Безопасное использование сервисов видеоконференций
Введение
Рабочие совещания, учебные лекции, семинары, даже экзамены и зачеты, а также общение с родственниками и друзьями – всё это теперь осуществляется с помощью сервисов видеоконференций – специальных программ и приложений, предоставляющих услугу видеосвязи сразу с несколькими абонентами, находящимися порой на значительном удалении друг от друга. Такая связь реализуется через компьютер, планшет или телефон и может сопровождаться дополнительным показом презентации или демонстрацией экрана устройства в режиме реального времени. Некоторые сервисы видеоконференций также позволяют обмениваться друг с другом файлами.
Спрос рождает предложение, и на рынке появились десятки отдельных сервисов видеосвязи и функций, встроенных в уже существующие приложения. У каждого из них есть свои преимущества и недостатки, время от времени в них обнаруживают уязвимости и, как и в случае с любыми другими сервисами в сети Интернет, использование программ для видеоконференций сопряжено с определёнными угрозами. Что это за угрозы и как их избежать, попробуем разобраться в этой статье.
Угрозы при использовании сервисов видеоконференций
Основной целью злоумышленников в Интернете является кража денежных средств, персональных и личных данных пользователей. Чтобы добиться желаемого, они постоянно придумывают новые приемы обмана пользователей и способы распространения вредоносного программного обеспечения. Неудивительно, что внезапный рост востребованности сервисов видеоконференций заставил злоумышленников обратить на них пристальное внимание и взять эти программы «на вооружение». Так, на пике их популярности в апреле 2020 года специалисты компании «Лаборатория Касперского» выявили свыше тысячи файлов с нежелательными приложениями и вредоносным кодом, в которых использовались названия популярных сервисов для онлайн-конференций.
Украденные данные могут использоваться для дальнейшего проведения атак с использованием методов социальной инженерии или для вымогательства. Известны случаи, когда в открытом доступе оказывались записи сеансов психотерапии, консультаций с врачом и совещаний компаний, на которых обсуждалась финансовая отчетность. Попав в руки злоумышленника, подобная информация может быть использована в корыстных целях.
Ниже рассмотрим, каким образом Ваши данные могут попасть к злоумышленнику:
- Поддельные приложения. Такие приложения очень похожи на легитимные, часто копируют их интерфейс и название. Однако вместо выполнения заявленных функций, они работают "на руку" своим создателям-злоумышленникам. При регистрации учетной записи в таких приложениях все введенные Вами персональные и личные данные попадут к злоумышленникам.
- Утечка персональных и личных данных из приложения для видеоконференции. Одной из причин утечки данных могут быть существующие уязвимости, которые позволят злоумышленнику перехватить сессию и получить несанкционированный доступ к учетным данным как самого приложения, так и устройства, на котором оно установлено. Другой причиной утечки данных может стать использование слабых или одинаковых с другими сервисами паролей.
- Утечка персональных и личных данных во время сеанса связи или после него. Здесь также можно выделить несколько причин, приводящих к потере данных.
Во-первых, это неразумное поведение самого пользователя, демонстрирующего больше данных, чем следовало бы. Например, при включенной демонстрации экрана другим участникам конференции утечке могут способствовать открытые на экране документы, вкладки браузера и даже названия файлов. Во-вторых, отсутствие контроля за участниками конференции. Администратору конференции необходимо отслеживать подключающихся к сеансу связи участников, чтобы не допустить присутствия незнакомых и посторонних лиц.
В-третьих, ненадежное шифрование передаваемых данных и записей сеансов связи или его отсутствие вовсе.
Рекомендации
- Скачивайте приложения только из доверенных источников: с сайта производителя, или из официальных магазинов приложений.
- Учетная запись пользователя должна быть защищена надёжным и уникальным паролем, лучше, если будет подключена мультифакторная аутентификация (например, двухфакторная проверка подлинности, 2FA).
- После установки приложения настройте ограничения на его доступ к личной информации, содержащейся на устройстве: контакты, фото, записи календаря, микрофону, камере и др.
- Проверьте настройки конфиденциальности. Убедитесь, что вы понимаете, какие данные будут доступны другим пользователям во время сеанса видеосвязи (голосовые, текстовые, видео, файлы, экран устройства и т.д.), будут ли оставаться записи сеанса связи после его окончания. Трансляцию ненужных данных лучше ограничить в настройках приложения либо вовсе запретить обмен данными, записи рекомендуется удалять сразу по завершению сеанса. В настройках отдельных приложений можно запретить передачу исполняемых файлов с расширением .exe.
- Каждый сеанс видеосвязи должен быть защищён паролем, то есть любой неавторизованный в сервисе участник должен ввести пароль для подключения.
- Не публикуйте в открытом доступе (например, социальных сетях) ссылку на видеоконференцию и пароль для подключения к ней.
- Проверяйте, чтобы ссылка на видеоконференцию была получена из достоверного источника. Не переходите по ссылкам, полученным от неизвестных Вам отправителей.
- Настройте допуск участников из «комнаты ожидания» в основной чат только с одобрения администратора.
- Если Ваш сеанс связи предполагает обмен файлами или конфиденциальной информацией, определите, насколько Вы доверяете конкретному сервису видеоконференции. Многие из них декларируют функцию сквозного шифрования (end-to-end) информации, хотя на поверку это оказывается не правдой, и данные расшифровываются на серверах компании. Также по умолчанию функция сквозного шифрования может быть отключена. Кроме того, нужно учитывать, что у некоторых сервисов сквозное шифрование предусмотрено только для переписки и пересылаемых файлов и не работает для видео- и аудиозвонков.
- Перед сеансом видеосвязи убедитесь с помощью тестового видеозвонка, что объектив камеры Вашего устройства не захватывает ничего лишнего или такого, чем бы Вам не хотелось делиться с другими. Воспользуйтесь функцией размытия или замены фона, которую предлагают некоторые сервисы видеоконференций.
- Во время рабочего совещания или учебного процесса отключайте микрофон и видеокамеру в те моменты, когда выступает другой участник видеоконференции.
- Не забудьте выйти из конференции после её завершения.
- Обновите операционную систему Вашего устройства и приложения для видеоконференций, это снизит риски эксплуатации уязвимостей.
- Используйте антивирус с актуальными базами. Проверяйте с его помощью все файлы, полученные от других пользователей, прежде чем открыть их.
Материалы по теме
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru