КЕЙС В 2018 г. в Индии из-за недостоверной информации, распространявшейся в мессенджере WhatsApp, было убито не менее 20 человек. В сообщениях ложно утверждалось, что эти люди являются членами преступных группировок, которые похищают детей
[339].
При необходимости свяжитесь с правоохранительными органами для уточнения достоверности распространяемой информации.
■ Фиксируйте и блокируйте акты мошенничества, делая снимки экрана с мошенническими SMS-сообщениями и записывая номера телефонов отправителей. Обратитесь к оператору сотовой связи с требованием прекратить передачу сообщений от данного отправителя. Отметьте номер как мошеннический в антиспам-приложении. Дополнительно можно обратиться к оператору сотовой связи, которому принадлежит телефонный номер отправителя. Определить это можно на специальных сайтах, например https://www.kody.su
[340]. Если оператор игнорирует ваши претензии, вы вправе обратиться в Роспотребнадзор или Роскомнадзор с жалобой на бездействие оператора и несоблюдение Федерального закона «О связи» (потребуется копия договора с оператором об оказании услуг мобильной связи; копия жалобы оператору; копия ответа оператора на ваше заявление (если есть); снимок экрана с мошенническим SMS-сообщением; детализация по вашему номеру на момент получения сообщения). Также можно направить в региональное отделение Федеральной антимонопольной службы (ФАС) жалобу на нарушение законодательства РФ о рекламе (если сообщения являются рекламными)
[341].
Защита текстовых сообщений от перехвата
Самое главное, что следует знать об опасностях, существующих при обмене текстовыми сообщениями:
■ SMS-сообщения не шифруются, поэтому посредством этой технологии не следует передавать какую-либо конфиденциальную информацию. Даже если не упоминать в SMS-сообщении тему будущей встречи, и данные о его передаче от вас другому лицу, и сам его текст могут быть доступны всем: оператору, спецслужбам, злоумышленникам и т. д. Задумайтесь: не отразится ли распространение информации о вашей связи с собеседником на вашей репутации или безопасности. Простой пример: вы ежедневно отправляете по несколько SMS-сообщений жене вашего коллеги. Узнав об этом, он или ваша жена могут заподозрить, что вы состоите в близких отношениях с вышеупомянутой дамой, даже не читая текст сообщений, а оперируя лишь метаданными.
■ Уберечься от мошенников, использующих короткие номера, поможет такой способ. Можно добавить короткие номера организаций, например номер 900 Сбербанка, в адресную книгу, сопроводив именем. Таким образом при поступлении SMS-сообщения с номера 900 вы увидите имя отправителя – Сбербанк, а при мошенничестве – номер 9ОО, поэтому сразу распознаете мошенников. Но не стоит забывать, что в исключительных случаях злоумышленники могут имитировать и настоящие номера организаций, тогда мошеннические SMS-сообщения оказываются в одной ленте с легитимными.
■ По возможности используйте приложения-аутентификаторы вместо одноразовых кодов и голосовых подтверждений. Идентификаторы mTAN (Mobile transaction authentication number), высылаемые в виде одноразового кода в SMS-сообщении, не обеспечивают должного уровня защиты и могут быть перехвачены злоумышленником через уязвимости в протоколе ОКС-7, с помощью программно-определяемой радиосистемы (англ. Software-defined radio, SDR), фемтосоты, путем подмены SIM-карты или с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx, либо даже на устройстве пользователя, используя запущенный на нем вредоносный код
[342]. Приложения-аутентификаторы лишены этих недостатков, они позволяют автономно (без доступа к интернету) генерировать коды, действующие в течение короткого времени. К сожалению, такую возможность поддерживают не все приложения, в частности программы для интернет-банкинга.
■ Для секретного общения используйте мессенджеры с поддержкой сквозного шифрования и прочими инструментами защиты от перехвата. Не все мессенджеры защищены от перехвата. В некоторых из них вовсе не предусмотрено шифрование, в других используется шифрование, но не сквозное; трафик и тех, и других может быть прочитан на серверах владельцев программ, как и в спецслужбах. Наиболее безопасный вариант – сквозное (или оконечное, или end-to-end) шифрование.
Обратите внимание: в разных программах, таких как Telegram, Skype
[343] или Viber
[344], поддержка «секретных» чатов и голосовых вызовов может включаться отдельно и по умолчанию трафик не шифруется
[345]! К примеру, в Skype для начала «секретного» разговора необходимо перейти в профиль собеседника и выбрать вариант «Начать приватную беседу», а в меню Telegram – выбрать команду «Создать секретный чат». Так как разработчики приложений постоянно меняют их функционал, добавляя средства защиты либо под давлением властей удаляя их
[346], имеет смысл не пытаться раз и навсегда выбрать определенный мессенджер, а обратить внимание на ряд качеств, необходимых для таких программ. В 2016 г. на Всемирном конгрессе хакеров специалисты по кибербезопасности Роланд Шиллинг и Фридер Штайнметц представили их в виде шести концепций
[347]. Итак, свойства безопасного мессенджера:
1. Конфиденциальность. Переписку (разговор) можете видеть только вы и ваш собеседник. Конфиденциальность достигается за счет шифрования с открытым ключом, когда для зашифровки используется публичный (открытый) ключ, которым обмениваются собеседники, а для расшифровки – приватный, который у каждого из собеседников свой и который никуда не передается.
Примечание. Обратите внимание: в групповых чатах в мессенджерах, в том числе WhatsApp
[348], Threema и Signal, в отличие от персональных секретных чатов с участием двух собеседников, не обеспечивается надежное шифрование. Скомпрометировав одного из участников такого чата, злоумышленник может перехватывать сообщения в течение неограниченного времени
[349]. Кроме того, человек, у которого есть контроль над серверами мессенджеров, может незаметно добавлять в закрытые группы новых участников. Добавленные пользователи могут следить за диалогом, не спрашивая разрешения у администратора и не уведомляя участников
[350],
[351].
