книги хакеры / Как_защитить_себя_в_цифровом_мире_

местоположение абонента и т.д., передавая полученные данные на сервер злоумышленника. Иногда такие приложения работают незаметно для владельца смартфона, могут быть скрыты в файловой системе и не отображаться в списке запущенных процессов. Симптомами внедрения шпионского программного обеспечения могут служить большие объемы исходящего трафика, замедление работы устройства и быстрая разрядка аккумулятора.

Как пишут в СМИ, потенциально вредоносное программное обеспечение (или внедренное постороннее аппаратное обеспечение) способно имитировать выключение мобильного устройства либо инициировать его запуск через некоторое время после выключения, чтобы несанкционированно записывать окружающие звуки. Учитывая возможность такого поведения, можно предположить, что «выключенный» телефон тоже способен подслушивать разговоры, ведущиеся неподалеку от его микрофона. Но возможность атаки на «выключенный» телефон пока не доказана [209].

Кроме того, на прослушивание способны и вполне легальные приложения — «голосовые помощники», такие как Google Assistant, Siri, «Яндекс Алиса», и прочие программы, явно или неявно имеющие доступ к микрофону смартфона (такими же возможностями обладают и устройства интернета вещей, например «умные» колонки). Такие программы способны перехватывать фиксируемые микрофоном звуки и передавать их на свои серверы «для анализа и улучшения работы голосового программного обеспечения». При этом они могут реагировать не только на заданные команды типа «Окей, Google», но и на похожие звуки и даже отзываться на шумы [210], [211]. Обывателю это ничем, кроме целевой рекламы, не грозит. Однако обладатели конфиденциальной информации должны знать: смартфон может слушать не только телефонные беседы, но и другие разговоры.

Голосовая почта

Скорее всего, вы не пользуетесь голосовой почтой. Но само наличие этой услуги таит в себе опасность, из-за которой к вашим аккаунтам может получить доступ злоумышленник. Дело в том, что для доступа к голосовой почте у оператора сотовой связи может использоваться специальный номер, набрав который с любого телефона можно ввести номер абонента и пароль для доступа к его ящику голосовой почты. Как правило, абоненты не меняют пароль к голосовой почте, оставляя стандартный (например, 1111 или 1234), так как даже не пользуются услугой (а если меняют, то зачастую придумывают очень простой

скрипт, перебирающий пароли, который автоматически дозванивается по номеру голосовой почты и в тональном режиме вводит коды доступа.

Получив доступ к голосовой почте жертвы, злоумышленник стремится не прослушать сообщения (их, скорее всего, и нет), а взломать дополнительные аккаунты абонента, которые привязаны к номеру его телефона. Дело в том, что во многих онлайн-сервисах автоинформатор может позвонить клиенту, желающему сбросить пароль, и продиктовать ему код для подтверждения смены пароля.

Злоумышленник дожидается, когда телефон жертвы окажется вне зоны доступа, а затем запрашивает сброс пароля какого-либо аккаунта абонента с помощью автоинформатора. Прослушав голосовое сообщение, злоумышленник получает доступ к аккаунту жертвы, например WhatsApp или PayPal, и меняет пароль [212].

Фиксированная связь

С развитием сотовой связи прослушивание стационарных телефонов постепенно уходит в прошлое. Но это не означает, что стационарный телефон, в том числе поддерживающий стандарт DECT, который обеспечивает только шифрование радиоинтерфейса, т.е. связи трубки с базой, позволяет свободно вести переговоры и не опасаться прослушки. Как правило, для проводной связи характерна та же, что и для сотовой, опасность, особенно при использовании радиотелефонов: несанкционированный доступ посторонних к разговорам.

Самый очевидный вариант утечки данных — прослушивание переговоров с помощью специальных комплексов типа СОРМ или оборудования телефонной компании. Прослушиванием могут заниматься также бизнес-конкуренты и прочие недоброжелатели, целенаправленно охотящиеся за вашей персональной информацией, если они находят каналы взаимодействия с операторами таких комплексов или провайдерами связи.

В корпоративной среде существует опасность прослушивания с помощью систем слежки за сотрудниками. Ваши переговоры по стационарному телефону в офисе могут контролировать администраторы с целью выяснить, как вы распоряжаетесь рабочим временем, и сотрудники службы безопасности, нанятые для защиты коммерческой тайны от кражи.

Кроме того, как в корпоративной среде, так и в домашней переговоры по радиоинтерфейсу (в том числе DECT) могут перехватываться с помощью специальных устройств — снифферов. Такие устройства имитируют базовую станцию, отключают

сервер злоумышленников с помощью технологии VoIP [213]. Атаки на ранее считавшиеся безопасными DECT-сети стали возможны благодаря проекту deDECTed.org [214], участники которого исследовали (методом обратной разработки) аппаратное обеспечение и разработали специальные драйверы, которые в совокупности позволили прослушивать радиоинтерфейс DECT. Позднее стали применяться и другие способы взлома DECT-сетей, основанные на этих инструментах и эксплойтах [215].

