Мошенничество в интернет

ВНИМАНИЕ: Теперь мошенники могут «забраться» в ваш смартфон!

Впервые в Украине было зафиксировано мошенническое приложение для мобильных устройств. Под прикрытием универсального приложения для мобильного банкинга проводилась кража конфиденциальных данных платежных карт и даже паролей из банковских смс. Преступники разместили свое приложение в магазине Google Play и продвигали при помощи рекламы. Так что жертвой мог стать любой пользователь. Таким образом, всего за тринадцать дней существования приложения, заражено оказалось более шести тысяч мобильных устройств…

Как работало fraud-приложение для смартфона

Скачать приложение мог любой пользователь мобильного устройства с ОС Android в магазине Google Play.

Преступники постарались придать своему «творению» максимально убедительный вид:

• Мошенники выбрали максимально привлекательное и вместе с тем нейтральное название «Универсальный банкинг». Подразумевалось, что приложение объединит в себе функционалы «банкингов» наиболее крупных украинских банков («ПриватБанк», «Ощадбанк», «ОТП-Банк», «Альфа-Банк», «Раффайзен Банк Аваль»), между которыми легко можно будет переключаться.  Даже функционал «Приват24» якобы был частью приложения.
• Приложение «предлагало» ряд самых популярных опций мобильного банкинга: просмотр баланса, блокировка карты, конвертация валюты, денежные переводы с карты на карту (в том числе, по номеру телефона), электронные платежи (в том числе, оплата коммуналки, налогов и другие регулярные и разовые платежи), оплата покупок смартфоном (при условии подключения к Android Pay).

А что на самом деле?

На самом деле, при установке приложение получало доступ к информации в смс-ках (пользователь предоставлял такой доступ “собственноручно” – когда давал на это разрешение при установке приложения), то есть – могло воровать уникальные банковские пароли и коды Verified by Visa и MasterCard Secure Code. Кроме того, клиент должен был пройти регистрацию, самостоятельно указав конфиденциальные данные своих карт (кроме номера карты, срок ее действия, трехзначный код безопасности с обратной стороны карты или код CVV2/CVC2), а также логин и пароль к своему Интернет-банкингу.

Как выявили преступную разработку

По данным Ассоциации ЕМА, приложение было выявлено поздно вечером 16 февраля благодаря бдительности сотрудников «Ощадбанка» . В тот же день информация о новой мошеннической ловушке появилась в системе межбанковского обмена информацией «Exchange-online» и начала распространяться по другим информационным каналам, включая социальные сети и СМИ, чтобы финансовые учреждения были начеку и предупреждали своих клиентов.

19 февраля при участии экспертов компании по информационной безопасности CyS Centrum и аналитиков специализированного структурного подразделения Госцентра киберзащиты CERT-UA  мошенническое приложение удалили с Google Play.

Увы, но эту «подделку под банкинг» обнаружили и на других веб-платформах, с которых его могли устанавливать жертвы:

• http://www.ninestore.ru/android-apps/gvrn-usigroshi-tit/
• https://ru.downloadatoz.com/gvrn-usigroshi-tit/gvrn.usigroshi.tit/
• https://androidappsapk.co/download/gvrn.usigroshi.tit/2cf3adce8c41bb3b58f4068bb4526f09https://www.androidapkdescargar.com/gvrn-usigroshi-tit/gvrn.usigroshi.tit/
• https://apkplz.com/android-apps/gvrn-usigroshi-tit-apk-download
• https://www.allfreeapk.com/gvrn-usigroshi-tit,14888382/
• http://apk-dl.com/Універсальний-мобільний-Банкінг/gvrn.usigroshi.tit/
• https://www.apkherunterladen.com/gvrn-usigroshi-tit/gvrn.usigroshi.tit/

Специалистами CyS Centrum был произведен анализ приложения и в сотрудничестве с иностранными партнерами были получены скомпрометированные данные пользователей, украденные мошенниками. Переписка мошенников, которые пытались использовать украденные данные, также стали доступны для анализа.

В сотрудничестве со специалистами Ассоциации ЕМА вся скомпрометированная информация клиентов была передана в банки для принятия мер по сохранности средств на счетах.

Итоги появления первого мошеннического мобильного приложения в Украине

Мобильное приложение, имитирующее «банкинг», было размещено в Google Play 7 февраля. Оно просуществовало тринадцать дней. Было изъято из онлайн-магазина вечером 19 февраля, однако еще до середины 20 февраля (по данным CyS Centrum) продолжалась компрометация данных пользователей, которые успели установить «ловушку» на свой смартфон.

Почему потребовалось целых 13 дней, чтобы найти и закрыть приложение?

Здесь, в первую очередь, сработала нехватка опыта и информированности граждан. В Украине такое приложение выявлено впервые, да и в мире с подобным знакомы еще мало. Раньше карточные данные воровали при помощи фишинговых сайтов, однако количество пользователей Интернетом с мобильных устройств уже превысило число тех, кто заходит в Сеть с компьютера (по данным ирландского сервиса StatCounter, заходы с мобильных составили около 52% в январе текущего года). Если аудитория Интернета становится все более мобильной, то и мошенники все в большей степени начинают ориентироваться на нее.

Люди, обнаруживая подозрительное приложение, не сообщили об этом в банки. Даже те, кто установил приложение и потерял деньги не рассказал банку где оставил карточные данные.

Сразу после обнаружения были приложены все усилия государственных и частных организаций по борьбе с киберпреступностью в Украине, чтобы как можно быстрее ликвидировать угрозу.

Как мошенническое приложение вообще могло попасть на Google Play?

