Пенсионный советник

Подпишитесь на оповещения от Газета.Ru

Эфир на весь мир: хакеры крадут криптовалюту

Исследование: 94% приложений для криптовалют имеют серьезные уязвимости

Кадр из фильма Стэнли Кубрика «Сияние» (1980) и биткоин, коллаж «Газеты.Ru» Warner Bros/«Газета.Ru»
Кадр из фильма Стэнли Кубрика «Сияние» (1980) и биткоин, коллаж «Газеты.Ru»

Все больше и больше людей интересуются мобильными приложениями для криптовалют, доверяя им свои денежные средства. Как выяснили эксперты по информбезопасности, это может быть весьма опрометчивым шагом — даже самые проверенные и популярные приложения для блокчейн-операций обладают большим количеством уязвимостей, которыми могут воспользоваться мошенники.

Интерес пользователей к криптовалютам и блокчейну растет, а вместе с ним растет пристальное внимание хакеров и кибермошенников к мобильным приложениям, с помощью которых осуществляются финансовые операции.

Реклама

Злоумышленники выдумывают новые и новые способы похищения денежных средств и криптокошельков, например, публикуя фейковые приложения, замаскированные под легитимные.

Но, как выяснила компания High-Tech Bridge, занимающаяся информбезопасностью, даже легальные приложения для операций с криптовалютами представляют опасность: практически все они имеют уязвимости разной степени критичности.

Устаревшая защита сверхновой технологии

Общее количество приложений в Google Play, которые позволяют хранить, передавать или торговать криптовалютой, превысило 2 тыс. и продолжает свой рост. Разумеется, киберпреступники не смогли упустить возможность «войти на новый рынок» цифровой валюты и ведут агрессивную атакующую политику по отношению к его участникам.

Практически каждую неделю появляются сообщения о компрометации той или иной криптовалютной биржи, которые приводят к многомиллионным потерям.

Исследование High-Tech Bridge затронуло 90 самых популярных приложений из Google Play, связанных с криптовалютами. Они были распределены по трем категориям согласно числу скачиваний — до 100 тыс., до 500 тыс. и свыше 500 тыс. соответственно.

При этом 66% приложений из последней, самой популярной категории не пользуются безопасным протоколом HTTPS, 94% таких приложений имеют как минимум по три уязвимости умеренной группы риска, и еще столько же обладают устаревшим шифрованием.

В этих приложениях хранится секретная информация о кошельке и операциях пользователя, кража которой может аукнуться огромными денежными потерями.

Что характерно, хакеры ломают не только приложения, которые осуществляют торговлю криптовалютой, но и те, которые просто предоставляют информацию с биржи — например, текущую стоимость биткоина. Злоумышленники программируют их таким образом, чтобы они показывали недостоверные данные — таким образом, можно замотивировать человека продать или купить криптовалюту, введя его в заблуждение.

Такие атаки не носят массовый характер, а являются скорее таргетированными на конкретных людей, тем не менее, существующие уязвимости в популярных приложениях только облегчают работу мошенников.

Как правило, рост стоимости той или иной криптовалюты провоцирует их на более активные действия, так что в такие периоды эксперты по кибербезопасности рекомендуют быть особенно осторожными и пользоваться двухфакторной аутентификацией.

Стандартов безопасности пока нет

К сожалению, взломать можно не только мобильные приложения, но и сами криптоплатформы, как, например, случилось в июле 2017 года с платформой CoinDash, которая только начала свою работу. Хакеры подделали адрес на сайте, предлагая инвесторам обменять криптовалюту «эфир» на токены CoinDash. В результате злоумышленники смогли украсть «эфира» на $7 млн.

В том же месяце мошенники атаковали криптовалютный сервис Veritaseum, который в мае запустил процедуру ICO [аналог IPO для криптовалют — «Газета.Ru»]. Хакеры похитили токены VERI и перепродали их другим покупателям. Всего им удалось заработать $8 млн.

Ноябрь 2017 года тоже был отмечен крупным криптовзломом — атаке подвергся сервис Tether.to, посвященный одноименной валюте.

На этот раз хакеры смогли украсть токенов на $30 млн.

Менеджер по группе продуктов ESET Russia Сергей Кузнецов в разговоре с «Газетой.Ru» согласился, что ненадежность софта для криптопераций не является чем-то удивительным — с учетом шума вокруг всего, что связано с криптовалютами, интерес разработчиков приложений к данной теме очевиден.

«Вместе с этим, стандартов безопасного проектирования на этом рынке фактически не существует.

Нет нормативов и правил — равно как и единого правового статуса криптовалют и связанных с ними операций.

Вероятно, к обеспечению защиты приложений придем методом проб и ошибок, после серии инцидентов», — пояснил Кузнецов.

Глава департамента мобильных угроз и мобильной безопасности Avast Николаос Крисайдос рассказал «Газете.Ru» и о другой угрозе, связанной с приложениями для криптовалют — замене подлинных приложений на мошеннические с помощью маскировки.

«Мы уже столкнулись с криптомайнерами, маскирующимися под популярные приложения Google Play Store. Так что я не удивлюсь фейковому приложению для операций с криптовалютой, которое будет майнить за спинами пользователей», — заявил Крисайдос.

Обычно в официальных магазинах приложений проводится тщательная проверка безопасности, однако вредоносные приложения могут время от времени обходить системы верификации, поэтому пользователям следует проверять, что приложение разработано надежным источником.