Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV un bankas "Citadele" preses konferencē profesionāļi iepazīstināja ar jaunāko nozarē un dalījās pieredzē.
Bankas pārstāvis Kaspars Cikmačs iepazīstināja ar jauno Eiropas Savienības regulu, kas no 1. aprīļa nosaka stingrākus drošības pasākumus internetbanku lietošanai gan datorā, gan mobilajās ierīcēs. Viņš tuvāk raksturoja arī "Citadeles" risinājumu, kas no 1. aprīļa paredz internetbankas darījumu apstiprināšanu ar papildu unikālu kodu, kuru klients saņems mobilajā telefonā.
Savukārt CERT.LV eksperts Gints Mālkalnietis uzsvēra, ka viedtālruņiem ir daudz ievainojamību un tikai viena no tām ir iespēja nesankcionēti piekļūt internetbankai. Mobilo telefonu cilvēki izmanto, lai piekļūtu savam e-pastam, kuru arī lieto mājas vai portatīvajā datorā. Mobilajos telefonos bieži glabājas personīgas fotogrāfijas, kuras nebūtu vēlams izplatīt bez atļaujas. Īpaši bīstama ir pases vai citu dokumentu augstas kvalitātes attēlu glabāšana, kurus telefona lietotājs visparocīgākā veidā (ar telefonu) fotografējis, lai aizsūtītu, piemēram, darba devējam vai pēc lūguma kādai firmai. Gan pases, gan autovadītāja tiesību attēls satur valsts datubāzes apstiprināmus datus, kurus krāpnieki var izmantot attiecīgu dokumentu viltošanai vai tirgošanai.
Izkrāpta parole paver plašu darbības lauku blēžiem
Viens no galvenajiem draudiem, kā skaidroja G. Mālkalnietis, ir dažādu paroļu iegūšana. Ja tā ir internetbankas parole, var nākties ciest materiālus zaudējumus, taču bankas parasti ir aizsargātas, ja arī klients savu telefonu nav aizsargājis, – tās prasa kodus no kodu kartēm u.tml. Nepatikšanas var rasties, pazaudējot e-pasta vai kādas lietotnes paroli. Patieso lietotāju var izslēgt no paša e-pasta konta un to izmantot (ar lietotāja "labo vārdu") krāpšanai, mēstuļu izplatīšanai vai, labākā gadījumā, lai paķēmotos prieka pēc.
Ja dažās lietotnēs ir iekļautas pirkšanas vai maksāšanas iespējas (tā sauktie pirkumi lietotnē – in app purchases), kas saglabā internetbankas paroli, tās arī var izmantot ļaunprātīgi, īpaši, ja paroles nav šifrētas vai aizsargātas. Lai gan "Citadeles" un CERT.LV pasākumā to nepieminēja, portālos ir izskanējusi informācija par bērniem un nepilngadīgajiem, kas ar vecāku viedtālruņa palīdzību ir iepirkušies spēļu lietotnēs par desmitiem, pat simtiem eiro, "pērkot" burkānus spēļu trusim vai ieročus kādam spēļu tēlam.
Neaizsargāti viedtālruņi var arī kļūt par upuri jaunākajam "modes uzbrukumam" – tā sauktajam izspiedējvīrusam (ransonware), stāstīja G. Mālkalnietis. Šī ļaunprātīgā programmatūra šifrē visu telefona saturu un prasa izpirkuma maksu, bieži virtuālā naudā (bitcoin), kurai likumsargi nevar izsekot. Šādi uzbrukumi visbiežāk notiek parastajiem datoriem, taču viedtālrunī arī ir ikdienas dzīvei vai darbam svarīgi dati –kontakti, e-pasta adreses u.tml.
Mobilā piekļuve e-pastam – zelta bedre krāpniekiem
Ielaušanās e-pastā ar mobilā telefona starpniecību var arī veicināt mazāk dramatiskas ļaunprātības. Piemēram, vērojot gan personīgo, gan darba saraksti, krāpnieki pamana, ka regulāri pienāk rēķini no SIA ABC. Krāpnieki ierastajā datumā nosūta rēķinu it kā no SIA ABC, bet ar paziņojumu, ka ir mainījuši banku (uzrādot krāpnieku konta numuru). Kārtējais SIA ABC rēķins tiek dzēsts no e-pasta, un upuris nemanot aizskaita naudu blēžiem.
