На прослушивание ставится не только номер телефона, но и IMEI – уникальный идентификатор устройства, поэтому одна лишь смена SIM-карты бесполезна. Также бессмысленно носить с собой несколько аппаратов, считая, что один, «обычный», прослушивается, а другой – нет. Как правило, если за человеком следят, то, помимо прочего, фиксируется информация о геопозиции устройства (необязательно с помощью GPS/ГЛОНАСС, позицию даже самого простого аппарата можно определить и по базовым станциям). Поэтому нетрудно связать несколько телефонов, постоянно находящихся рядом с объектом слежки. В то же время можно попеременно использовать два телефона, второй из которых («анонимный») оформлен на другое лицо. «Анонимный» телефон должен быть отключен, пока работает «официальный». При возникновении потребности в анонимном разговоре абонент выключает «официальный» телефон, уезжает в зону действия другой базовой станции и включает «анонимный». Согласно другим источникам, современное оборудование позволяет анализировать голос и создавать его «отпечаток». Тогда система перехвата автоматически активируется, если фиксирует голос объекта слежки при звонке с любого номера. В этом случае смена SIM-карт и телефонов не поможет совсем[274]. Кроме того, как и в случае с таксофонами, комплексы распознавания лиц в крупных городах позволят проследить путь абонента и, опознав его с новым телефоном, связать с «анонимным» устройством.
Некоторые советы касаются в большей степени тех, у кого есть серьезные основания опасаться слежки. Разумеется, невозможно анализировать весь трафик, поэтому если нет причин за вами следить, то и слушать вас никто не будет. Для прослушивания «простого обывателя» вряд ли будут использовать IMSI-перехватчик и прочее шпионское оборудование. Такие операции требуют значительных затрат, в том числе и финансовых, поэтому не под силу обычным злоумышленникам. Главная цель среднестатистического пользователя мобильного или стационарного телефона – защититься от мошенников, чаще всего желающих обогатиться за чужой счет с использованием социальной инженерии.
Вероятно, в будущем появятся новые способы мошенничества с помощью телефона, в частности с развитием технологии аутентификации по голосу. Постепенно различные организации по всему миру (например, крупнейший банк Великобритании Barclays и международная финансовая организация HSBC) вводят вместо пароля следующий способ опознавания клиента. Сначала он лично посещает организацию и записывает голос, а после этого специальное программное обеспечение создает отпечаток голоса, учитывая множество факторов: физические, нюансы речи и пр. Также учитываются географические координаты: если клиент во время звонка был на большом расстоянии от места, где он обычно находится, система зафиксирует такое необычное поведение. Злоумышленники могут звонить жертве и задавать вопросы, записывая ответы и собирая из отдельных слов речь, необходимую для звонка в банк от ее имени. Кроме того, разрабатываются инструменты наподобие уже существующих Adobe VoCo или Lyrebird, способные имитировать голос любого человека на основе проанализированного фрагмента и в дальнейшем произносить его голосом какой угодно текст[275].
Практическое задание
1. Проверьте ПИН-коды используемых вами SIM-карт. Смените дефолтные коды на более надежные и включите ввод ПИН-кода при запуске устройства.
2. Отключите голосовую почту либо смените ПИН-код для доступа к голосовому почтовому ящику.
3. Проверьте работающие на смартфоне приложения, особенно те, которые установлены из неофициальных магазинов. Проверьте права доступа (разрешения) установленных приложений на предмет доступа к списку контактов, микрофону, камере, службам геолокации. Всем ли приложениям на самом деле необходимы имеющиеся у них разрешения?
4. Вспомните, часто ли вам звонят незнакомые люди, предлагающие различные услуги. Вполне вероятно, что ваш телефонный номер засветился в интернете, в базах данных, которыми пользуются злоумышленники.
5. Если вам очень часто звонят с незнакомых номеров – возможно, пора сменить телефонный номер?
Заключение
В этой главе мы говорили о том, что существует множество способов прослушивания голосовой телефонной связи, в том числе и стационарной, в которой вовсе нет шифрования. Для обеспечения полной безопасности важные разговоры следует вести в нейтральном месте, лишенном подслушивающих устройств, отключив телефоны. В следующей главе рассмотрим проблемы безопасности и риски кражи персональных данных с использованием сервисов и приложений для передачи текстовых сообщений.
Глава 5Обмен сообщениями
SMS – только для поздравлений, тайные разговоры – в поле. Конституция гарантирует право на тайну переписки, но не нужно на него полагаться.
