Увели в привате: как не стать жертвой VPN-мошенников
Исследовательская команда vpnMentor обнаружила в сети данные 20 млн пользователей бесплатных VPN-сервисов, включая их электронные почтовые адреса, незашифрованные пароли, IP- и домашние адреса и многое другое. «Известия» выяснили, что делать рядовым пользователям, чтобы не отдать свои данные в руки мошенников.
Поиски входа
Исследовательская группа vpnMentor нашла в интернете данные пользователей бесплатных VPN-сервисов, среди которых — UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN. В этом «сливе», помимо прочего, нашлись незашифрованные пароли, IP- и домашние адреса пользователей, а также данные о моделях их смартфонов и идентификаторы устройств.
Представители vpnMentor заявили, что найденные данные принадлежат 20 млн пользователей этих сервисов — суммарно около 1,2 Тб конфиденциальной информации.
Такие службы стали популярны в России после блокировки в апреле 2018 года мессенджера Telegram, когда пользователи начали искать простые способы обхода блокировок. Ограничения были сняты 18 июня 2020 года, но многие россияне успели «засветиться» в базах данных бесплатных VPN-сервисов.
В беседе с «Известиями» замруководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин напомнил, что большинство бесплатных сервисов не уделяют достаточно внимания безопасности, из-за чего и происходят подобные сливы. Их опасность вполне очевидна: незашифрованные конфиденциальные данные могут быть использованы злоумышленниками для взлома системы и кражи информации или денег, а так же в схемах фишинга.
В данном случае речь идет о прямом обмане пользователей, считает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо. Хотя, по мнению специалиста, открытого преступного умысла в действиях администраторов сервисов не было.
— Сервисы утверждали, что они не ведут логи пользователей, то есть не собирают о них данные. Однако в действительности логи велись. Судя по всему, это делалось для коммерциализации сервисов через таргетированную рекламу, не более того, — рассказал «Известиям» эксперт.
Впрочем, не всегда проблема только в халатности администраторов.
— Если этот сервер был создан и контролировался киберпреступниками, то весь ваш трафик можно перехватывать, переправить на опасные сайты, собирать незашифрованные данные — и так могут утечь пароли, переписка в почте и так далее, — объясняет Сергей Никитин из Group-IB. — Во-вторых, были случаи, когда вредоносные программы, например, программы-шпионы маскировались под VPN-приложение якобы от известного российского интегратора.
Впрочем, даже если киберпреступники и не маскируются под бесплатные VPN-сервисы, кража данных не составит особого труда для профессионалов.
— Самим владельцам сервисов вряд ли выгодно сливать такие данные. Хакерам это может быть интересно постольку-поскольку. Тот найденный массив, о котором идет речь в исследовании — 1,2 Тб — это 20 тыс. рублей, если отдельный хак для этого покупать, — рассказал «Известиям» хакер Александр Варской.
Не стоит испытывать судьбу
Желание найти простой и бесплатный способ обеспечить свою приватность в интернете с позиции пользователя вполне объяснимо, считает Денис Легезо из «Лаборатории Касперского», и бороться с самим существованием таких сервисов бессмысленно.
Но всё же, учитывая то, что подобные ситуации периодически случаются, лучше потратить пару часов своего времени и разобраться в теме.
— Это, как правило, окупается, — сказал эксперт.
Сергей Никитин из Group-IB тоже считает, что пользователям, которые действительно беспокоятся за свою приватность в сети, стоит немного углубиться в тематику использования VPN-сервисов и использовать только проверенные платные платформы, а еще лучше — «поднять» и настроить свой собственный сервер. Причем каких-то особых навыков для этого не нужно.
— Если пользователя не пугает покупка виртуального сервера на каком-нибудь провайдере таких услуг и развертывание там OpenVPN, то, помимо затрат времени, всё это обойдется в несколько долларов в месяц за VPS, то есть сопоставимо с ценой готового настроенного коммерческого VPN, — объясняет Денис Легезо из «Лаборатории Касперского».
В беседе с «Известиями» сотрудник одной из крупнейших российских IT-компаний, пожелавший сохранить анонимность, объяснил, что в целом процесс настройки собственного VPN-сервиса с нуля, если говорить о законных причинах для его использования, состоит из нескольких этапов.
В первую очередь нужно выбрать страну размещения. Здесь необходимо обратить внимание на такие вещи, как политика блокировок и цензуры в конкретной стране, а также удаленность от России для более быстрой скорости передачи данных. Наиболее оптимальный вариант, по мнению собеседника «Известий», — европейские страны, например, Германия.
— Следующий этап — это выбор хостера. Смотрим местных или выбираем мировых лидеров в этой области — Amazon, Azure, Digital Ocean. Цены разнятся от страны, хостера и железа самой машины, где будет стоять сервер. Например, для Amazon машина с 512 Мб оперативной памяти в среднем будет стоить $4 в месяц, — рассказал собеседник «Известий».
После этого останется только найти готовый скрипт для VPN, чтобы он самостоятельно развернулся на арендованной машине. Для этого существует несколько популярных решений вроде Algo и Streisand. После того, как скрипт установится, создадутся конфигурации, которые можно скачать и использовать на своем устройстве.
Есть и вариант купить собственный сервер. Но рядовому пользователю это вряд ли подойдет, ведь задешево это точно не получится.
— Чтобы сделать свой собственный сервер, даже если вы проведете себе отдельный канал, одна только более-менее вменяемая станция, с точки зрения ее технических характеристик, обойдется в $2000, — подытожил хакер Александр Варской.
