Основной доклад, представленный начальником отдела по управлению фродом петербургского филиала ОАО «ВымпелКом» («Билайн») Ольгой Осокиной, касался развенчания различных мифов, касающихся мобильного мошенничества и успешно бытующих в пользовательской среде.
Первым был опровергнут миф, утверждение, что попустительство мобильному мошенничеству является драйвером роста для оператора. Как объяснила г-жа Осокина, некая «мифическая прибыль от мошенничества» не идет ни в какое сравнение с затратами на привлечение клиента и поддержку его лояльности. Кроме того, затрат требует содержание сотрудников по борьбе с фродом, а также приобретение IT-решений, способствующих этой борьбе. Помимо этого ни один мобильный оператор, сталкивающийся с мошенничеством по отношению к абонентам, не застрахован от штрафных санкций надзорных инстанций.
Второй из озвученных мифов касался мнимого сговора операторов с поставщиками недобросовестного контента, блокирующего операционную систему, отправлящего СМС на короткие номера неосознанно для абонента или же осуществляющего спам-рассылки или же платные подписки на различные услуги, также осуществляемые без ведома пользователя.
Третий миф касался заблуждения об опасности мобильных платежей. На самом деле основная проблема, связанная с мобильными платежами, связана с возможным разглашением банковских реквизитов держателем карты. Реже к этому может быть причастно хакерство или же утечка данных по вине самого банка.
Начальник отдела по управлению фродом петербургского
филиала ОАО «ВымпелКом» Ольга Осокина
Четвертый миф касался мнимой неуязвимости смартфонов перед различными видами мобильного обмана. В реальности же популярные модели смартфонов оказались гораздо более уязвимыми, чем даже десктопы.
По словам Ольги Осокиной, любые пользовательские подписки, с которыми может столкнуться пользователь, должны быть подтверждены. Причем контроль подтверждения осуществляется через так называемую landing page, на которой сообщаются условия подписки, а пользователь должен подтвердить, что ознакомлен с данными условиями. Landing page в качестве дополнительного слоя защиты от мобильного мошенничества существует с лета 2011 года.
Пример landing page – дополнительной страницы в мобильной версии браузера,
на которой оператор получает подтверждение от пользователя,
что тот ознакомлен с условиями подписки перед ее активацией
Кроме того, на портале «Билайна» существует особый сервис www.safe.beeline.ru, позволяющий производить информирование о стоимости и условиях предоставления какого-либо сервиса. А помимо этого пользователь имеет возможность позвонить в Центр поддержки клиентов по номеру 0611 или же самостоятельно остановить сомнительную услугу, отправив на ее короткий номер бесплатное SMS со словом «СТОП».
Статистика, собранная специалистами ОАО «ВымпелКом» за первый квартал 2012 года, показывает, что количество случаев мобильного мошенничества, связанного с короткими номерами, сократилось на 35 %
Что же касается новых видов мобильного мошенничества, на которые также, по словам г-жи Осокиной, следует обратить внимание, то к ним относятся: распространение вредоносного ПО, замаскированного под официальные приложения или обновления, использование злоумышленниками аккаунтов в социальных сетях, выманивание персональных данных о банковских картах и вывод денег через интернет-платежи, а также кража автомобильных номеров с последующим требованием перечисления определенной денежной суммы через мобильный платеж.
Ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников
После Ольги Осокиной выступил ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников, рассказавший о том, что подавляющее количество угроз мобильного мошенничества (почти 82 % от общего числа) нацелены на операционную систему Android, а, учитывая популярность устройств, поддерживающих эту систему, и увеличение числа пользователей смартфонов, данная проблема в ближайшее время будет становиться все более актуальной.
На данной диаграмме четко видно, что подавляющее количество существующих угроз,
связанных с мобильным мошенничеством, нацелено на операционную систему Android
По словам докладчика, плодородную почву для подобных разновидностей мобильного мошенничества создает сама практика анонимности аренды короткого номера, существующая в России по сей день. Именно эту практику г-н Масленников назвал «корнем всех зол» и отметил ее связь с такими практиками мошенничества, как умышленное шифрование ссылок, а также создание в сети магазинов, торгующих вредононосными приложениями и замаскированных под официальные «сторы» с наличием неких бонусных программ и системы собственного саппорта.
