. Кроме того, алгоритмы сквозного шифрования применяются лишь при передаче трафика от пользователей до серверов компании[511], т. е. доступ к содержимому аудио– и видеоконференций могут получить сотрудники компании и прочие субъекты. Поэтому для онлайн-конференций безопаснее использовать Skype, в полной мере применяющий сквозное шифрование аудио/видеотрафика[512]. При этом переписка в чатах Zoom шифруется полноценно.
КЕЙС В марте 2020 г. эксперты компании Motherboard выяснили, что приложение Zoom для iOS без разрешения пользователей передает их персональные данные на серверы корпорации Facebook, даже если у клиентов Zoom нет аккаунтов в этой социальной сети. Такая практика не редкость для приложений, разработанных с применением Facebook SDK (Software Development Kit – комплект для разработки программного обеспечения, позволяющий легко интегрировать сайт или приложение с Facebook[513]), но пользователи Zoom не были осведомлены (в том числе и в уведомлении о политике конфиденциальности) о том, что предоставляют свои персональные данные третьим лицам. Передавались сведения о дате и времени запуска приложения Zoom; об используемом устройстве, например о модели; о часовом поясе и городе, где находился пользователь; операторе сотовой связи, а также уникальный идентификатор рекламы. Впоследствии эти функции были удалены из кода приложения Zoom[514].
Кроме того, для защиты доступа к конференциям часто используются простые пароли (либо вообще не защищаются паролями, что позволяет простым перебором ID сессий получать доступ к конференции), которые с легкостью могут быть взломаны, а идентификаторы конференций, в том числе с паролями, нередко попадают в открытый доступ. Получать несанкционированный доступ к конференциям злоумышленники могут не только для целевой атаки на человека или предприятие, но и для троллинга. У корпоративных аккаунтов может быть постоянный идентификатор, а это означает, что если пароль не меняется, то злоумышленник, завладев ссылкой, может попадать в конференции на постоянной основе. Просмотрев список участников, он может перезайти, используя имя легитимного участника. Чтобы предотвратить такие ситуации, следует использовать не только сложные пароли и двухфакторную аутентификацию, но и такие настройки безопасности, как «комната ожидания», в которой будущие участники конференции ждут до тех пор, пока организатор не разрешит им доступ[515]. Чтобы защититься от утечки информации, для проведения Zoom-конференций следует использовать только официальный клиент, доступный на сайте https://zoom.us или из магазинов мобильных приложений Google Play либо App Store, аналогично и для проведения конференций – если вам нужно приложение Microsoft Teams, то загружайте его только с официального сайта https://www.microsoft.com/ru-ru/microsoft-teams/group-chat-software; так вы избежите риска установки фишингового приложения.
Опасности угрожают и пользователям веб-версий приложений для проведения конференций: злоумышленники создают копии сайтов типа Zoom и рассылают ссылки на них в фишинговых сообщениях. В целях защиты нужно проверять адрес посещаемого ресурса и обмениваться ссылками и данными по отдельным защищенным каналам, например в закрытых группах в мессенджерах.
Защита от мошенничества, связанного с фотографиями
При публикации в интернете фотографий, особенно детских, ставьте перед собой следующие вопросы:
■ Приемлема ли эта фотография? Будет ли нанесен какой-либо ущерб запечатленному на ней человеку, если фотографию увидят люди, которым он не хотел бы ее показывать?
■ Если на фотографии изображен ваш ребенок и он ее увидит, как он отреагирует? Какие чувства испытает? Может ли фотография навредить вашему ребенку (поставить его в неудобное положение) сейчас или в будущем?
■ Ваши фотографии (или фотографии вашего ребенка) видят только те люди, которым вам хотелось бы их показывать? Проверьте в профилях списки своих «друзей» и «друзей» своих детей (если у них есть «друзья»). Всех ли «друзей» вы знаете лично, можете ли подтвердить личность каждого?
■ Правильно ли настроены параметры конфиденциальности в ваших аккаунтах? Особенно важно проверить, кто может видеть каждую конкретную вашу фотографию – только вы или избранные «друзья» (как правило, пользователь социальной сети добавляет в «друзья» гораздо больше участников, чем знает лично). Совершенно точно это не может быть «весь интернет», «все пользователи социальной сети» или даже все «друзья».
КЕЙС В 2019 г. учительница русского языка и литературы одной из школ Барнаула Татьяна Кувшинникова, член Федерации зимнего плавания, лишилась работы из-за фотографии в закрытом купальнике, которую опубликовала на своей странице в соцсети «ВКонтакте». Фото не понравилось матери одного из учеников, и она написала жалобу на имя директора школы[516].
