не догадываться, что его телефон стал инструментом слежки.
Тем не менее существуют признаки, которые могут сигнализировать о взломе вашего устройства и чужеродной активности. Они следующие.
Проблемы с отключением телефона, если к нему кто-то подключается
Если у владельца смартфона возникают трудности с отключением гаджета, это может служить признаком взлома девайса. Обычно шпионский софт работает в фоновом режиме, и может мешать полному отключению устройства.
Новейшие смартфоны оснащены мощным аппаратным программным обеспечением. Если вы замечаете, что ваш мобильный внезапно стал работать существенно медленнее, это может означать, что он контролируется, и контролируется удалённо.
Просканируйте систему антивирусом
Антивирусы часто помогают выявить вредоносное или потенциально опасное приложение. Поэтому желательно заранее установить такую программу и настроить расписание для автоматического сканирования системы, например IKARUS mobile.security. Кроме того указанный антивирус отслеживает подозрительные действия при установке или обновлении приложений, что поможет заранее выявить вредоносное программное обеспечение. А ещё указывает на имеющиеся потенциальные риски, что могут использоваться злоумышленники для взлома.
Сброс к заводским настройкам
Рассмотрим вариант сброса настроек при помощи рекавери. Этот способ наиболее эффективен и работает практически всегда. Итак, что делать,если взломали телефон? Алгоритм прост:
- Отключаем аппарат полностью.
- Включаем одновременно с нажатием клавиши увеличения громкости.
- Попадаем в рекавери.
- Выбираем Wipe Data & Factory Reset.
- Подтверждаем действие.
- Возвращаемся назад и выбираем Reboot System Now.
- Ждем загрузки аппарата и настраиваем его.
Смените пароли
В случае взлома смените пароли на всех сайтах, где содержится ценная личная информация или имеется доступ к финансам. Используйте пароли со сложной комбинацией цифр и букв, поскольку простые комбинации легко угадываются или подбираются. Так же не используйте одинаковый пароль на нескольких ресурсах.
Ещё рекомендуется периодическая смена пароля, поскольку базы данных пользователей часто крадут или продают. Периодическая смена пароля сделает такие утечки баз данных неактуальными.
Социальная инженерия
Социальная инженерия — один из самых распространенных способов проникновения в инфраструктуру. В крупных компаниях работает много людей, их осведомленность о правилах информационной безопасности может быть разной — из-за этого некоторые сотрудники подвержены атакам с использованием методов социальной инженерии и фишингу больше остальных. А чтобы собрать список для фишинговой рассылки, достаточно провести поиск по открытым источникам (OSINT).
Многие из нас имеют аккаунты в соцсетях, некоторые — размещают информацию о своем месте работы. Чаще всего электронная почта сотрудника представляет собой комбинацию «первая буква имени фамилия на английском» с небольшими вариациями. Поэтому хакеру достаточно знать формат электронного адреса компании и полное имя сотрудника, чтобы с 90% вероятностью получить его электронный адрес.
Стример устраивает травлю своих жертв в соцсетях совместно со зрителями
В своих трансляциях хакер рассказал, что зарабатывает на взломах, а стримы проводит ради развлечения. Однако он ведет сбор пожертвований и обещает за 15 тысяч рублей включить собственную веб-камеру.
Для удаленного подключения к компьютерам жертв стример использует программу подключения LuminosityLink, его жертвы не получают уведомления о том, что к ним кто-то пытается посоединиться – все происходит совершенно незаметно. При этом у большинства людей подвергшихся атаке, установлена утилита для скачивания torrent-файлов MediaGet.
Существует территориальная специфика угроз
Эксперт отметил, что бесплатное антивирусное ПО сегодня создается для того, чтобы продать платную версию продукта. Соответственно, платная версия – лучше. Он также сказал, что важна актуальность ПО именно для России.
“Существует территориальная специфика угроз, есть вирусы, которые распространяются только в России и странах СНГ. Если используется антивирус, например, китайский – он может такой вредоносный код вообще не увидеть, в то время как по России будет идти настоящая эпидемия. Нужно использовать те антивирусы, которые хорошо локализованы в нашей стране”, – продолжил Царев.
Флагманы антивирусного ПО в России – это продукция компаний “Лаборатория Касперского”, Dr. Web, ESET, AVAST Software, Avira GmbH и AVG Technologies.
Увеличенная продолжительность отключения
Как известно, телефон закрывает все активные приложения и процессы в случае, если вы решите его отключить. Если же на вашем смартфоне работают шпионские программы, вашему телефону понадобится больше времени для своего выключения. Устройству понадобится отменить все действия по передаче шпионских данных и прекратить свою работу.
Потому если ваш телефон начал существенно медленнее выключаться, будет необходимо насторожиться и подумать над причинами дисфункции.
