Нещодавно експерти дослідницької команди vpnMentor виявили на незахищеному сервері персональні дані 20 мільйонів користувачів безкоштовних VPN-сервісів у відкритому доступі. Там були електронні адреси, незашифровані паролі, IP- і домашні адреси, дані про моделі смартфонів та ідентифікатори пристроїв користувачів. «Такий витік демонструє повне нехтування правилами безпеки, яке ставить під загрозу користувачів», — заявили у vpnMentor.
Дані, які потрапили в мережу, можуть використовуватися для спаму, фішингових розсилок або шантажу користувачів VPN-сервісів. Яким чином це відбувається та чим це може загрожувати?
VPN
VPN (від англ. Virtual Private Network — віртуальна приватна мережа) — тунель між двома вузлами, який дає змогу приєднаному клієнту бути повноцінним учасником віддаленої мережі й користуватися її сервісами — внутрішніми сайтами, базами, принтерами, політикою виходу в інтернет.
Але чи всі VPN-рішення на сьогодні є безпечними і як не потрапити в халепу? Тиждень поспілкувався з експертами з кібербезпеки.
«VPN — це насамперед рекомендована річ саме для того, щоб комунікація між двома кінцевими точками була безпечною. Безплатні VPN не надають жодної гарантії безпеки. Користувачі таких програм ризикують своїми персональними даними, такими як паролі, логіни та власна конфіденційна інформація», — розповідає Дмитро Жуковський, директор департаменту інформаційних технологій компанії «ІТ-Інтегратор».
Читайте також: Не боятися змін
Інсталяція будь-якого програмного забезпечення, будь-якого VPN-рішення може потребувати встановлення додаткових програм. Часто цей крок наприкінці введення даних просить поставити «хрестик» або «галочку» напроти виразу «Я погоджуюся…». Саме цей етап є вирішальним для вашого пристрою та долі вашої інформації. Такі додаткові неперевірені програми стають шпигунами й просто поглинають усю інформацію, навіть коли ви цього не підозрюєте. Важливо ще на початку читати всі умови під час інсталяції.
«Загалом будь-який застосунок має певні дозволи. Наприклад, доступ до геоданих, журналу викликів, камери, контактів, пам’яті тощо, які ми надаємо, коли встановлюємо цей застосунок. Після наданого дозволу застосунок може отримувати цю інформацію і, якщо розробник це передбачив, пересилати її на сервери розробника. Така сама ситуація і з розширенням у браузері (одна з популярних форм використання VPN): вони можуть мати дозвіл бачити та змінювати інформацію на сайтах, які ми відвідуємо», — каже Антон Кушнір, спеціаліст із безпеки, тренер ГО «Лабораторія цифрової безпеки».
Під час звичайного веб-серфінгу інформація на пристроях також у небезпеці. Браузер повідомляє сайтам дуже багато інформації про пристрій, з якого виконується дія. Це і властивості операційної системи, і масштаб екрана, і встановлені шрифти та мови. Експерт Антон Кушнір радить перевіряти свої браузери на сервісі AmIUnique.
Соціально небезпечні мережі
Три роки тому до російських соцмереж «Одноклассники» та «ВКонтакте», а також до сервісів «Яндекс» та Mail.ru Group було застосовано санкції, які передбачали заборону для українських провайдерів та операторів зв’язку надавати користувачам доступ до сайтів із санкційного списку. Але водночас немає жодної заборони для користувачів і надалі використовувати ці соцмережі, обходячи блокування за допомогою VPN.
За даними дослідження компанії PlusOne, українські користувачі менше ґуґлять Facebook, бо більшість уже має застосунок соціальної мережі на своїх мобільних пристроях. Instagram вийшов на друге місце за частотою фігурування в пошукових запитах, інколи нарівні із «ВКонтакте».
Тож російські соцмережі відходять на другий план. За даними Інтернет асоціації України, з вересня 2016-го по вересень 2019-го частка українських інтернет-користувачів, які щодня відвідують «ВКонтакте», упала з 54% до 10%. За той самий період частка українських відвідувачів порталу «Одноклассники» знизилася з 35% до 10%. Водночас зростала відвідуваність Facebook та Instagram.
Що відбувається із персональними даними після видалення сторінки?
«Коли ми видаляємо сторінку в соцмережі, вона стає недоступною користувачам. Але ми не можемо мати гарантії, що сервіс дійсно видалив усі дані зі своїх серверів, бо переважно вони зацікавлені не видаляти. Право на повне видалення інформації зараз потроху починають запроваджувати юридичним шляхом в окремих країнах, але це наразі явно не стосується РФ. На всіх російських сервісах установлено спеціальне обладнання, що в автоматичному порядку надає доступ силовикам РФ до інформації на цих сервісах. Тобто без додаткових запитів і навіть без відома сервісу», — коментує Антон Кушнір.
Читайте також: Чи мають діти вчитися людських цінностей на алгоритмах?
Експерти Інтернет асоціації України вказують на те, що блокування мереж сприяє поширенню VPN, що, своєю чергою, може становити загрозу кібербезпеці України. Це пояснюється тим, що власники та адміністратори VPN-сервісів отримують доступ до приватних та корпоративних мереж користувачів.