Приложение не содержало вирусы и использовало стандартные функции мобильных приложений. Тот же доступ к смс пользователя использует Viber, Skype и другие легальные мессенджеры. Поэтому проверка Google Play перед размещением приложения ничего подозрительного не обнаружила. Разрешение на чтение смс-сообщений давал сам пользователь при установке приложения.

Мобильное приложение продвигалось с помощью рекламы (например, в CleanMaster).

Скриншоты описания мошеннического приложения были взяты со страниц официальных приложений мобильного банкинга (в том числе, «ОТП-банка», «Ощадбанка»).

Получается, что у Google Play не было причин не доверять новому продукту. Справедливости ради стоит отметить, что сейчас в Европе «расцвет» мошеннических мобильных приложений, которые пользователи также скачивают через общедоступные онлайн-магазины. Онлайн-платформы не успевают отслеживать новые «разработки» преступников для маскировки мошеннических действий. Обычно удаление «подделок» происходит после первых жалоб пострадавших. Преступники оказываются на шаг впереди…

Много ли пострадало людей?

За тринадцать дней существования «Универсального банкинга»:

• Мошенническое приложение установили на 6566 устройств;
• Преступники получили доступ к конфиденциальным реквизитам 1270 карт (в целом, было зарегистрирован 2016 карт, но некоторые пытались провести регистрацию карт повторно);
• Злодеи раскрыли 5486 паролей пользователей;
• В распоряжение мошенников попали реквизиты карт семнадцати банков (шесть банков оказались иностранными).

По переданной ЕМА в банки информации, все карты, попавшие в ловушку, были заблокированы.

Однако Киберполиция Украины допускает, что могут обнаружиться и другие пострадавшие от приложения «Универсальный банкинг». Если вы пострадали от мошеннического приложения – напишите по электронному адресу [email protected].

Этот первый случай создания мошеннического приложения, очевидно, сигнализирует о новой тенденции кибермошенничества в Украине. Отныне требуется проводить мониторинг не только фишинговых сайтов, но и приложений для мобильных устройств.

Можно ли было распознать признаки мошенничества в смартфоне?

На самом деле, да. Этому помешала только низкая осведомленность клиентов. Первый случай мошенничества от «Универсального банкинга» был еще 13 февраля, но пострадавшие не сообщили банку, где именно оставили карточные данные.

Перед установкой приложения пользователя должно было насторожить зачем приложению для доступа к Интернет-банку нужно еще и получать доступ к смс.

И конечно же, пользователя должно было насторожить, одно только требование сохранить в приложении конфиденциальные данные своей карты. Ведь, по сути, если приложение получает такие данные, то способно их куда-то передавать…

Фото взято со страницы сайта компании CyS Centrum:

К примеру, для регистрации в функционале «Приват24» указывать конфиденциальные реквизиты своей карты не нужно. Почему? Потому что у банка есть все необходимые данные, чтобы через свой мобильный функционал разрешать проведение тех или иных операций с картой. От пользователя требуется только номер карты (или другой идентификатор, как мобильный номер финансового телефона) и пароль.

Учитывая, что в описании «Универсального банкинга» речь шла о простом «переключении между аккаунтами» в различных банкингах (пяти указанных банков), то логично ожидать, что в каждом банкинге уже есть все необходимые данные по карте, чтобы пользователю достаточно было «переключиться» и совершать операции. Повторная регистрация с указанием конфиденциальных реквизитов карт не просто выглядит подозрительно, а выглядит как настоящая ловушка!

Нельзя не обратить внимание на то, что в приложении есть грамматические и стилистические ошибки.

Помните одни из признаков фишинговых сайтов? Мошенники могут оказаться неплохими программистами, но они редко привлекают к разработке профессиональных филологов. В то время как легальные компании-разработчики наполняют страницы своих сайтов (и приложений) грамотным контентом.

Как не стать жертвой мобильного приложения от мошенников

1. Будьте внимательны к тому, какие мобильные приложения вы скачиваете. Не предоставляйте конфиденциальные реквизиты своей карты во время регистрации в приложении! Перед установкой проверяйте кто является разработчиком приложения, есть ли у него другие приложения, как долго они существуют и сколько раз они были скачаны. Скачивайте официальные приложения с официальных страниц своих банков.
2. В случае обнаружения подозрительного мобильного приложения – обращайтесь в Ассоциацию ЕМА (оставьте заявление в разделе «Заявить о фишинговом сайте»). Специалисты ЕМА сотрудничают с украинскими банками (в том числе, через систему «Exchange-online», где оповещение об угрозе станет доступно большинству банков Украны, а также финансовым сервисам и другим организациям и Киберполицией Украины.
3. Вы также можете обратиться напрямую в Киберполицию Украины. Оставить заявление на сайте подразделения можно в любое время суток.

ТЕМ ВРЕМЕНЕМ

«Злодейские» мобильные приложения уже «популярны» в России

Среди последних «новинок» в мире киберпреступности в Российской Федерации – мошеннические приложения. Почему это важно для Украины? Увы, все, что появляется у наших «соседей», очень быстро перемещается и к нам.

Так, было обнаружено приложение, которое имитировало мобильный банкинг от «Сбербанка России» – и воровало конфиденциальные реквизиты карт.

Еще один пример – приложение для подсчета пройденных шагов (цель приложения – «забраться» в конфиденциальную информацию на смартфоне, в том числе, копировать данные о транзакциях, совершенных через смартфон, пароли из смс и т.д.).

В конце февраля Киберполиция Украины раскрыла преступную схему, два участника которой также разработали «развлекательное» приложение (в данном случае, для знакомства). Цель та же – украсть данные о транзакциях, доступ в смс.