Проверьте настройки конфиденциальности не только в своем аккаунте, но и в профилях своих детей.
Видеоматериалы, касающиеся личной жизни, не стоит делать доступными всем пользователям сайта или интернета, разумно давать к ним доступ по ссылке только тем людям, которым вы хотели бы их показать.
Помните, что даже в закрытых аккаунтах фотография, использованная в качестве аватара, видна всем посетителям. Возможно, стоит использовать фотографию, не позволяющую достоверно опознать изображенного на ней человека. Кроме того, в некоторых социальных сетях всем пользователям могут быть доступны графические файлы, сохраненные в определенных папках. Вы можете проверить, какие фотографии доступны всем пользователям, посетив свою страницу в социальной сети без авторизации на сайте, а также от имени пользователя, который не является вашим другом (например, в сети «ВКонтакте» это можно сделать, добавив аргумент ?as=-1 к адресу вашей страницы: https://vk.com/ваш_идентификатор?as=-1).
Если вы хотите полностью скрыть свое лицо, в том числе на аватаре, от алгоритмов распознавания, но не хотите отказываться от публикации снимков, попробуйте затруднить распознавание лица (как для алгоритмов, так и для посторонних посетителей). Например, сфотографируйтесь вполоборота, под необычным углом, наденьте очки в толстой оправе, маску или капюшон либо скорчите гримасу[517].
Примечание. Пандемия COVID-19 в 2020 г. поспособствовала усовершенствованию систем распознавания лиц, так как большинство граждан были вынуждены носить маски для защиты от вируса. Улучшенные алгоритмы распознавания лиц (особенно в Китае), используя в качестве ключевых данных глаза, способны распознавать лица людей, носящих маски, очки и поддельные бороды[518].
■ Можно ли определить место съемки по метаданным или фону фотографии, может ли она выдать ваше теперешнее или будущее местонахождение? Особенно это важно, когда речь идет о детских фотографиях. Если снимок позволяет определить, что квартиру или дом покинули или покинут все жильцы (например, если вы, находясь в отпуске, публикуете свое фото со всей семьей), то этим фактом могут заинтересоваться квартирные воры.
■ Внимательно рассмотрите фон снимков перед публикацией и, если необходимо, кадрируйте их либо выберите другие фотографии. Для удаления метаданных (EXIF) можно воспользоваться «Проводником Windows» (выделите файл или группу файлов, щелкните по ним правой кнопкой мыши и на вкладке «Подробно» открывшегося диалогового окна щелкните мышью по ссылке «Удаление свойств и личной информации»); можно установить специальную программу, например Show EXIF для Windows или ImageOptim для macOS. Для мобильных устройств существуют такие приложения, как ViewExif (iOS) и Photo Exif Editor (Android).
Примечание. Не пользуйтесь онлайн-службами для удаления метаданных, если у вас нет четкой уверенности в том, что ваши изображения/метаданные не сохраняются на сервере и не могут быть перехвачены по каналам передачи данных.
■ Способна ли фотография вызвать негативные эмоции у людей? Актуально, если снимок предназначен для широкого круга потребителей контента (т. е. виден и посторонним лицам), например в открытом профиле Instagram. Подумайте о последствиях, если снимок может вызвать зависть или привести к кибербуллингу (травле). Если негативные реакции уже есть, не поддерживайте троллей и ботов (здесь термин «бот» означает запускаемые виртуальными собеседниками программы, которые автоматически пишут комментарии на заданные темы), не вступайте с ними в переписку, блокируйте комментарии, пользователей и жалуйтесь на их действия в службу поддержки.
Как вариант, можно ограничить возможность комментирования всех фотографий: друзья и близкие всегда смогут высказать свои впечатления в личном сообщении.
■ Может ли злоумышленник, используя вашу фотографию, нанести ущерб вам или вашим близким/друзьям? Этот вопрос касается любых снимков, из которых можно извлечь какую-либо персональную информацию, которую вы бы не хотели обнародовать. Если вы публикуете какие-либо документы, билеты и т. п. (чего в принципе не стоит делать: мошенники, использующие социальную инженерию, по фрагменту билета могут восстановить все остальное), скрывайте на них не только личные данные, но также QR-коды и штрихкоды, причем целиком, и цифры под ними. Сканер считывает только полосы штрихкода, но злоумышленники могут его восстановить с помощью расположенного под ними цифрового кода. QR-код тоже нужно закрывать полностью, так как во избежание ошибок сканер использует специальную систему коррекции, которая может восстановить часть стертого кода, если доступен фрагмент.