Кіберфахівці Служби безпеки України проаналізували, що за період дії санкцій українських користувачів у цих соцмережах поменшало втричі: «Це значно звузило цільову аудиторію, на яку спрямовані інформаційні операції російських спецслужб», — повідомили в СБУ.
Якщо вам надіслали повідомлення, у якому обіцяють щось дуже бажане або лякають блокуванням облікового запису, не поспішайте вводити пароль, це може бути фішинг.
Останнім часом у мережах став популярний такий різновид шахрайства, як фішинг (від англ. fishing — риболовля). Його мета — виманювати в довірливих або неуважних користувачів мережі конфіденційну інформацію (банківські дані, логіни, паролі тощо).
Дмитро Жуковський пояснює: «Шахраї надсилають листи через підроблені імейли. Наприклад, може бути отриманий лист нібито від електронної адреси банку, у якому вимагатимуть заповнити важливу анкету з конфіденційними даними. Користувач довіряє цьому, не перевіряючи достовірність повідомлення. У такий спосіб відбувається не викрадення інформації, а виманювання».
Повідомлення можуть надходити й від імені відомих брендів, підроблених імейлів знайомих та друзів. Найчастіше тексти таких есемес давлять на читача та викликають напруженість, адже пропонують вигідну угоду, знижку, можливість виграшу. І вирішити треба зараз.
Читайте також: Штучний інтелект: загроза чи незріла технологія
Захиститися від фішингу можна. Головне регулярно оновлювати програмне забезпечення, включно з антивірусним захистом. Важливо перевіряти схожі оголошення та повідомлення. Це не займає багато часу. Рідним чи друзям можна зателефонувати, благодійні фонди чи банки мають офіційні контакти, через які можна уточнити будь-яку інформацію, а якщо листи від незнайомих вам осіб чи джерел — просто ігнорувати їх.
Чому це відбувається?
Сторінки в соціальних мережах часто зламують, тому що користувачі використовують той самий пароль на багатьох сайтах. А також не використовують двофакторну автентифікацію.
«Працює це так. Наприклад, ви зареєстрували обліковий запис Google із логіном [email protected] та паролем MykolaMolodets111. Після цього ви зареєстрували обліковий запис Facebook, де логіном є ваша пошта й використали той самий пароль MykolaMolodets111. Далі ви реєструєтеся на форумі любителів акваріумних рибок із тими самими даними: [email protected] та паролем MykolaMolodets111. Якщо на якомусь із цих сайтів буде злам чи витік інформації, зловмисники отримають комбінацію «імейл + пароль», яку спробують використати, щоб зайти в інші ваші облікові записи», — пояснює Антон Кушнір, спеціаліст із кібербезпеки.
Перевірити, чи фігурує ваша електронна адреса в зливах даних, можна за допомогою сервісу Have I Been Pwned (HIBP).
Як уникнути проблем
Дайджест правил безпеки себе та своїх даних в інтернеті — прості способи вберегтися від перелічених загроз. Дмитро Жуковський та Антон Кушнір радять дотримувати низку простих правил:
1. Користуватися платними VPN-програмами, бо найчастіше проблеми виникають саме з безплатними застосунками, що їх виготовляють спеціально для шахрайства. Окрім VPN, програмні продукти також можуть мати вразливі сторони. Тому краще встановлювати програми з офіційних сайтів, дотримуючись усіх ліцензій. А перед встановленням ознайомитися з відгуками. Застосунки, які користувач встановлює не через офіційні магазини, зазвичай у своєму коді містять «чорний хід» (від англ. backdoor) — метод обходу стандартних процедур автентифікації, несанкціонований віддалений доступ до комп’ютера, отримання доступу до відкритого тексту й так далі, залишаючись при цьому непоміченим. Найчастіше саме через ці «чорні ходи» шахраї отримують доступ до інформації.
2. Не зберігати паролі та логіни до облікових сторінок на своїх пристроях. Складність паролю повинна відповідати правилам безпеки певного сайту. Важливо регулярно змінювати пароль та пристосовуватися до двофакторної авторизації.
3. Оновлювати програмне забезпечення та програми. В усіх програмах (зокрема, операційній системі) час від часу розробники знаходять вразливості. Вразливість — це помилка в коді програми, яка дає змогу зловмисникам, наприклад, отримати доступ до даних. Коли про вразливість стає відомо розробникові, він випускає оновлення — патч — для того, щоб її закрити. Поки вразливість не закрито, зловмисникам треба лише якимось чином передати зловмисний код на пристрій, щоб отримати доступ. От чому для захисту від вірусів треба насамперед оновлювати всі програми на пристроях.
4. Налаштувати резервне копіювання важливих файлів у хмару. Це можна зробити за допомогою Google-акаунту та його функцій. «Google Фото» збереже всі спогади, а «Google Диск» — важливі документи з прив’язкою до адреси електронної пошти. Але тут важливо прислухатися до пункту 2 щодо встановлення паролів та правильного користування ними. Також можна зробити резервні копії на зовнішні носії даних, як-от DVD-диски, USB-носії та жорсткі диски, і зберігати їх в іншому, відключеному від інтернету місці.
5. Уникати загальнодоступні мережі WiFi. Публічні та незахищені WiFi-мережі мають певні «чорні ходи» та надають доступ до інформації. Тому не варто відправляти важливу інформацію (електронні поштові скриньки, дані кредитних карток, дані онлайн-банкінгу тощо) через незнайомі мережі.