https://www.comss.ru/page.php?id=8653.
■ Не распространяйте недостоверные новости и не занимайтесь астротурфингом. Перепроверяйте информацию, получаемую в мессенджерах и SMS-сообщениях. Не следует безрассудно пересылать своим контактам и публиковать в группах в мессенджерах непроверенную информацию. Отказавшись делать это, вы помешаете злоумышленникам и воспрепятствуете распространению недостоверных сведений, а если суд объявит их клеветой в чей-то адрес – даже избежите уголовного преследования[338].
КЕЙС В 2018 г. в Индии из-за недостоверной информации, распространявшейся в мессенджере WhatsApp, было убито не менее 20 человек. В сообщениях ложно утверждалось, что эти люди являются членами преступных группировок, которые похищают детей[339].
При необходимости свяжитесь с правоохранительными органами для уточнения достоверности распространяемой информации.
■ Фиксируйте и блокируйте акты мошенничества, делая снимки экрана с мошенническими SMS-сообщениями и записывая номера телефонов отправителей. Обратитесь к оператору сотовой связи с требованием прекратить передачу сообщений от данного отправителя. Отметьте номер как мошеннический в антиспам-приложении. Дополнительно можно обратиться к оператору сотовой связи, которому принадлежит телефонный номер отправителя. Определить это можно на специальных сайтах, например https://www.kody.su[340]. Если оператор игнорирует ваши претензии, вы вправе обратиться в Роспотребнадзор или Роскомнадзор с жалобой на бездействие оператора и несоблюдение Федерального закона «О связи» (потребуется копия договора с оператором об оказании услуг мобильной связи; копия жалобы оператору; копия ответа оператора на ваше заявление (если есть); снимок экрана с мошенническим SMS-сообщением; детализация по вашему номеру на момент получения сообщения). Также можно направить в региональное отделение Федеральной антимонопольной службы (ФАС) жалобу на нарушение законодательства РФ о рекламе (если сообщения являются рекламными)[341].
Защита текстовых сообщений от перехвата
Самое главное, что следует знать об опасностях, существующих при обмене текстовыми сообщениями:
■ SMS-сообщения не шифруются, поэтому посредством этой технологии не следует передавать какую-либо конфиденциальную информацию. Даже если не упоминать в SMS-сообщении тему будущей встречи, и данные о его передаче от вас другому лицу, и сам его текст могут быть доступны всем: оператору, спецслужбам, злоумышленникам и т. д. Задумайтесь: не отразится ли распространение информации о вашей связи с собеседником на вашей репутации или безопасности. Простой пример: вы ежедневно отправляете по несколько SMS-сообщений жене вашего коллеги. Узнав об этом, он или ваша жена могут заподозрить, что вы состоите в близких отношениях с вышеупомянутой дамой, даже не читая текст сообщений, а оперируя лишь метаданными.
■ Уберечься от мошенников, использующих короткие номера, поможет такой способ. Можно добавить короткие номера организаций, например номер 900 Сбербанка, в адресную книгу, сопроводив именем. Таким образом при поступлении SMS-сообщения с номера 900 вы увидите имя отправителя – Сбербанк, а при мошенничестве – номер 9ОО, поэтому сразу распознаете мошенников. Но не стоит забывать, что в исключительных случаях злоумышленники могут имитировать и настоящие номера организаций, тогда мошеннические SMS-сообщения оказываются в одной ленте с легитимными.
■ По возможности используйте приложения-аутентификаторы вместо одноразовых кодов и голосовых подтверждений. Идентификаторы mTAN (Mobile transaction authentication number), высылаемые в виде одноразового кода в SMS-сообщении, не обеспечивают должного уровня защиты и могут быть перехвачены злоумышленником через уязвимости в протоколе ОКС-7, с помощью программно-определяемой радиосистемы (англ. Software-defined radio, SDR), фемтосоты, путем подмены SIM-карты или с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx, либо даже на устройстве пользователя, используя запущенный на нем вредоносный код[342]. Приложения-аутентификаторы лишены этих недостатков, они позволяют автономно (без доступа к интернету) генерировать коды, действующие в течение короткого времени. К сожалению, такую возможность поддерживают не все приложения, в частности программы для интернет-банкинга.
