В одном из таких случаев москвич лишился более 20 тыс. руб. Незнакомый отправитель прислал мужчине фотографию и спросил, не он ли на ней запечатлен. Когда потерпевший, который, по его словам, лишь загрузил «снимок», то диалог со злоумышленником исчез, а с дебетовой карты были списаны 22 тыс. руб., после чего карта была заблокирована банком. Однако все опрошенные «РГ» эксперты сомневаются, что списание денег произошло без дополнительных действий самих пользователей.
По словам руководителя Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») в России Дмитрия Галова, сама картинка вряд ли может нести киберриски, однако если в сообщении будет еще и текст с ссылкой, то нужно быть внимательнее. «Теоретически злоумышленники могут рассылать сообщения с поздравительными открытками якобы от родственников или знакомых и мотивировать перейти по ссылке, которая будет вести, например, на фишинговую страницу. При этом были случаи, когда под видом архива пользователям в мессенджерах отправляли вредоносное программное обеспечение. Человек ожидал увидеть внутри, например, картинку или поздравление, но на самом деле это были исполняемые вредоносные файлы», — рассказывает он.
Деньги могут украсть не после нажатия на картинку, а после запуска пользователем присланного файла с расширением .apk. Фото: Соцсети
Ведущий инженер CorpSoft24 Михаил Сергеев уверен, что пользователю приходит не «картинка», а вирус или троян (apk-файл), который пользователь собственноручно устанавливает на смартфон, предварительно отключив защиту и разрешив установку из неизвестных источников, после чего злоумышленник получает скрытый доступ к отправке и получению СМС-сообщений. «Затем хакер восстанавливает пароль к банку-клиенту, почтовому ящику, через обычную форму «забыл пароль» и может перевести денежные средства через банк-клиент», — считает Сергеев.
Согласен с ним и владелец продукта «Стингрей» компании AppSec Solutions Юрий Шабалин. «Схема на самом деле очень простая. В таких случаях всегда работают методы социальной инженерии. То есть без действий пользователя никакой доступ, естественно, не получить», — отметил он.
Как рассказал эксперт, скорее всего, в данных случаях имеет место уязвимость, связанная со скомпрометированными логинами и паролями от какого-нибудь личного кабинета, и похищение второго фактора аутентификации. Как правило, это СМС-сообщение. Пользователю присылают якобы фотографию или что-то еще, что на самом деле является приложением. При установке данного приложения оно запрашивает необходимое разрешение в системе и может мониторить в том числе СМС. Злоумышленники при помощи похищенного ранее логина и пароля пытаются зарегистрироваться в системе, которую хотят взломать, например в банке.
В любом случае, картинка не может сама «украсть» деньги. Чтобы злоумышленники смогли их похитить, они должны знать данные банковской карты или связку логин/пароль от банковского личного кабинета жертвы. Такие данные получают либо от самих пользователей, используя социальную инженерию, либо покупая базы персональных данных в даркнете. Однако даже этого для хищения средств недостаточно. На смартфон еще нужно установить программу-шпион, которая будет перехватывать авторизационные СМС или push-сообщения из банка и передавать их злоумышленникам.
При этом пользователь должен сам скачать и запустить файл с расширением .apk и потом предоставить ему все необходимые права (чтение СМС, просмотр экрана, доступ к другим приложениям). Причем по умолчанию в Android-смартфонах запрещена установка из любого источника, кроме магазина приложений Google Play, и до 2022 года само предупреждение от ОС Android «разрешить установку неизвестных приложений», появляющееся при попытке установить приложение не из Google Play, выглядело как красный флаг. Однако после удаления приложений крупных российских банков из Google Play российские пользователи столкнулись с необходимостью устанавливать эти приложения с сайтов банков или из RuStore. Таким образом, многие уже привыкли разрешать своим смартфонам устанавливать приложения из «неизвестных источников» (для Android-смартфона любой источник кроме Google Play «неизвестный»). Это стало рутинным процессом и такой запрос от операционной системы Android уже не воспринимается как сигнал тревоги. Этим и пользуются злоумышленники.