Краткий курс об основах безопасности мобильных устройств для сотрудников Банка. Читается в рамках программы внутреннего обучения "Альфа-Опыт"

1. Безопасность мобильных устройств
Денис Горчаков
Управление информационной безопасности

2. О себе
Управление информационной безопасности
Блок «Безопасность»
Отдел мониторинга и расследования инцидентов ИБ
Противодействие мошенничеству на сети оператора,
расследование финансовых инцидентов.
Проекты по защите абонентов, борьба с мошенничеством
в промышленных масштабах, маленькая антивирусная
лаборатория.
Исследование «Мошенничество в SMS-банкинге»

3. Всё наоборот

4. Актуальность темы

5. Кому нужны ваши данные?
Обычный мошенник – финансовый интерес к вам:
• SMS-спам
• кража денег со счета телефона или банковских счетов
• кража данных платежных карт и учетных записей
• блокировка устройства или шифрование данных
Продвинутый мошенник – интерес к данным Банка:
• целенаправленная кража данных
• слежка и получение всевозможных данных о вашей
работе, в том числе данных ограниченного
распространения

6. Какое отношение это имеет к нам?
По статистике Lookout Security, более 50% всего вредоносного
ПО для мобильных устройств в мире разработано против
российских абонентов.
Статистика мобильных вирусов (Лаборатория Касперского)
Страна % атак*
Россия 44,0%
Индия 7,6%
Германия 5,6%
Иран 3,4%
Вьетнам 3,1%
Казахстан 3,1%
Украина 2,7%
Малайзия 1,9%
Бразилия 1,7%
США 1,7%

7. Не только Android
Опасность представляют не только вирусы для телефонов, но и:
• физический доступ (кража устройства)
• уязвимости и новые вирусы для iOS (Win Phone - ?)
• мошенничество через социальную инженерию (Wi-Fi)
• ошибки в работе программ и браузеров
• мошенники в салонах сотовой связи
Что делать? Простые советы по «гигиене»

8. PIN-код
Простейший совет, однако по разным данным от 30 до 60%
пользователей не используют PIN-код.
Надежно:
• PIN
• разблокировка
отпечатком пальца
Как включить?
iOS: «Настройки» –> «Пароль» («Touch ID и пароль»)
Android: «Настройки» -> «Безопасность» -> «Блокировка экрана» -
«Пароль»
«Хитрости»: время до блокировки, пароли на отдельные приложения.
Ненадежно:
• жест разблокировки
• разблокировка «значками»

9. «Взлом» (разблокировка)
Оцените удобство от разблокировки, насколько оно необходимо?
Опасность:
• расширение доступа к устройству, в том числе отключение
защитных механизмов
• вирусам легче проникнуть на устройство, они уже
научились проверять, разблокирован ли аппарат
• никто не знает, что внутри установленных «фишек»
• теряется возможность нормального обновления
устройства
• с помощью «adb» возможно скрытно устанавливать
программы на Android-устройство при подключении к
компьютеру.
Для iOS – вирус Wirelurker становится опаснее, чем без
jailbreak

10. Подключение к Wi-Fi сетям
Поддельные Wi-Fi сети уже использовались в освещавшейся в
прессе атаке под названием Darkhotel.
Если вы не топ-менеджер, опасностей не меньше:
• передаваемые по открытой сети данные можно перехватить
• точку доступа может называться MosMetro_Free, TANUKI, и пр. –
устройство подключится к ней автоматически
• хакеры регулярно взламывают мобильные браузеры на
конкурсах (Pwn2Own), можно вмешаться в данные. Такие же
ошибки встречаются и в разных программах
Android: «Настройки» -> «Wi-Fi», можно удалить сеть. «Расширенные настройки»
-> «Всегда искать сети» отключить
iOS: «Настройки» –> «Wi-Fi» –> Выбрать нужную беспроводную сеть –> «Забыть
эту сеть» –> «Вернуться в Wi-Fi» –> «Подтверждать подключение: вкл.»

