7 zagrożeń dla urządzeń mobilnych w 2019 roku

Mobilne malware to nie jedyne zagrożenie dla urządzeń mobilnych. Zobacz, co jeszcze grozi im w 2019 roku.


Bezpieczeństwo urządzeń mobilnych to sprawa będąca przedmiotem szczególnej troski zwłaszcza w firmach, w których pracownicy mają dostęp do danych biznesowych za pomocą swoich smartfonów. Jeśli urządzenie zostanie przejęte, włamywacz będzie mógł poznać wszystkie poufne informacje, a nawet zyskać dostęp do firmowej sieci. Włamania to także straty - jak podaje Ponemon Institute, przeciętnie firma traci na włamaniu 3,86 mln dolarów, co jest o 6,4% większa kwotą niż w roku ubiegłym.

Prezentujemy listę siedmiu najpoważniejszych zagrożeń - poza malware - jakie czyhają zarówno na osoby używające smartfonów w celach prywatnych, jak i firmowych.

Zobacz również:

  • Najlepsze programy do czyszczenia systemu Windows
  • Pixel Watch - prawdziwy konkurent Galaxy Watch 4 w drodze

1. Wyciek danych

Wyciek danych grozi urządzeniom mobilnych w takim samym stopniu, jak desktopom. Według Ponemon Institute, każda firma ma 28% szans na to, że w przeciągu najbliższych dwóch lat nastąpi w niej wyciek danych. Co warte uwagi - powodzenie ataku zależy nie tylko od ewentualnych błędów pracowników, ale przed wszystkim od tego, jakim aplikacjom przydzieli się uprawnienia umożliwiające transfer danych.

- Głównym wyzwaniem jest taka implementacja aplikacji, aby nie absorbowały administratorów, ani nie frustrowały użytkowników - mówi Dionisio Zumerle, szef działu bezpieczeństwa mobilnego w Gartner. Sugeruje, aby korzystać z rozwiązań zabezpieczających, które mają wbudowaną ochronę przeciwko zagrożeniom mobilnym (MTD, czyli mobile threat defense ). Takie rozwiazanie oferowane jest m.in. przez Symantec Endpoint Protection Mobile, CheckPoint SandBlast Mobile czy Zimperium zIPS Protection. Mają one funkcje skanowania aplikacji, aby wyszukiwać w nich problemy mogące prowadzić do wycieku danych, a gdy je wykryją - automatycznie je blokują.

Oczywiście są także sytuacje, w których nawet najlepsza ochrona nie zapobiegnie wyciekowi danych - na przykład firma przesyła pliki do publicznej chmury, do której nastąpi włamania, omyłkowo wyśle maila z ważnymi informacjami do innego odbiorcy, itp. Takie "przypadkowe wycieki" znalazły się na szczycie listy wycieków danych w organizacjach związanych z medycyną w trzecim kwartale 2018 roku.

Jakie remedium? Wspomniane narzędzia zapobiegające wyciekom danych - najlepsze z nich mają zabezpieczenia przeciwko wymienionym incydentom.

7 zagrożeń dla urządzeń mobilnych w 2019 roku

2. Inżynieria społeczna

Sprawdzona i wciąż działająca metoda oszustwa to inżynieria społeczna. Choć ostrzega się przed nią w dziesiątkach artykułów i tekstów (także i u nas), ludzie wciąż dają się nabierać. 91% przypadków cybeprzestępstw zaczyna się od e-maila (tak wynika z raportu firmy FireEye). Taktyka nie zmienia się od lat - w mailu jest link, w który użytkownik powinien kliknąć. W porównaniu z 2017 rokiem, w 2018 phishing wzrósł o 65%. Wg badań przeprowadzonych przez IBM, użytkownicy mobilni są trzykrotnie bardziej zagrożeni, ponieważ programy pocztowe wyświetlają tylko imię/nazwę nadawcy, bez podawania pełnego adresu e-mail, który wskazuje na oszustwo. Mają w tym swój udział także powiadomienia - w wielu smartfonach po kliknięciu na informację o otrzymaniu e-maila, zostaje on otwarty, a jeśli użytkownik kliknie z rozpędu w link w treści, następuje przekierowanie na szkodliwą witrynę.

Ale ataki phishingowe to nie tylko e-mail. Wiele groźnych linków użytkownicy otrzymują w wiadomościach tekstowych w komunikatorach, jak Messenger czy WhatsApp, a także w serwisach społecznościowych, a nawet grach! Ale zaledwie ok. 5% osób daje się na to nabierać - a jeśli ktoś ucierpiał wcześniej na skutek phishingu, zazwyczaj drugi raz nie daje się na niego nabierać. Jak podaje raport Verizon, tylko 15% użytkowników urządzeń mobilnych padło w ostatnim roku ofiarami co najmniej dwóch ataków phishingowych.

