Головна » IT Блоґ » Як захистити свій смартфон від шахраїв, стеження і кіберзагроз?
В епоху цифрової ери телефонний аферизм набирає небачених масштабів та оборотів. Дедалі частіше нам телефонують різні невідомі номери, приходять дивні SMS з “виплатами” і “суперпропозиціями”. Як зупинити цю шкідницьку навалу? Розповідаю у статті.
Зміст статті
Реєстрація SIM-картки на паспортні дані
Перше з чого варто почати після покупки стартового пакета — це реєстрація номера на свої паспортні дані. Якщо цього не зробити, є велика ризик, що зловмисники скористаються функцією відновлення загубленої SIM-картки (перевипуск SIM). Для цього їм потрібно назвати 10 останніх номерів, які вам телефонували. Досстатньо, щоби ви просто брали слухавку і зареєструвався дзвінок. Звичайно, усе залежить від правил конкретного оператора, а вони постійно змінюються. Але те, що такі випадки бували і бувають — факт.
Офіційно зареєструвати на себе SIM-картку можна в фірмових магазинах операторів мобільного зв’язку, або у персональному онлайн-кабінеті — це займе не більше 5 хвилин вашого часу, зате ви заощадите свої гроші і нерви.
Вимкнення прихованих переадресацій
Мало хто знає, що на рівні мережі ваш мобільний номер може прослуховуватися, переспрямовуватися паралельно на інші номери (паралельна переадресацію), списувати баланс і таке подібне. Це трапляється рідко, але такі випадки зафіксовані. Ба більше, одного разу у мене самого стояла така переадресація.
Для профілактики та вимкнення подібних маніпуляцій існують спеціальні USSD-команди і ММI-коди:
##002# — видалення всіх переадресацій дзвінків на телефоні. Після виконання на дисплеї з’явиться повідомлення про успішне видалення і очищення від усіх переадресацій;
*#21# — перевірка інформації про активні передресації, якщо такі є;
*#43#— статус послуги очікування виклику;
*#62# — перевірка переадресації на інший номер;
**62*номер# — активувати переадресацію на номер, якщо не в мережі;
#62# — відключити переадресацію якщо не в мережі.
*#33# — відображає статус блокування вихідних сервісів: дзвінків, SMS та даних;
**330*password# — активувати блокування всіх викликів;
#330*password# — відключити блокування всіх викликів;
*#*#4636#*#* — технічна інформація від розробника (OEM): інформація про мережу, рівень сигналу, uptime, ping, IMS, конфігурація інтернет-з’єднання та інші налаштування;
*#06# — інформація про IMEI-номер мобільного пристрою;
*#*#34971539#*#* — інформація про камеру мобільного пристрою;
В інтернеті море різних статей на цю тему, але від себе додам, що необхідно, на мою думку, налаштувати:
Відключити показ введених на пристрої паролів — під час введення або набору знаків на мобільному пристрої вони будуть приховуватися;
Відключити можливість встановлення додатків з невідомих джерел. При бажанні можна увімкнути, якщо ви встановлюєте якийсь софт з неофіційного репозиторію, який вже раніше перевірили;
Встановити пароль на запуск тих чи інших додатків, наприклад мобільного банкінгу, доставки і т.д.
Не вмикати відлагодження Android-пристрою в налаштуваннях розробника без особливої потреби (ADB debugging). Постійно включений режим ADB-налагодження створює ризик несанкціонованого доступу та віддаленого керування вашим пристроєм. Переважно, ця функція необхідна у випадку, якщо потрібно перевстановити прошивку мобільного пристрою, використовуючи ПК;
Увімкнути шифрування на телефоні. Увага: шифрування може суттєво сповільнити, а за певних умов навіть вивести з ладу смартфон, якщо ви використовуєте неофіційну прошивку, наприклад Lineage. Тому рекомендується попередньо звернутися за консультацією до майстра;
Увімкнути автоблокування (lock) дисплею. Рекомендую активувати доступ по цифровому паролю (не застосовувати у якості паролю відбиток пальця або графічний символ — їх можна підробити/розгадати);
Відкорегувати права доступу для усіх додатків — це робиться в “Налаштуваннях” ->”Додатки”. Перейти у кожен з них та відрегулювати до чого він матиме доступ — камери, мікрофону, контактам, календарю і т.д. Як показує досвід, деякі додатки зловживають своїми уповноваженнями;
Увімкнути доступ до вашої SIM-карти по PIN-коду. Це унеможливить використання номеру, якщо його вкрадуть;
Використовуйте надійні і перевірені мессенджери для спілкування в інтернеті. На мою думку, жоден з популярних на сьогодні мессенджерів (WhatsApp, Viber, Telegram) не гарантує належної безпеки користувачу, тому варто застосовувати захищені додатки із застосуванням OTR/OMEMO/PGP шифруванням. Наприклад, Conversations IM для Android або Signal/Threema. Детальніше прочитати про це можна в статті: ТОП захищених месенджерів.
Вимкнення телеметрії Google
Телеметрія Гугла разом з її тотальною синхронізацію також може бути для когось небезпечною. А самі сервіси — є недосконалими, 24/7 збирають, обробляють і передають безліч метаданих. Скажете, навіщо? Усе просто: ви користуєтеся БЕЗКОШТОВНО їх сервісами, а вони користуються вашими даними для покращення своїх сервісів, моделювання штучного інтелекту (AI), а іноді й відверто торгують ними зі своїми партнерами. Я вже мовчу про те, що усі ці сервіси використовують ресурси вашого пристрою, сповільнюють його, садять батарею, вкорочуючи життєвий цикл.
