Наследили: чем может быть опасен VPN
Сервисы VPN могут быть опасны для пользователей. Такие программы, особенно бесплатные версии, способны получать незаконный доступ к личным данным, логинам и паролям, а иногда и помогают следить за пользователем, рассказали эксперты в сфере кибербезопасности. «Известия» выяснили, как защитить данные при пользовании VPN и выбрать безопасное приложение.
Сервис для слежки
Программа VPN может быть использована для слежки за пользователем, рассказал эксперт по информационной безопасности Лиги цифровой экономики Виталий Фомин.
Как объяснил специалист, VPN работает по следующему принципу: устройство подключается к серверу не напрямую, а через посредников. За счет этого снижается скорость соединения (она зависит от пропускной способности серверов и используемых протоколов), зато у пользователя появляется возможность получить доступ к удаленному рабочему месту или, например, обойти блокировку сайтов и приложений.
Но при подключении через VPN не обеспечивается дополнительная конфиденциальность или анонимность. Любую личную информацию могут получить третьи лица, имеющие доступ к VPN-серверу.
Поэтому Фомин посоветовал не обрабатывать через VPN важные данные, например логины, пароли или реквизиты банковских карт. И всегда смотреть на то, какие разрешения требуется предоставить сервису. «Например, нередко приложение запрашивает доступ к местоположению, сообщениям или камере. Таких разрешений быть не должно — они излишни, их можно использовать для слежения», — заключил эксперт по ИБ.
Другие угрозы
Впрочем, ненадежный VPN может нести и другие угрозы. Как объяснил «Известиям» преподаватель факультета игровой индустрии и киберспорта университета «Синергия» Алексей Ермаков, через такие приложения проходит множество данных — а значит, они могут быть собраны и использованы во вред.
— В этих условиях возможны два варианта. Сама компания, предлагающая VPN, может продать данные своих пользователей, но и злоумышленники способны воспользоваться проблемами сервиса в безопасности. Таким промышляют целые государства: например, украинская спецслужба СБУ в 2021 году подделала серверы Windscribe, чтобы перехватывать и расшифровывать трафик, воспользовавшись недостатками безопасности, — говорит эксперт.
Другой случай, который вспоминает Ермаков, — утечка Bean VPN, который в 2022 году «потерял» данные 25 млн пользователей. При этом компания официально заявляла, что логов не ведет и данные не сохраняет.
— Основной риск VPN заключается в том, что трафик, который генерирует пользователь, доступен для просмотра владельцам сервиса, — рассказывает руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. — К чему это может привести? Самое безобидное — подмена рекламы, то есть юзер будет видеть ту, которую хочет показать владелец приложения. Но есть и серьезный риск перехвата различных конфиденциальных данных — от платежных до аутентификационных, например паролей и логинов.
Кроме того, добавляет эксперт, в VPN-сервисе запросто может быть «зашит» вредоносный софт. Например, шпионское ПО, которое даст злоумышленникам доступ к файлам смартфона или компьютера.
Платный и бесплатный VPN
Для того чтобы защитить себя при пользовании VPN, эксперты советуют еще до загрузки проверять бесплатные версии либо устанавливать платные. Считается, что они более надежны в плане безопасности — но стопроцентной гарантии всё равно не дают.
— Бесплатные сервисы, безусловно, несут максимальные риски. Такое приложение может быть изначально вредоносным, созданным с криминальными целями и только замаскированным под VPN. Платный сервис имеет большую ответственность по качеству оказываемых услуг. Но это тоже не всегда означает надежность, — говорит преподаватель «Синергии» Алексей Ермаков.
Эксперт Лиги цифровой экономики Виталий Фомин называет основным преимуществом платных VPN-приложений лучшее качество соединения за счет более быстрых серверов. Системы конфиденциальности в них тоже надежнее, чем в бесплатных сервисах.
— Бесплатные анализируют трафик и предоставляют эту информацию в рекламных целях. Фактически, пользователь оплачивает услугу не деньгами, а конфиденциальностью, — говорит специалист по ИБ.
При выборе VPN собеседники «Известий» рекомендуют учитывать репутацию сервиса: посмотреть количество скачиваний, изучить обзоры в интернете на специализированных ресурсах, где много профессиональных участников IT-комьюнити. Также важно обращать внимание на политику конфиденциальности: ознакомиться с тем, какие данные сервис будет хранить и как использовать.
— Нужно учитывать и функционал сервиса, в том числе скорость, наличие функции экстренного выключения и ограничения пропускной способности. Естественно, продукт, сделанный с криминальной целью, скорее всего, будет более простым и малофункциональным. Но это не обязательно: вредоносный сервис также может быть сложным и выглядеть как серьезный хороший продукт, — заключает Алексей Ермаков.
Признаки плохого VPN
Чтобы защитить себя от опасного приложения, Павел Коростелев из «Кода безопасности» советует внимательно читать отзывы. Как правило, люди, столкнувшиеся с проблемами, сразу же рассказывают о них. Устанавливать приложения нужно только из официальных магазинов.
В случае, если вы уже скачали сервис VPN, подозрение может вызвать увеличенное время отклика при открывании различных веб-страниц.
— Возможная причина долгого отклика — в том, что VPN-провайдеры забирают у пользователя часть трафика и перепродают его. «Покупателями» могут быть, например, хакеры, которые за счет чужого трафика совершают различные противоправные действия, — говорит Коростелев.
При появлении такой проблемы лучше всего удалить приложение и проверить телефон при помощи программы-антивируса. Более радикальный способ — вернуть гаджет к заводским настройкам. В таком случае устройство лишится остальных приложений и данных, зато освободится от вероятного шпионского ПО.