Попался нам на глаза материал про нелегкую, но интересную и активную жизнь отечественных владельцев приложений. Точнее той их части, что выкладывает их на AppStore и Google Play. Ну как «выкладывает»… выкладывали. Потому что, как возможно уже не все помнят, в марте 2022 года из российских разделов только этих двух магазинов исчезло почти 7000 приложений, приостановились все платные сервисы, подписки и внутриигровые платежи. По инициативе владельцев площадок, само собой.
Что тут нелегкого ясно. А что интересного и активного-то? А то, как наши компании это все блокирование и ограничение по национальному признаку благополучно сводят на нет. Можно даже добавить, что благодаря такой активности (и изобретательности) разработчиков как минимум сотня миллионов граждан может пользоваться ставшими уже практически базовыми услугами с помощью смартфонов, а тысячи российских IT-компаний (и банки) могут развивать продукты и сохранять рабочие места.
С другой стороны и риски конечно тоже есть – на любую сложносочиненную схему как на мед сразу слетаются мошенники всех мастей, от которых непонятно как защищаться. Или защищаться и не нужно, а нужно просто переложить ответственность на те самые IT-компании, которые схемами пользуется? Вот про это все сегодня и порассуждаем.
Итак. На текущий момент из AppStore и Google Play удалены официальные приложения Сбера, ВТБ, Альфа-банка, ПСБ, Т-Банка и еще много кого банковского. VK и Avito. Вроде бы не много (хотя как раз банками, авитой и вконтактиком наверное пользуется полстраны минимум). Правда еще есть разные впны, которыми (по слухам) тоже много кто пользуется и их тоже поудаляли из магазинов… но это уже другая история с совершенно другими эффектами.
Так вот, дальше Google уведомил разработчиков, что приостанавливает селлер-сервисы для аккаунтов с российскими реквизитами, фактически закрывая монетизацию в Google Play, а Apple закрыла российским компаниям доступ к последнему официальному каналу внутреннего распространения iOS-приложений – Apple Developer Enterprise Program (ADEP). И после этого даже мелкие компании-разработчики свои новые приложения не могут выложить.
Но закрывать-то они могут, только на все есть смекалка (являющаяся, судя по всему, важной частью культурного кода). Еще в 22-23 года начали появляться приложения типа «T Case», «Зеленый Онлайн», «МиллионерКонсультант» и даже «Учет надоя». Угадайте сами, где тут какого банка приложение. Все это выкладывалось с чистых аккаунтов индивидуальных разработчиков в магазинах. После чего обнаруживалось проверяющими со стороны магазинов и банилось, обычно через 1-2 дня. Но за это время, благодаря медийной поддержке и сознательности граждан все, кому было надо, успевали скачать и настроить. Ближе к новому релизу (3-4 месяца) упражнение повторялось. И так до весны 2025 года.
Но вот после отключения ADEP это все прекратилось. Остались только совсем технически сложные схемы либо веб-интерфейсы (что в принципе-то не смертельно), либо развитие собственной экосистемы (RuStore, но как это поможет апловодам – не ясно).
Но, как оказывается, не это главная проблема для пользователей. Да, неудобно, да, местами кривовато. Но как-то на уровне чувств все-равно знаешь, что это банк. Даже если скачал не пойми как. И вот как раз на этом и ловят пользователей разного рода мошенники. Специалисты по инфобезу говорят, что поскольку из-за удаления официальных приложений из того же AppStore, уже стало нормой устанавливать софт, который тоже считается как бы «официальным», но называется по-другому. А этим вовсю пользуются аферисты, которые создают собственное приложение, мимикрирующее под официальное, но на деле вредоносное. И вот как раз по владельцам айфонов это бьет чаще. И что с этим делать?
Можно, конечно, усиливать меры ИБ-защиты, просвещать пользователей и вот это все, что обычно вспоминают, говоря про мошенничество в интернете и около него (особенно банковское). Но все понимают, что ИБ усиливают на стороне компаний, а мошенники атакуют физиков-пользователей. Причем атакуют не через дыры в софте, а через дыры в психологии. Социальная инженерия и прочие звонки от следователей, служб безопасности, поликлиник и так далее. Всем хоть раз звонили. А еще же есть фишинговые сайты, где даже звонить не нужно – пользователь сам все свои конфиденциальные пароли-доступы введет и денег пришлет. И как с таким бороться?
А что если обязать сами IT-компании выявлять поддельные ресурсы (сайты и приложения), которые мимикрируют под их «оригинальные»? Бюджеты у них есть, айтишники грамотные. Вот пусть сами и попробуют свои от поддельных отличить. Как вам идея? Думаете странная? А вот Верховный суд думает, что это отличная идея.
Судебная коллегия по гражданским делам Верховного Суда Российской Федерации постановила, что именно бизнес обязан бороться с «зеркалами» своих сайтов.
Именно организации, а не пользователи, должны следить за появлением сайтов-зеркал и принимать меры против фейков. Основанием стало дело клиентки, воспользовавшейся сайтом, внешне идентичный сайту настоящего сервисного центра. Технику у нее «ремонтники» забрали, но в итоге это оказались мошенники.
Три инстанции признали компанию не причастной, однако ВС отменил решения и направил дело на новое рассмотрение. ВС обращает особое внимание, что суды не дали оценки и не исследовали вопрос принадлежности ответчику сайта, через который потребитель заказала ремонт. Также судам следовало проанализировать переговоры и переписку истицы с сервисным центром.
Однако вместо этого суды переложили бремя доказательств на плечи истицы, которая не располагает средствами для выявления ложного предложения услуг от имени ответчика, удивляется высшая инстанция.