- Widzimy znaczny wzrost świadomości użytkowników mobilnych, zwłaszcza w sektorze BYOD - podsumowuje John "Lex" Robinson, zajmujący się opracowywaniem strategii antyphisingowych w PhishMe. - Coraz częściej zaciera się granica między urządzeniem prywatnym a firmowym, rośnie liczba użytkowników mających kilka skrzynek pocztowych, w tym służbowych i prywatnych, połączonych jednym klientem. Ponadto często w godzinach pracy pracownicy załatwiają swoje własne interesy. W konsekwencji, gdy zagrożenie pojawia się na prywatnym e-mailu, zagraża równocześnie całej sieci firmowej.

Choć uwierzytelnianie dwuskładnikowe uchodzi za skuteczną metodę zabezpieczenia, cybeprzestęcpy mają sposoby, aby skłonić użytkowników do ich wyłączenia. Jest to jeszcze rzadkość. Gdy metody te staną się bardziej groźne, pomóc będzie mogło uwierzytelnianie sprzętowe lub za pomocą kluczy sprzętowych, jak Google Titan czy Yubico YubiKeys. Samo Google podaje, że uwierzytelnianie sprzętowe chroni przed 99% ataków phishingowych, podczas gdy uwierzytelnianie dwuskładnikowe przed 76-96%.

3. Niezabezpieczone Wi-Fi

Jeśli urządzenie mobilne, to Wi-fi. A Wi-fi może być źródłem ataku, zwłaszcza, jeśli korzysta się z publicznych punktów dostępowych. Analiza firmy Wandera podaje, że firmowe komórki używają trzykrotnie więcej transferu danych za pomocą punktów dostępowych Wi-fi niż transmisji komórkowej, a 1/4 z nich jest podpięta do niezabezpieczonych należycie sieci bezprzewodowych. Dlatego 4% smartfonów firmowych pada ofiarami ataku man-in-the-middle - komunikacja przejmowana jest przez hakera. Zadanie przestępcom ułatwia fakt, że podczas podróży (służbowych, jak i prywatnych) użytkownicy chętnie korzystają z darmowych Wi-fi, chcąc zaoszczędzić na danych posiadanych w pakiecie czy abonamencie.

- Dzisiaj bardzo łatwo jest zaszyfrować połączenie sieciowe - zauważa Kevin Du, profesor nauk informatycznych, specjalizujący się w ochronie smartfonów. - Jeśli nie korzystasz w VPN podczas łączenia się z publicznymi sieciami, zapraszasz hakerów.

Wybór właściwego VPN nie jest prosty. Taka sieć powinna nie tylko zapewniać maksymalną ochronę, ale również nie powodować szybszego zużywania baterii urządzenia. Jakie sa godne uwagi? Zobacz nasz ranking "5 najlepszych sieci VPN dla systemu Android".

4. Nieaktualne urządzenia

Smartfony, tablety i inne urządzenia podłączone do internetu - czyli tworzące Internet Rzeczy - nie mają żadnej gwarancji dożywotniej aktualizacji oprogramowania. Dotyczy to zwłaszcza urządzeń z systemem Android - chociaż producenci starają się, aby miały one jak najdłużej najnowsze wersje systemu i aplikacji, nie zawsze jest możliwe doprowadzenie do tej sytuacji. Gdy kończą się regularne łatki bezpieczeństwa, pojawia się niebezpieczeństwo zhakowania urządzenia. A urządzenia IoT nie są, niestety, zaprojektowane tak, aby aktualizacja oprogramowania była jednym z ich kluczowych elementów. Jak jednak zauważa Du, sytuacja ta zmienia się na lepsze. W urządzeniach mobilnych i internetu rzeczy pojawiają się coraz lepsze mechanizmy aktualizujące, co pozwala na lepszą ochronę przeciwko nowym zagrożeniom.

Badania przeprowadzone przez firmę Raytheon pokazują, że 82% osób zajmujących się zawodowo IT uważa niezabezpieczone urządzenia internetu rzeczy za źródło przyszłych wycieków danych. Na razie całe IoT to jeszcze informatyczny "Dziki Zachód", który rządzi się innymi prawami, niż smartfony, tablety czy komputery stacjonarne. Muszą dopiero powstać dopasowane do niego standardy bezpieczeństwa.

7 zagrożeń dla urządzeń mobilnych w 2019 roku

5. Cryptojacking

Cryptojacking jest stosunkowo świeżym zagrożeniem, które pojawiło się wraz z kryptowalutami. Szkodnik ten sprawa, że zainfekowane urządzenie jest używane - bez wiedzy właściciela - do kopania kryptowaluty. Mówiąc inaczej - ktoś zyskuje dzięki korzystaniu z twojej baterii, procesora i pamięci RAM. Dlatego objawy łatwo zaobserwować: smartfon zaczyna działać niezwykle wolno, bateria wyczerpuje się niemal błyskawicznie, a urządzenie może nagrzewać. Choć ataki tego typu wymierzone są przede wszystkim w komputery stacjonarne, od końca 2017 roku zaczęły pojawiać się również ich wersje mobilne. W pierwszej połowie 2018 roku była to ponad 1/3 szkodników na smartfonach, a liczba zainfekowanych nimi urządzeń - w porównaniu z całym 2017 rokiem - wzrosła aż o 287%!

