secretmag.ru
Технологии5 мин.

Вашу биометрию на телефоне легко могут украсть. Как защититься и не пора ли отключать Face ID

Ответили безопасники

© Image by Freepik

Исследователи Group-IB забили тревогу: обнаружен первый троян для iOS, который умеет похищать биометрические данные пользователей и использовать Face ID для авторизации в разных банковских сервисах. При этом люди сами передают ему сканы своих лиц, не подозревая о последствиях. Вместе с экспертами в области кибербезопасности разбираемся, что это за угроза, как защитить от неё свои данные и стоит ли в принципе безоглядно пользоваться Face ID.

О каком трояне речь

Целый кластер агрессивных банковских троянов исследователи по кибербезопасности обнаружили ещё в конце 2023 года.

Первоначально зловреды были нацелены в основном на Android-устройства Азиатско-Тихоокеанского региона — так, атаке подверглись более чем 50 финансовых учреждений во Вьетнаме и многочисленные пользователи в Таиланде.

Эти трояны получили общее название GoldDigger, поскольку в их коде содержалось действие под названием GoldActivity.

Но в 2024 году среди них выявили новый сложный мобильный троян, специально предназначенный для пользователей iOS. Его специалисты Group-IB назвали GoldPickaxe.iOS. А хакерскую группировку, стоящую за этим, обозначили как GoldFactory.

Как распространяется троян GoldPickaxe.iOS

Троян не распространяется через официальные магазины приложений. То есть первоначально он распространялся через платформу тестирования мобильных приложений Apple TestFlight, но оттуда вредонос быстро удалили.

Тогда злоумышленники применили более изощрённый подход: они задействуют многоэтапную схему социальной инженерии и под разными предлогами убеждают пользователей самостоятельно устанавливать программы для удалённого управления мобильными устройствами (MDM). Так люди дарят хакерам полный контроль над своим устройством.

Заражение смартфона на iOS такими зловредами достаточно сложно отследить. В рамках атаки с использованием такого троянца для iOS один из способов проникновения на устройство предполагал открытие сторонней ссылки (с набором случайных символов в имени домена), установку MDM-профиля, выставление доверия этому профилю через отдельную настройку, открытие ещё одной ссылки и подтверждение установки приложения.

Такая последовательность действий нетипична для установки рядового приложения и должна насторожить.

Сергей Пузан
эксперт по кибербезопасности в «Лаборатории Касперского»

Схема включает даже возможность для пользователя связаться с поддельной службой поддержки — программа соединяет хакеров и их жертву в режиме реального времени, а если «оператор» занят, имитирует очередь.

Эта программа регулярно обновляется, что позволяет хакерам расширить её возможности и избежать обнаружения.

Какие данные под угрозой из-за GoldPiclaxe.iOS

GoldPiclaxe.iOS способна:

  • перехватывать SMS,
  • воровать сканы документов, удостоверяющих личность,
  • собирать данные распознавания лиц.

Последний пункт особенно интересен.

iPhone хранит данные о лице пользователя в нескольких форматах. Помимо Face ID, это также и медиатека ваших фотографий: возможности современных смартфонов включают в себя нейросетевые элементы, позволяющие распознавать на ваших фото людей и, например, объединять все фото с их участием в один альбом или сгенерированное видео.

Затем злоумышленники могут использовать украденные биометрические данные на своё усмотрение. Например, использовать сервисы на основе искусственного интеллекта, чтобы генерить убедительные дипфейки для дальнейшего мошенничества.

По данным Group-IB, с такой схемой их эксперты в области кибербезопасности ещё не сталкивались.

При этом зловред не эксплуатирует уязвимости в ОС, чтобы получить доступ к данным человека. Вместо этого злоумышленники предлагают человеку записать обычное видео, которое затем отправляется на их управляющий сервер. Такие видео, вероятно, нужны злоумышленникам для создания дипфейков.

