поддержка приложение для мошенников
Эксперты предупредили о новой мошеннической схеме в условиях удаленки
Мошенники стали использовать новую схему для кражи личных данных, которая сочетает подходы хакеров и социальную инженерию, сообщили газете «Коммерсантъ» эксперты RTM Group, ГК «Элекснет» (входит в группу МКБ) и RuSIEM.
Потенциальной жертвой новой мошеннической схемы становится соискатель работы, которому предлагают скачать популярные приложения с официальных ресурсов. Мошенники находят резюме жертвы на сайте поиска работы, связываются с ней под видом работодателя и просят установить ряд приложений, одно из которых содержит вредоносную программу, рассказал газете директор технического департамента RTM Group Федор Музалевский. Таким образом мошенники получают удаленный доступ к устройству и могут украсть коды клиента банка для доступа к личному кабинету.
При этом сами приложения жертва скачивает напрямую из магазина Play Market, куда одно из них, зараженное вирусом, перед этим загрузили мошенники, уточнил Музалевский. «Новая схема комбинирует подходы хакеров и «звонарей» — специалисты по переговорам настойчиво просят поставить безобидную на первый взгляд программу, а в нее уже хакеры зашили средства управления», — пояснил он, отметив, что такая схема может стать массовой в условиях удаленки.
Новая схема — вариация уже использовавшейся, в которой компания якобы нанимает на работу людей, получает копии их паспортов, а затем берет от их имени займы в микрофинансовых организациях или торгует персональными данными, рассказал газете глава службы информационной безопасности ГК «Элекснет» Иван Шубин. Разница заключается в том, что раньше мошенники действовали офлайн и снимали офис, а в период пандемии, как и многие компании, перешли на удаленку, отметил он.
При такой схеме ПО может выглядеть легитимным и устанавливаться с официальных магазинов типа Google Play, отметил в беседе с «Коммерсантом» технический директор RuSIEM Антон Фишман. В Google, в свою очередь, сообщили, что во всех Android-смартфонах работает система безопасности «Google Play Защита», которая проверяет приложения во время установки, а также периодически сканирует устройство. Если система находит потенциально опасное приложение, она предупреждает пользователя и блокирует приложение, сообщили в компании.
За первое полугодие 2020 года мошенники украли у банковских клиентов с их карт и счетов 4 млрд руб., совершив более 360 тыс. несанкционированных операций, посчитал Банк России. Самым распространенным способом мошенничества стала социальная инженерия (около 80% случаев) — методы обмана и введения клиентов в заблуждение с целью кражи денежных средств. В таком случае мошенники обычно звонят банковским клиентам под видом сотрудников банка и сообщают, что по карте якобы совершена подозрительная операция. Под предлогом спасения денежных средств они вынуждают клиента совершить ряд действий, чтобы украсть деньги с его счета.
В последнее время стали также появляться более сложные схемы. Мошенники звонят как от имени «банковских работников», так и от «правоохранительных органов», которые «подтверждают», что кто-то пытается украсть деньги клиента, поэтому их надо спасти путем перевода на «безопасный» счет. Также злоумышленники начали звонить от имени бюро кредитных историй и сообщать, что обнаружили попытки оформления кредитов с использованием паспорта жертвы.
Как мошенники используют TeamViewer QuickSupport
Для чего была создана программа TeamViewer QuickSupport?
«комплексное решение для удаленного доступа, удаленного мониторинга и удаленной поддержки, совместимое практически со всеми стационарными компьютерами и мобильными платформами. Эта программа была создана для упрощения работы службам технической поддержки пользователей, системным администраторам, изначально для персональных компьютеров с ОС Windows. Если пользователь не может сам решать проблемы со своим компьютером и у него установлена такая программа, то системный администратор может удаленно подключиться к его компьютеру и работать на нем удаленно, как будто он за ним сидит. Теперь программа TeamViewer есть под 7 разных операционных систем, в том числе Android и iOS, т.е. её можно использовать для удаленного управления смартфонами.
Программа очень популярная:
И часть этой популярности добавляют мошенники, использующие эту программу чтобы тырить денежные средства у доверчивых граждан в безналичном виде.
