Дані про спортивні досягнення — новий вектор атак програм-вимагачів

З кожним роком динамічний розвиток технологій відкриває для нас нові можливості, зокрема і у сфері спорту. Протягом 1990-х років почали з’являтися різні інтелектуальні датчики, апаратне та програмне забезпечення для обробки отриманих даних. Яскравим прикладом таких пристроїв є SRM датчик для вимірювання потужності велосипеда. Хоча багато велосипедистів були дуже зацікавлені, у небагатьох з них були можливості придбати подібні пристрої.

Після цього на початку 2000-х років почали поширюватися стандарти бездротового з’єднання, що поступово призвело до підключення мобільних телефонів до мережі 3G. Такі зміни стали вирішальними для любителів та професійних спортсменів, які тепер прагнули не тільки слідкувати за фізичною активність, а й поділитися досягненнями з іншими.

Сьогодні функціонал сучасних смартфонів вже дозволяє користувачам отримати доступ до різних сервісів та девайсів, зокрема і за допомогою стандартів з’єднання Bluetooth та ANT+, які зазвичай використовуються в датчиках моніторингу ритму та швидкості серцебиття. Завдяки цим стандартам бездротового з'єднання невеликі спеціалізовані пристрої можуть тепер підключатися до смартфонів, що передбачає використання кращого інтерфейсу та більшу потужність, а також отримання доступу до Інтернету, зокрема до соціальних мереж, електронної пошти та серверів.

Спортивні датчики, які збирають дані активностей, можуть бути скомпрометовані. ESET.

З розширенням функціоналу таких пристроїв виникає вже нова індустрія — популярними стають девайси, які забезпечують також обмін інформацією про фізичну активність зі спортивними додатками. Зокрема виробники пристроїв Garmin, FitBit, Apple, Samsung та Wahoo надали можливість користувачам записувати, аналізувати та ділитися даними через додатки Strava, Zwift та інші платформи.

Зокрема додаток Strava використовувало 50 мільйонів користувачів у лютому 2020 року, і їх кількість зростала на мільйон нових учасників щомісяця. При цьому число завантажених спортивних активностей (тренувань) досягло понад 1 мільярд за останні 13 місяців. Як правило, спортсмени завантажують інформацію на такі платформи, як Strava, зі своїх спортивних комп'ютерів та смарт-годинників Apple або Samsung, включно з даними користувачів про місце розташування.

Як користувачі стають залежними від даних?

Здебільшого спортсмени, які використовують Strava та аналогічні платформи, разом з пристроями Garmin, Apple або велосипедним комп'ютером Wahoo ELEMNET, накопичують величезні обсяги інформації, які стають все більш важливими  для них.

Великий успіх та популярність серед користувачів здобули такі платформи, як Zwift — онлайн-гра з турбо-тренажером, яка дозволяє гонщикам приєднуватися до інших велосипедистів у віртуальному середовищі, підключивши велотренажер до комп'ютера, смартфона або смарт-телевізора. Особливо під час карантину кількість користувачів таких програм швидко зросла, і навіть професійні велосипедисти почали переходити на платформу через відсутність тренувань у звичайному режимі. Кількість одночасних користувачів Zwift у січні 2020 року становила 16 512, а до квітня їх число зросло до 34 940.

Дані активностей любителів спорту стали новою ціллю програм-вимагачів. ESET.

Нова ціль програм-вимагачів

Нещодавно провідний постачальник GPS та фітнес-трекерів Garmin став жертвою кібератаки, у результаті якої діяльність багатьох онлайн-сервісів була призупинена, включаючи функціонал веб-сайтів, підтримку клієнтів, додатки для роботи з клієнтами та комунікації компанії. Спеціалісти Garmin негайно приступили до оцінки характеру атаки та способів для її усунення.

Згодом було встановлено, що системи Garmin були атаковані програмою-вимагачем. За результатами розслідування інциденту було виявлено шкідливі програми WastedLocker, які належать групі кіберзлочинців Evil Corp. Як наслідок, користувачі атакованої компанії не могли вносити та публікувати дані.

Нещодавні атаки демонструють, що кіберзлочинці здатні не тільки блокувати доступ до даних, а й викрадати їх для «доксингу» (крадіжка конфіденційної інформації для подальшого використання) та інших зловмисних цілей. Після цього зловмисники можуть перепродавати викрадену інформацію на відповідних підпільних сайтах та навіть формувати «картелі» для залучення більшої кількості покупців.

Таким чином цінність спортивних даних користувачів зростає та прирівнюється до інформації про стан здоров'я. Саме тому після атаки на компанію Garmin розробники подібних програм повинні врахувати потенційні ризики. Крім цього, під особливою загрозою опиняється й багато інших компаній, наприклад, мережі фітнес-центрів та спортивні клуби.

Як підвищити безпеку власних пристроїв?

Користувачі, які слідкують за фізичним станом здоров’я або займаються спортом з використанням фітнес-додатків, можуть стати новою ціллю атак. Якщо ви знаєте або підозрюєте, що ваші дані були скомпрометовані у результаті витоку даних, негайно зверніться до постачальника послуг, продукти якого ви використовуєте. Зокрема запитайте, яким чином він забезпечує захист від викрадення особистої інформації та які існують додаткові способи захисту.

Оскільки ризик викрадення ваших особистих даних про фізичну активність високий, будьте обережними та дотримуйтеся основних порад для уникнення фішингових атак або спроб шахрайства. Крім цього, використовуйте програму з безпеки мобільних пристроїв, яка забезпечить не тільки захист інформації та пристрою від різних шкідливих програм, а й доступу до власних коштів під час використання банківських та інших додатків.

Читайте також:

Шахрайські фітнес-програми під iOS забезпечують втрату грошей, а не калорій

Нова шпигунська програма Welcome Chat під виглядом додатка для спілкування викрадає дані користувачів

Поради на 2020 рік: як забезпечити надійний захист смартфона

Опублікував: ESET 0 коментар(ів)

Додайте коментар

(Для зворотнього зв’язку)