книги хакеры / Как_защитить_себя_в_цифровом_мире_
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
X |
|
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
|
||
|
|
F |
|
|
|
|
|
|
t |
|
||
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
товара. Злоумышленник просит вернуть разницу (10 000 рублей) и |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|||
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
|
-x cha |
|
|
|
|
|
||
исчезает, а через некоторое время счет продавца блокируется за мошенничество, так как 25 000 ему перевел совершенно посторонний покупатель, с которым общался злоумышленник.
Еще одна схема: злоумышленник приобретает товар наложенным платежом, а затем отказывается его брать. При осмотре товара он подменяет его подделкой, которую возвращает продавцу вместо настоящего товара [257], [258]. Также мошенник может оформить заказ товара у самого себя, чтобы получить номер заказа и, сымитировав сообщения от сервиса частных объявлений, прислать его продавцу. Если тот отправляет товар, злоумышленник и получает посылку, и возвращает свои деньги (так как товар он купил «у себя», а у настоящего продавца заказа вообще нет) [259]. Также злоумышленники могут взламывать профили пользователей сайтов частных объявлений, используя технические каналы связи, как описано в кейсе. По мнению экспертов «Лаборатории Касперского», к случаям мошенничества могут быть причастны и сотрудники сервисов частных объявлений и служб доставки, так как у них есть доступ к совершаемым сделкам и накладным, где среди прочего указаны суммы сделок [260].
КЕЙС В 2020 г. пользователь сайта «Авито» лишился 119 000 рублей, «продав» товар злоумышленнику, который получил несанкционированный доступ к профилю продавца и вывел деньги. Подделав номер продавца, мошенник позвонил в службу технической поддержки и запросил смену адреса электронной почты, привязанного к профилю. Это удалось благодаря тому, что уведомление о смене адреса электронной почты поступает только на новый адрес, но не на прежний, поэтому настоящий владелец профиля не был уведомлен об изменении контактных данных. Мошенник сбросил пароль для доступа к профилю, использовав новый адрес электронной почты, а затем сменил телефонный номер, чтобы лишить владельца возможности восстановления доступа. После получения посылки злоумышленник также получает уведомление о необходимости ввести банковские реквизиты для вывода денег за покупку и вводит данные своей карты
[261].
Специфический способ мошенничества, связанного с устройствами компании Apple, заключается в продаже заблокированных девайсов или их блокировке в процессе «помощи в настройке» (с подключением постороннего Apple ID), после чего с покупателей вымогают деньги за разблокировку [262].
Еще один способ — подключение телефона мошенников к мобильному банку продавца и вывод всех средств. Обычно злоумышленник звонит человеку, продающему что-либо на сайте
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
частных объявлений, и предлагает сразу рассчитаться, а забрать товар |
w |
|
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
|
.c |
|
|||
|
p |
|
|
|
|
g |
|
|
|||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-x cha |
|
|
|
|
|
||
потом. Под разными предлогами (якобы «пользуется другим банком и на транзакцию понадобится несколько дней» или «необходимо перевести деньги с помощью счета» и т.п.) злоумышленник уговаривает продавца провести оплату через банкомат, в процессе принуждая подключить свой номер телефона к мобильному банку последнего. Если продавец соглашается и подключает номер злоумышленника, тот различными способами снимает деньги с его счетов [263]. Только на сервисах объявлений «Авито» [264] и «Юла», по данным компании BI.ZONE, в 2020 г. мошенники получали до 1 млн рублей в день [265].
Для защиты от мошенничества такого рода следует внимательно проверять объявления, их авторов и номера телефонов, которые они оставляют для связи, а также сайты объявлений и т.п.
Спам
Слово «спам» ассоциируется в первую очередь с электронной почтой, но с развитием технологий передачи сообщений через мобильные устройства спам стал распространяться и посредством SMS-сообщений, и через мессенджеры. Нередки случаи, когда рекламные сообщения начинают поступать вскоре после приобретения SIM-карты, если сотрудники компании — оператора сотовой связи передают (продают) сведения об абонентах злоумышленникам. В других случаях количество спама увеличивается после публикации номера телефона в интернете, к примеру на сайтах электронных объявлений или социальных сетей. Несмотря на то, что операторы сотовой связи используют специальные системы фильтрации трафика, проблема спама по-прежнему остается актуальной.
