Анализ топ-100 самых скачиваемых приложений в сегменте объявлений и онлайн-услуг показал тревожную картину: в них обнаружено более 2 тыс. уязвимостей, из которых свыше 500 относятся к критическим и высокоопасным. Об этом «Известиям» сообщили в AppSec.Sting. В целом, по оценкам специалистов, около 70% мобильных приложений содержат серьезные пробелы в защите, которые могут использовать злоумышленники для доступа к личным данным пользователей.
Бреши во внутренних данных открывают злоумышленникам возможности для массовых фишинговых атак, поддельных уведомлений и предложений оплатить несуществующие услуги. В результате вместо домика у моря пользователь рискует остаться и без жилья, и без средств, отметили в компании.
Мошенники нередко маскируются под сотрудников службы поддержки и через социнженерию убеждают жертв сменить пароль или пройти «проверку». Из-за уязвимостей мобильных приложений пользователь, ничего не подозревая, может потерять доступ к аккаунту и даже деньги, рассказали в компании.
Редакция нашла в Сети людей, столкнувшихся с подобной проблемой. Например, компания, работающая в сфере музыкальных услуг более пяти лет, потеряла доступ к своему бизнес-аккаунту в одном из таких приложении. Весной 2025 года ее профиль внезапно оказался переименован, все объявления удалены, а при попытке войти телефон и почта уже не подходили. Вместо услуг кавер-группы на странице появились объявления о продаже цветов, рассказал ее представитель на одном из форумов.
По его словам, мошенники воспользовались уязвимостью в системе: email-адреса маскировались не полностью и их можно было легко угадать. Зная адрес, злоумышленники обращаются в службу поддержки и получают доступ к чужому аккаунту. Компании все-таки удалось восстановить аккаунт, но буквально через час он снова был заблокирован приложением, а попытки вывести деньги с аккаунта или удалить его для создания нового не увенчались успехом.
Еще один пользователь поделился в Сети своей историей: он потерял доступ к аккаунту на одной из торговых площадок, когда уехал в отпуск. В течение четырех лет он вел бизнес в одном из приложений, предлагая различные услуги от автозагрузки до поднятия габаритного груза. Аккаунт содержал десятки оплаченных услуг, сотни объявлений, более 100 положительных отзывов и многолетнюю клиентскую базу. Деньги на внутреннем счете и платная подписка остались недоступными. Пользователь утверждает, что потерял основной канал продаж.
В целом это далеко не все схемы, которые применяют мошенники, — их арсенал постоянно пополняется новыми приемами, адаптированными под актуальные события и поведение аудитории.
По словам руководителя исследовательской группы Positive Technologies Федора Чунижекова, одной из самых распространенных схем остаются сообщения якобы от технической поддержки различных сервисов. Злоумышленники предупреждают о «подозрительной активности» или «угрозе блокировки» аккаунта и под этим предлогом просят прислать логин, пароль, фото документов, либо одноразовый код из SMS.
Еще одна популярная схема — предложение получить премиум-подписку или дополнительные функции в приложении бесплатно или по очень привлекательной цене. Жертве присылают ссылку на фальшивый сайт, имитирующий интерфейс настоящего сервиса. После ввода данных мошенники получают полный доступ к аккаунту.
Чтобы не стать жертвой взлома или мошенничества, важно соблюдать базовые, но крайне эффективные правила цифровой гигиены. Не переходить по ссылкам из подозрительных сообщений, не вводить логины и пароли на сайтах, в подлинности которых не уверены, и не поддаваться на слишком щедрые предложения или пугающие уведомления — именно на таких эмоциях и играют мошенники, заявил руководитель Kaspersky GReAT в России Дмитрий Галов.
— Важной составляющей с точки зрения защиты аккаунтов является соблюдение парольной политики: необходимо использовать уникальные для каждого аккаунта и сложные комбинации, регулярно менять и безопасно хранить пароли, не в виде скриншотов или записей в заметках, а, например, в специальных решениях — менеджерах паролей, — сказал он.
По его словам, даже самые надежные пароли не дадут стопроцентной защиты — именно поэтому сегодня самым эффективным способом остается многофакторная аутентификация, при которой для входа потребуется не только пароль, но и дополнительное подтверждение, например код из SMS или приложение-авторизатор.
— Если у пользователя возникли сомнения, не был ли его аккаунт скомпрометирован, можно посмотреть на активные сессии (если сервис предоставляет такую возможность): если вы видите в открывшемся списке незнакомое устройство, лучше завершить эту сессию и поменять пароль, — отметил он.
Защита аккаунтов — это не только ответственность пользователя. Компании также обязаны принимать меры, чтобы обезопасить свои сервисы и данные клиентов. Особенно важно учитывать, что злоумышленники часто действуют через человеческий фактор, то есть обманывают сотрудников, играя на доверии или неосведомленности, подчеркнул Федор Чунижеков. Поэтому первое, что должна делать организация, — обучать сотрудников. Им нужно регулярно напоминать о киберугрозах, объяснять, как их распознать и что делать в случае подозрительной активности.
— Для технической защиты компании могут использовать специальные системы. Например, EDR-системы помогают защитить рабочие устройства от вредоносных программ. SIEM (системы управления событиями безопасности) и NTA (анализ сетевого трафика) нужны для выявления подозрительной активности и быстрого реагирования на инциденты, — объяснил он.
Важно регулярно проверять инфраструктуру на уязвимости и устранять их, резюмировал эксперт.
Елизавета Крылова