Mediju pasākuma laikā tika arī demonstrēts pētniecības nolūkos uzņemts "Citadeles" video, kurā tika iztaujāti nejauši satikti, pārsvarā jauni, cilvēki, vaicājot, vai un ar kādām parolēm viņi sargā savu mobilo telefonu. No sarunām varēja saprast, ka jaunieši izvēlas paroles, kuras viegli atcerēties un kurām ir tiešas asociācijas ar viņu dzīvi – draudzenes vai mājdzīvnieka vārds, daži cipari, parasti 1-2-3 u.tml. Video liecināja, ka uzminēt sveša cilvēka paroli ir visai vienkārši.
Neskatoties uz liecībām par mobilo telefonu ievainojamību, CERT.LV pārstāvis, atsaucoties uz telefonu ražotāja "Samsung" datiem, teica, ka 34% mobilo sakaru lietotāju vispār neaizsargā savu telefonu ar atslēgšanas kodiem vai tā saukto biometriju (pirksta nospieduma sensoru, kāds ir iPhone, Samsung, LG un vairāku citu ražotāju modeļiem). 92% lietotāju neizmanto iespējas šifrēt daļu vai visus datus savā telefonā. Šifrētie dati, piemēram, darba kontaktu saraksts, fotogrāfijas un dokumenti, ir nesalasāmi bez atšifrēšanas koda, pat ja telefons fiziski nonācis ļaundaru rokās.
Zagtu un pazaudētu telefonu datus var attālināti izdzēst
Tā kā mobilie telefoni ir nelielas kabatas formāta ierīces, tos ir vieglāk pazaudēt vai nozagt nekā portatīvo vai galda datoru. Tādēļ, kā uzsvēra G. Mālkalnietis, ir svarīgi izmantot telefona datu krājuma attālinātas dzēšanas risinājumus, kas atļauj telefonu izdzēst no mājas datora vai cita telefona, ja zagtais vai pazaudētais telefons atrodas kādā mobilo sakaru tīklā.
CERT.LV speciālists ieteica arī iegādāties vai iedarbināt ar telefonu komplektā saņemtos drošības rīkus. Viņš arī brīdināja, ka mobilajos telefonos ir viegli darboties dažādiem "drošības" krāpniekiem. Atverot interneta pārlūku mobilajā telefonā, parasti nav redzama atvērtās lapas pilnā adrese (taupot vietu uz mazā ekrāna). Tādēļ tiek izplatīti viltus brīdinājumi un risinājumi, izmantojot pazīstamus zīmolus – Google (kas ražo un izplata Android mobilo ierīču operētājsistēmu) vai Apple. Viltus lapas, kuras varētu pazīt pēc mobilajos pārlūkos neredzamām adresēm, piedāvā par samaksu atbrīvot telefonu no neesoša vīrusa vai, sliktākajā gadījumā, prasa lietotņu veikala (Apple App Store vai Google Play) paroles. Tā kā šīs paroles bieži ir saistītas ar automātisku samaksu, krāpniekam ir brīvas rokas iepirkties uz upura rēķina.
Lai nekristu par upuri šādiem krāpniekiem, G. Mālkalnietis ieteica regulāri atjaunot telefona operētājsistēmu un drošības risinājumus meklēt oficiālos avotos. Apple telefoni un planšetes izmanto kopējo operētājsistēmu iOS, bet ar Android, kas parādās dažādās versijās dažādu ražotāju telefonos, ir jābūt uzmanīgākam, jo telefonu ražotājiem ir atšķirīga jaunināšanas politika.
Kā norādīja K. Cikmačs, jaunā internetbanku drošības politika nozīmē, ka visi banku pakalpojumu lietotāji būs obligāti pakļauti augstākam drošības standartam, kas sargās viņu naudu un darījumus. Par pārējās mobilajos telefonos glabātās informācijas sargāšanu lietotājiem jārūpējas pašiem.