Стоит отметить, что не только злоумышленники рассылают рекламный спам. Нередко это могут быть письма от добросовестных компаний, например магазинов, если вы указали телефон при оформлении дисконтной карты или в профиле на сайте и по невнимательности согласились на получение рекламы в SMSсообщениях. В этом случае достаточно «отписаться» — перейти на сайт компании, от чьего имени производится рассылка, и, войдя в аккаунт, отказаться от подписки в личном кабинете.
Примечание. Как уже упоминалось в одной из предыдущих глав, не рекомендуется переходить по ссылке «Отписаться», указанной в сообщении (когда такая ссылка присутствует), если вы не уверены, что письмо поступило от легитимного отправителя. С помощью таких ссылок злоумышленники могут направлять пользователей на фишинговые сайты для кражи персональных данных.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
X |
|
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
|
||
|
|
F |
|
|
|
|
|
|
t |
|
||
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
Кроме того, для отказа от рассылки можно обратиться в службу |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|||
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
|
-x cha |
|
|
|
|
|
||
поддержки компании по контактным данным, указанным на ее сайте.
Флуд
В некоторых случаях абоненты сотовой связи подвергаются DDoSатаке, чаще целенаправленной. Это может быть как отправка тысяч SMS/MMS-сообщений, так и многократные телефонные вызовы с отбоем после первого гудка. Как правило, телефон отправителя (вызывающей стороны) подделывается (причем каждый вызов может совершаться с «нового номера») или скрывается, поэтому занесение номера в черный список неэффективно. К тому же для организации DDoS-атак злоумышленники могут использовать сотни и тысячи ботов
— инфицированных устройств.
Цель таких атак — лишить жертву возможности совершать телефонные звонки и отправлять SMS-сообщения, а также вынудить отключать телефон, например в целях психологического давления. Также целью может быть шантаж и вымогательство, когда хакер в течение суток атакует телефоны компании, а затем требует деньги за прекращение атаки.
Если у отправителя один или несколько определенных номеров, поможет занесение их в черный список, если много или номера неизвестны — создание белого списка телефонов и запрет звонков со всех остальных. Это не самая надежная, а часто и неудобная мера защиты, но в некоторых случаях она может помочь. Кроме того, как правило, такие атаки редко проводятся дольше нескольких дней, так как дороги для злоумышленника. Поэтому при отсутствии результата он переходит к другой жертве [266].
Астротурфинг
SMS-сообщения и сообщения в мессенджерах (а также публикации в социальных сетях) могут использоваться для манипуляции общественным мнением. Этот прием называется астротурфингом. Термин происходит от названия американской компании AstroTurf, производящей искусственное покрытие для стадионов, которое имитирует траву, подобно тому, как сфабрикованная общественная инициатива имитирует настоящую. Такие сообщения могут распространяться по заказу государственных организаций. Также их могут рассылать злоумышленники, в том числе и криминальные структуры.
КЕЙС В 2013 г. компания Samsung была оштрафована на 340 000 долларов за астротурфинг. Корейский производитель электроники
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
X |
|
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
|
||
|
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
нанимал людей, которые должны были расхваливать его продукцию и |
. |
|
|
|
|
|
|
.c |
|
|||
|
p |
|
|
|
|
g |
|
|
||||
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
|
-x cha |
|
|
|
|
|
||
критиковать конкурентов [267].
Астротурфинг более распространен в социальных сетях и на различных сайтах, но и в мессенджерах, в частности в публичных группах, происходит распространение недостоверных сведений, что также можно назвать формой астротурфинга. Могут распространяться сообщения «о возможном скором теракте» (например, «со слов папы, работающего в службе безопасности») или о «похищении детей от ворот школы» («со слов мамы, работающей в полиции») и т.п. Как правило, в сообщениях дается указание распространить информацию среди всех своих друзей.
Подобные слухи специалист по компьютерной безопасности Брюс Шнайер описывает [268] как одну из форм «семантического сетевого оружия»: такие атаки учитывают особенности сетей и человеческой психологии и способны изменить поведение больших целевых групп населения.
Несмотря на то, что в настоящее время в РФ публикация недостоверных новостей запрещена законодательно, эта форма манипуляции общественным мнением продолжает использоваться злоумышленниками.
