Описываемые методы способствуют распространению вредоносного контента, так как системы анализа трафика и выявления сложных угроз не позволяют обрабатывать огромный массив графических (и иных) файлов, передаваемых в потоке данных. Антивирусные приложения также малоэффективны против атак такого рода, поскольку зараженные файлы не сильно отличаются от обычных, а сами системы обнаружения стенографических инъекций фактически являются демонстрационными и редко внедряются из-за низкой скорости обработки и уровня детектирования
[632]. Тем не менее ведется (в том числе и в России) разработка и улучшение таких систем для уверенного распознавания стенографических атак. Пользователям же рекомендуется избегать посещения сомнительных сайтов и загрузки файлов из подозрительных источников.
QR-коды
В настоящее время широко распространены QR-коды – мозаичные изображения, с помощью которых можно быстро получить доступ к нужной информации или поделиться собственными данными, например, передать банковские реквизиты. Так, QR-код на упаковке сока откроет страницу с дополнительной информацией о продукте, а QR-код в кофейне подключит мобильное устройство, на котором он отсканирован, к беспроводной сети заведения.
Явная опасность QR-кодов заключается в доверии к создателю такого кода. К примеру, злоумышленники могут подменить QR-код в парке отдыха, чтобы при сканировании устройства подключались не к легитимной сети парка, а к сети злоумышленника. Или же поддельный код может привести на фишинговую страницу, ворующую персональные данные. Зачастую при этом злоумышленники используют короткие ссылки, чтобы притупить бдительность пользователя на странице с подтверждением перехода. Аналогично через QR-код можно загрузить не легитимное, а поддельное приложение (например, для интернет-банкинга) и лишиться всех своих накоплений.
По командам, содержащимся в QR-кодах, принадлежащее вам устройство может не только открывать веб-ссылки и подключаться к сетям, но и, например, позвонить на заданный номер или отправить SMS от вашего имени, сообщить местоположение вызванному приложению или подписаться на определенный аккаунт в соцсетях.
КЕЙС В Австралии 51-летний мужчина заклеил QR-коды на двух табличках службы по контролю за распространением COVID-19, чтобы вместо официального сервиса пользователи попадали на сайт антипрививочников
[633].
В целях безопасности не следует сканировать QR-коды из подозрительных источников. Не сканируйте в общественных местах QR-коды, которые наклеены поверх других изображений: это могут быть подложные коды. Проверяйте ссылки, которые отображаются при сканировании кода. Будьте осторожны, если используются URL-адреса, сокращенные, например, с помощью сервиса TinyURL. Как правило, при генерации QR-кодов замена длинного адреса коротким не имеет смысла, так как пользователю не нужно вводить URL вручную, а значит цель создателя кода – скрыть истинный адрес ссылки.
В случае подозрений безопаснее перейти на нужный сайт непосредственно в браузере или вручную подключиться к нужной сети через сайт провайдера общественной точки доступа. Если подозрения вызывает QR-код с ссылкой на программу, безопаснее самостоятельно найти ее в официальном магазине приложений, а не переходить по ссылке.
Не следует публиковать в интернете созданные самостоятельно QR-коды (или их фотографии), которые содержат какие-либо персональные данные: известны случаи кражи таких данных, например, для посещения злоумышленником концерта по чужому билету, фотография QR-кода которого была опубликована в интернете незадачливым владельцем
[634].
Для проверки безопасности QR-кодов существуют специальные программы, например Kaspersky QR Scanner
[635].
Недостаточная защита персональных данных на серверах
Учитывая, что утечка данных может произойти на любом сайте, не следует без особой необходимости передавать сторонним сайтам, например интернет-магазинам, свои персональные данные, такие как Ф.И.О., адрес и номер телефона.
КЕЙС В 2015 г. два брата, оперуполномоченных уголовного розыска из Нижегородской области, систематически использовали доступ в базы данных МВД России для получения и продажи через интернет служебной информации. Преступники занимались этим год с лишним, обогатились более чем на 700 000 рублей и по итогам расследования получили по 1,5 года лишения свободы условно
[636].
КЕЙС В декабре 2020 г. в Сеть утекла база данных с информацией о 300 000 жителей Москвы, переболевших вирусом COVID-19. Среди данных, попавших в открытый доступ, оказались Ф.И.О., адреса проживания и регистрации, сведения о полисах ОМС, а также вся информация о течении болезни и результатах анализов. Как было заявлено официальными лицами, утечка произошла вследствие человеческого фактора
[637].
Если вы планируете постоянно пользоваться определенным сайтом и, к примеру, его бонусными программами (например, начислением баллов на скидку в день рождения), оставляйте только минимально необходимое количество данных о себе. Интернет-магазинам и прочим сайтам вовсе необязательно знать о ваших интересах и «друзьях» (т. е. подключать ваши аккаунты в социальных сетях), возрасте и наличии детей. В случае, если вы не планируете в дальнейшем посещать сайт (например, совершаете однократную покупку в интернет-магазине), вероятно, стоит сделать заказ по телефону или в «один клик»; в последнем случае менеджер сам перезвонит вам и уточнит детали заказа. Если же регистрация аккаунта обязательна, вы можете указать вместо реальных данных свой псевдоним
[638], а при необходимости – и другой адрес и т. п. Как уже упоминалось ранее, для регистрации на таких сайтах рекомендуется использовать отдельный номер телефона и, разумеется, указывать реквизиты неосновной банковской карты (например, виртуальной или заведенной специально с целью интернет-шопинга).
КЕЙС В марте 2019 г. группа исследователей организации VPNMentor обнаружила серьезные бреши в системе защиты серверов компании Gearbest – крупного китайского электронного ритейлера. Хакерам было доступно не менее 1,5 млн записей из баз данных заказов (имя и почтовый адрес покупателя, список заказанных позиций (в том числе интимного характера
[639]) и т. п.), платежей/счетов (номер заказа, способ оплаты, платежная информация и т. п.) и клиентов (имя, почтовый и электронный адреса, дата рождения, номер телефона, IP-адрес, паспортные и прочие идентификационные данные, пароль от аккаунта и др.). Несмотря на заявление о шифровании персональных данных, содержащееся в уведомлении о политике конфиденциальности на сайте компании, в реальности сведения о пользователях не шифруются
[640].
