Мошенники через VPN получают персональные данные пользователей

«Не кидайся ты в петлю добровольно — береженого Бог бережет», — просит один персонаж другого в неоконченном романе М. Ю Лермонтова «Вадим». Примерно также специалисты в области IT предупреждают пользователей не устанавливать или как минимум отключать при использовании ответственных приложений VPN-анонимайзеры. И в последнее время к их хору присоединились голоса пользователей, ставших жертвами утечек персональных данных.

Сама по себе технология VPN законна и позволяет обойти блокировки к тем или иным информационным ресурсам, включая социальные сети. VPN-сервис представляет собой программу-приложение, которое пользователь добровольно устанавливает на свое устройство, открывая ему все уровни доступа, и которое «туннелирует» через себя все выходы в Интернет, маскируя действительное местонахождение смартфона, планшета или компьютера. При этом мало кто из пользователей задумывается, кто именно является разработчиком VPN-сервиса, а также какая именно информация через него проходит. Ответ на второй вопрос – абсолютно вся, вплоть до логинов и паролей к банковским приложениям, сайтам государственных услуг, облачным хранилищам, реальной геолокации устройства и другое. В недобросовестных руках такой массив данных делает жертву абсолютно беззащитной.

О чем предупреждают айтишники?

— Используя VPN, вы доверяете сервису на таком же уровне, который обычно доступен вашему интернет-провайдеру. При этом если интернет-провайдер скован как минимум регуляторными требованиями по отслеживанию вашей активности, то VPN-сервис видит и, вероятно, пользуется знаниями о том, чем вы занимаетесь в Интернете. Возможно также, что сервисы собирают данные и для формирования вашего цифрового профиля, — рассказывает руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин.

 

— Если вы используете дешевый или бесплатный VPN, вы, возможно, обойдете блокировки, но это не защитит вас от кражи персональных данных. Если вы без шифрования передаете пароли, номера кредитных карт и прочее, они легко будут украдены злоумышленниками. В пользовательских соглашениях многих VPN-сервисов прямо указано, что они собирают «профили» и имеют право их продавать. Но скажите честно, когда вы в последний раз читали пользовательское соглашение в Интернете, — говорит аналитик TelecomDaily Илья Шатилин.

 

— Если мы говорим о подключении к аккаунтам электронной почты, к финансовым системам, интернет-банку, VPN-сервисов нужно избегать. Безопасность часто сводится к вопросу о доверии сервису. Не попытается ли он передать данные о наших подключениях, чтобы заработать? Такие опасения имеют место и иногда оправдываются, особенно по отношению к бесплатным сервисам. Не исключается, что даже платные VPN-сервисы могут оказаться уязвимыми, например, в силу своей архитектуры и возможностей ее использования, — предупреждает руководитель аналитического центра Zecurion, эксперт по кибербезопасности Владимир Ульянов.

 

— Самая основная проблема – это, конечно, утечка данных. Начиная от персональных: фамилия, имя, отчество, разное наше местоположение, заканчивая данными кредитных карт, логинов и паролей от любых сайтов и приложений, потому что весь траффик на человека идет через VPN, ну и там он довольно легко дешифруется, если этот сервис предоставляют мошенники, — подтверждает эксперт комиссии по развитию информационного общества в Совете Федерации и главный разработчик сайта Kremlin.ru Артем Геллер.

О чем плачут жертвы?

Впрочем, создателям VPN-сервисов не обязательно самим быть мошенниками. В прошлом году эксперты по кибербезопасности издания CyberNews обнаружили в сети базу данных 21 миллиона (!) пользователей VPN-приложений для Android. Такое безумное количество данных собрали всего три популярных, в том числе и в России, провайдера VPN. На этом фоне очевидно, что чем больше людей устанавливают анонимайзеры, тем больше легких жертв находят киберпреступники.

— Меня шантажируют моими же фотками: неизвестный *** прислал мне меня же и грозится разослать фотки по списку френдов, включая родню и коллег. На вопрос, откуда у него мои снимки, ответил, что купил их в открытом доступе вместе с логинами и паролями моих соцсетей, почты и другое. Сказал, что если не заплачу 20 тысяч, то не только разошлет фотки, но и сломает ящики и аккаунты. Один айтишник велел самой поменять все пароли, предварительно навсегда отключив VPN. А про утечку объяснил, что проблема в этом VPN и есть: эти сервисы, оказывается, вполне открыто торгуют собранной личной информацией, — делится во Вконтакте своей бедой москвичка Алина.

 

— Теперь я понимаю, что было бы разумнее перенести переписки в ВК или мессенджеры, но тогда сама по себе установка VPN не казалась чем-то неразумным и уж тем более опасным. А зря. Как выяснилось, эта дрянь несовместима с понятием конфиденциальности, то есть вся ваша личная жизнь становится публичной. Еще раз: продажа ваших данных с потрохами – и есть суть VPN как такового. Чем больше данных о вас собрано – не только ФИО, логины и пароли, но и, как выяснилось, ваши переписки, и пересланные, и полученные медиафайлы – тем дороже вы стоите. Ни о какой защите или приватности речи не идет: просто бизнес. А покупатель на все это найдется, будьте уверены. В моем случае это оказалась теперь уже фактически бывшая жена, что, если подумать, не самый плохой вариант, — сетует Арсений из Санкт-Петербурга.

 

— Началось все тогда, когда я собственноручно установила маме VPN. Цель банальная: чтобы она, как и прежде, могла смотреть наши публикации в Инсте. Причем уже тогда мама волновалась, а я – дура – убеждала ее, что все безопасно и ок. Так вот: не безопасно и не ок! Оказывается мошенники каким-то образом получили доступ к банковскому приложению мамы, установленному на телефон. А такая возможность у них появилась благодаря VPN, — рассказывает москвичка Марина.

Мошенникам через VPN удалось украсть бизнес у предпринимателя Константина, через личный кабинет на сайте налоговой службы злоумышленники перерегистрировали на себя его фирму.

— Устанавливая VPN вы не только маскируете свой IP адрес (что и позволяет пользоваться заблокированными конкретно в вашем регионе сервисами), но и предоставляете разработчикам VPN доступ к каналам связи вашего телефона с внешним миром. А в этих каналах содержится вся та информация, которой вы обмениваетесь с тем или иным сервисом и, в первую очередь, – все логины и пароли. То есть буквально: разработчики VPN получают доступ ко всему, – делится Константин.

И в последнее время таких и им подобных историй становится все больше и больше. Пользователи VPN жалуются, что телефоны стали перегреваться и стремительно разряжаться, а у многих необоснованно заканчиваются пакеты Интернета, причем даже безлимитные. Эти случаи зачастую связаны с вшитой в анонимайзер возможностью подпольно майнить за счет энергоресурсов устройств своих жертв криптовалюту. Такой VPN-сервис специалисты «Лаборатории Касперского» разоблачили еще в 2018 году, однако внимательнее относиться к установке непонятных приложений пользователи, похоже, так и не научились. Хотя усомниться в добропорядочности VPN-разработчиков можно по одному только факту, что более половины популярных VPN-приложений для iOS и Android созданы в Китае, где, в отличие от России, анонимайзеры официально запрещены.

16+