Πώς οργανώνεται μια κυβερνοεπίθεση σε mobile συσκευές
Καθώς περισσότεροι άνθρωποι χρησιμοποιούν εφαρμογές στις κινητές συσκευές τους, οι εγκληματίες του κυβερνοχώρου συνεχίζουν να αναπτύσσουν νέες μεθόδους για να εκμεταλλεύονται τα τρωτά σημεία των εφαρμογών. Οι hackers χρησιμοποιούν «επιφάνειες επίθεσης» (attack surfaces) για να εξαγάγουν εμπιστευτικές πληροφορίες που μπορούν να αξιοποιήσουν για να διεισδύσουν στη συσκευή σας. Υπάρχουν πέντε τέτοιες «επιφάνειες», στις οποίες κατά κόρον στοχεύουν προκειμένου να αποκτήσουν πρόσβαση στα δεδομένα των χρηστών:
- Διαπιστευτήρια χρήστη (user credentials).
- Ακεραιότητα εφαρμογής (app integrity).
- Ακεραιότητα συσκευής (device integrity).
- Ακεραιότητα API (API channel integrity).
- Ευπάθειες API και υπηρεσίας (API and service vulnerabilities).
Ένας κυβερνοεγκληματίας μπορεί να εξαπολύσει μια επίθεση στις παραπάνω επιφάνειες μέσω της εξής διαδικασίας:
Προετοιμασία κυβερνοεπίθεσης
Υπάρχουν τέσσερις τρόποι προετοιμασίας μιας επίθεσης:
- Απόκτηση διαπιστευτηρίων χρήστη μέσω phishing, πλαστογράφησης και δεδομένων που αποκτήθηκαν μέσω του Dark Web. Αυτά τα δεδομένα αποκτώνται συνήθως μέσω παραβιάσεων δεδομένων και πωλούνται σε τρίτους στο Dark Web.
- Επίθεση στην ακεραιότητα της εφαρμογής για εξαγωγή των πληροφορίων του API και κατάχρηση της επιχειρηματικής λειτουργίας της εφαρμογής.
- Κατάχρηση της ακεραιότητας της συσκευής για την απόκτηση πληροφοριών πελάτη για κακόβουλους λόγους.
- Παραβίαση ακεραιότητας API για υποκλοπή στοιχείων και πρόσβαση στη λογική της εφαρμογής.
Εκτέλεση επίθεσης
Αφού αποκτήσουν πρόσβαση και συλλέξουν πληροφορίες, αυτές είναι οι μέθοδοι που χρησιμοποιούν οι χάκερς για να εκτελέσουν τη στρατηγική επίθεσης:
- Χρησιμοποιούν πληροφορίες που αποκτήθηκαν για να δημιουργήσουν έγκυρα ερωτήματα και να ρυθμίσουν αυτοματοποιημένα εργαλεία που στοχεύουν το API.
- Συλλέγουν δεδομένα χρησιμοποιώντας νέα ή κοινώς γνωστά κενά, όπως πλαστές φόρμες αιτήσεων, συνδέσμους και συνημμένα που περιέχουν κακόβουλο λογισμικό.
- Καταχρώνται την επιχειρηματική λογική του API για να ζητήσουν περισσότερα χρήματα από τους χρήστες ή να ωθήσουν τους χρήστες να κάνουν ψεύτικες αγορές.
- Παρεμβαίνουν στη λειτουργία της υπηρεσίας για επιβράδυνση ή εκτροπή των αιτημάτων των χρηστών.
- Χρησιμοποιούν συλλεγμένες πληροφορίες για να παραβιάσουν την εφαρμογή και να αναπτύξουν μια τροποποιημένη έκδοση, έτσι ώστε να εκτρέψουν οικονομικές συναλλαγές, διαφημιστικά έσοδα ή να κλέψουν δεδομένα.
