Одним из последствий пандемии стал огромный всплеск SMS-мошенничества, поскольку в это непростое время киберпреступники эксплуатируют наши самые уязвимые места. По мере того, как вредоносное ПО, нацеленное на клиентов мобильного банкинга, становится все более изощренным, абонентам становится все сложнее выявлять обман, в результате чего многие несут финансовые потери.
Простейшим советом будет вообще не открывать подозрительные сообщения. Это ведет к потере доверия к SMS, как каналу, а следовательно, может негативно сказаться на доходах операторов мобильной связи.
Основными виновниками являются смишинг-атаки (также известные, как SMS-фишинг), целью которых является получение конфиденциальной информации, такой как личные данные и данные банковского счета абонента. Как правило, человеку предлагают перейти по ссылке, позвонить по номеру телефона или написать на адрес электронной почты, предоставленный злоумышленником с помощью SMS-сообщения, чтобы поделиться своими данными.
Более новая и продвинутая угроза — FluBot, сочетает в себе смишинг с вирусным ПО типа «троян». FluBot установил новую планку для вредоносного ПО за счет метода распространения и применения DGA (Domain Generation Algorithms, алгоритмов генерации доменных имен), а также — своих программных компонентов. Давайте же подробнее рассмотрим угрозы, которые несет это вредоносное ПО, и способы борьбы с ними.
Вредоносное ПО FluBot— из-за чего весь переполох?
FluBot — новое вредоносное ПО для Android, нацеленное на клиентов мобильного банкинга. Оно использует оверлейные атаки на основе системного компонента WebView для фишинга данных приложений. Вредоносная программа в первую очередь нацелена на приложения для мобильного банкинга и работы с криптовалютой. Однако FluBot также собирает широкий спектр пользовательских данных из всех приложений, установленных на зараженном устройстве.
Злоумышленник отправляет поддельное SMS-сообщение, «информирующее» получателя о недоставленной посылке или о проблеме с банковским счетом. Чтобы сообщение выглядело более убедительно, злоумышленники также часто используют SMS-спуфинг — фальсификацию идентификатора (номера) отправителя. Таким образом, поддельные сообщения появляются в той же цепочке, что и предыдущие сообщения от «настоящего» отправителя.
Переход по ссылке внутри фальшивого сообщения приводит абонентов на «настоящий» веб-сайт, взломанный злоумышленниками. Взломанные серверы веб-приложений настраиваются для хранения APK-файла вредоносной программы. Пользователь получает инструкции разрешить использование внешних приложений на своем телефоне без явного упоминания того, что для этого необходимо изменить настройки безопасности. Если пользователь следует инструкциям, загружается троянская программа.
После установки FluBot мгновенно начинает отслеживать запущенные на устройстве приложения. После обнаружения запуска целевого приложения вредоносная программа начинает оверлейную атаку, отображая фальшивую страницу входа в систему, специально созданную для целевого приложения, которое открывает пользователь. Фишинговая страница накладывается поверх целевого приложения практически мгновенно, поэтому пользователь не успевает ничего заподозрить. После ввода учетных данных приложения на фальшивой странице, наложенной поверх приложения, FluBot отправляет учетные данные на сервер команд и управления (C&C-сервер), управляемый злоумышленником.
Другой опасностью FluBot является его способность получать доступ к книге контактов пользователя и отправлять этим абонентам SMS-сообщения с целью самораспространения. FluBot обязан своим названием своей скорости распространения и вектору заражения, которые напоминают обычный грипп.
Согласно отчету FluBot — Malware Analysis Report от Prodaft, FluBot распространился на Великобританию, Германию, Венгрию, Италию, Польшу и Испанию. Собрав на сегодня 25% испанских мобильных номеров, заразив более 60 000 жертв и похитив более 11 миллионов телефонных номеров, вредоносная программа и не собирается сбрасывать обороты.
Эксперты утверждают, что почти для каждого сообщения злоумышленники используют новые ссылки на взломанные серверы веб-приложений. Это демонстрирует уровень продуманности FluBot, который отличает его от других вредоносных нацеленных на кражу банковских данных потребителей.
В отчете также указывается, что если не будет предпринято никаких действий, это вредоносное ПО сможет собрать практически все телефонные номера в Испании в течение 6 месяцев. В других семействах вредоносных программ функция распространения через SMS работает не так эффективно. Однако, smishing-модуль FluBot хорошо реализован и работает практически во всех конфигурациях. В дополнение к методу распространения, основанный на алгоритмах генерации доменов новый подход делает практически невозможным устранение угрозы с помощью традиционных методов. Также FluBot можно легко адаптировать для распространения в разных странах путем простого изменения конфигурации в его кодовой базе.
Последствия и возможные решения
Самая неотложная проблема — это потеря доверия. С распространением новостей о мошенничестве или нарушениях безопасности, вызванных SMS, общественность неизбежно задается вопросом, заслуживает ли этот канал доверия. Это может нанести серьезный удар по доходам оператора. Если абоненты начнут игнорировать SMS, предприятия будут вынуждены переключиться на каналы коммуникации, которые аудитория считает безопасными — довольно мрачная перспектива, учитывая, что по прогнозам, доходы от A2P SMS в 2021 году достигнут 45,93 миллиарда долларов.
В такой ситуации публикация официального заявления, предупреждающего абонентов о том, что они не должны переходить по подозрительным ссылкам в SMS, только ухудшит положение операторов, которые, по сути, признают, что их продукт ненадежен и небезопасен.
SMS-файерволлы — надежные инструменты, используемые операторами мобильной связи для выявления и блокировки спама и спуфинга. Однако даже лучшие брандмауэры SMS-файерволлы не могут автоматически проверять безопасность URL-адреса, содержащегося в сообщении. Поскольку гиперссылка сама по себе является реальной угрозой, настройки файерволла должны постоянно обновляться и корректироваться, чтобы тот имел шанс противостоять таким видам мошенничества.
Таким образом, очевидным решением будет блокировка всех сообщений, содержащих известные вредоносные URL. Проблема в том, что такие URL обычно регистрируются в день атаки и могут быть изменены в дальнейшем, что делает занесение этих адресов в черный список, мягко говоря, неэффективным.
Возьмите ситуацию под контроль с ZeroTrustSMS
Но что, если попробовать прямо противоположный подход, рассматривая каждый URL, доставленный в SMS, как опасный, если его безопасность не была доказана? Zero Trust — часть предложения GMS по защите SMS-бизнеса операторов — работает именно так.
Такой подход помогает противостоять смишингу, предотвратить проникновение вредоносных программ на вашу сеть и нанесение вреда вашей базе абонентов, гарантируя, что каждая ссылка, отправляемая каждому абоненту, полностью безопасна. Это достигается путем прямой блокировки вредоносных ссылок, в то время как еще не классифицированные потенциально опасные ссылки доставляются с серьезным предупреждением. В результате вы одновременно защищаете и обучаете своих абонентов, сообщая им, какие URL-адреса можно спокойно открывать, а какие заблокированы в целях их безопасности.
Защищайте ваших абонентов и ваши доходы
Несмотря на очевидную угрозу, исходящую от FluBot, GMS может предоставить операторам мобильной связи уникальную возможность информировать своих абонентов о надежности каждой ссылки, доставленной на их телефон, продемонстрировать осведомленность в ситуации и укрепить свою репутацию заботливого и профессионального поставщика услуг, одновременно защищая свои доходы.
Свяжитесь с нашими экспертами, чтобы узнать больше о Защите SMS-бизнеса с GMS уже сегодня!