Опасный сервис. Как VPN помогает мошенникам
Фото: Павел Бедняков / РИА Новости
Активность пользователей VPN-сервисов может дорого стоить их клиентам. В даркнете уже продаются сотни баз данных с десятками миллионов пользовательских профилей. В распоряжении мошенников оказывается детальная информация о владельце гаджета, и это не только номер телефона или IP-адрес, но и реальное место жительства, платежеспобность, круг знакомств и многое другое. К чему приводит подобное легкомыслие — в материале «Ленты.ру».
Контекст
Первый замглавы Комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова отправила Роскомнадзору просьбу проверить безопасность VPN-сервисов для граждан РФ и оценить эти сервисы на соблюдение законов Российской Федерации. По ее мнению, бесплатные VPN-сервисы только формально заявляют о безопасности данных своих пользователей.
Однако они могут передавать сведения третьим лицам, например рекламным и маркетинговым агентствам. Более того, законодатель считает, что есть опасность передачи данных хакерам в даркнете. Ректор РТУ МИРЭА Станислав Кудж смотрит еще дальше. В своем обращении к министру цифрового развития, связи и массовых коммуникаций России Максуту Шадаеву он предложил обязать российские магазины мобильных приложений маркировать сервисы VPN знаком «18+» как информационную продукцию, запрещенную для детей, а разработчиков VPN-сервисов — указывать полную информацию о потенциальной возможности передачи данных пользователей третьей стороне.
«Несмотря на то что Роскомнадзор проводит планомерную работу по блокировке VPN-сервисов на протяжении уже нескольких лет, сама технология, лежащая в основе таких программ, не позволяет установить полноценный контроль за их распространением, — отметил Станислав Кудж. — Помимо доступа к заблокированным соцсетям, такие приложения также позволяют посещать сайты, содержащие деструктивный контент, особенно опасный для детей и подростков».
Фото: Primakov / Shutterstock
Без гарантий
Интерес россиян к VPN-сервисам вырос после начала специальной военной операции на территории Украины, блокировки популярных соцсетей и оппозиционных изданий. По статистике сервисами для обхода блокировок в нашей стране пользуются четверть опрошенных россиян. По данным мобильного оператора Yota, число пользователей VPN-cервисов из России с января по апрель 2022 года выросло в 53,5 раза. По количеству же загрузок VPN-сервисов за период с марта по июль Россия заняло второе место, уступив только Индии. Для сравнения: в январе 2022 года VPN-сервисы в России загрузили два миллиона раз, а страна занимала 16-е место в мире.
«В последнее время появилось много небольших компаний, которые предоставляют эту простую, по сути, услугу якобы бесплатно, но на самом деле пользователю приходится платить за это информацией о том, как он работает в интернете, или своими персональными данными или просматривать рекламу, или всем вместе взятым», — отмечает генеральный директор Lab.Ag Артем Геллер Владимирович. По его словам, декларируется, что VPN-сервисы, использую достаточно простую технологию, позволяют обходить локальные ограничения на доступ к тем или иным сайтам, а также сохранять конфиденциальность в сети. Но именно по поводу защиты информации и той самой конфиденциальности речи быть не может.
Никто не задумывается о безопасности при использовании таких сервисов. Преступники же, изучая открытые данные, переключили свое внимание на VPN-сервисы. Здесь много угроз, в том числе вероятность, что с загрузкой подобного приложения можно установить вредоносную программу, которая будет передавать ваши личные данные третьим лицам
Специалисты Института кибербезопасности и цифровых технологий РТУ МИРЭА рассказали «Ленте.ру», что проанализировали 72 наиболее популярных сервиса VPN, доступных для скачивания в магазинах мобильных приложений GooglePlay и AppStore. Выяснилось, что подавляющее большинство таких программ передают данные о пользователях третьим лицам, а почти 20 процентов — не скрывают реальный IP-адрес клиентов.
«Разработчики и зарубежные магазины приложений либо не информируют клиентов о потенциальной угрозе, либо помещают условия политики конфиденциальности в труднодоступные локации внутри программы», — отметил доцент кафедры «Интеллектуальные системы информационной безопасности» РТУ МИРЭА Евгений Кашкин. По его словам, почти 90 процентов популярных бесплатных VPN-сервисов не являются безопасными для использования. А в пользовательских соглашениях многих бесплатных VPN-сервисов прямо говорится, что они собирают «профили» клиентов и имеют право их продавать.
По экспертным оценкам 80 процентов популярных VPN-сервисов в AppStore передают персональные данные пользователей третьим лицам, а 38 процентов бесплатных VPN-сервисов для Android содержат вредоносные программы. Многие из этих программ скачаны и установлены миллионы раз. Вот так владельцы VPN-сервисов относятся к клиентскому удобству и безопасности.
Более того, никто не гарантирует неприкосновенность данных у самих VPN-сервисов. Как выяснила компания Positive Technologies, в результате кибератак хакерам удалось получить данные 46 процентов пользователей VPN-сервисов. То есть почти каждый второй россиянин, который скачивал VPN, стал их жертвой. Кражи данных пользователей программ для обхода блокировок происходят регулярно, и, по оценкам экспертов, с каждым годом число утечек растет на 15-20 процентов.
