Під прицілом – твій смартфон, або Чи всі месенджери однаково безпечні?
Сучасна людина не уявляє свого життя без месенджерів, які стали одним з основних інструментів для спілкування. Однак вони ж стали й тими «дверима», через які поширюються і шахрайські схеми. Активність кібершахраїв зросла від початку російського вторгнення в Україну. Про це свідчить опитування Нацбанку та Опендатабот у жовтні 2023 року. І не останню роль у кіберзлочинах грають месенджери.
Висновки експертів щодо безпечності месенджерів дуже різняться. За словами міністра цифрової трансформації України Михайла Федорова, найбільш захищеним в Україні є Signal. Далі йдуть WhatsApp, Trema, Facebook Messenger і Telegram.
У дослідженні OSINT-агенції Molfar звичні месенджери Viber, WhatsApp, Facebook Messenger і Telegram визнані не найбезпечнішими, першу четвірку рейтингу формують Threema, Wickr, Signal і Fire.
Яким месенджером варто користуватися, в тому числі й в окупації, як захиститися від кібершахраїв, яких правил цифрової безпеки дотримуватися, читачам «Вгору» радить експерт з інформаційно-комунікаційних технологій та голова фонду «Об'єднання» Юрій Антощук.
Експерт з інформаційно-комунікаційних технологій Юрій Антощук
Чи дійсно Телеграм небезпечний?
Питання безпечності цього месенджера часом стає яблуком розбрату. Одні вважають Телеграм найбезпечнішим і відкидають причетність його засновника Павла Дурова до російських спецслужб. Інші називають його абсолютним злом і прагнуть заборонити. Треті мають купу питань, але вважають, що варто використовувати сильні сторони популярного месенджера, дбаючи про власну безпеку та безпеку держави.
Юрій Антощук належить до останніх і намагається знайти баланс між шкодою та користю. Він називає Телеграм «максимально закритою конторою». Аргументи експерта: відсутність аудиту безпеки на сайті компанії, відсутність наскрізного шифрування, незрозумілість місць розташування серверів (не виключено, що в Росії) і неясність у питанні співпраці з російськими спецслужбами.
Процес наскрізного шифрування Юрій Антощук описує так: коли один співрозмовник набирає текст, він шифрується на його смартфоні, в зашифрованому вигляді повідомлення йде на сервер і в такому ж зашифрованому вигляді з сервера йде на смартфон того, кому це повідомлення призначено, – і розшифровується тільки там. Якщо інформація зашифрована, то розшифрувати її дуже складно в принципі.
Більшість людей впевнені, що Телеграм – найзахищеніший, і це Юрій бачить на тренінгах з безпеки, які проводить. Це наскрізне шифрування насправді в Телеграмі є, але лише в секретних чатах, а не за замовчуванням. Секретний чат у Телеграмі діє тільки на смартфонах, його можна створити тільки для спілкування двох людей, зробити груповий чат у секретному чаті неможливо.
Хоча в кожного з месенджерів є свої плюси та мінуси, експерт наголошує: наскрізне шифрування за замовчуванням мають Viber, Signal, WhatsApp, Session. Протокол шифрування, який використовують Signal або WhatsApp, досліджений незалежними експертами, чого не можна сказати про власний протокол шифрування Телеграму.
Але попри масу питань до месенджера, експерт не є прибічником його заборони. В Україні Телеграм – один із найпоширеніших і найпопулярніших месенджерів, про це свідчить і дослідження Internews Ukraine 2023 року, яке показало, що Телеграм став для українців основним джерелом інформації. Як платформу для отримання новин його використовують 72% українців, близько 60% з опитаних довіряють цьому джерелу.
Результат дослідження Internews Ukraine
З досвіду особистих спілкувань Юрій Антощук визначив, що при виборі месенджера українці на перше місце ставлять зручність його використання і популярність, а безпека відходить на другий план. Телеграм справді дуже зручний, і «раз люди там сидять, то треба використовувати цей ресурс», – каже експерт і вважає правильним використання державними службами Телеграму для інформування населення – і виключно для цього:
Подобається матеріал? Долучайтесь до Спільноти та допомагайте нам розповідати більше важливих історій про херсонців та Херсонщину.