Как используют программу TeamViewer мошенники
Мошенники звонят клиентам банков по фрагментам базы, «утекшим» из Сбербанка, Альфа-банка, ВТБ, Тинькофф и другим, применяют приемы «социальной инженерии» и пользуются доверчивостью граждан и низкой компьютерной и финансовой грамотностью. Мошенники разными приемами, запугивая будущую жертву, принуждают поставить на свой смартфон чудо-программу, которая якобы поможет воспрепятствовать краже денег/взятию кредита и т.п. При этом, они могут назвать эту программу «Quick Support», «поддержка Сбербанка», «защитное приложение банка», просто «поддержка», антивирус или как-то еще. В большинстве случаев речь идет о программе TeamViewer QuickSupport, она очень популярна и легко находится в Google Play по массе различных безобидных фраз, например:
Точно так же мошенники просят клиентов Альфа-банка установить программу «быстрая поддержка альфа банк» — тот же QuickSupport:
После установки TeamViewer, жертва передает мошенникам свой TeamViewer ID, дают согласие на подключение, и мошенники получают полный доступ к смартфону по удаленным каналам, через интернет. Дальше они могут делать что угодно — взять кредит онлайн в личном кабинете банка жертвы и вывести все деньги: и клиента, и кредитные. А клиент остается у «разбитого корыта» без денег и с долгами перед банком.
Доказать взлом счета в данном случае будет невозможно, т.к. взаимодействовать с банком в данном случае будет непосредственно Ваш телефон или компьютер. Для банка нет совершенно никакой разницы кто двигал мышь и нажимал на клавиши клавиатуры: Вы или мошенник, главное что сигнал пришёл с Вашего устройства.
В Google Play немало соответствующих отзывов от пользователей:
Примеры кражи денег на сотни тысяч рублей
Банки — разные, Альфа, Хоум кредит, Сбербанк.
23.11.2020 — 142000 рублей. «Я не передавала им код, схема развода мошенников оказалось проста, нужно скачать программу, что бы отказаться от якобы оформленного кредита на моё имя, у меня даже сомнения не вызвало что это мог быть не сотрудник банка». Альфа-банк
26.10.2020 — 300000 рублей убытка (минимум) — мне позвонили на мобильный и представились «СЛУЖБА БЕЗОПАСНОСТИ АЛЬФА-БАНК». Эти люди сообщили, что мою зарплатную карту взламывают и нужно срочно поставить защитную программу для телефона. … После того, как программа была установлена, меня соединили с оператором, который продублировал код для регистрации программы защиты. Через 3 минуты я позвонил в банк, а там мне сообщили о том, что взят кредит на мое имя. Альфа-Банк заблокировал карту, успели списать только 300 тыс. Но банк готов пойти на встречу и списать страховку в 98 тыс., а вот остальные 200 тыс. это моя забота и кредит нужно гасить.
27.10.2020 — попытка взять кредит на имя жертвы не удалась. «Позвонили якобы с Альфа-банка для подтверждения смены номера телефона. Сказали, что на меня пытались оформить кредит с этим номером телефона и, получается, что у мошенников есть мои паспортные данные и нужно установить защиту, и предложила установить приложение Quick support. Потом оказалось, что приложение называется TeamViewer QuickSupport. В какой-то момент телефон перестал реагировать на мои действия и мошенник сам начал лазить по приложению и перевел деньги себе на счет, аргументируя, что они вернутся. Все это время я пыталась выключить телефон, но он не реагировал на мои действия, так как он управлялся удаленно.»
19.10.2020 — студентка. Взят кредит в Альфа-банке на 720000 рублей. Позвонили «сотрудники» Альфа Банка, полностью озвучили ее личные данные. Сообщили, что участились попытки взлома онлайн-кабинета АБ, потом «помогают» в настройке на ее телефоне «виртуальной защиты».
03.11.2020 — жена в декрете, покупки на 225000 рублей с кредитки. Уговорили поставить TeamViewer, дальше посыпались Push-сообщения с кодами и сообщения о покупках.
Приемы мошенников
Главное, что сходу стараются сделать мошенники — это вывести клиента из привычного ритма, резко напугать, что сейчас может произойти что-то ужасное, с большими финансовыми потерями:
В первом случае скорее всего мошенникам нужен только код из СМС для «отмены перевода» и получения разовой суммы. В других случаях клиента могут убедить, что нужно немедленно помешать мошенникам и поставить специальную программу банка — «виртуальная защита», «поддержка Сбербанка» и т.п. Обычно это TeamViewer или иногда AnyDesk.
Есть и отдельные свидетельства неудачных попыток мошенников. Причем всё указывает на то, что мошенники подготовились хорошо и не ограничились общедоступной информацией о потенциальной жертве через СБП, а имела место утечка данных из банка.
