Bezpieczeństwo
urządzeń mobilnych
Ochrona smartfonów i tabletów
12 GB pamięci RAM, ośmiordzeniowy procesor, taktowanie na poziomie niemal 3 GHz, 1 TB pamięci wewnętrznej – to podstawowe parametry flagowego smartfona jednego ze znanych producentów. Zaraz, zaraz… czy te liczby nie kojarzą nam się bardziej z nowym komputerem lub laptopem? Często zapominamy lub nie mamy świadomości, że urządzenie, które nosimy w kieszeni jest czymś więcej niż tylko telefonem. To minikomputer z funkcją dzwonienia i wysyłania SMS-ów. Z tego względu wiele osób w ogóle rezygnuje z posiadania komputerów stacjonarnych czy nawet laptopów.
W dzisiejszym artykule skupimy się na bezpieczeństwie smartfonów i tabletów z systemem Android i iOS. Większość zawartych tu wskazówek jest uniwersalna i ma zastosowanie również do innych urządzeń mobilnych, np. laptopów. W przypadku tego rodzaju urządzeń największą zaletą, a jednocześnie jednym z realnych czynników ryzyka, jest właśnie figurująca w ich nazwie mobilność. Korzystanie z komputerów stacjonarnych i laptopów w domu lub biurze jest bezpieczniejsze dzięki temu, że osoby trzecie nie mają do nich fizycznego dostępu. W dodatku w tych miejscach łączymy się zawsze z zaufaną siecią (przewodową lub bezprzewodową) – oczywiście pod warunkiem, że… nikt się do niej wcześniej nie włamał.
Bezpieczeństwo fizyczne
Cały czas pilnujmy naszego urządzenia – to tylko pozornie banalna i oczywista rada. Pamiętajmy, że utrata (zgubienie, kradzież) laptopa, smartfona czy tabletu jest o wiele bardziej prawdopodobna niż komputera stacjonarnego. A utrata urządzenia mobilnego to nie tylko kwestia jego nominalnej wartości wyrażonej w złotych – to „wręczenie” obcej osobie dostępu do naszych prywatnych kontaktów, SMS-ów, zdjęć, plików oraz aplikacji bankowej, którą bardzo często instalujemy na urządzeniach mobilnych.
Jak zminimalizować skutki ich utraty?
- Stosujmy automatyczną blokadę ekranu, np. po upływie 30 sekund. Do jego odblokowywania używajmy odcisków palca, skanów twarzy, siatkówki lub innych zabezpieczeń biometrycznych, jeśli są dostępne.
- Korzystajmy z kodów PIN, które nie są przewidywalne, jak np. 1111, 1234, 9876, 2019, rok urodzenia itp.
- Zrezygnujmy z odblokowywania urządzenia za pomocą wzoru – na ekranie często zostają smugi ułatwiające odtworzenie symbolu.
- Zaszyfrujmy pamięć urządzenia i zewnętrznych kart pamięci – dzięki temu „znalazca” naszego urządzenia nie będzie miał dostępu do naszych plików.
- Włączmy blokadę karty SIM dodatkowym kodem PIN.
- Nie udostępniajmy smartfona nawet na chwilę osobie trzeciej – w ten sposób zminimalizujemy ryzyko, że zadzwoni ona na płatny numer, narażając nas na dodatkowe koszty.
- Włączmy opcję zdalnej lokalizacji i blokady urządzenia – opcja ta dostępna jest w systemach Android i iOS. W ten sposób po zalogowaniu się na swoje konto Google lub Apple można włączyć głośny sygnał dźwiękowy (umożliwia to zlokalizowanie urządzenia w przypadku zgubienia), wyświetlić na ekranie blokady wiadomość dla znalazcy, włączyć lokalizację i odnaleźć urządzenie oraz zdalnie usunąć z niego wszystkie dane.
Bezpieczeństwo systemu operacyjnego
Pamiętajmy, że nasz smartfon i tablet to komputer! Urządzenia te należy chronić przed złośliwym oprogramowaniem i zabezpieczać dokładnie tak samo, jak rozwiązania stacjonarne.
- Oprogramowanie antywirusowe może nieraz uchronić nas przed szkodliwym działaniem hakerów. Smartfony i tablety mają zazwyczaj wbudowaną kamerę i mikrofon – napastnik, instalując na nich złośliwe oprogramowanie może wykorzystać pozyskane w ten sposób dane, np. do szantażu. Przestępcy z pewnością skorzystają również z zainstalowanych na nich aplikacji bankowych.
- Instalujmy aplikacje z zaufanych źródeł, które są dostępne w autoryzowanych sklepach z aplikacjami. Aplikacje spoza sklepów zaufanych firm (tj. Google, Apple, Microsoft, Samsung itp.) nie podlegają weryfikacji, przez co bardziej prawdopodobne jest ukrycie w nich złośliwego oprogramowania.
