Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Безопасное использование сервисов видеоконференций

Безопасное использование сервисов видеоконференций
В условиях, когда люди вынуждены оставаться дома из-за пандемии коронавируса и введенных ограничительных мер, многие сферы жизни переместились в виртуальное пространство.

Введение

Рабочие совещания, учебные лекции, семинары, даже экзамены и зачеты, а также общение с родственниками и друзьями – всё это теперь осуществляется с помощью сервисов видеоконференций – специальных программ и приложений, предоставляющих услугу видеосвязи сразу с несколькими абонентами, находящимися порой на значительном удалении друг от друга. Такая связь реализуется через компьютер, планшет или телефон и может сопровождаться дополнительным показом презентации или демонстрацией экрана устройства в режиме реального времени. Некоторые сервисы видеоконференций также позволяют обмениваться друг с другом файлами.

Спрос рождает предложение, и на рынке появились десятки отдельных сервисов видеосвязи и функций, встроенных в уже существующие приложения. У каждого из них есть свои преимущества и недостатки, время от времени в них обнаруживают уязвимости и, как и в случае с любыми другими сервисами в сети Интернет, использование программ для видеоконференций сопряжено с определёнными угрозами. Что это за угрозы и как их избежать, попробуем разобраться в этой статье.

Угрозы при использовании сервисов видеоконференций

Основной целью злоумышленников в Интернете является кража денежных средств, персональных и личных данных пользователей. Чтобы добиться желаемого, они постоянно придумывают новые приемы обмана пользователей и способы распространения вредоносного программного обеспечения. Неудивительно, что внезапный рост востребованности сервисов видеоконференций заставил злоумышленников обратить на них пристальное внимание и взять эти программы «на вооружение». Так, на пике их популярности в апреле 2020 года специалисты компании «Лаборатория Касперского» выявили свыше тысячи файлов с нежелательными приложениями и вредоносным кодом, в которых использовались названия популярных сервисов для онлайн-конференций.

Украденные данные могут использоваться для дальнейшего проведения атак с использованием методов социальной инженерии или для вымогательства. Известны случаи, когда в открытом доступе оказывались записи сеансов психотерапии, консультаций с врачом и совещаний компаний, на которых обсуждалась финансовая отчетность. Попав в руки злоумышленника, подобная информация может быть использована в корыстных целях.

Ниже рассмотрим, каким образом Ваши данные могут попасть к злоумышленнику:

  • Поддельные приложения. Такие приложения очень похожи на легитимные, часто копируют их интерфейс и название. Однако вместо выполнения заявленных функций, они работают "на руку" своим создателям-злоумышленникам. При регистрации учетной записи в таких приложениях все введенные Вами персональные и личные данные попадут к злоумышленникам.
  • Утечка персональных и личных данных из приложения для видеоконференции. Одной из причин утечки данных могут быть существующие уязвимости, которые позволят злоумышленнику перехватить сессию и получить несанкционированный доступ к учетным данным как самого приложения, так и устройства, на котором оно установлено. Другой причиной утечки данных может стать использование слабых или одинаковых с другими сервисами паролей.
  • Утечка персональных и личных данных во время сеанса связи или после него. Здесь также можно выделить несколько причин, приводящих к потере данных.
    Во-первых, это неразумное поведение самого пользователя, демонстрирующего больше данных, чем следовало бы. Например, при включенной демонстрации экрана другим участникам конференции утечке могут способствовать открытые на экране документы, вкладки браузера и даже названия файлов. Во-вторых, отсутствие контроля за участниками конференции. Администратору конференции необходимо отслеживать подключающихся к сеансу связи участников, чтобы не допустить присутствия незнакомых и посторонних лиц.
    В-третьих, ненадежное шифрование передаваемых данных и записей сеансов связи или его отсутствие вовсе.

Рекомендации

  1. Скачивайте приложения только из доверенных источников: с сайта производителя, или из официальных магазинов приложений.
  2. Учетная запись пользователя должна быть защищена надёжным и уникальным паролем, лучше, если будет подключена мультифакторная аутентификация (например, двухфакторная проверка подлинности, 2FA).
  3. После установки приложения настройте ограничения на его доступ к личной информации, содержащейся на устройстве: контакты, фото, записи календаря, микрофону, камере и др.
  4. Проверьте настройки конфиденциальности. Убедитесь, что вы понимаете, какие данные будут доступны другим пользователям во время сеанса видеосвязи (голосовые, текстовые, видео, файлы, экран устройства и т.д.), будут ли оставаться записи сеанса связи после его окончания. Трансляцию ненужных данных лучше ограничить в настройках приложения либо вовсе запретить обмен данными, записи рекомендуется удалять сразу по завершению сеанса. В настройках отдельных приложений можно запретить передачу исполняемых файлов с расширением .exe.
  5. Каждый сеанс видеосвязи должен быть защищён паролем, то есть любой неавторизованный в сервисе участник должен ввести пароль для подключения.
  6. Не публикуйте в открытом доступе (например, социальных сетях) ссылку на видеоконференцию и пароль для подключения к ней.
  7. Проверяйте, чтобы ссылка на видеоконференцию была получена из достоверного источника. Не переходите по ссылкам, полученным от неизвестных Вам отправителей.
  8. Настройте допуск участников из «комнаты ожидания» в основной чат только с одобрения администратора.
  9. Если Ваш сеанс связи предполагает обмен файлами или конфиденциальной информацией, определите, насколько Вы доверяете конкретному сервису видеоконференции. Многие из них декларируют функцию сквозного шифрования (end-to-end) информации, хотя на поверку это оказывается не правдой, и данные расшифровываются на серверах компании. Также по умолчанию функция сквозного шифрования может быть отключена. Кроме того, нужно учитывать, что у некоторых сервисов сквозное шифрование предусмотрено только для переписки и пересылаемых файлов и не работает для видео- и аудиозвонков.
  10. Перед сеансом видеосвязи убедитесь с помощью тестового видеозвонка, что объектив камеры Вашего устройства не захватывает ничего лишнего или такого, чем бы Вам не хотелось делиться с другими. Воспользуйтесь функцией размытия или замены фона, которую предлагают некоторые сервисы видеоконференций.
  11. Во время рабочего совещания или учебного процесса отключайте микрофон и видеокамеру в те моменты, когда выступает другой участник видеоконференции.
  12. Не забудьте выйти из конференции после её завершения.
  13. Обновите операционную систему Вашего устройства и приложения для видеоконференций, это снизит риски эксплуатации уязвимостей.
  14. Используйте антивирус с актуальными базами. Проверяйте с его помощью все файлы, полученные от других пользователей, прежде чем открыть их.