Премия Рунета-2020
Россия
Москва
+18°
Boom metrics
Общество9 июня 2022 11:50

Мошенники, вирусы, утечки. VPN-сервисы оказались не такими безобидными, как кажутся

Сегодня больше 20 млн россиян используют VPN-сервисы, которые открывают доступ к заблокированным сайтам. О сопутствующих рисках едва ли задумывалась хотя бы половина этих пользователей
Сегодня больше 20 млн россиян используют VPN-сервисы, которые открывают доступ к заблокированным сайтам. О сопутствующих рисках едва ли задумывалась хотя бы половина этих пользователей

Сегодня больше 20 млн россиян используют VPN-сервисы, которые открывают доступ к заблокированным сайтам. О сопутствующих рисках едва ли задумывалась хотя бы половина этих пользователей

Фото: Shutterstock

Например, бизнесмен из Москвы чуть не лишился собственной фирмы, потому что его персональные данные «утекли» к мошенникам. Чем опасен VPN и как защитить себя и свои данные в сети? Разбираемся с экспертами.

Опасная легкомысленность

— Если вы используете дешевый или бесплатный VPN, вы, возможно, обойдете блокировки, но это не защитит вас от кражи персональных данных, — предупреждает аналитик TelecomDaily Илья Шатилин. — Если вы без шифрования передаете пароли, номера кредитных карт и прочее, они легко будут украдены злоумышленниками.

Легкомысленно полагать, что VPN-сервис не собирает о вас никакие данные, соглашается руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин.

— Ситуации, когда VPN-сервис видит и, вероятно, пользуется знаниями о том, чем вы занимаетесь в интернете — скорее правило, чем исключение, — говорит Кузьмин. — Возможно также, что сервисы собирают данные и для формирования вашего цифрового профиля.

Эксперты объясняют, что VPN не может быть бесплатным. Поддержка серверов и трафик стоят денег, поэтому многие сервисы просят оплатить подписку. Если оплаты с вас не требуют, значит, вы платите не деньгами, а своей приватностью и важными данными: вы доверяете весь свой трафик VPN-провайдеру, который этот трафик прекрасно видит.

— В пользовательских соглашениях многих бесплатных VPN-сервисов прямо указано, что они собирают «профили» и имеют право их продавать, — напоминает Шатилин. — Но скажите честно, когда вы в последний раз читали пользовательское соглашение в интернете?

Неограниченный доступ ко всему

С подводными камнями VPN недавно столкнулся Константин Симонов. Установка одного из таких сервисов совпала с моментом, когда Константин открывал собственную фирму по установке черепичных крыш. В итоге злоумышленники получили доступ к конфиденциальной информации и начали управлять ООО без ведома Симонова. Только в процессе ликвидации фирмы он выяснил, что компания неведомым образом наняла на работу аж четырех директоров. Они нанимали персонал, сдавали бухгалтерскую отчетность, использовали электронную цифровую подпись. Все это стало большим сюрпризом для Константина — эти сведения он получил из выписки из ЕГРЮЛ. По факту захвата юрлица Симонов обратился в налоговую и полицию, он также готовит обращения в прокуратуру, Следственный комитет и Роскомнадзор.

— Компрометация данных через VPN могла быть использована как один из факторов атаки, — комментирует ситуацию руководитель аналитического центра Zecurion, эксперт по кибербезопасности Владимир Ульянов. — Необходимо расследовать этот инцидент, чтобы выяснить, кто стоит за атакой и какие векторы угроз он использовал.

Сейчас делом Константина Симонова занимается полиция, но сам он уверен, что «цифровой» захват его фирмы произошел во время установки на смартфон программы для доступа к заблокированным сайтам.

«Устанавливая VPN, вы предоставляете разработчикам доступ к каналам связи вашего телефона с внешним миром. А в этих каналах содержится вся та информация, которой вы обмениваетесь с тем или иным сервисом и, в первую очередь, — все логины и пароли. То есть буквально: разработчики VPN получают доступ ко всему»,предостерегает Константин в своем посте «ВКонтакте».

Утром — деньги, вечером — безопасность

Истории, аналогичные случаю Константина, не редкость. Месяц назад на одном из сайтов появилась база персональных данных, украденных у пользователей нескольких популярных VPN-сервисов: GeckoVPN, SuperVPN и ChatVPN Сначала она продавалась в даркнете, а спустя несколько месяцев стала доступна всем желающим. Среди «утекших» данных были имена, адреса электронной почты, пароли, платежные реквизиты и другая важная информация.

В прошлом году более громкий скандал был связан с именем Дэниэла Герике — сотрудника американских спецслужб и по совместительству IT-директора VPN-сервиса ExpressVPN. Минюст США обвинил его в создании хакерской системы Karma, которая взламывала аккаунты американцев по заказу арабских государств. Герике вину не признал, но согласился с выплатой штрафа в размере 335 тыс. долларов и ограничением «будущей деятельности и трудоустройства»

На этом фоне показателен комментарий сервиса ExpressVPN. «Мы знали о ключевых фактах деятельности Дэниэла еще до того, как его наняли, поскольку он с самого начала активно и прозрачно сообщил о них. Фактически, именно его опыт сделал его бесценным сотрудником», — заявили представители компании.

— Если мы говорим о подключении к аккаунтам электронной почты, к финансовым системам, интернет-банку, VPN-сервисов нужно избегать, — предупреждает Владимир Ульянов. — Безопасность часто сводится к вопросу о доверии сервису. Не попытается ли он передать данные о наших подключениях, чтобы заработать? Такие опасения имеют место и иногда оправдываются, особенно по отношению к бесплатным сервисам. Не исключается, что даже платные VPN-сервисы могут оказаться уязвимыми, например, в силу своей архитектуры и возможностей ее использования.

Вот лишь несколько цифр, показывающих интерес владельцев VPN-сервисов в первую очередь к своим доходам, а вовсе не к вашему удобству и безопасности. 80% популярных бесплатных VPN-сервисов в AppStore передают персональные данные пользователей третьим лицам. 38% бесплатных VPN-сервисов для Android содержат вредоносные программы. Нет нужды лишний раз напоминать, что многие из этих программ скачаны и установлены уже миллионы раз.

Утечка данных — самая большая, но не единственная неприятность, которой грозят своим жертвам VPN-сервисы. Они могут, например, самостоятельно установить на ваш компьютер программы, о которых вы не подозреваете. Хорошо, если это будут не вирусы, а всего лишь рекламные «закладки». Один из заблокированных в России в прошлом году VPN просто забирал у пользователей пропускную способность их интернет-соединений и продавал ее хакерам для создания ботнета — сети «зомбированных» компьютеров, которую используют в некоторых видах киберпреступлений

Стоит ли доступ к иностранным соцсетям риска остаться без денег или стать соучастником преступников — это выбор, который каждый пользователь делает самостоятельно. Но теперь вы хотя бы знаете об этих рисках.