Сергей Пузан
эксперт по кибербезопасности в «Лаборатории Касперского»

Социальную инженерию в этой схеме ярко видно на примере таиландской атаки. Там троян замаскировался под приложение госуслуг Таиланда и просил пользователей сфотографировать удостоверение личности, а также пройти процедуру сканирования лица. Аналогичная схема была задействована во Вьетнаме.

То есть фактически люди сами передают хакерам сканы своих лиц, думая, что имеют дело с легитимным приложением, требующим авторизации.

Вместе со сканами документов украденной биометрии оказывается достаточно, чтобы получить доступ к банковским счетам жертвы, если она в принципе использует биометрию для авторизации.

Это новый метод в области киберпреступлений, но велика вероятность того, что в ближайшие годы мы увидим бум подобных мошеннических схем.

Как защититься от атаки трояна GoldDigger для iOS

В Россию этот метод ещё не пришёл, но это дело времени, уверены эксперты. Если что-то работает на людях из одной страны, нет никаких причин предполагать, что российские пользователи iOS и Android-устройств вне опасности.

Так как этот троян распространяется методами социальной инженерии, лучшая защита — информированность. Зная о том, что такая атака возможна, вы лишний раз подумаете, когда его какие-то посторонние люди убеждают вас установить программу, которой нет в официальных сторах.

Для пользователей как IOS, так и Android самая лучшая защита — использование официальных магазинов приложений. В свою очередь, на этих площадках следует внимательно читать число установок, отзывы, информацию о производителе и требуемые разрешения для приложения.

Если, например, приложение для изучения английского языка просит доступ к видеокамере, по количеству установок у него всего сотня пользователей, а в комментариях жалуются, что смартфон виснет — это подозрительно и сигнал, что приложение скачивать не стоит.

Алексей Вишняков
эксперт Standoff 365 компании Positive Technologies

Наиболее эффективный способ защитить свои данные — оставаться внимательными, критически относиться к крайне щедрым (или пугающим) сообщениям, не устанавливать приложения из недоверенных источников, тем более из SMS-сообщений от неизвестных/сомнительных номеров.

К тому же существуют защитные решения, которые блокируют открытие вредоносных ссылок, связанных со зловредом.

Сергей Пузан
эксперт по кибербезопасности в «Лаборатории Касперского»

Если же у вас всё же стоят программы, скачанные самостоятельно, нелишним будет проверить, какие разрешения у них стоят и что изменилось на устройстве после их установки.

В большинстве случаев заражение можно выявить по косвенным признакам. Например, в списке приложений появилось новое, которое вы ранее не видели. Поиск информации в интернете по нему либо ничего не даёт, либо выдаст отчёты о вредоносном программном обеспечении. Поэтому познакомьтесь с установленными приложениями на устройстве прямо сейчас и следите за неожиданными изменениями в будущем.

Ещё пример — устройство начинает вести себя как-то странно. Например, вы заходите в какие-то пункты меню, а вас «выбрасывает» обратно. Вы пытаетесь открыть приложение, а оно не открывается и вместо него открывается другое. Это хорошие маркеры для того, чтобы заподозрить заражение. Прочие способы более технические и сложны для обычного пользователя.

Алексей Вишняков
эксперт Standoff 365 компании Positive Technologies

Безопасно ли пользоваться Face ID

Что же до Face ID, риски этого способа аутентификации давно известны. С одной стороны, открыть или взломать ваше устройство, защищённое таким образом, в ваше отсутствие будет значительно сложнее (если там нет пин-кода, известного мошенникам). А для вас это значительно упрощает и ускоряет аутентификацию пользователя, но не делает эту процедуру безопасной.

Более того, Face ID может обернуться вам боком, если, например, желающий открыть ваше устройство применит к вам силу и просто поднесёт смартфон к вашему лицу.

Верификация изображений с эталоном также остаётся под рисками атаки с использованием современных возможностей ИИ и нейросетей. И выявленный Gold Pickaxe — лишь один из таких примеров. И пусть Apple уже работает над решением этой проблемы безопасности, противостояние социальной инженерии — целиком зона ответственности пользователя.