Отож, найбільш дієвим методом є взагалі не встановлювати Google-сервіси на смартфон, користуючись альтернативними додатками і репозиторіями. Однак, більшість додатків відмовляються працювати з відключеними службами Google Play, а тому компромісним рішенням буде — перепрошити телефон лише з мінімально встановленим набором додатків Google. Такий проєкт давно створений однодумцями і має назву The Open GApps Project.
Що робити, якщо Google вже встановлений і працює по-замовчуванню?
У такому випадку, необхідно трішки “підтюнінгувати” його. Ось перелік деяких налаштувань:
Перейти в “Налаштування”, обрати “Акаунти” й видалити усі існуючі облікові записи Гугла та створити після цього новий. При створенні обов’язково увімкнути опції: 1) Не зберігати історію додатків та історію пошуку; 2) Не показувати персоналізовану рекламу, спираючись на ваші інтереси і вподобання; 3) Не зберігати історію перегляду відео Youtube; 4) Зняти галочку “Відправляти мені пропозиції…”;
Далі рекомендую вимкнути усі сервіси стеження і геолокації. Вони переважно знаходять в налаштування телефону, а також в налаштування облікового запису Google. На мою думку, можуть бути потрібні лише тоді, якщо ви часто губите телефон, але для цього є інші, більш спеціалізовані додатки (той же ESET Mobile Security з увімкненим “Антикрадієм”).
Мобільні додатки для визначення номера телефону (Called ID)
Це наступний обов’язковий крок на шляху безпеки мобільного пристрою. Для тих, хто має чимало контактів на телефоні і регулярно здійснює виклики, рано чи пізно з’явиться необхідність фільтрувати вхідні дзвінки. На сьогодні, найзручнішими, корисними, практичними та функціональними, є ТОП-3 визначники номера телефону:
Get Contact — одне з найпопулярніших рішень для ідентифікації мобільних номерів та блокування небажаних викликів. Додатком користуються вже понад 120 мільйонів у всьому світі. Getcontact покаже вам хто телефонує, використовуючи дані телефонних книжок інших абонентів, у яких встановлено додаток Get Contact. І це варто теж усвідомлювати, інакше ви не зможете користуватися усіма принадами, якщо не надасьте доступ до своїх контактів цьому додатку. Якщо у вашій книзі є конфіденційні номери, краще видалити їх, або створити окремий профіль з порожньою телефонною книгою для GetContact. Особливість програми — потужний спам-фільтр, складений на базі тегів тисячі користувачів по всьому світу. Таким чином, база спамерів та шахраїв регулярно оновлюється, а ви тим часом зберігаєте час та спокій;
Calls Blacklist Pro — чудовий Android-додаток, який захистить вас від небажаних дзвінків і SMS (вішингу, смішингу). Програма містить чимало налаштувань, підтримує White/Blacklist списки, може блокувати приховані, приватні номери, нецифрові адреси SMS, має вбудований планувальник, що дає можливість налаштувати блокуваннях у зазначені хвилини, години, дні, місяці.
TrueCaller — шведський застосунок індійського походження, створений спеціально для боротьби з телефонним спамом та шахрайством. Являє свобою своєрідний комбайн, надаючи функції і менеджера дзвінків, і додатка для отримання/надсилання SMS-повідомлень. Містить багато інших опцій і навіть має вбудовану соцмережу. Підтримує блокування по коду країни, блокування усіх невідомих, закордонних номерів. Може працювати у “тихому режимі” і не турбувати вас;
Num Buster — корисний додаток для ідентифікації та блокування спамних абонентів. Виступає як багатофункціональний менеджер управління дзвінками та SMS. Дозволить також дізнатися подробиці про власника номера телефону, який вам телефонував, є можливість додавати інформацію, позначати категорії спамерів, формувати чорні списки. Програма нагадує соцмережу — ви можете створити свій профіль, встановити аватар та фонове зображення, додавати нотатки та залишати коментарі у картках інших користувачів. Є навіть “Нейроаналіз з фотографії” (НейроСова). Загалом у складі NumBuster багато корисних, схожих з TrueCaller та GetContact функцій.
Для гіків-лінуксоїдів, які дбають про безпеку своїх мобільних пристроїв існує спеціальна утиліта під назвою — Mobile Verification Toolkit (MVT). Вона проведе повний аудит вашого пристрою, просканує і перевірить кожен додаток на наявність порушень безпеки та шкідливого ПЗ, а також при бажанні зробить дамп мобільного телефону.
Далі потрібно активувати режим відлагодження на своєму мобільному пристроїв (ADB в режимі розробника на Андроїд) Developer mode). Після чого виконати команди терміналу:
Корисною в підготовці аудитів мобільних пристроїв буде методологія OWASP Mobile TOP 10
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Konrad Ravenstone
Спеціаліст з кібербезпеки, аудитор, OSINT-аналітик, Penetration Tester в KR. Laboratories. Досліджує інтернет-технології з 2011 року. Впроваджує кіберзахист інформаційних систем та електронних ресурсів на всіх рівнях.