Искусство обмана: какие угрозы кроются за невинными уведомлениями и как их предотвратить

Популярность push-уведомлений объясняется просто — маркетологи заметили, что клиенты охотнее читают короткие сообщения, которые не обязательно открывать, и чаще переходят по ссылкам в них. Поэтому разные компании давно взяли на вооружение и активно используют этот канал коммуникаций с клиентами. А злоумышленники используют push-уведомления для фишинга, распространения вредоносного ПО и других киберугроз. В статье рассказываем какими схемами пользуются злоумышленники, что стоит учесть разработчикам сервисов и как не стать жертвой мошенников.

Как злоумышленники используют push-уведомления

Push-уведомление напоминает СМС, состоит из заголовка и короткого сообщения, иконки с именем отправителя, также в нем могут быть изображение и кнопки для совершения определенного действия, например, перехода по ссылке. Кроме этого отличия «пушей» и СМС заключаются в том, что последние приходят на мобильный телефон любой модели, а их доставка происходит через мобильных операторов. Для получения push-уведомлений необходим смартфон, поддерживающий эту функцию, установку приложений и доступ в интернет. Пользователь может сам управлять уведомлениями: запрещать, разрешать полностью или частично. Push-уведомления обычно сохраняются в личном кабинете на сайте, в приложении или в центре уведомлений, если телефон на iOS и в журнале уведомлений, если у вас Android 10 и выше.

Марина Пробетс

Интернет-аналитик компании «Газинформсервис»

Самые распространенные способы — это отправление push-уведомлений, выдающих себя за официальные уведомления от банков, интернет-магазинов или других сервисов, чтобы заставить пользователей вводить личные данные или данные банковских карт на фишинговых сайтах.

Один из самых свежих случаев, когда жертва демонстрировала свой экран мошенникам, представившихся службой безопасности банка, которые видели все push –уведомления с кодами подтверждения и смогли обокрасть жертву.

Со стороны пользователей push-уведомления выглядят удобными. Человек получает десятки пушей в день — от СМИ, банков, маркетплейсов, мессенджеров. В коротких текстах сообщается о скидках, появлении товара на складе, новых акциях, напоминания. Кроме этого в push-уведомлениях приходят оповещения о списании средств или пополнении карты, коды для прохождения аутентификации и входа в свой аккаунт или личный кабинет в разных сервисах и сайтах. Этим пользуются злоумышленники — из-за большого количества входящей информации и часто, невнимательности, жертва мошенников может легко кликнуть на ссылку в выскочившем на экране «пуше».

Константин Корсаков

Главный архитектор компании RooX

Из относительно новых способов атак можно отметить ещё одну разновидность социальной инженерии — Fatigue attack («атака усталости»). Суть метода в том, что пользователю отправляется большое количество запросов на подтверждение входа, тем самым заставая его врасплох и рассеивая его внимание. В конце концов человек с большой вероятностью примет запрос, чтобы устранить «спам» в телефоне, или решит, что система сломалась и что нужно «нажать кнопку», чтобы всё исправить.

Атака нацелена на тех пользователей, чей первый фактор, чаще всего пароль, уже был скомпрометирован, хотя это не такая и большая проблема, учитывая размер баз утекших паролей. Преодолев таким образом двухфакторную систему защиты злоумышленники проникали в некоторые корпоративные системы Uber, Microsoft и Cisco, а в 2024 году с такой проблемой столкнулись и пользователи Apple. Поскольку успешные атаки на крупные корпорации продолжаются, можно сделать вывод, что бизнес пока не готов к отражению таких атак.

В конце февраля 2024 года The Washington Post опубликовали статью, в которой рассказывается о новом методе слежки ФБР за подозреваемыми с помощью push-уведомлений. Агентство подало более 130 ордеров на раскрытие данных push-уведомлений в 14 штатах. Это стало возможным, благодаря одной особенности «пушей». Когда пользователь регистрируется в приложении, на серверах Apple и Google создается и хранится его уникальный идентификатор — «push-токен». Этот токен впоследствии можно использовать для идентификации человека, использующего приложение, на основе информации об устройстве.

Защитники данных обеспокоены, что эта возможность ставит под угрозу конфиденциальность пользователей не только со стороны государства, но и злоумышленников.

Владислав Кошелев

Ведущий аналитик УЦСБ

Еще одним примером лишения пользователей анонимности и конфиденциальности является незаконное получение метаданных push-уведомлений от FCM, APNs, сторонних push-сервисов или разработчиков приложений. Метаданные push-уведомлений – это информация о самом сообщении, такая как его отправитель, дата и время отправки, тип и модель устройства, версия ПО и т.д. Такие данные обычно не шифруются и могут быть использованы злоумышленниками для анализа поведения пользователей и направленного воздействия на них.

Чтобы получить возможность присылать жертве push-уведомления, мошенник должен заразить устройство вредоносным ПО. Например, банковский троян Ginp, который обнаружила «Лаборатория Касперского». Помимо стандартного набора умений для банковского трояна: передавать весь список контактов своим владельцам, перехватывать СМС и перекрывать экран поддельными страницами, зловред использует фейковые push-уведомления, чтобы убедить жертву открыть фишинговую страницу.