- Obecność w oficjalnym sklepie niestety również nie gwarantuje, że dana aplikacja jest bezpieczna – szczególnie dotyczy to domyślnego sklepu Androida. Zawsze weryfikujmy nazwę, dewelopera i opinie o aplikacji. Często spotyka się złośliwe podróbki, podszywające się pod oficjalne „apki” – zwłaszcza te bardzo popularne lub mające dostęp do płatności. Zdarzały się również aplikacje takie jak np. Wirtualna Zapalniczka, których zadaniem było… wykraść poufne dane użytkownika.
- Wyłączajmy moduły komunikacji bezprzewodowej takie, jak WiFi, Bluetooth i NFC, gdy ich nie używamy. Wyłączenie widoczności nazwy urządzenia jest niewystarczające. Pamiętajmy, że każdy włączony moduł to dodatkowy potencjalny wektor ataku dla napastnika.
- Nie korzystajmy z otwartych, niezabezpieczonych lub powszechnie dostępnych sieci WiFi. Zazwyczaj bezpieczniejszym rozwiązaniem będzie włączenie danych pakietowych i skorzystanie z Internetu oferowanego przez operatora.
- Odinstalujmy aplikacje, z których regularnie nie korzystamy – im więcej aplikacji, tym większa szansa znalezienia takiej, która zawiera błąd umożliwiający przejęcie kontroli nad naszym urządzeniem.
- Weryfikujmy uprawnienia, o jakie prosi aplikacja przy instalacji – warto się zastanowić, czy rzeczywiście aplikacja, która ma być prostą grą, potrzebuje dostępu do kontaktów, SMS-ów, wykonywania połączeń, lokalizacji urządzenia itp. Jeżeli zwykła aplikacja prosi o możliwość administrowania urządzeniem, na 99% jest szkodliwa.
- Regularnie aktualizujmy system operacyjny, wszystkie zainstalowane aplikacje i nie zapominajmy o instalowaniu poprawek bezpieczeństwa.
Smishing i vishing, czyli phishing w krainie urządzeń mobilnych
Pod każdy numer telefonu można się podszyć tak samo, jak pod każdy adres e-mail. Phishing jest podszywaniem się pod zaufaną firmę, instytucję lub osobę w korespondencji mailowej, smishing – w korespondencji SMS-owej, natomiast vishing w trakcie rozmowy telefonicznej. Jeżeli dzwoni do nas np. osoba podająca się za pracownika banku, zweryfikujmy ją, zanim podamy nasze dane osobowe. Zróbmy to, prosząc np. o wskazanie miejsca wykonania dwóch ostatnich transakcji kartą, wybranych przez nas cyfr numeru PESEL lub innych informacji, które powinny być znane pracownikowi banku lub innej dzwoniącej do nas instytucji.
Coraz powszechniejszym oszustwem są próby nakłonienia nas do zapisania się na SMS-y premium. Takie komunikaty przyjmują coraz bardziej wyrafinowane formy, np. odbiorca otrzymuje informację, że jego numer telefonu został dodany do płatnej subskrypcji (np. 30 zł za 1 SMS) – pomimo tego, że nigdzie się nie zapisywał. Oszustwo polega na tym, że przy wypisywaniu się z rzekomej subskrypcji należy pod wskazanym linkiem zapłacić 1 zł w celu potwierdzenia danych osobowych. Odbywa się to na fałszywej stronie dotpay, stworzonej przez oszustów, a kończy wyłudzeniem danych logowania do banku i kradzieżą znajdujących
się na nim środków. Innym często praktykowanym scenariuszem ataku jest próba wmówienia nam, że korzystamy z pewnej usługi, z której możemy się wypisać, wysyłając SMS-a pod wskazany numer. W rzeczywistości ten SMS aktywuje jednak inną płatną usługę.
Jeżeli mielibyście wątpliwości, zachęcamy do skontaktowania się z operatorem w celu zablokowania konkretnego numeru, sprawdzenia czy jesteśmy zapisani do płatnej usługi lub stałego wyłączenia otrzymywania SMS-ów premium
W pierwszym przypadku mamy do czynienia z błędną nazwą nadawcy, podszywającą się pod profil zaufany. Link prowadzi do kopii strony kontrolowanej przez napastników. Drugi przypadek jest bardziej wyrafinowany. Wiadomość z racji tego, że nie miała literówki w nazwie nadawcy została przez smartfona dołączona do wcześniejszej autentycznej konwersacji. Dopłata niestety była tak, jak wcześniej realizowana na fałszywej stronie pośrednika płatności.
Na koniec warto wspomnieć, że istnieją mechanizmy takie, jak Direct billing i WAP billing. Ich zastosowanie powoduje, że samo wejście na stronę internetową może spowodować naliczenie dodatkowych opłat, które obciążą nasz rachunek. Dlatego nie warto otwierać wszystkich otrzymanych linków z nieznanych źródeł.
Daniel Świątek, Hestia Corporate Solutions