Альтернатива голосовым вызовам – текстовые сообщения. Речь – более удобный и быстрый способ коммуникации, чем набор текста, но в 2018 г. текстовые сообщения стали популярнее телефонных звонков[277]. Это произошло во многом благодаря распространению смартфонов, развитию сетей передачи данных и росту скорости соединения с интернетом, а также удешевлению мобильного интернет-трафика.
В настоящее время можно выделить два основных способа обмена текстовой информацией – посредством SMS-сообщений и с помощью различных мессенджеров. Обе эти технологии, несмотря на кажущуюся взаимозаменяемость, используются одновременно и не конкурируют. Сейчас SMS-сообщения чаще применяются для обмена служебными данными, такими как коды подтверждения, высылаемые при многофакторной аутентификации, или, скажем, уведомления о поступлении заказа из интернет-магазина в пункт выдачи. В мессенджерах все чаще происходит обычное общение, причем они используются не только для обмена текстовыми сообщениями, но и для голосовых вызовов и видеосвязи.
У технологии SMS, позволяющей передавать короткие сообщения через сеть оператора сотовой связи, есть одно большое преимущество по сравнению с любыми мессенджерами – возможность обмена сообщениями без подключения к интернету. В остальном технология SMS существенно проигрывает мессенджерам: длина сообщений ограничена (70 символов кириллицей или 160 символов латиницей), в то время как в мессенджерах послания могут быть огромного размера; технология SMS не позволяет передавать мультимедийный контент (изображения, видео– и аудиозаписи)[278]; неудобен способ пакетной передачи сообщений нескольким получателям; взимается плата за каждое сообщение (причем в тарифах без абонентской платы она может быть даже выше, чем за минуту разговора) и, что самое главное, в отличие от голосового трафика и передачи данных в сотовых сетях SMS-трафик не шифруется[279]. Всех этих недостатков лишены мессенджеры (хотя важно отметить, что шифрование поддерживают не все из них).
Сейчас мы обсудим ситуации, в которых ваши персональные данные могут быть уязвимы для утечек и перехвата третьей стороной, а затем поговорим о том, как обезопасить себя в среде текстового общения.
Мошенничество с использованием текстовых сообщений
В целом при использовании текстовых сообщений следует опасаться тех же видов мошенничества, что и при использовании голосовой связи и электронной почты. Основная задача, которую ставят перед собой злоумышленники, – добиться утечки финансовых средств (как с абонентского счета, так и с банковского) или персональных данных (например с помощью ссылок на фишинговые сайты), которые можно использовать для извлечения прибыли. Рассмотрим основные способы мошенничества.
Смишинг[280] – аналог фишинга посредством электронной почты, только в данном случае злоумышленники используют SMS-службы и мессенджеры для рассылки фишинговых сообщений. Важно отметить, что мошенники могут использовать специальное программное обеспечение и службы, позволяющие подделывать номер или имя отправителя сообщения, в том числе могут быть указаны специальные и короткие номера, используемые, к примеру, банками и службами поддержки компаний. Обычно мошенники отправляют сообщения с номеров, имитирующих настоящие, например в случае Сбербанка это может быть номер 9ОО вместо 900, но в некоторых случаях, обладая техническими возможностями, злоумышленники могут использовать идентичные номера. Это могут быть как целенаправленные атаки, так и массовые рассылки со скоростью свыше 10 000 сообщений в минуту, осуществляемые, к примеру, через SIP-протокол.
КЕЙС В 2018 г. в Красноярске одному из абонентов сети «Мегафон» пришло SMS-сообщение с номера 900 (попав в ленту с настоящими сообщениями Сбербанка) об оформлении заказа в одном из магазинов города и с требованием подтвердить покупку с помощью ответного SMS-сообщения. Абонент обратился в магазин и выяснил, что такого заказа не существует, после чего заблокировал банковскую карту. На следующий день абонент подвергся флуд-атаке – бесчисленным звонкам с различных скрытых и открытых телефонных номеров. Абонент обратился в офис «Мегафона» с претензией, а через несколько часов получил голосовой вызов с официального номера поддержки этого оператора сотовой связи. По телефону сообщили о том, что претензия обрабатывается, и предложили установить приложение для корректной работы телефона, отправив в SMS-сообщении ссылку на программу в магазине Google Play. Абонент скачал приложение, доверив ему в числе прочих полномочия на чтение SMS. С этого момента все уведомления о банковских транзакциях стали перехватываться злоумышленниками. История закончилась благополучно, так как абонент успел вовремя заблокировать банковскую карту