A nemrég a botrány miatt megszűnt News of the World nevű brit bulvárlap telefonos hackelése technikailag nem volt nagy kunszt, ugyanakkor a biztonsági szakemberek arra hívják fel a figyelmet, hogy a bűnözők egyre kifinomultabb módszerekkel törik fel az okostelefonokat.
A technika, amivel a bulvárlap riporterei a hírességek - színészek, tévésztárok, vezető politikusok és a királyi család - telefonjait lehallgatták, meglehetősen primitív volt. A 167 éve fennálló kiadvány végét is jelentő botrányos lehallgatások során a riporterek – amint ezt a The New York Times írja például azt használták ki, hogy sok telefon tulajdonosa nem változtatja meg biztonságosabbra az alapbeállításokat, a standard 1111-et vagy a 4444-es kódot, amit Nagy Britanniában a telefonszolgáltatók adtak a hangposta lehallgatásához.
Azért élhettek vissza az alapbeállításokkal a bulvárújságírók, mert a mobiltelefonok hangpostafiókját bármilyen más telefonkészülékről, akár vezetékesről is le lehetett hallgatni. Két vonalra és hívásra volt szükség: az egyikkel felhívták az áldozat számát, így foglalt lett a vonal. A másik telefonnal ugyanezt a számot tárcsázták, de mivel folglalt volt, ezért a hangposta rendszerbe irányították a hívását. Ott az alapbeállításként megadott biztonsági kódot megadva hozzájuthattak az üzenetekhez, amiket gyakran töröltek, nehogy a rivális bulvárlap is meghallgassa.
A második módszert akkor vetették be, ha az eredeti kódot megváltoztatta a tulajdonos. Ilyenkor az újságírók felhívták a mobiltelefon társaságok ügyfélszolgálatosait, és úgy tettek, mintha a jogos felhasználók lennének vagy egy cég alkalmazottai, akik a prominens személyiség nevében járnak el. Azt kérték, állítsák vissza a kódot az alapértelmezettre. Erről Glenn Mulcaire magándetektív beszélt a New York Timesnak. Glenn Mulcaire bizonyítottan szakértője a témának: 2007-ben fél év börtönre ítéltek telefonhackelésért. Utóbbi módszert „blagging” vagy „pretexting” néven emlegetik. Több helyen – az Egyesült Államokban vagy Nagy Britanniában is – a módszert ma már büntetik.
A pretexting egykor a magándetektívek nélkülözhetetlen eszköze volt - mondta Frank Ahearn, volt nyomozó egy CNN-interjúban tavaly. "Meg tudnám csinálni, de nem teszem, mert törvénytelen" mondta az ex-rendőr, aki most tanácsadóként dolgozik – abban segít ügyfeleinek, hogy őket ne nyomozhassák le.
Nagy-Britanniában az Orange, a Three és a T-Mobile sem ad már ki default kódokat, az ügyfélnek kell beállítania a maga kódját. Az O2 és a Vodafone akkor engedi megváltoztatni a kódot, ha az adott számról érkezik a hívás. Az új kódot is az érintett mobilra küldik. Az O2 letiltja a hangpostát, a Vodafone üzenetet küld az ügyfélnek három hibás kód megadását követően.
Itthon a T-Mobile-nál még mindig van alapkód, amit meg kell változtatni. Az ügyfélszolgálatosuk tájékoztatása szerint a Vodafone-nál is van - 12345 -, amit az első bejelentkezéskor lehet megváltoztatni. A Telenornál nincs alapbeállítás, az ügyfél adja meg a személyes kódot, és személyesen kell a kódot kérni vagy akkor segítenek, ha az adott telefonról indítjuk a hívást.
A News of the World sorozatosan használta a pretextinget, amikor sztorikra vadászott, és nem ez a lap volt az első. A Sun, egy másik brit bulvárlap még ennél is primitívebb módszerrel készült felvételt használt fel. Az 1990-es években Lady Diana és egy közeli barátja, James Gilbey telefonbeszélgetését vette fel egy amatőr rádiós. A félórás felvételt percenként 36 penniért meg is lehetett hallgatni akkoriban.
A mobiltelefonok egyre érzékenyebb műszerek, a lehallgatásukhoz és feltörésükhöz is egyre szofisztikáltabb módszereket használnak a bűnözők.
Az okostelefonokat leggyakrabban kétféleképpen törik fel. Az telefon tulajdonosát ráveszik, hogy fertőzött alkalmazást telepítsen, vagy hogy rákattintson egy vírusos weboldalra vezető linkre.
Az Apple és sok más cég is ellenőrzi az alkalmazásokat, mielőtt az App Store-ba kerülnének és online elérhetőek lennének. Az Android nem.
A szolgáltatóknak ugyanakkor a „kill switch” lehetővé teszi, hogy töröljék a problémás programot az ügyfél telefonjáról, akár a távolból is.
A biztonsági szakemberek már régóta hajtogatják, hogy a kibertámadások célpontjai a mobiltelefonok. A mobiltelefonokat már kezdettől fogva valamiféle védelemmel láták el – ez a PC-k esetében nem így volt - nyilatkozta Horace Dediu, a finn Asymco elemzője. Csakhogy ez a beépített védelem gyakran nem megfelelően méri fel a fenyegetettség mértékét – teszi hozzá. Az emberek nagyobb biztonságban érzik így magukat, ám a pszichológiai támadás(meggyőzni arról valakit, hogy telepítsen egy fertőzött alkalmazást, például) mindig lehetséges lesz.
A pretexting „social engineering”, azaz annak manipulatív kihasználása, hogy az emberek hajlamosak megbízni a másikban. Egyre több telekommunikációs cég tart tréningeket az ügyfélszolgálatosainak, hogy elkerüljék, hogy az információ rossz kezekbe kerüljön.
Az is manipulálás, ha meggyőznek valakit arról, hogy kattintson egy gyanús linkre vagy telepítsen egy alkalmazást, ami aztán ellopja az adatait.
Így védheti meg magát
A mobil biztonsági apokalipszis, amit olyan régóta előrevetítettek, mégsem érkezett el. Eddig a leggyakrabban az emelt díjas SMS-küldő trójai programok telepítésére tudták rávenni a figyelmetlen mobilok gazdáit. Ezek a legegyszerűbb és a legnagyobb bevételt hozó csalások. Ha személyes adatok ellopásáról van szó, akkor a kiberbűnözők inkább a cégek szervereiről emelik le jogosulatlanul az adatokat – ahogy ez a Sony elleni hackertámadás esetében is történt – teszi hozzá Horace Dediu.
Nyilván, aki biztosra akar menni, telepíthet mobil vírusirtót, széles a választék. Egy hónapig lehet ingyen használni a Kaspersky Mobile Securityt, fél évig a BullGuard Mobile Securityt, az F-Secure Mobile Securityt vagy az ANTIVIRUSfree-t. Az ESET Mobile Security for Android Beta virusirtó is ingyenes. A tíz vezető cég magánszemélyeknek szóló fizetős ajánlatát pedig itt lehet összehasonlítani.