■ Для секретного общения используйте мессенджеры с поддержкой сквозного шифрования и прочими инструментами защиты от перехвата. Не все мессенджеры защищены от перехвата. В некоторых из них вовсе не предусмотрено шифрование, в других используется шифрование, но не сквозное; трафик и тех, и других может быть прочитан на серверах владельцев программ, как и в спецслужбах. Наиболее безопасный вариант – сквозное (или оконечное, или end-to-end) шифрование.
Обратите внимание: в разных программах, таких как Telegram, Skype[343] или Viber[344], поддержка «секретных» чатов и голосовых вызовов может включаться отдельно и по умолчанию трафик не шифруется[345]! К примеру, в Skype для начала «секретного» разговора необходимо перейти в профиль собеседника и выбрать вариант «Начать приватную беседу», а в меню Telegram – выбрать команду «Создать секретный чат». Так как разработчики приложений постоянно меняют их функционал, добавляя средства защиты либо под давлением властей удаляя их[346], имеет смысл не пытаться раз и навсегда выбрать определенный мессенджер, а обратить внимание на ряд качеств, необходимых для таких программ. В 2016 г. на Всемирном конгрессе хакеров специалисты по кибербезопасности Роланд Шиллинг и Фридер Штайнметц представили их в виде шести концепций[347]. Итак, свойства безопасного мессенджера:
1. Конфиденциальность. Переписку (разговор) можете видеть только вы и ваш собеседник. Конфиденциальность достигается за счет шифрования с открытым ключом, когда для зашифровки используется публичный (открытый) ключ, которым обмениваются собеседники, а для расшифровки – приватный, который у каждого из собеседников свой и который никуда не передается.
Примечание. Обратите внимание: в групповых чатах в мессенджерах, в том числе WhatsApp[348], Threema и Signal, в отличие от персональных секретных чатов с участием двух собеседников, не обеспечивается надежное шифрование. Скомпрометировав одного из участников такого чата, злоумышленник может перехватывать сообщения в течение неограниченного времени[349]. Кроме того, человек, у которого есть контроль над серверами мессенджеров, может незаметно добавлять в закрытые группы новых участников. Добавленные пользователи могут следить за диалогом, не спрашивая разрешения у администратора и не уведомляя участников[350],[351].
2. Аутентичность. Личность вашего собеседника должна быть подтверждена. В надежном мессенджере для подтверждения аутентичности используются более надежные и безопасные идентификаторы, чем адрес электронной почты или номер телефона, – специальные внутренние идентификаторы, зашифрованные в виде QR-кодов, которыми собеседники должны обмениваться по другим каналам связи (и подтверждать, что у каждого код отображается без изменений). Кроме того, вы, возможно, не хотите, чтобы адрес вашей электронной почты и номер вашего телефона были известны собеседникам или хранились в вашем профиле в мессенджере.
3. Целостность. Вы должны быть уверены, что ваш собеседник получил сообщение именно в том виде, в котором вы его передали, т. е. никто не изменил его во время передачи. Благодаря шифрованию, если посторонний попробует что-то изменить в передаваемом сообщении, то собеседник получит поврежденное сообщение, которое невозможно расшифровать, – так реализуется целостность.
Для сокрытия факта разговора используется еще один уровень шифрования: после того как сообщение было зашифровано вашим с собеседником открытым ключом, оно шифруется еще раз с другой парой ключей – вашим и тем, который создан сервером. Злоумышленник может обнаружить, что вы послали сообщение, но благодаря второму уровню шифрования даже не узнает кому именно. На сервере сообщение расшифровывается (только второй уровень), определяется адресат и вновь зашифровывается парой ключей сервера и получателя, чтобы злоумышленник не смог узнать, кто отправитель (он может определить только получателя). Цель злоумышленника – выявить два одинаковых по размеру сообщения из числа поступивших на сервер и отправленных с него и таким образом определить отправителя и получателя. Чтобы предотвратить сравнение всех зашифрованных сообщений, система добавляет некоторую дополнительную нагрузку, чтобы все сообщения отличались по размеру. Недостаток лишь в том, что разработчикам мессенджера известны оба фрагмента информации – и об отправителе, и о получателе, – но все же им неизвестно содержание сообщения.
4. Прямая секретность. Если разговор услышал посторонний, вы должны быть уверены, что он не слышал, о чем говорили до его появления.
5. Будущая (обратная) секретность. Если разговор услышал посторонний, вы должны быть уверены, что он не услышит, о чем будут говорить после его ухода.