Огромное количество людей пользуются мобильными устройствами, и львиная их доля — это смартфоны. Именно на них в последнее время все чаще ориентируются устроители целенаправленных кибератак.

«Только за 2012 год количество вредоносных мобильных программ выросло больше чем в десять раз», — отмечает Каталин Косои, директор по исследованиям компании BitDefender. Этот вывод в компании сделали по результатам анализа мобильных вирусов, собранных с помощью ловушек (honeypot).

Злоумышленники пользуются вредоносными QR-кодами и другими способами атак на мобильные устройства, поскольку такие устройства продаются активнее персональных компьютеров, но при этом на смартфоны мало кто устанавливает какие-либо защитные программы.

Что такое вредоносный QR-код

QR-код (Quick Response, «быстрый отклик») — графически закодированный адрес сайта. Вредоносный QR-код содержит ссылку на сайт с внедренным в него вирусом.

«Неважно, каким образом QR-код был получен и отсканирован, в конечном счете устройство преобразует его в ссылку», — объясняет Дэвид Мэйман, основатель и директор по технологиям GreenSQL.

По такой ссылке может находиться сайт с троянским кодом.

«Обычно это троянец на языке JavaScript, — отмечает Дейв Кронистер, главный хакер компании Parameter Security, предоставляющей услуги тестирования сетей на возможность проникновения. — Когда сайт открывается, код JavaScript автоматически запускается и заражает вашу систему вирусом».

QR-коды можно создавать автоматически с помощью свободно доступных инструментов. «Например, генератор QR-кодов есть в Social Engineering Toolkit, — отмечает Кронистер. — Это инструментарий, созданный в помощь этичным хакерам для тестирования систем на уязвимости по просьбе организации-заказчика. Естественно, им могут пользоваться и злоумышленники».

Векторы атак

Злоумышленники могут распространять вредоносные QR-коды через скомпрометированные системы маркетинговых агентств, занимающихся генерацией кодов для своих заказчиков. Так что последним не помешает проверять коды на благонадежность. Возможна дистрибуция через фальшивые генераторы QR-кодов или просто путем размещения где-либо с расчетом на сканирование. Существует также немало бесплатных приложений для создания QR-кодов.

Если на предприятии позволяют подключать к корпоративной сети личные смартфоны, они могут стать «мостиками» для передачи в нее вредоносных программ при заражении через QR-коды.

Атаки нового поколения

Злоумышленники пользуются вредоносными QR-кодами для совершения фишинга. Атакующий, к примеру, может изготовить тысячу листовок, якобы от Subway, с надписью «Бесплатный сэндвич всем присоединившимся к нашему QR-клубу» и вредоносным кодом. При его сканировании смартфон перейдет на сайт с надписью «Спасибо, что при­соединились» и получит троянец.

Целенаправленная атака может также осуществляться с помощью межсайтового скриптинга, когда через брешь легитимного сайта имеющийся на нем QR-код подменяется на вредоносный.

Заразив ваш смартфон с помощью

вредоносного QR-кода, хакер может получить доступ к вашим сообщениям и показаниям GPS, включать камеры и подслушивать разговоры. «На смартфонах даже появляются программы, которые могут сделать ваш аппарат частью ботнета, атакующего другие системы», — указывает Кронистер. Такой ботнет способен рассылать спам по SMS или устраивать DDoS-атаки.

Что делать директорам по безопасности

Лучший способ оградить себя от вредоносных QR-кодов на предприятии — не пользоваться ими.

«Сами графические коды не настолько полезны для бизнеса, чтобы идти на этот риск, — полагает Кронистер. — Но если уж не избежать использования QR-кодов, придется позаботиться о средствах проверки их на­дежности».

Проинструктируйте сотрудников, объясните, что нельзя пользоваться QR-кодами на смартфонах, с помощью которых они подключаются к корпоративной сети.

В компаниях стоит изолировать беспроводные сети для посетителей от остальной инфраструктуы, а также внутренние сети с конфиденциальными данными — от прочих.

Следите за тем, чтобы на смартфонах и других мобильных устройствах присутствовали и обновлялись антивирусы и другое защитное ПО.

Долговременные решения

Специалистам по безопасности нужно регулярно уточнять и дополнять фильтры для анализа файлов сетевых протоколов на различные аномальные события. «Такой анализ поможет, например, определить, когда к внутренней системе подключился корпоративный смартфон, принадлежащий сотруднику, который в этот день взял отгул по болезни, — отмечает Мэйман. — В этом случае сеть может автоматически сбросить соединение, а админам отправить предупреждение для дальнейшего изучения вопроса». Но даже такие фильтры не панацея — явных указаний на то, что имеет место нештатная ситуация, может и не быть.