Таисья Лебедева

Аналитик направления безопасной разработки УЦСБ

Push‑уведомления сложно сымитировать, так как для этого на клиентское устройство необходимо установить вредоносное программное обеспечение, которое подделывает само уведомление для пользователя. Но работа в фоновом режиме после единоразового согласия на получение уведомлений и доступ к экрану блокировки push‑уведомлений делают устройства уязвимыми для атак MITM (Man-in-the-middle, «Человек посередине»).

На практике чаще всего уязвимости push‑уведомлений используются для получения злоумышленником удаленного доступа или повышения привилегий (Банк данных угроз безопасности информации ФСТЭК России: BDU:2024-01719 и BDU:2020-02223). Также зафиксированы случаи получения серверного ключа сервиса push‑уведомлений, что позволило злоумышленнику отправлять произвольные push-сообщения всем зарегистрированным пользователям приложения.

В марте 2024 российские СМИ писали о новой схеме мошенников. Злоумышленники присылали пуш-уведомления от имени мобильных операторов. В тексте сообщается о необходимости подтвердить паспортные данные, чтобы продлить работу номера телефона. После перехода по ссылке, жертва оказывается на поддельном сайте оператора, а затем на фейковом портале «Госуслуги», где ее просят ввести логин и пароль от личного кабинета. Так у злоумышленников появляется доступ к чужому аккаунту на Госуслугах, а операторы связи теряют доверие граждан.

Рекомендации для разработчиков сервисов

Прежде, чем подключать push-уведомления к сервису, рекомендуется изучить их слабые стороны и предусмотреть защиту данных пользователей от утечки. Ограничить информацию, которая передается сервису push-уведомлений, в том числе метаданные.

Константин Корсаков

Главный архитектор компании RooX

Мер безопасности несколько. Во-первых, не использовать Push-уведомления для доступа к ценным цифровым ресурсам. Вместо этого, в качестве инструмента защиты входа нужно использовать, например, TOTP или физические токены с встроенным генератором паролей или цифровым сертификатом.

Во-вторых, предусмотреть механизмы тротлинга в серверных системах отправки Push. Хорошо спроектированный push-фактор должен предоставлять пользователю выбор из опций, чтобы снизить автоматизм реакции. Например, отобразить несколько вариантов с числом, и пользователь должен выбрать то, которое действительно видит на устройстве, куда производится вход.

В-третьих, передавать информацию о попытках атак в SOC и принимать быстрые решения по временной блокировке скомпрометированных учетных записей.

Также нельзя забывать про важность шифрования при работе с push-уведомлениями. И напоминать пользователям о правилах кибербезопасности, чтобы предотвратить нелегитимные действия со стороны злоумышленников.

Владислав Кошелев

Ведущий аналитик УЦСБ

Для защиты пользователей разработчики должны руководствоваться несколькими принципами:

• валидация контента  прежде чем отправить уведомление, важно убедиться, что оно не содержит потенциально опасных ссылок или запросов;
• использование защищенных протоколов — вся коммуникация между            приложением и сервером, а также сервером push-уведомлений должна использовать шифрование (например, через HTTPS);
• регулярные обновления и контроль за зависимостями − используемые библиотеки и зависимости должны регулярно обновляться, чтобы избежать известных уязвимостей;
• обучение пользователей: предоставление информации о возможностях настройки уведомлений и опасностях, связанных с мошенническими сообщениями.

Меры защиты

Для того, чтобы не стать жертвой мошенников пользователям необходимо соблюдать несколько правил, в том числе быть внимательными и не принимать на автомате предложения, не переходить бездумно по ссылкам из «пушей».

Таисья Лебедева

Аналитик направления безопасной разработки УЦСБ

Пользователю для обеспечения безопасности при использовании push-уведомлений, необходимо скачивать только официальные приложения банков с их официальных сайтов, а также избегать установки приложений из непроверенных источников.

Необходимо бдительно относиться к push-уведомлениям о транзакциях и запросах на изменение пароля: проверять достоверность такой информации через официальные каналы связи с банком.

Push-уведомление может отображаться на экранах блокировки устройств, что допускает возможность несанкционированного доступа к информации в push-уведомлениях в том случае, когда устройство окажется в чужих руках. Следует добавить блокировку экрана и настроить допустимую для отображения информацию на экране для push‑уведомлений.

Лишние уведомления лучше просто отключить, а ненужные приложения удалить с телефона. Когда «пуши» вам могут отправлять ограниченное количество сервисов, легче заметить подозрительное сообщение.

Заключение

Push-уведомления широко используются различными компаниями и организациями, так как этот канал коммуникации с клиентами показывает высокие результаты по открываемости и конверсии. Кроме того, это удобный инструмент для пользователей, чтобы оперативно получать интересующую их информацию. Популярность push-уведомлений привлекает и злоумышленников, которые не упускают случая найти новую схему для обмана и обогащения.

Константин Ларин

Руководитель направления «Киберразведка» компании «Бастион»

Пользователям рекомендуем блокировать нежелательные уведомления, не подписываться в браузере на оповещения от ненадежных ресурсов, регулярно обновлять браузеры и антивирусное ПО, так как в AV-системах зачастую есть модули, которые блокируют нежелательный или вредоносный web-трафик. Также важно не вводить платежные или персональные данные на ненадежных ресурсах.

Чтобы предотвратить угрозы и снизить количество жертв мошенников необходимы совместные усилия разработчиков, специалистов по кибербезопасности и самих пользователей.