Безопасность мобильных приложений
Центр цифровой экспертизы Роскачества с 2017 года занимается проверкой мобильных приложений и чтением политик конфиденциальности на предмет безопасности в сфере передачи персональных данных.
Осенью 2022 года при участии коллег из «Лаборатории Касперского» мы проверили мобильные браузеры на способность к распознаванию фишинговых ссылок. Специалисты компании передали нам более 1800 свежих ссылок для анализа. При этом за 2022 год в «Лаборатории Касперского» заблокировали почти 500 млн попыток перехода пользователей с разных устройств на фишинговые и скам-ресурсы по всему миру. Эти данные получены на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» за январь – ноябрь 2022 года.
Стоит отметить, что фишинговые ссылки, как правило, живут недолго, от одного до трех дней. Однако в обозначенном временном периоде наш эксперт успел протестировать по 100 работающих ссылок на каждом из браузеров.
В 2022 году компания Group-IB в российском сегменте интернета обнаружила около 18 000 фишинговых сайтов, что на 15% больше, чем в прошлом году.
В сентябре на портале Роскачества был проведен опрос на тему «Мошенники в интернете». Согласно ему, 42% наших читателей получали фишинговые ссылки по электронной почте в этом году, а 8% видели такие сообщения в WhatsApp или Telegram.
Определимся с понятиями
Фишинг (англ. phishing от fishing – рыбная ловля, выуживание) – процесс выманивания конфиденциальной информации у пользователя (логин/пароль, данные банковской карты и т. п.) в целях кражи денег и других мошеннических действий.
Например, вы вводите пароль от аккаунта на поддельном сайте и ваши данные становятся доступны злоумышленникам – такой процесс называется фишингом.
Фишинговая ссылка – адрес, перейдя по которому пользователь попадает на поддельный сайт.
Мошенники подделывают входящие письма электронной почты, пишут сообщения с заманчивым предложением, побуждающим перейти по их прямой ссылке. Нажимая на нее, пользователь попадает на поддельную страницу, где ему навязчиво предлагают ввести логин и пароль или поделиться иной конфиденциальной информацией.
Как мобильные браузеры реагируют на фишинг
В нашей проверке участвовало пять браузеров для двух платформ.
-
Android: Chrome, Opera, Mozilla Firefox и «Яндекс Браузер».
-
IOS: Safari, Chrome, Opera, Mozilla Firefox и «Яндекс Браузер».
Эксперты пробовали открывать фишинговые ссылки в упомянутых браузерах и фиксировали факты открытия фишингового контента либо предотвращения его открытия силами браузера с уведомлением пользователя. Таким образом, удалось выявить степень защищенности обычных мобильных браузеров без установки дополнительного антивирусного ПО. И вот что получилось.
Базовая защита от фишинга в браузерах оказалась на достаточно хорошем уровне и составила в среднем 90%.
Базовая защита от фишинга не является максимальной, поэтому для повышения уровня защищенности можно посоветовать пользователям дополнительно устанавливать антивирусы от разработчиков средств информационной безопасности. А прокачивание уровня своей цифровой грамотности поможет свести к минимуму вероятность перехода по фишинговым ссылкам в целом.
Таблица отражает количество заблокированных ссылок в процентном соотношении:
Показатели на iOS чуть выше, что объясняется тем, что платформа более закрыта и менее уязвима в вопросах безопасности. Кроме того, многие фишинговые сайты сделаны по устаревшим принципам, которые блокируются на базовом уровне.
Фишинг – крайне популярный среди злоумышленников вектор атаки вне зависимости от операционной системы или платформы. Пользователи мобильных устройств также рискуют столкнуться с этой угрозой. Сегодня она не теряет своей актуальности. Чтобы не попасться на удочку злоумышленников, важно быть внимательными: не переходить по сомнительным ссылкам в почте, соцсетях, мессенджерах или СМС, не кликать по подозрительным рекламным баннерам.
Стоит критически относиться к крайне щедрым или чересчур тревожным сообщениям, особенно если вас торопят, не дают времени подумать или запугивают. Перед тем как вводить личные или платежные данные, обратите внимание на название сайта в адресной строке – в нем не должно быть опечаток или лишних букв.
В целом для онлайн-покупок лучше завести отдельную карту, например виртуальную, и держать на ней небольшие суммы. Можно установить суточные лимиты на снятие. Не лишним будет установить защитное решение, которое заблокирует попытку перейти на фишинговый ресурс.
Следите за новостями, подписывайтесь на рассылку.
При цитировании данного материала активная ссылка на источник обязательна.