В топ-100 приложений объявлений и услуг нашли более 2 тыс. уязвимостей

Как через бреши в приложениях утекают данные россиян

Анализ топ-100 самых скачиваемых приложений в сегменте объявлений и онлайн-услуг показал тревожную картину: в них обнаружено более 2 тыс. уязвимостей, из которых свыше 500 относятся к критическим и высокоопасным. Об этом «Известиям» сообщили в AppSec.Sting. В целом, по оценкам специалистов, около 70% мобильных приложений содержат серьезные пробелы в защите, которые могут использовать злоумышленники для доступа к личным данным пользователей.

Бреши во внутренних данных открывают злоумышленникам возможности для массовых фишинговых атак, поддельных уведомлений и предложений оплатить несуществующие услуги. В результате вместо домика у моря пользователь рискует остаться и без жилья, и без средств, отметили в компании.

Мошенники нередко маскируются под сотрудников службы поддержки и через социнженерию убеждают жертв сменить пароль или пройти «проверку». Из-за уязвимостей мобильных приложений пользователь, ничего не подозревая, может потерять доступ к аккаунту и даже деньги, рассказали в компании.

Редакция нашла в Сети людей, столкнувшихся с подобной проблемой. Например, компания, работающая в сфере музыкальных услуг более пяти лет, потеряла доступ к своему бизнес-аккаунту в одном из таких приложении. Весной 2025 года ее профиль внезапно оказался переименован, все объявления удалены, а при попытке войти телефон и почта уже не подходили. Вместо услуг кавер-группы на странице появились объявления о продаже цветов, рассказал ее представитель на одном из форумов.

По его словам, мошенники воспользовались уязвимостью в системе: email-адреса маскировались не полностью и их можно было легко угадать. Зная адрес, злоумышленники обращаются в службу поддержки и получают доступ к чужому аккаунту. Компании все-таки удалось восстановить аккаунт, но буквально через час он снова был заблокирован приложением, а попытки вывести деньги с аккаунта или удалить его для создания нового не увенчались успехом.

Еще один пользователь поделился в Сети своей историей: он потерял доступ к аккаунту на одной из торговых площадок, когда уехал в отпуск. В течение четырех лет он вел бизнес в одном из приложений, предлагая различные услуги от автозагрузки до поднятия габаритного груза. Аккаунт содержал десятки оплаченных услуг, сотни объявлений, более 100 положительных отзывов и многолетнюю клиентскую базу. Деньги на внутреннем счете и платная подписка остались недоступными. Пользователь утверждает, что потерял основной канал продаж.

В целом это далеко не все схемы, которые применяют мошенники, — их арсенал постоянно пополняется новыми приемами, адаптированными под актуальные события и поведение аудитории.

По словам руководителя исследовательской группы Positive Technologies Федора Чунижекова, одной из самых распространенных схем остаются сообщения якобы от технической поддержки различных сервисов. Злоумышленники предупреждают о «подозрительной активности» или «угрозе блокировки» аккаунта и под этим предлогом просят прислать логин, пароль, фото документов, либо одноразовый код из SMS.

Еще одна популярная схема — предложение получить премиум-подписку или дополнительные функции в приложении бесплатно или по очень привлекательной цене. Жертве присылают ссылку на фальшивый сайт, имитирующий интерфейс настоящего сервиса. После ввода данных мошенники получают полный доступ к аккаунту.

Как пользователи могут сохранить свои данные

Чтобы не стать жертвой взлома или мошенничества, важно соблюдать базовые, но крайне эффективные правила цифровой гигиены. Не переходить по ссылкам из подозрительных сообщений, не вводить логины и пароли на сайтах, в подлинности которых не уверены, и не поддаваться на слишком щедрые предложения или пугающие уведомления — именно на таких эмоциях и играют мошенники, заявил руководитель Kaspersky GReAT в России Дмитрий Галов.

— Важной составляющей с точки зрения защиты аккаунтов является соблюдение парольной политики: необходимо использовать уникальные для каждого аккаунта и сложные комбинации, регулярно менять и безопасно хранить пароли, не в виде скриншотов или записей в заметках, а, например, в специальных решениях — менеджерах паролей, — сказал он.

По его словам, даже самые надежные пароли не дадут стопроцентной защиты — именно поэтому сегодня самым эффективным способом остается многофакторная аутентификация, при которой для входа потребуется не только пароль, но и дополнительное подтверждение, например код из SMS или приложение-авторизатор.

— Если у пользователя возникли сомнения, не был ли его аккаунт скомпрометирован, можно посмотреть на активные сессии (если сервис предоставляет такую возможность): если вы видите в открывшемся списке незнакомое устройство, лучше завершить эту сессию и поменять пароль, — отметил он.

Защита аккаунтов — это не только ответственность пользователя. Компании также обязаны принимать меры, чтобы обезопасить свои сервисы и данные клиентов. Особенно важно учитывать, что злоумышленники часто действуют через человеческий фактор, то есть обманывают сотрудников, играя на доверии или неосведомленности, подчеркнул Федор Чунижеков. Поэтому первое, что должна делать организация, — обучать сотрудников. Им нужно регулярно напоминать о киберугрозах, объяснять, как их распознать и что делать в случае подозрительной активности.

— Для технической защиты компании могут использовать специальные системы. Например, EDR-системы помогают защитить рабочие устройства от вредоносных программ. SIEM (системы управления событиями безопасности) и NTA (анализ сетевого трафика) нужны для выявления подозрительной активности и быстрого реагирования на инциденты, — объяснил он.

Важно регулярно проверять инфраструктуру на уязвимости и устранять их, резюмировал эксперт.

Елизавета Крылова