КЕЙС Один из крупнейших американских провайдеров IP-телефонии хранил информацию о пользователях в открытой базе данных. Как выяснилось в январе 2019 г., к персональным данным абонентов за предыдущие 4 года мог получить доступ любой желающий. Среди более чем 13 млн записей были доступны метаданные голосовых вызовов (сведения об абонентах, длительности разговора и т. п.) и полное содержимое SMS– и MMS-сообщений
[253].
Обычным злоумышленникам проще перехватить речь на самом устройстве (до шифрования или после расшифровки) с помощью записывающего программного обеспечения или подслушивающих устройств в телефоне или в окружающих предметах. Также хакер может вынудить жертву установить взломанную версию официального приложения, такого как Skype, с фишингового сайта (особенно актуально для пользователей устройств под управлением операционной системы Android и компьютеров), в котором отключены алгоритмы шифрования и трафик отправляется также на сервер злоумышленника.
Подслушивание
Последний вариант – непосредственное подслушивание переговоров людьми. Это могут быть как сотрудники компании, в которой вы работаете, родственники, друзья, так и посторонние лица, окружающие вас в общественных местах. Следует внимательно контролировать окружающую обстановку и не допускать подслушивания важных для вас телефонных переговоров посторонними лицами.
КЕЙС В Швеции в 2019 г. был обнаружен незащищенный сервер, на котором с 2013 г. накопилось свыше 2,7 млн записей переговоров жителей страны с сотрудниками медицинского центра, где можно получить телефонную консультацию врача. Некоторые записи содержали номера телефонов звонивших граждан, а другие – номера карточек социального страхования. Мало того, что на сервер можно было проникнуть без авторизации, там использовалась устаревшая версия веб-сервера Apache, не обновлявшаяся все эти годы. Многие из более чем 20 имеющихся уязвимостей можно было использовать для проникновения на сервер, даже если бы защита была включена
[254].
Защита от прослушивания и мошенничества
Советы по защите от прослушивания можно разделить на два типа: для тех, кому есть что скрывать, и для тех, кому, как они считают, скрывать нечего. На самом деле защищать некоторые сведения от всеобщего внимания следует всем; разница в уровне конфиденциальности. Как и в случае с любыми другими коммуникациями и аспектами цифровой жизни, следует индивидуально сформулировать модели угроз и нарушителя, о чем говорилось в главе 1.
Примечание. В 2019 г. в даркнете детализация звонков и SMS-сообщений абонента «Билайн» за месяц стоила от 2500 рублей. Выяснить персональную информацию об абоненте, зная номер его мобильного телефона, можно было, заплатив от 400 рублей. Та же информация об абонентах МТС стоила от 15 000 и от 900 рублей, об абонентах «Мегафона» – от 20 000 рублей и от 1500 рублей, об абонентах «Теле 2» – от 8000 рублей и от 3500 рублей соответственно. Разовое определение местоположения абонента в среднем стоило от 30 000 до 45 000 рублей («Мегафон», МТС, «Теле 2»). Исключение составил «Билайн» – от 2000 рублей. Доступ к тексту SMS-сообщений стоил от 150 000 рублей за один месяц
[255].
Простому обывателю» достаточно помнить о том, что он может стать жертвой мошенничества с помощью телефона, и о том, что мобильник могут украсть. Специальная шпионская аппаратура, как правило, используется против активных оппозиционеров и тех, чьими данными желают завладеть, например, бизнес-конкуренты. Общие советы следующие:
Не публикуйте в интернете свой личный номер телефона; разделите рабочие и личные коммуникации. Если публикация номера необходима, используйте отдельный номер телефона, лучше «анонимный» или «виртуальный»
[256], особенно на таких сайтах, как «Авито» и «Авто.ру». Такие сайты часто просматривают злоумышленники и присылают фишинговые и спам-сообщения на опубликованные номера телефонов. Кроме того, следя за продажей дорогих вещей, автомобилей и т. п. и зная номер телефона, злоумышленники могут выяснить адрес владельца номера и попытаться ограбить его или использовать другие схемы, которые мы рассматривали ранее. По данным таких сайтов, а также социальных сетей формируется портрет потенциальной жертвы. Частные объявления содержат сведения о различных аспектах жизни их авторов: финансовом состоянии и т. п., что позволяет мошенникам использовать против них методы социальной инженерии.
Виртуальные номера
Если для регистрации на сайте требуется указать номер мобильного телефона и при этом в дальнейшем не планируется использовать его для входа, восстановления доступа или многофакторной аутентификации, по возможности используйте виртуальные номера телефонов. Ресурсы, подобные https://freezvon.ru или https://sms-reg.com, предлагают платный и бесплатный доступ к виртуальным номерам выбранной страны. Пользуясь их услугами, можно, к примеру, получить код доступа к ресурсу, не светя личный номер, либо совершить звонок для подтверждения доступа. Обратите внимание: ни о какой конфиденциальности речь не идет и содержимое сообщений и разговоров может быть доступно как владельцам сервисов, так и другим пользователям. Кроме того, многие операторы сотовой связи предлагают услугу смены телефонного номера без замены SIM-карты прямо в личном кабинете или приложении.
Примечание. В интернете и на улицах городов можно приобрести так называемые серые SIM-карты, при покупке которых не требуется предоставлять какие-либо данные, в том числе и паспортные. Следует иметь в виду, что такие SIM-карты уже были ранее активированы и, после того как баланс такой карты пополняет покупатель, реальный владелец может заблокировать ее и получить новую, забирая себе деньги со счета. Велик риск и потери более крупных сумм денег, если к такой SIM-карте будет привязан счет в банке. Кроме того, привязанный к ней номер телефона может числиться в базе данных правоохранительных органов. По данным полиции, большинство угроз и ложных сообщений об актах терроризма поступает именно от тех, кто использует «серые» SIM-карты, продаваемые нелегально и оформленные на подставных лиц. Когда покупатель вставляет такую SIM-карту в свой телефон, IMEI его устройства связывается в базе розыска с номером телефона преступника. Таким образом покупатель попадает под подозрение правоохранительных органов либо как преступник, поменявший телефон, либо как его сообщник (доказать обратное будет сложно, так как нет документов, подтверждающих покупку SIM-карты с рук).