Часто подобные практики являются воплощениями социального инженеринга, когда воздействие на «болевые точки» человеческой психологии приводит к активации недобросовестных услуг.
Основные цели, которыми руководствуются мобильные мошенники,
атакующие устройства, снабженные операционной системой Android
«Больше всего страдают любители скачать порно в Интернете, – отметил Денис Масленников. – Запрос данного словосочетания в более чем 50 % случаев гарантированно приведет пользователя на страницу с загрузкой вредоносного контента».
Как отметил г-н Масленников, бороться с мобильным мошенничеством можно как на высшем уровне – с помощью законодательных изменений, позволяющих более жестко регламентировать политику приобретения коротких номеров, и введения уголовной ответственности за киберпреступность, так и обязательным повышением уровня образованности пользователей.
Еще одно из выступлений принадлежало московскому эксперту по мобильным технологиям Алексу Пацаю, который более подробно остановился на мобильных угрозах для смартфонов и планшетов.
По словам эксперта, существует целый ряд причин, делающих мобильные устройства лакомым кусочком для злоумышленников, специализирующихся на мобильном мошенничестве. И эти причины напрямую связаны с тем, что мобильные устройства содержат большое количество личных данных (адресную книгу, личную переписку, личные фотографии, информацию по местонахождению), а также в последнее время, благодаря технологии NFC, телефон начинает использоваться в качестве кошелька.
Сравнительная характеристика по безопасности операционных систем iOS и Android
В рамках своего выступления г-н Пацай сравнил уязвимости двух самых популярных операционных систем, присутствующих в мобильных устройствах. И если Google Android имеет несовершенную систему управления правами доступа приложений, некоторые из которых могут совершать действия без ведома пользователей, а также фальшивые приложения, маскирующиеся под популярные игры и предлагающие рекламу, и приложения, ворующие данные с телефона, то среди уязвимостей в операционной системе Apple iOS были названы: загрузка некоторыми приложениями данных телефона на сервер и процедура jailbrake, позволяющая постфактум устанавливать взломанные или ворованные приложения из разных источников.
Президиум круглого стола «Мобильная безопасность: реалии и мифы о мобильном
мошенничестве»: эксперт по мобильным технологиям Алекс Пацай,
ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников,
начальник отдела социальной ответственности ОАО «ВымпелКом» Евгения Чистова,
начальник отдела по управлению фродом Петербургского филиала
ОАО «ВымпелКом» Ольга Осокина
В целом же, по результатам данных, озвученных докладчиками, и последующей пленарной дискуссии, участники круглого стола пришли к выводу о том, что целью мобильного оператора есть и будет предупреждение случаев мобильного мошенничества и своевременное информирование пользователей о таких случаях. Кроме того, мобильный оператор также должен предпринимать определенные технические меры, а также стараться повышать уровень технической грамотности пользователей, продолжать развенчивать «мифы», бороться с излишней доверчивостью клиентов и любыми способами снижать количество претензий к услугам оператора, включая претензии, возникающие по вине сторонних лиц, в данном случае – мобильных мошенников.
Что же касается пользователей, то их задача – никогда не пропускать любую информацию об услугах, следить за трендами мобильного мошенничества и решать возникающие проблемы совместно с мобильным оператором.
«Если пользователь потерял деньги, стал жертвой мобильного мошенничества – это не повод для паники, – отметила Ольга Осокина. – Нужно как можно раньше связаться со службой поддержки мобильного оператора. Если речь идет о «Билайне», то пользователю нужно лишь доказать, что у него не было возможности ознакомиться с условиями акции или подписки через через landing page. В таком случае транзакция с поставщиком контента будет расторгнута, а пользователь сможет вернуть свои деньги».
Напомним также, что компания «МегаФон» проводила схожую конференцию, посвященную проблемам, связанным с мобильным мошенничеством и социальным инжинирингом. Подробнее об этом читайте в материале рубрики «Мобильное мошенничество» «Баллада о борьбе: «МегаФон» vs Мобильные мошенники» от 14 февраля 2012 г.