Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Безопасность переписки в мессенджерах

Безопасность переписки в мессенджерах
В статье мы рассмотрим критерии, по которым можно оценивать безопасность наиболее популярных мессенджеров, риски, связанные с использованием мессенджеров, а также способы и методы злоумышленников, которые с их помощью охотятся за вашими деньгами и личными данными.

Введение

Бывают ситуации, когда для решения какого-либо вопроса необходимо срочно переслать другому человеку фотографию или реквизиты своего паспорта. Например, вы с друзьями собрались на выходные съездить в Санкт-Петербург. Чтобы выгодно купить билеты сразу на всю компанию, ваш друг просит выслать ему паспортные данные. Другой случай: вы заключаете договор на оказание каких-либо услуг и, чтобы не встречаться лично с контрагентом, направляете копию своего паспорта через систему обмена сообщениями. Это быстро и удобно, но одновременно опасно.

Общение в мессенджерах стало настолько привычным, к тому же декларируемое шифрование переписки вызывает чувство безопасности, поэтому мы зачатую без каких-либо сомнений делимся в чатах своими персональными данными и, возможно, даже реквизитами банковских карт. При этом, кто из нас задумывался, насколько надёжно защищена переписка в мессенджерах? Что произойдёт, если доступ к ней получат посторонние лица?

Между тем мошенники изобрели множество методов, чтобы похищать персональные данные и денежные средства посредством приложений для обмена сообщениями. Кроме того, доступ к вашей переписке могут получить рекламные компании. Замечали ли вы случаи, когда после обсуждения какого-либо предмета в чате мессенджера, контекстная реклама с изображением этого предмета появлялась в других приложениях? Именно так корпорации, владеющие мессенджерами, зарабатывают на продаже ваших данных маркетологам и демонстрации таргетированной (персонализированной) рекламы.

Мессенджеры и безопасность данных

Мы выбрали наиболее популярные в России приложения по обмену сообщениями: WhatsApp, Viber, Telegram, Facebook Messenger, Skype, а также Signal. Итак, по каким критериям можно определить, насколько безопасным является тот или иной мессенджер:

  • Сквозное шифрование. Во многих последних версиях популярных мессенджеров (WhatsApp, Viber, Signal) предусмотрено так называемое сквозное шифрование (end-to-end encryption, E2EE) переписки по умолчанию. При таком типе шифрования данные шифруются на устройстве отправителя, а расшифровываются на устройстве получателя. Весь путь они проделывают в зашифрованном виде. Ключи шифрования также хранятся на устройствах отправителя и получателя, а не на сторонних серверах.

    В таких мессенджерах как Telegram, Facebook Messenger и Skype сквозное шифрование предусмотрено только для секретных чатов. При этом в Telegram реализован собственный протокол шифрования – MTProto, позволяющий применять несколько алгоритмов шифрования (используются 256-битное симметричное шифрование AES, алгоритм RSA-2048, обмен ключами методом Диффи-Хеллмана).

    Стоит отметить, что в Telegram сквозное шифрование не работает для групповых чатов, в то время как в WhatsApp, Viber такие чаты также защищены шифрованием. А версия Telegram для настольных ПК не поддерживает сквозное шифрование ни в одной из операционных систем, кроме операционной системы MacOS.
  • Открытый исходный код. Открытый исходный код означает, что приложение доступно для изучения и тестирования на безопасность внешними экспертами. Это может способствовать обнаружению уязвимостей и привлечению внимания к слабым местам программы.

    Однако не все мессенджеры предоставляют полностью открытый исходный код как клиентской, так и серверной части. Если у Signal открытым исходным кодом является и серверная и клиентская часть, то у Telegram доступен исходный код только на стороне клиента. Facebook – родительская компания WhatsApp – исходный код мессенджера не раскрыла. Также не опубликован исходный код для Skype и Viber.
  • Хранение данных и резервных копий. Данные переписки в мессенджерах могут храниться на устройствах или облачных серверах, как в зашифрованном, так и в открытом виде.

    Например, WhatsApp, Viber, Skype не хранят переписку на своих серверах. Поэтому, если злоумышленники взломают платформы, они не смогут расшифровать ни одно из сообщений. Переписка сохраняется локально на устройстве пользователей.

    Резервные копии WhatsApp и Viber хранятся в облаке, привязанном к мобильной операционной системе (Apple iCloud, Google Drive). При этом сквозное шифрование сохраненных в облаке данных не обеспечивается. Поэтому, полагаясь на сквозное шифрование чатов, помните, что в конечном счёте вся переписка хранится в незашифрованном виде в облачных хранилищах. В случае если злоумышленник получит к ним доступ, это будет являться серьёзной угрозой конфиденциальности ваших данных.

    В отличие от WhatsApp и Viber, Telegram хранит все сообщения и файлы обычных (не секретных) чатов на защищенном сервере. Это означает, что вы можете получить к ним доступ с любого подключенного устройства. Резервные копии таких чатов хранятся в облаке в зашифрованном виде. Для секретных чатов предусмотрено хранение переписки на устройствах пользователей, при этом трафик всё равно предается через серверы компании. Резервные копии секретных чатов не создаются.

    В мессенджерах Skype и Signal вообще не предусмотрено создание резервных копий.
  • Исчезающие сообщения. Возможность отправлять сообщения, которые автоматически удаляются после их прочтения или по истечении заданного срока предусмотрена в большинстве программ (WhatsApp, Viber, Telegram, Signal, Skype, Facebook Messenger).
  • Блокировка скриншотов чатов. Мессенджеры Signal, Telegram, Viber либо вовсе не позволяют делать скриншоты переписки в секретных чатах, либо уведомляют отправителя о том, что адресат сообщения сделал снимок экрана.