Тут, скорее всего, не все так однозначно и очевидно про фишинг – фишеры дальше интернета не ходят и уж точно не приедут забрать что-то кроме денег. Но намек на определенный прецедент есть. Будем смотреть, чем это закончится и не будут ли скоро банки отвечать за кражу денег у их клиентов их непонятно кем выпущенных приложений.
Что тут нелегкого ясно. А что интересного и активного-то? А то, как наши компании это все блокирование и ограничение по национальному признаку благополучно сводят на нет. Можно даже добавить, что благодаря такой активности (и изобретательности) разработчиков как минимум сотня миллионов граждан может пользоваться ставшими уже практически базовыми услугами с помощью смартфонов, а тысячи российских IT-компаний (и банки) могут развивать продукты и сохранять рабочие места.
С другой стороны и риски конечно тоже есть – на любую сложносочиненную схему как на мед сразу слетаются мошенники всех мастей, от которых непонятно как защищаться. Или защищаться и не нужно, а нужно просто переложить ответственность на те самые IT-компании, которые схемами пользуется? Вот про это все сегодня и порассуждаем.
Итак. На текущий момент из AppStore и Google Play удалены официальные приложения Сбера, ВТБ, Альфа-банка, ПСБ, Т-Банка и еще много кого банковского. VK и Avito. Вроде бы не много (хотя как раз банками, авитой и вконтактиком наверное пользуется полстраны минимум). Правда еще есть разные впны, которыми (по слухам) тоже много кто пользуется и их тоже поудаляли из магазинов… но это уже другая история с совершенно другими эффектами.
Так вот, дальше Google уведомил разработчиков, что приостанавливает селлер-сервисы для аккаунтов с российскими реквизитами, фактически закрывая монетизацию в Google Play, а Apple закрыла российским компаниям доступ к последнему официальному каналу внутреннего распространения iOS-приложений – Apple Developer Enterprise Program (ADEP). И после этого даже мелкие компании-разработчики свои новые приложения не могут выложить.
Но закрывать-то они могут, только на все есть смекалка (являющаяся, судя по всему, важной частью культурного кода). Еще в 22-23 года начали появляться приложения типа «T Case», «Зеленый Онлайн», «МиллионерКонсультант» и даже «Учет надоя». Угадайте сами, где тут какого банка приложение. Все это выкладывалось с чистых аккаунтов индивидуальных разработчиков в магазинах. После чего обнаруживалось проверяющими со стороны магазинов и банилось, обычно через 1-2 дня. Но за это время, благодаря медийной поддержке и сознательности граждан все, кому было надо, успевали скачать и настроить. Ближе к новому релизу (3-4 месяца) упражнение повторялось. И так до весны 2025 года.
Но вот после отключения ADEP это все прекратилось. Остались только совсем технически сложные схемы либо веб-интерфейсы (что в принципе-то не смертельно), либо развитие собственной экосистемы (RuStore, но как это поможет апловодам – не ясно).
Но, как оказывается, не это главная проблема для пользователей. Да, неудобно, да, местами кривовато. Но как-то на уровне чувств все-равно знаешь, что это банк. Даже если скачал не пойми как. И вот как раз на этом и ловят пользователей разного рода мошенники. Специалисты по инфобезу говорят, что поскольку из-за удаления официальных приложений из того же AppStore, уже стало нормой устанавливать софт, который тоже считается как бы «официальным», но называется по-другому. А этим вовсю пользуются аферисты, которые создают собственное приложение, мимикрирующее под официальное, но на деле вредоносное. И вот как раз по владельцам айфонов это бьет чаще. И что с этим делать?
Можно, конечно, усиливать меры ИБ-защиты, просвещать пользователей и вот это все, что обычно вспоминают, говоря про мошенничество в интернете и около него (особенно банковское). Но все понимают, что ИБ усиливают на стороне компаний, а мошенники атакуют физиков-пользователей. Причем атакуют не через дыры в софте, а через дыры в психологии. Социальная инженерия и прочие звонки от следователей, служб безопасности, поликлиник и так далее. Всем хоть раз звонили. А еще же есть фишинговые сайты, где даже звонить не нужно – пользователь сам все свои конфиденциальные пароли-доступы введет и денег пришлет. И как с таким бороться?
А что если обязать сами IT-компании выявлять поддельные ресурсы (сайты и приложения), которые мимикрируют под их «оригинальные»? Бюджеты у них есть, айтишники грамотные. Вот пусть сами и попробуют свои от поддельных отличить. Как вам идея? Думаете странная? А вот Верховный суд думает, что это отличная идея.
Судебная коллегия по гражданским делам Верховного Суда Российской Федерации постановила, что именно бизнес обязан бороться с «зеркалами» своих сайтов.
Именно организации, а не пользователи, должны следить за появлением сайтов-зеркал и принимать меры против фейков. Основанием стало дело клиентки, воспользовавшейся сайтом, внешне идентичный сайту настоящего сервисного центра. Технику у нее «ремонтники» забрали, но в итоге это оказались мошенники.
Три инстанции признали компанию не причастной, однако ВС отменил решения и направил дело на новое рассмотрение. ВС обращает особое внимание, что суды не дали оценки и не исследовали вопрос принадлежности ответчику сайта, через который потребитель заказала ремонт. Также судам следовало проанализировать переговоры и переписку истицы с сервисным центром.
Однако вместо этого суды переложили бремя доказательств на плечи истицы, которая не располагает средствами для выявления ложного предложения услуг от имени ответчика, удивляется высшая инстанция.
Тут, скорее всего, не все так однозначно и очевидно про фишинг – фишеры дальше интернета не ходят и уж точно не приедут забрать что-то кроме денег. Но намек на определенный прецедент есть. Будем смотреть, чем это закончится и не будут ли скоро банки отвечать за кражу денег у их клиентов их непонятно кем выпущенных приложений.