В списке из сотни самых популярных приложений выявлено свыше 2000 уязвимостей — пользователи все чаще сталкиваются с попытками взлома аккаунтов в известных онлайн-сервисах — от платформ для аренды жилья и продажи автомобилей до сервисов поиска подработки. Злоумышленники преимущественно взламывают учетные записи, выдаваясь за сотрудников компаний и прося сменить пароль по причине подозрительных операций. Подробнее описано в статье «Известий».
Каким образом через дыры в приложениях происходит утечка данных россиянЭкспертиза 100 самых популярных приложений в области объявлений и онлайн-услуг продемонстрировала тревожную ситуацию: обнаружено более 2000 уязвимостей, из которых свыше 500 являются критическими и высокоопасными. Об этом «Известиям» сообщили в AppSec.Sting. По мнению экспертов, порядка 70% мобильных приложений имеют серьезные недостатки в защите, которые позволяют злоумышленникам получить доступ к персональным данным пользователей.
Дыры в данных дают злоумышленникам возможность запускать масштабные фишинговые кампании, рассылать поддельные уведомления и предлагать оплатить фиктивные услуги. В итоге вместо желаемого отдыха у моря пользователь может оказаться без жилья и денег, отметили в компании.
Мошенники часто прикрываются образом сотрудников поддержки и с помощью социальных манипуляций вынуждают жертв сменить пароль или пройти «проверку». Из-за уязвимостей мобильных приложений пользователь рискует без всяких подозрений лишиться доступа к аккаунту и даже средств, рассказали представители компании.
Редакция обнаружила в интернете людей, которые столкнулись с такой проблемой. Например, фирма, работающая в музыкальной сфере более пяти лет, лишилась доступа к бизнес-аккаунту в одном из приложений. Весной 2025 года профиль был неожиданно переименован, все объявления удалены, а при попытке войти телефон и почта оказались недействительными. Вместо предложений кавер-группы на странице появились объявления о продаже цветов, рассказал представитель компании на одном из форумов.
По его словам, злоумышленники воспользовались уязвимостью в системе: адреса электронной почты не скрывались полностью и их было просто угадать. Зная адрес, мошенники обращались в службу поддержки и получали доступ к чужому аккаунту. Компании удалось вернуть аккаунт, но всего через час он снова заблокировался приложением, а попытки вывести деньги или удалить учетную запись для создания новой не увенчались успехом.
Еще один пользователь рассказал свою историю в интернете: он утратил доступ к аккаунту на одной из торговых площадок во время отпуска. На протяжении четырех лет он вел бизнес в одном из приложений, предлагая услуги от автозагрузки до транспортировки крупногабаритных грузов. Аккаунт содержал десятки оплаченных услуг, сотни объявлений, более ста положительных отзывов и многолетнюю клиентскую базу. Средства на внутреннем счете и платная подписка стали недоступны. Пользователь утверждает, что потерял основной канал продаж.
В целом приведенные случаи — лишь часть схем, применяемых мошенниками; их арсенал постоянно обновляется, адаптируясь к современным событиям и поведению аудитории.
По словам руководителя исследовательской группы Positive Technologies Федора Чунижекова, одна из наиболее распространенных схем — сообщения от якобы технической поддержки сервисов. Мошенники предупреждают о «подозрительной активности» или «угрозе блокировки» учетной записи и под этим предлогом запрашивают логин, пароль, фото документов или одноразовый SMS-код.
Еще одна частая схема — предложение бесплатной премиум-подписки или дополнительных функций по выгодной цене. Жертве отправляют ссылку на фальшивый сайт, копирующий интерфейс настоящего сервиса. Ввод данных дает мошенникам полный контроль над аккаунтом.
Как пользователям защитить свои данныеЧтобы не стать жертвой взлома или мошенничества, необходимо придерживаться базовых, но действенных правил цифровой гигиены. Не следует переходить по ссылкам из подозрительных сообщений, вводить логины и пароли на сомнительных сайтах, а также поддаваться на слишком заманчивые предложения или тревожные уведомления — именно на этих эмоциях и основываются мошенники, отметил руководитель Kaspersky GReAT в России Дмитрий Галов.
— Важная часть защиты аккаунтов — соблюдение парольной политики: использовать уникальные и сложные комбинации для каждого аккаунта, регулярно менять их и хранить безопасно, не в виде скриншотов или заметок, а, к примеру, в специальных менеджерах паролей, — подчеркнул он.
По его мнению, даже самые надежные пароли не гарантируют полной безопасности — поэтому сегодня самым эффективным средством остается многофакторная аутентификация, требующая для входа не только пароль, но и дополнительное подтверждение, например код из SMS или приложение-авторизатор.
— Если возникают сомнения, что аккаунт могли взломать, можно просмотреть активные сессии (если сервис это позволяет): при обнаружении незнакомого устройства лучше завершить соответствующую сессию и сменить пароль, — посоветовал эксперт.
Защита учетных записей — это ответственность не только самих пользователей. Компании также обязаны предпринимать меры безопасности для защиты сервисов и данных клиентов. Особенно важно учитывать, что злоумышленники часто атакуют через человеческий фактор, совершая обман сотрудников, используя доверие или недостаток знаний, отметил Федор Чунижеков. Поэтому организации должны обучать персонал, регулярно напоминая о киберугрозах, объясняя, как их распознать, и какие действия предпринять при подозрительной активности.
— Для технической защиты фирмы могут использовать специализированные системы. Так, EDR-системы помогают обезопасить рабочие устройства от вредоносного ПО. SIEM (системы управления событиями безопасности) и NTA (анализ сетевого трафика) позволяют выявлять подозрительную активность и оперативно реагировать на инциденты, — пояснил эксперт.
Регулярная проверка инфраструктуры на уязвимости и их устранение — еще одна важная мера, заключил он.