Яким месенджером користуватися в окупації
Юрій Антощук підтверджує факт: на окупованих територіях більшість людей отримують інформацію через Телеграм, бо багато ресурсів Росія блокує, в тому числі й сайт «Вгору». Потрапити на заблоковані ресурси можна лише за допомогою VPNVPN (virtual private network – віртуальна приватна мережа) – це сервіс, який надає безпечний та конфіденційний доступ до Інтернету. Шифруючи з'єднання, VPN приховує IP-адресу користувача та його дії в мережі, захищає дані від кіберзлочинців.. В окупації Телеграм залишається альтернативним каналом комунікації, інформації, хоча свого часу в Росії намагалися його заблокувати.
У цьому випадку експерт знову наголошує на питаннях безпеки – правда, вже іншого роду: в умовах окупації й тотального контролю дуже небезпечно бути підписаним на проукраїнські канали. Навіть якщо підписався, потім відписався – в історії пошуку все одно може зберігатися інформація. Тож у першу чергу людям треба думати про свою фізичну безпеку.
Як варіант – можна користуватися неофіційними застосунками Телеграму, які дозволяють ховати підписки та створити певну ілюзію, показувати стороннім тільки те, що ти дозволяєш, а самому через певні коди або паролі відкривати та читати правильну інформацію.
Або можна використовувати інші месенджери. Якщо наявність більш безпечного Signal явно викличе підозру росіян, то WhatsApp там давно «свій». Юрій пояснює:
Viber, Телеграм, WhatsApp, Signal потребують прив'язки до номера телефона (на окупованих територіях вона може бути виключно до російського номера), і це теж несе певну загрозу: можна відстежити, де людина перебуває, аналізувати трафік і дізнатися багато технічних моментів. Існують месенджери, які можна встановлювати без використання номера телефона або електронної пошти, але для спілкування треба знати довгий ідентифікатор свого співрозмовника.
Для звичайних користувачів, які дуже далекі від усіх технічних питань, для бабусь і дідусів, Юрій радить користуватися звичним для них Viber'ом. Але краще, щоб на телефоні все ж був встановлений і VPN. Алгоритм дій такий: включили VPN, зробили виклик, поговорили й після цього вимкнули VPN.
Розповіді про те, що росіяни можуть встановлювати на телефон певні програми, які дозволяють викачати навіть видалені фото, листування або бачити всі дії у смартфоні – то не вигадки, розповідає експерт. Про наявність такого «шпигуна» людина може навіть не здогадуватись.
Юрій Антощук наголошує: треба пам’ятати, що в окупації весь інтернет йде через Росію, всі провайдери мають доступи до вашого трафіку, можна відстежити, на які сайти ви заходите, що ви робите.
Фішингові атаки почастішали
«Проголосуй за мою племінницю», «Це ти на відео», «Тут мені таке скинули...», «Можеш мені позичити, я завтра віддам» – подібні повідомлення в месенджерах є ознакою фішингової атакиФішинг (англ. phishing – риболовля) – вид шахрайства, метою якого є виманювання цінних даних, які можуть бути продані або використані для зловмисних цілей. Фішингові атаки мають на меті викрасти або пошкодити делікатну інформацію, примушуючи людей обманом розкрити свої персональні дані, зокрема паролі й номери кредитних карток. .