11. Установка приложений
Устанавливайте приложения только из официальных
каталогов!
Это справедливо и для iOS, и для Android.
Если очень необходимо поставить стороннее приложение,
при установке обратите внимание, что спрашивает
приложение – это недолго, но бдительность крайне важна.
Зачем программа требует доступ к аккаунтам, SMS,
микрофону, местоположению и неограниченный доступ в
Интернет?
Проверьте: «Настройки» -> «Безопасность», флажок
«Неизвестные источники». «Проверять приложения» - да?

12. Уведомления на экране блокировки
Уведомления могут содержать
важную информацию – одноразовые
пароли, личные данные, ошибки
приложений могут помочь в обходе
разблокировки злоумышленнику.
Android: «Настройки» ->
«Приложения», «Показать
уведомления» для программы
iOS: «Настройки» –> «Пароль»
(«Touch ID и пароль») –> «Доступ с
блокировки экрана» и
«Настройки» –> «Уведомления»

13. Облачные сервисы
Обратите внимание, где вы в настройках
iCloud, Dropbox, Google+, OneDrive
установили автозагрузку.
Подумайте, что доверять сервисам, что нет?
Например, включив историю перемещений,
вы можете подсказать «продвинутому»
вору, когда вас нет дома или где вы чаще
всего бываете в то или иное время. Такие
вещи уже использовались.
iOS: «Настройки» -> «iCloud»
Android: «Настройки Google» -> «Мое
местоположение»: «Отправка геоданных» и
«История местоположений».
«Google Фото»: «Настройки» ->
«Автозагрузка»

14. Увеличьте безопасность своих данных в «облаке», включив эту
функцию.
Если злоумышленник каким-то способом завладеет вашим паролем, это
ему не поможет, ведь для входа в аккаунт потребуется ввести
одноразовый код.
Для Android-устройств включить эту функцию можно по ссылке:
https://accounts.google.com/SmsAuthConfig
Для устройств на iOS - на сайте https://appleid.apple.com в разделе
«Управлять Apple ID» - «Пароль и безопасность» - «Доверенные
устройства» - «Управлять» - «Добавить номер телефона с возможностью
приема SMS-сообщений»
Если программа требует пароль для почтового ящика или аккаунта
Apple/Google – используйте пароли приложений.
Двухфакторная аутентификация

15. Поиск и удаленное управление
Android: «Настройки Google» -> «Удаленное управление Android»,
«Удаленный поиск устройства» и «Удаленная блокировка и сброс
настроек».
Поможет удаленно сбросить все данные на потерянном телефоне или
найти злоумышленника. Продвинутые решения могут делать фото
человека, пытающегося разблокировать устройство.
iOS: «Find my iPhone», поиск и блокировка устройства.
Плюсы: безопасней
Минусы: можно потерять все данные, если злоумышленник завладеет
учетной записью.
Уменьшить риски можно, включив двухфакторную аутентификацию.

16. Запрет контента
Мегафон:
Запрос: *105*801#
Телефон: 0500
• «Стоп-контент»
• «Отказ от SMS рассылок»
МТС:
Телефон: 0890
• «Запрет контента»
• «Запрет приема информационных SMS и
SMS/MMS с сайта МТС»
• «Запрет приема SMS с новостями МТС»
Билайн:
Телефон: 0611
• «Черно-белые списки»
• «Блокировка «Мобильной рекламы»»
• «Запрет промо-акций»

17. Мошенничество в салонах
Что делать владельцу?
• Проверьте свои паспортные данные у оператора
• Напишите заявление о запрете замены SIM по
доверенности
• Альфа-Чек: 2256 – pay off
• Ограничение автоплатежа
Стоимость замены вашей SIM-карты на «черном рынке»
~ 1 тыс. руб.

18. Пользуйтесь приложениями!

19. Вопросы? Помощь?
dgorchakov@alfabank.ru