Фото: Павел Бедняков / РИА Новости
Бесценные утечки
Персональные данные бесценны для мошенников. А их активность увеличивается благодаря многочисленным «сливам» баз данных клиентов VPN на просторы интернета. Последний громкий случай связан с Bean VPN. Исследователи безопасности из Cybernews обнаружили, что поставщик услуг бесплатной виртуальной частной сети слил личную информацию о миллионах своих пользователей. Они нашли в сети базу данных более чем с 18 гигабайтами журналов подключений, созданных приложением. Она содержит более 25 миллионов записей, включая такие сведения, как идентификаторы устройств, идентификаторы сервисов Play, IP-адреса, отметки о подключении. Исследователи заявили, что все эти элементы могут быть использованы для установления личности пользователей.
У Bean VPN, который нельзя скачать в App Store, более 50 тысяч загрузок в Google Play. На своем веб-сайте компания сообщает, что не ведет журналы активности пользователей, включая регистрацию истории просмотров, назначение трафика, содержимое данных или DNS-запросы. Также в Bean VPN утверждают, что не собирают IP-адреса, исходящие IP-адреса VPN, временные метки или продолжительность сеансов, что, как предполагает отчет Cybernews, не соответствует действительности.
Это далеко не единственный случай халатного отношения к персональной информации клиентов. В 2021 году в даркнете была выставлена база данных, содержащая информацию о 21 миллионе пользователей популярных VPN-сервисов. Речь о приложениях GeckoVPN, SuperVPN и ChatVPN. В базе содержались адреса электронной почты, пароли и логины пользователей, в том числе из России. В одном из образцов из архива на продажу были выставлены данные об устройствах пользователей VPN, в том числе серийные номера, типы телефонов и бренды.
Такая информация могла использоваться хакерами для получения данных банковских карт. Помимо этого, обнаруженные сведения дают основания полагать, что VPN-сервисы могут собирать больше данных о пользователях, чем указано в их политике конфиденциальности.
Ранее в 2020 году исследовательская группа vpnMentor обнаружила в открытом доступе сведения более чем о 20 миллионах пользователей бесплатных VPN-сервисов. На незащищенном сервере находятся данные приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, включая электронные адреса, незашифрованные пароли, IP- и домашние адреса. При этом многие приложения насчитывали более миллиона скачиваний в магазинах Google Play и AppStore.
Отказываются гарантировать безопасность и приватность информации даже платные VPN-сервисы. Некоторые из них даже указывают это в своей политике конфиденциальности. Например, популярный платный сервис NordVPN, ставший жертвой взлома в 2019 году, сообщает: «Используя Услуги, вы признаете, что мы не можем гарантировать безопасность любых данных, предоставленных или полученных нами через Услуги, и что любая информация, полученная от вас через веб-сайт или наши Услуги, предоставляется под вашу собственную ответственность».
Фото: Владимир Вяткин / РИА Новости
Персональная безопасность
Опрошенные «Лентой.ру» эксперты говорят о том, что данные пользователей могут быть использованы мошенниками для фишинга и хакерских атак. Все это ставит под угрозу конфиденциальные данные, которые передаются с устройств по сети, в том числе пароли, адреса электронной почты, аккаунты к социальным сетям, платежные реквизиты, CVV-коды банковских карт и другая важная информация. Учитывая, что больше половины россиян имеют одинаковый пароль ко всем своим аккаунтам, злоумышленникам не составит труда взломать их и найти интересующую их информацию о его владельце. Именно поэтому эксперты настоятельно рекомендуют ставить уникальные пароли, чтобы в случае утечки мошенники не могли методом подбора получить доступ к другим сервисам с тем же паролем.
«Самая лучшая защита — не использовать подобные сервисы, но, если в них все-таки возникает необходимость, не стоит включать VPN при использовании банковского приложения или других критичных для вас программ, — отмечает Ирина Зиновкина. — Кроме того, участились случаи взломов VPN-сервисов. Если вы заходите в соцсеть, то мошенники могут заполучить ваш логин и пароль, и если они используются вами и для других критичных сервисов, то мошенники могут получить доступ к другим учетным записям. Поэтому главный совет — не использовать один и тот же пароль для разных сервисов».
Еще одним подтверждением такой необходимости является исследование Российского сервиса разведки утечек данных и мониторинга даркнета (DLBI), опубликованного в августе этого года. DLBI провел анализ крупнейших утечек данных 2022 года, таких как «Яндекс.Еда», СДЭК, «Гемотест» и Школы управления «Сколково».
похищено неуникальных данных в России
Эксперты отметили почти порядковое увеличение объема утечек (61 миллион уникальных записей за 6 месяцев 2022 года против 6 миллионов за тот же период 2021 года), а также взрывной рост количества похищенных неуникальных данных (информация о транзакциях, логи действий), число которых достигло уже 2,4 миллиарда записей, что беспрецедентно для российского инфобеза.
Похищенные данные, по мнению экспертов DLBI, пока используются для экспериментального обогащения баз данных и банального фишинга. Однако объединение баз нескольких крупных сервисов, таких как, например, СДЭК и «Яндекс.Еда» с данными операторов связи позволяет получить действительно конфиденциальную информацию о пользователях, такую как реальное место жительства, платежеспобность, круг знакомств и многое другое, что может стать основой для новых мошеннических схем.