Атака шпигунського програмного забезпечення через WhatsApp виявляє межі безпеки застосунків

Італійська компанія зі стеження використовувала підроблений застосунок WhatsApp для розгортання шпигунського ПЗ

WhatsApp повідомив, що італійська компанія зі стеження під назвою ASIGINT, дочірня структура фірми SIO, обманом змусила приблизно 200 користувачів завантажити підроблену версію месенджера, завантажену шпигунським програмним забезпеченням. Жертви знаходилися переважно в Італії, а кампанія була описана як вкрай цілеспрямована — вона спиралася на соціальну інженерію, а не на технічні вразливості самого WhatsApp.

Після того як WhatsApp виявив уражені облікові записи, компанія вийшла з системи від імені цих користувачів і закликала їх знайти та видалити шахрайський застосунок зі своїх пристроїв. SIO публічно заявила, що співпрацює з правоохоронними органами та спецслужбами, однак WhatsApp у своєму повідомленні не підтвердив і не схвалив ці твердження.

Це вже вдруге за 15 місяців компанія Meta, материнська компанія WhatsApp, публічно звертається до питання шпигунської діяльності, пов'язаної з Італією. Ця тенденція свідчить про зростаючу увагу до комерційних інструментів стеження, що діють у регіоні.

Як насправді виглядає соціальна інженерія

Термін «соціальна інженерія» часто сприймається як технічний жаргон, але концепція є цілком зрозумілою: замість того щоб зламати систему, зловмисники маніпулюють людьми, змушуючи їх самих відчинити двері.

У цьому випадку жертв обманом змусили завантажити застосунок, який виглядав як WhatsApp, але ним не був. Обман, найімовірніше, включав певне поєднання підроблених посилань для завантаження, оманливих інструкцій або видавання себе за надійне джерело. Жодної вразливості у власному коді WhatsApp не знадобилося. Атака спрацювала тому, що люди довіряли тому, що бачили.

Це принципова відмінність. Коли компанія виправляє програмну помилку, вона усуває технічну точку входу. Атаки соціальної інженерії не покладаються на ці помилки. Вони покладаються на людську поведінку — зокрема, на схильність довіряти знайомим інтерфейсам і виконувати вказівки удаваних авторитетів.

Жодне оновлення застосунку, яким би ретельним воно не було, не може повністю закрити цю прогалину.

Повторювана проблема комерційного шпигунського ПЗ

Комерційні інструменти стеження, що продаються урядам і правоохоронним органам, є предметом постійної стурбованості серед дослідників конфіденційності та організацій із захисту громадянських свобод. Компанії, що розробляють ці інструменти, часто стверджують, що вони служать законним слідчим цілям. Критики вказують на те, що ті самі інструменти можуть бути — і були — використані проти журналістів, активістів, юристів та звичайних громадян, які не мають жодного відношення до злочинної діяльності.

ASIGINT і SIO вписуються у знайомий профіль у цій сфері. Існування підробленого застосунку WhatsApp, розробленого для непомітного розгортання шпигунського ПЗ, порушує питання про нагляд, критерії вибору цілей і те, які правові рамки — якщо вони взагалі існували — регулювали цю конкретну кампанію. Повідомлення WhatsApp не стосувалося цих питань, але сам факт того, що велика платформа вважала за потрібне публічно назвати компанію та попередити постраждалих користувачів, є показовим.

Для приблизно 200 осіб, які потрапили в цю кампанію, цей досвід став різким нагадуванням про те, що загроза виходила не від вразливості застосунку, яким вони обрали користуватися. Вона виникла через те, що їх обманом змусили користуватися зовсім іншим застосунком.

Що це означає для вас

Пересічний користувач WhatsApp навряд чи стане мішенню комерційної операції зі стеження. Такі кампанії, як правило, є дорогими, трудомісткими та орієнтованими на конкретних осіб. Але основний метод — обманути когось, щоб він встановив шкідливий застосунок, зробивши його схожим на легітимний, — не є виключною прерогативою стеження на рівні державних структур. Варіанти цієї тактики зустрічаються у повсякденних фішингових кампаніях і схемах шахрайства по всьому світу.

Справа WhatsApp є корисним нагадуванням про те, що цифрова безпека — це не лише питання довіри до правильних застосунків. Вона також вимагає уважного ставлення до того, звідки ці застосунки походять.

Ось практичні кроки, які варто розглянути:

• Завантажуйте застосунки лише з офіційних джерел. На Android це означає Google Play Store. На iOS — App Store. Уникайте встановлення застосунків за посиланнями, надісланими через повідомлення, навіть від людей, яких ви знаєте.
• Перевіряйте перед встановленням. Якщо хтось надсилає вам посилання для завантаження застосунку, перевірте офіційний вебсайт цього застосунку безпосередньо, а не переходьте за посиланням.
• Тримайте функції безпеки свого пристрою активними. Більшість сучасних операційних систем позначають застосунки з неперевірених джерел. Звертайте увагу на ці попередження.
• Ставтеся скептично до терміновості. Атаки соціальної інженерії часто створюють відчуття терміновості, щоб пригнітити обережне мислення. Якщо якась інструкція здається тиском — сповільніться.
• Реагуйте на попередження від постачальників застосунків. WhatsApp проактивно зв'язався з постраждалими користувачами. Якщо сервіс, яким ви користуєтеся, звертається до вас із питань безпеки, поставтеся до цього серйозно та дотримуйтеся їхніх рекомендацій.

Ширший урок із цього інциденту полягає в тому, що жоден окремий застосунок не може повністю забезпечити вашу безпеку від вашого імені. Залишатися в безпеці вимагає звичок, а не лише інструментів. Знання того, звідки походить ваше програмне забезпечення, і скептицизм у ситуаціях, коли щось здається підозрілим, залишаються одним із найефективніших засобів захисту, доступних будь-якому користувачеві.