Вредоносное программное обеспечение
Как мы уже говорили, неосторожный пользователь может перейти на созданную для фишинга поддельную веб-страницу, передающую его данные злоумышленникам. Но также велика вероятность загрузки вредоносного контента при переходе по ссылке, содержащейся в текстовом сообщении. Такие объекты чаще предназначены для нанесения вреда устройствам под управлением операционной системы Android и способны похищать данные с мобильных устройств, оформлять платные подписки, перехватывать управление (звонить и отправлять SMS-сообщения без ведома пользователя), рассылать спам и фишинговые сообщения абонентам из списка контактов и шантажировать владельца, блокируя доступ к устройствам, пока не будет заплачен выкуп.
КЕЙС В 2019 г. сотрудники израильской компании Check Point обнаружили [269] в Android-смартфонах уязвимость, позволившую злоумышленникам перенаправлять трафик с мобильных устройств на собственные серверы. Преступники, представлявшиеся операторами сотовой связи, отсылали потенциальным жертвам сообщения с настройками для устройства, которые меняли пути передачи трафика, используя уязвимость в стандарте Open Mobile Alliance Client
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
X |
|
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
|
||
|
|
F |
|
|
|
|
|
|
t |
|
||
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
Provisioning (OMA CP). Суть уязвимости в том, что подлинность |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|||
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
|
-x cha |
|
|
|
|
|
||
сообщений не проверяется. После применения пользователем фишинговых параметров весь трафик с его устройства начинал передаваться через прокси-сервер злоумышленников. Проблема была замечена на устройствах компаний Samsung, Huawei, LG и Sony, которые (кроме Sony) впоследствии выпустили патчи безопасности, тем не менее угроза актуальна для моделей, срок поддержки которых истек
[270].
Нередки случаи, когда, чтобы усыпить бдительность получателя, в SMS-сообщение со ссылкой на вредоносное приложение вставляют имя владельца устройства, например: «Антон, посмотрите фотографии по (ссылка)», «Антон, получено MMS (ссылка) от Владимира», «Антон, обмен с моей доплатой рассмотрите? (ссылка)», «Антон, и тебе не стыдно после этого?! (ссылка)». Дело в том, что сообщения рассылаются трояном с телефона предыдущей жертвы, и в них автоматически вставляются имена из телефонной книги на зараженном устройстве. В других случаях связки «имя плюс номер телефона» берутся с сайтов электронных объявлений, знакомств и из прочих баз данных [271].
Примером мобильного вредоносного программного обеспечения, который предлагается скачать в SMS-сообщениях, может служить банковский троян Rotexy. Эта программа, скачиваемая на устройство в виде файла с именем AvitoPay.apk или похожим на него, в процессе установки запрашивает права администратора, пока пользователь не согласится их дать; если тот соглашается, то сообщает, что приложение загрузить не удалось, и скрывает свой значок из системы. Передав информацию об устройстве злоумышленникам (напрямую на сервер или посредством SMS-сообщения), Rotexy получает набор соответствующих инструкций и, переведя смартфон в беззвучный режим, начинает перехватывать сообщения и пересылать их хакерам. Кроме того, выводя на экран устройства фишинговую страницу, Rotexy провоцирует пользователя на ввод данных о банковской карте и при этом сверяет вводимый номер карты с ранее перехваченным в SMSсообщении [272].
Примечание. Обратите внимание: вредоносные файлы могут распространяться и в мессенджерах. Нельзя открывать никакие файлы, полученные из неизвестного источника [273] (если файл получен от пользователя из вашего списка контактов, позвоните ему и уточните, действительно ли он отправил вам файл).
Помимо прочего, вредоносное программное обеспечение способно обходить системы защиты, использующие одноразовые SMS-пароли. Когда пользователь запускает оригинальное приложение, например
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
X |
|
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
|
||
|
|
F |
|
|
|
|
|
|
t |
|
||
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
банковское, троян определяет его и перекрывает экран собственным, |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|||
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
|
-x cha |
|
|
|
|
|
||
фишинговым интерфейсом, имитируя подлинный. Пользователь вводит логин и пароль, которые отправляются злоумышленникам, и те входят в аккаунт жертвы на своем устройстве. Пробуя перевести некоторую сумму, злоумышленники инициируют отправку на телефон жертвы SMS-сообщения с одноразовым кодом, который троян скрывает, перехватывает и отправляет мошенникам. А те, подтвердив транзакцию, получают деньги на свой счет [274]. Другие вредоносные приложения (например, Hesperbot) способны автоматически, без участия злоумышленников, производить транзакции с перехватом SMS-кодов и даже после удаления со смартфона сохранять доступ преступников к устройству [275]. Причем при заражении блокируется доступ к оригинальным банковским приложениями, и пользователь не может проверить баланс или заблокировать свои карты [276].