Мошенники обманом вынуждают жертв установить TeamViewer
Реверс малвари
Аналитики Group-IB предупредили о новой волне мошенничества, направленного на пользователей приложений для мобильного банкинга. В новой схеме используется легальная программа для делегирования доступа TeamViewer, которая позволяет третьим лицам подключиться к смартфону. В течение полугода ежемесячно, в среднем, фиксируется более 1000 попыток вывода денежных средств со счетов физических лиц с помощью схемы, в которой используются программы для удаленного доступа.
По данным экспертов, основной пик мошенничества с использованием мобильного приложения и TeamViewer на весну текущего года: в апреле и мае 2019 года в Group-IB начали поступать массовые запросы от банков. Активность мошенников с небольшим спадом продолжилась летом, а второй пик активности пришелся на июль 2019 года. РБК сообщает, что такие атаки фиксировали службы безопасности банка «Открытие», Почта Банка и Альфа-банка.
Обнаружить подобные атаки оказалось весьма трудно, так как в данном случае пользователь мобильного приложения банка сам соглашался установить TeamViewer, после чего отличить его действия от действий мошенника, выдающего себя за реального клиента банка, становилось сложно. Для этого необходимы системы поведенческого анализа, позволяющие в режиме реального времени выявлять мошенническую активность в мобильном канале.
Только в одном из банков Group-IB удалось предотвратить ущерб по схеме с удаленным доступом на сумму 16 000 000 рублей за 2 месяца. Среднемесячная сумма ущерба по данному типу мошенничества для крупного банка может составлять от 6 до 10 млн рублей.
Работает данная схема весьма просто. Злоумышленник звонит пользователю, представляясь сотрудником банка, и сообщает, что зафиксирована попытка взлома его личного кабинета или же вывода средств с его счета. Якобы службе безопасности банка требуется помощь клиента: нужно решить техническую проблему для противодействия мошенничеству. Для этого необходимо срочно установить программу удаленного управления смартфоном, чтобы сотрудники банка могли получить доступ к устройству и обезопасить пользователя. После установки такой программы, мошенник получает возможность действовать от имени пользователя и, получив доступ к приложению мобильного банкинга, выводит средства со счета жертвы.
В одном из разговоров с мошенниками, специалисты Group-IB сообщили преступникам, что видят свой счет и деньги с него не списаны. Мошенник не растерялся и ответил, что средства списываются не сразу: якобы банк уже видит транзакцию, а пользователь еще нет, поэтому необходимы срочные превентивные меры.
Еще один сценарий атаки выгляди следующим образом: на телефон жертвы отправляется фейковое SMS-сообщение (якобы от лица банка) о списании средств. Зачастую такое сообщение предваряет телефонный звонок мошенников. Далее пользователю звонит «сотрудник банка», говорит, что зафиксировал попытку вывода денежных средств и тут же уточняет: получал ли пользователь оповещение? Жертва отвечает, что сообщение приходило, мошенник тут же сообщает, что на смартфоне зафиксирована вредоносная активность, и чтобы ее прекратить, нужно установить все ту же программу удаленного доступа.
Исследователи отмечают, что транзакционный анализ, повсеместно используемый в банках для блокировки несанкционированных списаний, в данном случае, не поможет. Злоумышленник действует от имени и фактически «рукой» легального пользователя. В свою очередь, именно пользователь «наделил» злоумышленника такими правами, по доброй воле установив на свой смартфон программу для удаленного доступа. При этом сама установка TeamViewer не является доказательством реализации мошеннической схемы.
«Единственный вариант обнаружить данную схему — фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии. „Умные“ технологии защиты клиента в каналах ДБО умеют создавать его профиль, основанный на поведенческих характеристиках. Сам факт появления нового ПО для удаленного доступа на устройстве, особенно если раньше оно клиентом не использовалось, уже является фактором риска. Мы отслеживаем такие действия, а анализ дальнейшей работы пользователя позволяет понять — совпадает ли его поведение с обычным поведением его профиля. И если нет — такая активность считается подозрительной и действия мошенника, орудующего в личном кабинете ничего не подозревающего пользователя, блокируются банком», — рассказывает Павел Крылов, руководитель по развитию продуктов направления Secure Bank и Secure Portal.
Специалисты Group-IB советуют пользователям: если вам звонит «сотрудник» банка и сообщает о несанкционированном списании с вашего счета — кладите трубку, независимо от того, с какого номера поступил звонок. Для проверки информации — перезвоните в свой банк самостоятельно по телефону, указанному на вашей карте.
Найдено 5 приложений-мошенников. Не скачивайте ни в коем случае!
За 2017 количество приложений в App Store снизилось на 6%, опустилось с 2,2 до 2,1 миллиона. Об этом говорит исследование Appfigures, так получилось из-за ужесточения правил для разработчиков и удаления 32-битного софта.