Teraz sytuacja jest bardziej spokojna - w czym pomogło wyrzucenie z Goole Play oraz App Store aplikacji do kopania kryptowaluty oraz fałszywek, udających użyteczne aplikacje, a naprawdę instalujących kopacza. Jednak zamiast tego cryptojackery są częściej spotykane w mobilnych wersjach stron oraz aplikacjach pochodzących spoza oficjalnych sklepów. Jednak - co z kolei niepokojące - zaczęły pojawiać się ich edycje na podłączone do internetu urządzenia typu set-top box. Hakerzy znaleźli sposób na wykorzystywanie luk w Android Debug Bridge - linii komend dla deweloperów - co pozwala na przejmowanie takich urządzeń.

Jakie remedium? Po prostu ostrożność w instalowaniu aplikacji i unikanie ich pobierania spoza oficjalnych źródeł.

6. Kiepskie hasła

Kiepskie hasła to jedno z zagrożeń bezpieczeństwa, za które odpowiadają sami użytkownicy. Sprawa jest poważna zwłaszcza w sytuacji, gdy dotyczą one kont firmowych i chronią przed dostępem do istotnych danych. Jak wykazują to różne badania, ponad połowa internautów używa tych samych haseł do różnych usług, stron i serwisów. Jeśli dodatkowo jest włączone uwierzytelnianie dwuskładnikowe, nie jest to duży problem - ale te same badania pokazują, że 1/3 osób nie ma go włączonego, a zaledwie 25% internautów korzysta z menadżerów haseł. Inna sprawa to jakość samych haseł - często są one dziecinne proste do złamania przez hakerów.

Jak podają specjaliście, najgorsza praktyka - która jest spotykana aż nazbyt często - to korzystanie z tego samego hasła do pracy i celów prywatnych. A tymczasem 80% wycieków danych w biznesie jest powiązanych z kradzieżą haseł lub używaniem słabych (np. "123456" czy "qwerty"). Dlatego firmy muszą uczulać pracowników, aby używali innych haseł do poczty, komunikatorów, profilów w sieciach społecznościowych czy for. Zabójczym połączeniem jest używanie słabych haseł w połączeniu z kiepsko chronioną siecią Wi-fi (patrz punkt 3). To niemal zaproszenie do włamania.

7. Fizyczny dostęp do urządzenia

Na końcu naszego wyliczania - ale nie oznacza to, że najmniej istotne - jest fizyczne przejęcie urządzenia. Pod ten termin podchodzi zarówno kradzież, jak i dostanie się do zawartości smartfona w innych sytuacjach, np. gdy zostanie pozostawione na chwilę bez opieki. Tutaj rozwiązaniem jest chronienie urządzenia przez PIN, silne hasło lub zaszyfrowanie wybranych obszarów, zawierających ważne dane. Wspomniany raport Poneymon podaje alarmujące statystyki - ponad 35% pracowników firm nie chroni swoich smartfonów służbowych hasłami ani kodami, a ok. 2/3 nie używa szyfrowania! Co więcej, 68% z nich przyznaje, że czasem udostępnia hasła dostępu do kont firmowych współpracownikom. I wyobraźmy sobie sytuację, gdy pracownik w podróży loguje się na firmowe konto, a smartfon zostaje mu skradziony. Skutki mogą być dla firmy niezwykle kosztowne.

Wandera podaje, że statystycznie 43% firm ma co najmniej jedno niezabezpieczone przed dostępem urządzenie. A wśród pozostałych popularne są hasła i PIN-y składające z 4 znaków. Dlaczego? Po prostu łatwo je zapamiętać, ale równocześnie są najłatwiejsze do złamania przez hakera. Dlatego kolejnym remedium jest uświadomienie pracownikom ważności zabezpieczeń przed fizycznym dostępem do urządzeń oraz natychmiastowe ich wprowadzenie tam, gdzie ich jeszcze nie ma.

Bezpieczeństwo danych spoczywa częściowo na użytkowniku, a częściowo na oprogramowaniu. Dlatego antywirusy na smartfony są coraz bardziej doceniane zarówno przez użytkowników prywatnych, jak i firmy. Tworzą je Ci sami producenci, którzy są odpowiedzialni za antywirusy dla desktopów, jednak te edycje dedykowane są urządzeniom mobilnym. Na przykład Bitdefender ma w swojej ofercie przeznaczone dla użytkowników prywatnych programy Bitdefender Mobile Security for Android oraz Bitdefender Mobile Security for iOS, a dla biznesu kilka dedykowanych aplikacji, w tym Security for Mobiles. Korzystanie z takich rozwiązań znacznie minimalizuje ryzyko problemów związanych z wyciekiem danych, kradzieżą haseł, itp., dlatego warto w nie zainwestować.