Znajdź zawartość

Derek Brown i Daniel Tijerina z firmy Tipping Point pokazali na RSA Conference, jak w łatwy sposób można wykorzystać metody inżynierii społecznej stosowane podczas ataków na pecety do stworzenia botnetu na smartfonach. Obaj specjaliści przygotowali aplikację o nazwie WeatherFist, która dostarczała użytkownikom iPhone'ów i urządzeń z systemami Android informacje o pogodzie. Nie umieścili jej w oficjalnych sklepach dla wspomnianych platform, a mimo to aplikacja został pobrana i zainstalowana przez 8000 osób. Była ona całkowicie nieszkodliwa, chociaż Brown i Tijerina napisali - ale nie udostępnili użytkownikom - również wersję, która kradnie dane, wysyła fałszywe posty do serwisów społecznościowych i rozsyła spam. Eksperyment wykazał, że przestępcy równie łatwo mogą atakować komputery stacjonarne co urządzenia mobilne. Kluczem do ich sukcesu jest bowiem naiwność użytkowników urządzeń elektronicznych.

Firma AirDefense twierdzi, że ponad połowa komputerów używana przez ekspertów biorących udział w RSA Conference, jest narażona na atak. Odbywająca się właśnie w San Francisco konferencja jest największą tego typu imprezą na świecie. AirDefense przeskanowało bezprzewodową łączność z Internetem i odkrył, że korzystają z niej 623 notebooki i telefony komórkowe. Aż 56% korzystało z fabrycznych ustawień łączności bezprzewodowej, a więc były one narażone na atak. Do zaatakowania takich urządzeń cyberprzestępcy mogą użyć ataku typu man-in-the-middle, który w tym wypadku polegałby na uruchomieniu fałszywego punktu dostępowego. Połączone z nim komputery byłyby narażone na kradzież poufnych informacji i ataki na system operacyjny. Zagrożenie nie było jedynie teoretyczne. AirDefense znalazło bowiem dwa fałszywe punkty dostępowe, które podszywały się pod punkty udostępnione przez organizatorów konferencji. Jeden z nich używał nawet sfałszowanego certyfikatu bezpieczeństwa.