    В WhatsApp и Facebook Messenger такой функции не предусмотрено – эти приложения не уведомляют пользователя, если собеседник сделал скриншот переписки.
  • Поддержка двухфакторной аутентификации. При активизации двухфакторной аутентификации требуется дополнительно вводить пароль или код из СМС-сообщения для получения доступа к приложению. На некоторых устройствах может быть доступна функция разблокировки при помощи биометрических данных (отпечатка пальца или распознавания лица).

    Двухфакторную аутентификацию можно включить в настройках Telegram, Signal, WhatsApp, Viber.

    Необходимо отметить, что в некоторых мессенджерах (например, WhatsApp) пароль, который используется при двухфакторной аутентификации, хранится на устройстве в незашифрованном виде.

Угрозы, связанные с использованием мессенджеров

Приложения мессенджеров активно используют злоумышленники, чтобы похищать персональные данные, личную информацию и реквизиты банковских карт. Для этого они эксплуатируют уязвимости приложений, применяют методы социальной инженерии, рассылают фишинговые сообщения.

Ниже рассмотрим, какие угрозы касаются программ для обмена сообщениями:

  • Уязвимости. Наиболее частными ошибками в приложениях мессенджеров являются слабые алгоритмы шифрования, небезопасные реализации SSL-протокола, возможность создать и прослушивать голосовое соединение до ответа пользователя на поступивший звонок.
  • Вредоносные ссылки и файлы. Злоумышленники используют методы социальной инженерии, чтобы побудить жертву открыть файл или ссылку. Зачастую они представляются сотрудниками банка, подделывая «никнеймы» и «аватарки». Например, вам в мессенджер может поступить сообщение якобы от Сбербанка с номера 900, при этом вместо нулей будут использованы буквы «О» – 9ОО. В сообщении будет сказано, что с вашей банковской карты совершена покупка (перевод денег), а если вы её не совершали, то для связи с банком необходимо позвонить по указанному в сообщении телефону. Если пользователь позвонит, то операторы-мошенники, используя методы социальной инженерии, постараются выведать у него реквизиты банковской карты.
  • Сообщения с взломанных аккаунтов. Получив доступ к учетной записи пользователя мессенджера, злоумышленник автоматически получает доступ ко всем его контактам. Это позволяет ему, выдавая себя за другого, рассылать по всем чатам сообщения с просьбой о перечислении денежных средств или с прикрепленными вредоносными файлами. Многие пользователи, получая такое письмо от «своего знакомого», попадаются на уловку мошенника.
  • Предварительный просмотр ссылок. При получении входящего сообщения, содержащего ссылку или файл, мессенджеры формируют небольшое окно предварительного просмотра с кратким описанием страницы или файла – так называемое «превью». Для того чтобы создать такое превью, программа автоматически открывает эту ссылку или загружает файл, что потенциально может привести к заражению устройства вредоносной программой.
  • Возможность доступа к переписке третьих лиц. Вы можете использовать все известные способы защиты своего смартфона, но не в силах требовать того же от своих собеседников. Нет гарантии, что к их устройствам не получит доступ кто-то ещё. Например, у вашего знакомого украли телефон, который не был защищен пин-кодом. Злоумышленник сможет прочитать всю вашу переписку или восстановить её из резервной копии.
  • «Текстовые бомбы». Существуют определенные наборы символов, которые мессенджер не в состоянии обработать. В результате получения сообщения с подобным набором текста нарушается нормальная работа программы, и её приходится переустанавливать.

Заключение

Стопроцентную защиту от утечки информации не предоставляет ни одна программа мгновенного обмена сообщениями. У всех мессенджеров есть определенные преимущества и недостатки. В некоторых предусмотрено больше механизмов, позволяющих пользователю защитить свои данные, другие привлекают своей популярностью. Необходимо знать особенности и функционал мессенджеров, чтобы постараться максимально обезопасить свои данные.

При этом риск передачи информации третьим лицам существует в любом случае, какой бы мессенджер вы не выбрали. Даже сквозное шифрование и двухфакторная аутентификация не гарантируют полной защищенности. Поэтому для обмена действительно конфиденциальными данными (финансовой информацией, важными документами, фотографиями, для которых есть риск компрометации) не стоит использовать подобные программы.

Рекомендации

  1. Скачивайте приложения мессенджеров только с сайтов разработчиков и официальных магазинов приложений.
  2. Настройте двухфакторную аутентификацию в приложении мессенджера.
  3. Убедитесь, что выбранные вами приложения используют сквозное шифрование.
  4. Запретите в настройках получение сообщений от незнакомых контактов.
  5. Отключите автозагрузку файлов.
  6. С подозрением относитесь к полученным ссылкам и файлам, даже если они поступили от известного отправителя. Прежде чем переходить по ссылке или открывать файл, узнайте другим способом связи, действительно ли ваш знакомый отправлял их.
  7. Отключите функцию, позволяющую просматривать ваш профиль всем пользователям (сделайте его доступным только для ваших контактов).
  8. Избегайте обмена конфиденциальной информацией в чатах.
  9. Отключите функцию сохранения резервных копий переписки в облаке, т.к. они хранятся в незашифрованном виде.
  10. Соблюдайте осторожность при использовании мессенджеров через общедоступные сети Wi-Fi.
  11. Блокируйте свои устройства пин-кодом.
  12. Регулярно обновляйте все установленные программы и операционную систему своих устройств.