Перехват текстового трафика
SMS-трафик в сотовых сетях часто не шифруется, особенно это касается сетей ранних поколений [277]. Это означает, что мошенники, спецслужбы и любые другие заинтересованные субъекты при желании могут перехватить ваши текстовые сообщения.
При передаче сообщений и голосовых вызовов интернет-трафик мессенджеров шифруется, но он может быть перехвачен, как и в случае голосовых вызовов. Прежде всего это касается мессенджеров, не поддерживающих сквозное шифрование, например Discord [278]. Примечание. Перехвату противодействуют мессенджеры [279], поддерживающие сквозное шифрование, например Signal и Wire [280], не требующий привязки к телефонному номеру. О таких мессенджерах речь пойдет в разделе, посвященном защите от перехвата сообщений. В целом способы перехвата текстового трафика (это касается как технологии SMS, так и мессенджеров) и прослушивания телефонных звонков идентичны. Ниже перечислены эти способы и субъекты, перехватывающие трафик.
СОРМ. С помощью таких систем государственные организации могут перехватывать телефонные звонки, SMS-сообщения, а также незашифрованную [[32]] переписку в мессенджере любого пользователя, за которым ведется слежка. Обратите внимание: в соответствии с действующим законодательством все текстовые сообщения (как SMS, так и в мессенджерах) до полугода должны храниться на серверах оператора/провайдера интернета, а метаданные (сведения о том, кому и когда каждый пользователь что-то писал) — до 3 лет.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
X |
|
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
|
||
|
|
F |
|
|
|
|
|
|
t |
|
||
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
КЕЙС Популярный среди преступников мессенджер для обмена |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
p |
|
|
|
|
g |
|
|
|||
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
|
-x cha |
|
|
|
|
|
||
зашифрованными сообщениями ANOM, созданный в 2018 г., на самом деле был разработан ФБР и распространен в преступном мире через информаторов. Устройства с ANOM можно было получить только через представителей преступного мира, а поддерживали они только зашифрованный мессенджер, не допуская телефонных звонков, использования электронной почты и прочих небезопасных методов общения. В общей сложности около 12 000 таких устройств использовалось примерно 300 преступными синдикатами в более чем 100 странах [281], в том числе и в России [282]. Сотрудники правоохранительных органов в реальном времени перехватили, расшифровали и прочитали миллионы сообщений, касающихся планирования заказных убийств, распространения наркотиков и других криминальных схем. Проведя масштабную операцию Trojan Shield, правоохранительные органы почти 20 стран мира арестовали свыше 800 преступников [283].
Операторы сотовой связи / провайдеры интернета / разработчики мессенджеров. Они могут анализировать трафик своих пользователей, если не применяется сквозное шифрование. (Но оно тоже не гарантирует конфиденциальности! См. врезку «О сквозном шифровании».)
О сквозном шифровании
Безопасность общения в программах со сквозным шифрованием строится на основе уникальных ключей, которыми обмениваются и которые подтверждают пользователи, — так гарантируется конфиденциальность. Обмен ключами может быть произведен симметричным способом (для шифрования и дешифровки используется один и тот же ключ) и асимметричным (сообщение зашифровывает открытым ключом отправитель, а расшифровывает своим закрытым ключом получатель) [284]. Асимметричный алгоритм надежнее, поскольку, даже если злоумышленник перехватит открытый ключ, он не сможет расшифровать сообщение, в отличие от симметричного алгоритма, — так как закрытый ключ хранится только на устройстве пользователя и никуда не передается.
Примечание. Концепция шифрования по асимметричному алгоритму с открытым ключом была предложена в 1976 г. американскими криптографами Уитфилдом Диффи и Мартином Хеллманом и получила название протокол Диффи‒Хеллмана.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
|
X |
|
|
|
|
|
|
|||
|
|
|
- |
|
|
|
|
|
d |
|
|
||
|
|
|
F |
|
|
|
|
|
|
t |
|
||
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
|
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
Но разработчики мессенджеров не всегда поддерживают безопасные |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
|
|
|
|
g |
|
|
||||
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
коммуникации. Так, в мессенджере WhatsApp была обнаружена |
|
|
|
|
|
|
|
|
|
|
|
|
|
серьезная уязвимость [285]: программа по умолчанию генерировала |
|
|
|
|
|
|
|
|
|
|
|
|
|
новые ключи для офлайн-пользователей, повторно шифруя ими |
|
|
|
|
|
|
|
|
|
|
|
|
|
неполученные сообщения. При этом ни отправителя, ни получателя не |
|
|
|
|
|
|
|
|
|
|
|||
уведомляли о смене ключей. В результате хакеры могли провести MitM- |
|
|
|
|
|
|
|
||||||
атаку и вклиниться в чужой диалог без риска быть обнаруженным. В |
|
|
|
|
|
|
|
|
|
|
|
|
|
отличие от WhatsApp, в мессенджере Signal пользователь не получит |
|
|
|
|
|
|
|
|
|
|
|
|
|
сообщения, если у него изменился ключ, а отправитель будет уведомлен |
|
|
|
|
|
|
|
||||||
об этом. В Telegram сообщение не будет доставлено, но и отправитель |
|
|
|
|
|
|
|
|
|
|
|||
не получит уведомление о том, что получатель так и не прочитал его |
|
|
|
|
|
|
|
|
|
|
|
|
|
послание. Для решения проблемы и получения своевременных |
|
|
|
|
|
|
|
|
|
|
|
|
|
уведомлений в WhatsApp можно включить уведомления о смене ключей |
|
|
|
|
|
|
|
||||||
(Настройки Аккаунт |
Безопасность Показывать уведомления |
|
|
|
|
|
|
|
|
|
|
|
|
безопасности (Settings |
Account Security Show security |
|
|
|
|
|
|
|
|
|
|
|
|
notifications)). Время от времени появляются сообщения о взломе мессенджеров. В декабре 2020 г. израильский производитель шпионского ПО заявил, что смог взломать мессенджер Signal [286].
Корпоративные системы слежки за сотрудниками. Как и голосовые вызовы, SMS-сообщения и незашифрованный трафик (а зашифрованный через скриншоты и кейлогеры, которые являются модулями так называемых средств предотвращения утечек (DLP)) из мессенджеров может быть перехвачен службой безопасности компании, а также злоумышленником.
Аппаратные средства перехвата текстового трафика. Фемтосоты и специальное оборудование, перехватывая трафик, позволяют читать незашифрованные (либо слабозашифрованные) сообщения.
Программные средства перехвата текстового трафика. Такой способ перехвата возможен после установки вредоносного программного обеспечения, в том числе и из официальных магазинов [[33]] для мобильных устройств, таких как Google Play и App Store. Шпионское программное обеспечение способно перехватывать и пересылать злоумышленникам SMS-сообщения и незашифрованные сообщения из мессенджеров, в том числе и из использующих сквозное шифрование. В последнем случае на устройстве пользователя вредоносное приложение может делать снимки экрана с сообщениями [[34]], фиксировать вводимые с клавиатуры данные с помощью кейлогеров, а также использовать различные уязвимости в коде мессенджеров. К примеру, резервные копии чатов программ Viber и WhatsApp сохраняются в облачном хранилище «Google Диск» без шифрования [287] и могут быть доступны
злоумышленникам, если те получат доступ к аккаунту пользователя Android на сайте Google. Злоумышленники могут не только прочитать переписку, но и подделать сообщения в резервной копии, а затем выгрузить обратно в хранилище (останется побудить владельца устройства восстановить сообщения
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
из резервной копии). Впрочем, на момент написания книги разработчики WhatsApp планировали реализовать шифрование резервных копий «в самое ближайшее время» [288].