2,1 миллиона… все еще внушительное число с курсом на увеличение. Очевидно, уследить за всем этим нельзя, несмотря на огромную команду строгих модераторов. Поэтому появление в магазине приложений-мошенников даже не удивляет.
Мы собрали вместе 5 таких программ, которые помогут вам потерять время, деньги и личные данные.
Но на самом деле в App Store подобных гораздо больше, поэтому воспринимайте информацию о них не как частный пример, а общий случай.
GetContact — антиспам расскажет о вас миру все
В конце февраля 2018 социальные сети взорвались от наплыва скриншотов из программы GetContact.
У нее была интересная возможность посмотреть, как ваш номер телефона записан у друзей, коллег и просто знакомых: «Коля-ботан», «Не брать трубку!» или даже «Лена маникюр».
Чтобы сделать это, нужно было предоставить приложению доступ к личной информации. Она тут же попадала на сервера компании для анализа и сгружалась в общую базу данных.
С помощью нее можно было понять, кто и где живет, с кем работает, когда и куда ходит на пиво и с кем спит. Причем этими данными пользователи делились без задней мысли.
В феврале GetContact заблокировали на территории Азербайджана и Казахстана за нарушения законов «О персональных данных и их защите». А к марту программой заинтересовались в Роскомнадзоре…
Но приложение до сих пор доступно в российской ветке App Store. Набор его возможностей постоянно меняется, но оно не прекращается требовать полный доступ к телефонной книге, которая может стать частью общей базы.
Не советуем устанавливать приложение и давать ему доступ к личной информации, после этого рискуете, как минимум, попасть в списки рекламных рассылок.
Mobile Security — разводящий на подписку «антивирус»
У приложения Mobile Security говорящие отзывы:
Но разве они смогут остановить того, кто хочет получить «мощный инструмент для защиты и защиты вашего интернет-ресурса и обеспечения безопасности вашей личной информации»?! Вряд ли…
В программу встроен сейф для личных данных, защищенный браузер, анти-вор, который будет бить злоумышленника током (на самом деле нет), и система отчетов о безопасности устройства.
Чтобы приложение заработало и написало «Вы защищены!», нужно оформить подписку, которую оно нагло требует. Программа обещает бесплатный ознакомительный период (2-3 дня), а после этого снимает по 599 руб. в месяц. Схема не нова.
Конечно, о повышении безопасности здесь не может быть даже речи, это развод. Вы платите только для успокоения своих нервов, не более. И таких вот «антивирусов», которые iOS просто не нужны, в магазине приложений слишком много.
Calendar 2 — может втихую майнить криптовалюту
В середине марта в топах Mac App Store появилось несуразное приложение-календарь, которое загружало процессор на 100% и больше.
Оказалось, программа втихую добывала криптовалюту Monero, выпущенную в 2014. Это первый известный нам случай, когда в магазине приложений Apple появился софт для скрытого майнинга.
Нет, при первом запуске приложение намекало, что для бесплатного доступа к премиум-функциям оно будет использовать ресурсы системы, но на подобные сообщения никто не обращал внимания.
После тревоги, которую подняли СМИ, приложение удалили из Mac App Store, а потом вернули уже без майнинга. Скачать его можно и сегодня.
Тем не менее, мы не рекомендуем вам делать это. Во-первых, оно отвратительное по набору возможностей. Во-вторых, мало ли, что еще с ресурсами вашего Mac захотят сделать разработчики.
«Эквалайзер» — обещает прокачать звук на iPhone
В отличие от Android, у iOS хватает ограничений. В частности на iPhone нельзя установить доп. приложение, которое прокачает звук системы целиком — например, эквалайзер.
Но многие продолжают искать в App Store такой софт, и он появляется с завидной регулярностью.
Эта и аналогичная программы действительно могут изменять звук, но делают это ужасно и только внутри себя. Чтобы открыть все ее возможности вы потратите несколько сотен рублей, а после просто удалите «Эквалайзер» за ненадобностью. Лохотрон.
Но в каждом правиле есть исключения. Например, музыкальный плеер VOX реально играет круче стандартного, у него есть толковый эквалайзер, а еще он поддерживает FLAC и другие форматы щадящего сжатия.
Тем не менее, он не сделает круче звук всей системы и не заработает с Apple Music.
«Меломан ВКормане» — плеер с подозрительно созвучным названием
Было время, мы бесплатно слушали музыку из «ВКонтакте» с помощью десятков iOS-приложений, которые умели скачивать ее в память устройства. Но все изменилось.