Удалите опасные приложения
При выявлении вредоносных программ рекомендуется незамедлительно удалить приложение. Злоумышленники предусматривают такой исход, поэтому всячески блокируют функцию удаления. В таком случае поможет «безопасный режим».
В безопасном режиме загружаются только стандартные программы, а лишний софт не препятствует удалению вредоносных приложений. Так же безопасный режим позволит перенести важные данные, что бы произвести сброс настроек, на случай, если зловредная программа отказывается удаляться.
Ухудшенный срок службы батареи мобильного телефона
Важным признаком наличие шпионского софта на вашем смартфоне является внезапное падение производительности его аккумулятора. Шпионские программы отслеживают ваши действия и отправляют записи на стороннее устройство. Они делают записи с помощью камеры и динамика, на что уходит существенная часть заряда батареи.
Если вы не уверены, старый ли это аккумулятор или шпионский софт, просто проверьте это, подключив к телефону новую батарею. Если расход по-прежнему аномален – вероятно, причиной служат шпионские приложения.
Уязвимости в инфраструктуре, доступной из интернета
«Кровавый энтерпрайз» — это не только большое количество людей, но и большое количество сервисов: сервисы удаленного доступа, базы данных, панели администрирования, веб-сайты. А чем их больше, тем сложнее их контролировать. Поэтому возникают ситуации, когда из-за ошибок конфигурации сервис становится доступен извне.
Фишинг
Частично понятие фишинга было рассмотрено ранее. Данный термин скрывает в себе практику массовой отправки ссылок на вредоносные сайты. Причем мошенники, в основном, используют для этого почтовые адреса известных компаний либо шифруются под последние.
В подобных случаях сложно распознать действия злоумышленников, так как e-mail действующий. Нередко мошенники обращаются к потенциальной жертве по имени, что повышает доверие пользователей к полученным сообщениям.
Для защиты личных данных от подобных схем рекомендуется не обращать внимания на выгодные предложения и проверять полученную информацию, прежде чем переходить по ссылке.
Фишинговые сообщения от злоумышленников
В качестве последних может выступать текст, рекламирующий средства от коронавируса, или друг, просящий взглянуть на нужное фото. Текстовые сообщения с находящейся внутри ссылкой всё также очень опасны. Они позволяют легко сконнектиться с вашим мобильным без вашего ведома.
Поскольку люди часто проверяют свою почту на протяжении дня, фишинговые письма являются популярным инструментом злоумышленников. Особенно это касается периодов сдачи налоговой отчётности, во время которых наблюдается всплеск фишинговых сообщений, якобы отправленных из ФНС.
Телефоны на базе ОС Андроид могут стать жертвой текстов со ссылками на загрузку вредоносных приложений (такие действия не характеры для невзломанного iPhone, который не может загрузить ничего помимо AppStore). Однако ОС Андроид предупредит вас, когда вы попытаетесь загрузить неофициальное приложение, и спросит у вас разрешения на его установку. Рекомендуем не игнорировать данное предупреждение и отказаться от установки подозрительного софта.
Чего ждать в будущем: тренды кибербезопасности
Новости об утечках данных в последние годы стали особенно громкими, в том числе и потому, что злоумышленникам удается использовать утечки прошлых лет. Это дает им более полные цифровые досье огромного количества пользователей. Следует ожидать продолжения этого тренда.
В 2022 году мы зафиксировали более полутора тысяч хакерских атак; это на 19% больше, чем в 2022 году. В 81% кибератак жертвами были юридические лица. По итогам года в пятерку наиболее часто атакуемых отраслей вошли госучреждения, промышленность, медицина, сфера науки и образования, финансовая отрасль. Отраслевой фокус сохранится и в дальнейшем.
Доля целенаправленных атак растет: в каждом квартале мы наблюдали больше целевых атак, чем в предыдущем. В I квартале 2022 целевыми были менее половины атак (47%), а в конце года их доля составила уже 67%. Стоит ожидать дальнейшего роста APT-атак.
Чтобы успевать реагировать на новые угрозы, технологии защиты также должны активно развиваться. Однако добиться высокого уровня защищенности с помощью только лишь инструментов противодействия и обнаружения атак не удастся. Мы рекомендуем компаниям регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming — это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы и отладить взаимодействия служб ИБ и ИТ в случае кибератаки.
Наша компания разработала комплекс защиты сети организации — Anti-APT, предназначенный для выявления и предотвращения целевых атак. Он позволяет максимально быстро обнаружить присутствие злоумышленника в сети и воссоздать полную картину атаки для детального расследования. Определение аномальной активности в сети, ретроспективный анализ файлов и продвинутая песочница позволяют снизить время реагирования на инцидент или вовсе его предотвратить.Автор
: Денис Кувшинов, ведущий специалист группы исследования киберугроз Positive Technologies