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-x cha |
|
|
|
|
|
||
КЕЙС В апреле 2020 г. в серверы провайдера Encrochat правоохранительными органами были внедрены инструменты для перехвата трафика. Таким образом сотрудники Европола смогли получить доступ к большинству сообщений внутри защищенной сети и начать идентифицировать пользователей. Мобильные устройства Encrochat позиционировались как наиболее безопасные для общения: из них были удалены модуль GPS, камера, микрофон и USB-порт и они работали под управлением специальной модифицированной версии операционной системы Android. Для обмена сообщениями использовались специальные программы с шифрованием на основе криптографического протокола Signal [289]. Устройства были защищены от внедрения средств слежки и прослушки и уничтожали все содержимое памяти при нажатии специальной кнопки либо после нескольких попыток ввести неправильный ПИН-код. Несмотря на серьезную защиту самих устройств, сервис был скомпрометирован через серверы провайдера Encrochat. В июне сотрудники Encrochat обнаружили компрометацию серверов и разослали всем пользователям сервиса широковещательное уведомление о взломе и рекомендации немедленно отключить и уничтожить устройство. Благодаря операции сотрудникам правоохранительных органов удалось арестовать множество преступников на территории Европы и только в Нидерландах обнаружить и закрыть 19 нарколабораторий [290], [291]. Примечание. Данная уязвимость угрожает прежде всего владельцам устройств под управлением операционной системы Android, так как в качестве облачного хранилища они могут использовать только «Google Диск». Пользователи iOS-устройств могут выбрать хранилище iCloud, где все данные шифруются по умолчанию.
Приложения, предназначенные для перехвата, могут не только пересылать злоумышленникам текстовые сообщения (SMS, MMS, Skype, Viber, Whatsapp, «ВКонтакте», «Одноклассники», Facebook и
др.), но и записывать телефонные разговоры и окружающие звуки, скрытно использовать камеру и пересылать фотографии из альбома пользователя, а также многое другое, при этом позволяя злоумышленникам удаленно управлять устройством. Это больше касается операционной системы Android; в подавляющем большинстве случаев для перехвата сообщений и звонков в iOS требуется джейлбрейк. В современных версиях Android пользовательские данные охраняются лучше, усилена защита от опасных разрешений
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
(приложение не может получить таковых без явного согласия владельца |
|
|
|
g |
|
|
|||||
|
|
p |
|
|
|
|
|
|
|||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-x cha |
|
|
|
|
|
||
гаджета), но некоторые пользователи не следят за безопасностью своих устройств либо пользуются старыми, уязвимыми аппаратами.
Также способны перехватывать трафик вредоносные приложения, имитирующие оригинальные мессенджеры, и некоторые клиенты, альтернативные официальным. Большинство альтернативных клиентов для «ВКонтакте» и Telegram, как и любые другие вредоносные приложения, создается для кражи персональных данных [292].
Такие программы могут даже перехватывать секретные чаты — например, воспользовавшись штатной функцией кеширования в оперативной памяти смартфона (с ОС Android) снимков экранов запущенных приложений. Существуют приложения, способные извлекать из памяти смартфона такие снимки, в том числе и скриншоты секретных чатов Telegram и Signal; в этих чатах пользователь не может скопировать изображение на экране [293]. Даже если антивирусное приложение заблокирует такие вредоносные программы, сам пользователь может разрешить с виду легитимным приложениям доступ к функциям записи данных, вводимых с клавиатуры; снятия скриншотов и буферу обмена. Иногда утечка информации из секретного чата может произойти, если гаджет находится в поле зрения видеокамеры или за его владельцем кто-то наблюдает сзади.
Замена SIM-карты. Злоумышленник может перевыпустить SIM-карту, подкупив сотрудника компании сотовой связи [294] или предоставив доверенность от имени владельца с его паспортными данными (подделав ее или приобретя в интернете) [295], [296], а затем получить доступ к чатам в мессенджерах, перехватив код аутентификации из текстового сообщения [[35]]. Используя в мессенджере аккаунт жертвы, злоумышленник не только сможет писать сообщения от ее имени, но и (не во всех мессенджерах) получит доступ ко всей прошлой переписке, кроме секретных и зашифрованных чатов. Поэтому важно защищать переписку в мессенджерах не только с помощью пароля и двухфакторной аутентификации, но и дополнительными методами — используя зашифрованные секретные чаты (приватные беседы), которые нельзя просматривать на постороннем устройстве.
Дополнительные сеансы (для мессенджеров). Необязательно взламывать сложные алгоритмы шифрования, когда можно пойти простым путем. Например, если пользователь общается в WhatsApp, злоумышленник может подсмотреть графический ключ для доступа к его устройству, дождаться, когда жертва на пару минут оставит смартфон без присмотра, затем запустить на своем компьютере или мобильном устройстве мессенджер и отсканировать смартфоном показанный в нем QR-код. С этого момента злоумышленник может
читать всю переписку жертвы, пока в WhatsApp не будет сменен ключ и не потребуется вновь отсканировать QR-код [[36]]. Аналогичным образом перехватывается переписка и в других мессенджерах, например Signal, Viber и