Сначала Apple обратила внимание, что в социальной сети пиратская музыка, и начала прикрывать подобный софт. А после изменения руководства ВК музыка в сервисе стала платной, появилось фирменное приложение BOOM, и лавочку прикрыли окончательно.
Тем не менее, и сегодня в App Store появляются приложения, которые предлагают без подписки скачивать музыку из «ВКонтакте» — не прямо, намекают на это.
На днях мне попался яркий пример по имени «Меломан ВКормане». Имя приложения подозрительно созвучное названию социальной сети, поэтому даже я прочитал его правильно не с первого раза.
Более того, именно «Меломан» в свое время было одним из самых удобных приложения для музыки из ВК.
Никакого отношения к бесплатной музыке эта программа не имеет. Это банальный плеер для треков, загруженных через iTunes. Он не работает с Apple Music и не выглядит удобным. Зря потраченные деньги.
Вместо вывода
Чтобы не потерять время, деньги и личные данные, думайте головой.
Если что-то звучит слишком хорошо, чтобы быть правдой, это ложь.
Например, если вам предлагают узнать, как вы подписаны в телефонной книге у товарища, сразу подумайте, откуда у разработчиков доступ к этой информации.
Более того, следите за предложениями программ и игр. Сегодня ситуация с подписками очень странная. Большинство приложений предлагает бесплатный период, после которого без предупреждения начинается платный. Это неправильно.
«Установите программу. »: мошенники проникают в наши гаджеты
Преступники следят за новыми технологиями — теперь им больше не нужны ваши личные данные или даже данные банковской карты. Все, что им необходимо сегодня — доступ к вашему мобильному телефону или компьютеру, в котором каждый из нас хранит всю важную информацию. Под видом защиты ваших вкладов, трудоустройства и пр. они просят установить некое приложение или программу, с помощью которых все сделают сами.
Примерная схема действий
Вам поступает звонок якобы от представителя банка или кредитной организации. «Сотрудник» сообщает о подозрительных транзакциях, а затем просит установить программу для удалённого доступа, чтобы спасти вас от несанкционированного снятия денег. Ещё один возможный вариант — просьба установить «специальный антивирус» или скачать программу «для удалённой помощи».
Как сообщила «Рамблеру» менеджер по развитию бизнеса Kaspersky Fraud Prevention Екатерина Данилова, для этой схемы, как во многих случаях, злоумышленник пытается сыграть на чувствах и эмоциях жертвы. В результате в 48% случаев люди действительно устанавливают подобное программное обеспечение и теряют свои финансы.
Из практики скажу, когда мы общались с банками, для меня было удивительно, что пользователь легко верит в такие легенды — ведь надо зайти в магазин приложений, скачать программу, сказать человеку по телефону определенный код — это может занимать от 10 до 30 минут, — пояснила Данилова.
После скачивания и установки подобных программ мошенники получают полный доступ к счёту жертвы, а также ко всем её данным — от записной книжки до паролей от аккаунтов.
«Этот вид мошенничества строится, в первую очередь, на доверчивости граждан», — прокомментировал ситуацию руководитель Агентства кибербезопасности Евгений Лифшиц. — «До недавнего времени мошенники не могли получить удаленный доступ к мобильному телефону жертвы. Теперь же пострадавших тысячи».
Как защититься от такого мошенничества?
Не устанавливайте по просьбе неизвестных программное обеспечение, в частности программы:
· Remote Utilities и другие возможные программы – например, «антивирусы» и т.д.
Владельцам смартфонов также нужно обратить внимание на подобные просьбы и не устанавливать приложения с похожими названиями. Такая программа предоставит мошенникам полный доступ к телефонной книге, мобильным банкам и другим личным данным, которые для вашего удобства хранятся в памяти гаджета.
И запомните: любой подобный звонок должен насторожить. Банк не звонит клиентам и никого не просит ничего установить, никогда не настаивает на том, чтобы продиктовать номер карточки. Если поступил такой звонок, перезвоните по официальному номеру (его можно узнать на официальном сайте банка или на оборотной стороне вашей банковской карты) и убедитесь в том, что действительно звонили настоящие сотрудники.
Материал подготовлен в рамках программы Министерства финансов «Повышение уровня финансовой грамотности жителей Калининградской области». Дополнительная информация — по Телефону «горячей линии» по вопросам финансовой грамотности (звонок бесплатный) 8-800-555-85-39 или на сайте fingram39.ru.
Материал подготовлен в рамках программы регионального министерства финансов «Повышение уровня финансовой грамотности жителей Калининградской области»