Header Ads Widget

Ticker

6/recent/ticker-posts

Ingeniería social, tiendas de aplicaciones falsas, llegan a iOS, advierte Sophos


No quise centrarme por completo en la seguridad de los dispositivos de Apple durante la mayor parte de esta semana (consulte aquí y aquí ), pero la nueva investigación de Sophos debería interesar a cualquier empresa que trabaje para mejorar la conciencia de seguridad.

Breaking Bad

La investigación analiza 167 aplicaciones falsificadas utilizadas para estafar a los usuarios de iOS y Android. Aquellos que impactan en el sistema operativo móvil de Apple se destacaron particularmente, ya que muestran la creciente sofisticación de los autores de malware.

Sophos descubrió que estos ataques sofisticados combinan una variedad de armas, desde ingeniería social, sitios web falsificados, páginas falsas de la App Store de iOS e incluso un sitio web de prueba de aplicaciones iOS para llevar estas aplicaciones falsas a los dispositivos de la víctima.

¿Qué vectores de ataque se utilizaron?

Lo que es importante para los usuarios empresariales identificar es qué vectores de ataque se utilizaron para distribuir estas aplicaciones. Principalmente, estos son buenos ejemplos de ingeniería social combinados con sofisticados intentos de suplantación.

Por ejemplo, los investigadores identificaron una instancia en la que un atacante encontró una víctima en una aplicación de citas a la que finalmente manipuló para instalar una aplicación falsa que luego intentó robar los detalles de la criptomoneda de una persona.

Los ataques también utilizaron sitios web falsos que parecen ser sitios legítimos para marcas conocidas, y utilizaron la distribución de aplicaciones ad hoc y las páginas de descarga de la App Store bastante convincentes, con reseñas de clientes falsas.

La humanidad es vulnerable

Lo que hace peligrosas estas hazañas convincentes es la autenticidad construida. Significa que las personas, incluidos sus empleados, pueden caer presa de ellos fácilmente. Una vez más, estos intentos se centran en el eslabón más débil de cualquier cadena de seguridad: los humanos que utilizan el equipo.

¿Qué pueden hacer las empresas para protegerse? Es un argumento a favor de Zero Trust, creo.

Las contraseñas no solo son una protección insuficiente para los datos personales, sino que también lo son para los servicios e información corporativos. Tal como aconsejaría a cualquier usuario de iOS, las empresas deberían al menos implementar la autenticación multifactor para fortalecer los protocolos de seguridad existentes, aunque incluso esto no es suficiente. Los modelos de seguridad Zero Trust basados ​​en red forman otra barrera para mitigar el impacto de ataques de este tipo.

Dado que la seguridad hoy en día es un cuándo , no un si , un movimiento para adoptar protecciones de seguridad combinadas hace que sea más probable que los datos permanezcan seguros incluso en el caso de que se penetre un componente de esa protección.

También se utilizó la distribución ad-hoc

También vale la pena señalar que, al menos en algunos de estos casos, los delincuentes hicieron uso de la distribución ad-hoc (Sophos se refiere a los servicios para desarrolladores de Super Signature) para evadir el proceso de la App Store de Apple. Esto les permitió crear lo que parecían ser aplicaciones reales distribuidas por páginas falsas de la App Store, pero construidas y administradas completamente fuera del proceso de la App Store.

Este es el tipo de instalaciones que verá mucho más si los desarrolladores de dispositivos móviles se ven obligados a ejecutar las tiendas de aplicaciones de la misma manera que un centro comercial de múltiples tiendas, en lugar de como grandes almacenes de clase alta. Pero yo divago.

Las aplicaciones son maliciosas y actúan como aplicaciones reales, pero se distribuyen a través de una página de App Store falsa. Nunca interactúan con Apple en un sentido genuino, y es probable que los servicios de desarrollador utilizados estén violando los acuerdos de licencia de desarrollador de Apple.

Hay pasos que los proveedores de la tienda de aplicaciones pueden tomar para mitigar estos ataques. Sophos sugiere que las tiendas deberían agregar puntajes de reputación y confiabilidad a las clasificaciones de las aplicaciones, por ejemplo.

Apple debe ...

Sabemos que Apple está atento a esos intentos realizados a través de la App Store. Terminó 470,000 cuentas de desarrollador y rechazó más de 200,000 inscripciones por preocupaciones de fraude el año pasado. También eliminó 95.000 aplicaciones de la App Store por infracciones fraudulentas, como manipular a los usuarios para que realicen compras.

Pero el uso de la distribución de aplicaciones ad hoc en estas violaciones llevó a Sophos a recomendar a Apple que creara un nuevo mensaje de advertencia de iOS que les permita a los usuarios saber si están instalando aplicaciones ad hoc fuera de la App Store de Apple .

Estoy completamente de acuerdo con este enfoque. No creo que los probadores beta se apaguen con tales advertencias al instalar aplicaciones de prueba. Tampoco creo que las empresas que utilizan pequeñas distribuciones de aplicaciones desarrolladas internamente tengan problemas para explicar tal advertencia a los empleados.

Los beneficios más amplios en términos de agregar una barrera a la instalación de aplicaciones criminales distribuidas a través de la ingeniería social inteligente y la falsificación convincente superan con creces la fricción de recibir tal advertencia en primer lugar.

De todos modos, el juego del gato y el ratón entre servicios, entidades, usuarios y empresas en línea contra los ciberdelincuentes sigue siendo cada vez más complejo y los humanos siguen siendo el eslabón más débil de la cadena de seguridad. En cualquier plataforma.

Publicar un comentario

0 Comentarios