Атака на Starbucks: легкие деньги в мобайле для хакеров

[pullquote align=right]
Кевин Махаффей, СТО Lookout, о том, как сделать мобильные устройства безопаснее
[/pullquote]

На этой неделе в медиа говорили о проблеме с приложением Starbucks: профили многих пользователей приложения Starbucks Payment были взломаны, после чего деньги воровались прямо из их счетов в банках и PayPal.

Этот случай подчеркивает главную ошибку в представлении о мобильной безопасности сегодня: что единственная угроза мобайлу — вредоносные программы.

Это неверно. Киберпреступники — рациональные экономисты, которые ищут простейшие пути для заработка денег. Ваше мобильное устройство часто становится их целью, поскольку оно превратилось в цифровой кошелек с доступом к вашим банковским счетам и многим другим формам платежей.

К счастью, в мире существует технология, которая может решить многие из этих проблем.

В случае взлома приложения Starbucks, компания позволяла людям использовать мобильное приложение для оплаты покупок. Приложение использовало деньги с подарочной карточки Starbucks, а также имело опцию автосписания денег с банковского счета или аккаунта PayPal. Мошенники, похоже использовали один из двух очень простых методов атаки. Один из них заключается в том, что взломщики просто перебирают все пароли, отгадывая тысячи или миллионы паролей с помощью автоматизированных средств. Starbucks, видимо, не ограничивает количество попыток ввода пароля перед блокировкой счета.

Второй способ — фишинг, когда взломщики вводят в заблуждение пользователя и он вводит свои логин и пароль в ложную форму. После этого взломщик может попасть в аккаунт, включить функцию автоматического списания с банковского счета и дарить себе карточки Starbucks одну за другой.

Итак, что случилось с этими деньгами? Взломщики, похоже, перепродают подарочные карты в интернете по такой же цене или дешевле, превращая доллары Starbucks в настоящие.

К счастью, существует пара технологических способов решить эту проблему. Кажется, что Starbucks, PayPal и другие финансовые компании возмещают жертвам ущерб, что само по себе отличное начало. Однако все могло бы пойти совсем по-другому, если бы Starbucks ввел двухфакторную авторизацию в своем приложении, требуя у пользователя ввода отдельного кода для изменения настроек профиля. Таким образом пользователь подтверждал бы свои действия или был предупрежден об подозрительных действиях внутри аккаунта. Кроме того важно, чтобы доступ к аккаунту блокировался после излишнего количества попыток ввода неверного пароля (для предотвращения перебора).

В целом, миру нужны компании, которые думают мобайле как о потенциальной жертве атак. Мы все привязаны к мобильным устройствам, и, поскольку технологии развиваются, мы доверяем им даже больше, чем просто деньги: доступ к домам через цифровые замки, термометры, фотографии, социальную жизнь и другое. Если мы правильно подойдем к этому, можно сделать мобильные устройства намного безопаснее ПК, который собирает пыль на вашем столе.