Нещодавно зловмисники зламали Телеграм-акаунт херсонки Галини, яка виїхала до Одеси, і від її імені розсилали повідомлення з проханням проголосувати за племінницю. Все відбувалось швидко і зненацька: в якийсь момент жінка просто не могла зайти у свій Телеграм, а хвилин через 10 їй зателефонувала знайома і поцікавилась, чи не «зламали» її, бо отримала дивне повідомлення. Звісно, Галина одразу всіх повідомила про злам, щоб ігнорували повідомлення, писала у службу підтримки Телеграму, але безрезультатно. Відновити акаунт досі не вдалося, довелося створити новий на інший номер і відновлювати всі чати, які використовувала у роботі. Зараз вона переконана, що треба обов’язково встановлювати на Телеграм паролі.
Галині розповідали, що у фальшивому повідомленні до кожного зверталися на ім’я, по дружньому, начебто і відмовити незручно. Хто переходив за посиланням, бачив гарні дитячі малюнки, але коли в месенджері побачили питання «чи впевнені ви?..» – виходили й одразу встановлювали паролі.
Рівень і кількість цих шахрайських атак, за словами Юрія Антощука, останнім часом зросли в рази, а з початку повномасштабного вторгнення 60% всіх фішингових атак в Україні здійснюється з боку Росії. Намір шахраїв – зробити так, щоб людина самостійно віддала зловмисникам потрібну інформацію. Для цього використовують сайти, які максимально копіюють сайти банків, Укрпошти, відомих компаній, переконують, щоб люди ввели банківські реквізити. На фоні скорочення виплат для ВПО шахраї фабрикують повідомлення про отримання грошової підтримки від міжнародних організацій, їхня мета, щоб люди зайшли на цей сайт і ввели свої реквізити. Але цього робити в жодному разі не треба, наголошує експерт.
Фото Олександра Андрющенка
Як зрозуміти, що повідомлення фішингове, що вас хочуть обдурити?
Шахраїв можуть видати різні нюанси, про які вони не знають. Юрій розповідає, що йому якось від людини, з якою він спілкується виключно українською, прийшло повідомлення російською з проханням позичити пару тисяч гривень. Тут шахраїв видала мова. Або прохання «проголосувати за племінницю» від людини, яка не має племінників.
Експерт радить у разі отримання підозрілого повідомлення просто спитати, що сталося – зателефонувати або написати у відповідь. Краще зателефонувати, бо якщо акаунт вкрали, повідомлення не дійде до адресата.
Правила цифрової гігієни від Юрія Антощука
- Цікавитися інформацією про цифрову безпеку, розуміти, що шахрайські схеми постійно вдосконалюються, і читати новини про це.
- У жодному разі не передавати номер картки, а особливо CVV кодCVV/CVC код (Card Verification Value/Code) – три символи, розташовані на задній стороні платіжної картки праворуч на білій лінії, призначеній для підпису. Це додатковий пароль, який гарантує максимальний захист грошей та ідентифікує особу. і дату дії картки.
- У жодному разі не передавати особисту інформацію – тільки через офіційні канали.
- Якщо в області або місті працює якась гуманітарна місія, програма, яка виплачує допомогу, то про це зазвичай інформує місцева влада. Якщо про допомогу повідомляють офіційні канали комунікації влади – довіряти, якщо повідомлення побачили, наприклад, у Вайбері – перевіряти. Заходити на офіційні сайти цих компаній і цікавитися, чи вони роблять якісь виплати, чи справді працюють в цьому регіоні.
- Також треба бути уважним і звертати увагу на сайт, на який веде посилання – ззовні він може мати вигляд офіційного, але бути шахрайським. Звертати увагу і на доменне ім’я, у сайту-копії воно обов’язково буде відрізнятися від справжнього. Треба попереходити по різних розділах, подивитися, чи все працює, чи є інформація.
Окремо варто звернути увагу на людей старшого віку і допомогти батькам, дідусям, бабусям, пояснювати, що не потрібно переходити за усіма посиланням. Підготувати їм перелік надійних каналів інформації. Пенсіонери потрапляють на гачок шахраїв у першу чергу, тому дуже важливо убезпечити своїх близьких, допомогти їм.
Підтримайте роботу редакції. Долучайтеся до спільноти"Вгору" https://base.monobank.ua/