Также существуют устройства, позволяющие подключаться непосредственно к телефонной линии (как контактным, так и бесконтактным способом) и записывать разговор на съемный накопитель. Питаются такие устройства током самой телефонной линии, и обнаружить их довольно сложно. Они никак не выдают своего присутствия: вопреки широко распространенному мнению, подобные устройства не ухудшают слышимость и не генерируют помехи; при их использовании компенсируется падение напряжения в сети [216]. Кроме того, зная расположение конкретного телефонного кабеля, злоумышленник может подключить подслушивающее устройство и вне жилого помещения, например в распределительном щите.

Устройства другого типа могут встраиваться непосредственно в корпус телефона или трубку либо расположенные поблизости предметы, например электрические розетки. Такие устройства могут представлять собой микрофон с радиопередатчиком, транслирующим звукозапись на аппаратуру злоумышленника.

Если у вас есть подозрения, что за вами ведется слежка, нельзя исключать вероятности прослушивания стационарного телефона.

На своей выставке «Концепция конфиденциальной связи по запросу [217]» американский фотограф Кертис Уоллен наглядно показал, как сложно обывателю совершить полностью анонимный и приватный звонок. Сначала он приобрел специальный контейнер, заэкранированный от любых внешних сигналов, и поместил в него «одноразовый» телефон, купленный за наличные. Проанализировав свои обычные маршруты, он определил «опорные» точки, в которых в течение дня его обычный телефон долго не меняет местоположение. В одной из таких точек Кертис оставил свой обычный телефон и ушел с контейнером, в котором лежал «одноразовый» мобильник. Отойдя подальше, стараясь избегать камер видеонаблюдения, он подключился к бесплатной Wi-Fi-сети с компьютера под управлением анонимной операционной системы Tails и активировал купленный телефон. Таким образом, телефон не был привязан ни к счету, ни к реальной учетной записи, ни к чьему-либо персональному компьютеру, а поскольку он

перемещением из «опорной» точки с персональным мобильником Кертиса. Оставив «одноразовый» телефон в контейнере в одной из нехарактерных для его обычных перемещений точек, Кертис вернулся к обычной жизни и через сеть Tor в анонимном Twitter-аккаунте опубликовал адресованное своему будущему собеседнику зашифрованное сообщение с указанием времени обратного звонка. В заданное время Кертис приехал в точку, где оставил «одноразовый» телефон, и принял на него звонок. Затем он удалил все данные на этом телефоне и уничтожил его физически [218].

IP-телефония

В отличие от обычных телефонных сетей, технология VoIP (Voice over IP — голос через протокол IP) позволяет передавать голос через локальную сеть или интернет; при наличии соответствующего программного обеспечения возможно сквозное шифрование трафика. Тем не менее технология имеет ряд недостатков, которые в основном проявляются в корпоративных VoIP-сетях. Злоумышленник может взломать VoIP-устройство, например IP-ATC — скажем, подобрав или выяснив методами социальной инженерии логин/пароль, используя незакрытые уязвимости в прошивке либо получив физический доступ. Используя взломанное оборудование, он может осуществлять голосовые вызовы; похищать данные абонентов, в том числе метаданные телефонных вызовов (сведения о дате, продолжительности) и их записи, если они хранятся, а также внедрять в вызовы собственные аудиоданные, чтобы компрометировать абонентов, и выводить системы связи из строя посредством DDoS-атак [219].

КЕЙС В августе 2019 г. выяснилось, что сторонние организации, сотрудничающие с корпорацией Microsoft, прослушивают разговоры, сделанные с помощью встроенного в программу Skype переводчика с одного языка на другой. Об этом свидетельствует внутренняя документация, снимки экрана и аудиозаписи, оказавшиеся в руках журналистов издания Vice. Хотя имена (логины) пользователей не указываются, для них может быть потенциально опасна возможность записи их голосов. В некоторых из записанных разговоров обсуждались личные взаимоотношения и проблемы. Кроме того, современные механизмы идентификации людей по голосу настолько эффективны, что на федеральном уровне даже внедряются как часть биометрической системы аутентификации. Кроме того, корпорация Microsoft может протоколировать источники данных передаваемых подрядчикам записей, т.е. обладать информацией о том, кто и когда сказал что-то

данных используются идентификаторы, совокупность нескольких разговоров пользователя с одним и тем же идентификатором может позволить выстроить из этих разговоров цепочку и по отдельным деталям деанонимизировать его. Подрядчикам, в том числе работающим удаленно (из дома), записи переговоров передают через интернет. Домашние компьютеры гораздо менее защищены от хакерских атак, чем серверы Microsoft, и это грозит утечкой конфиденциальной информации [220].

Сквозное шифрование, используемое в VoIP-сетях, также не лишено недостатков, так как в большинстве случаев основано на аудиокодеках. Они упаковывают шипящие согласные меньшим битрейтом, чем гласные, и даже определенные гласные и согласные звуки упаковывает специфическим для них битрейтом. Специальные устройства цифровой обработки сигналов позволяют не только отличить гласные звуки от согласных, но даже идентифицировать пол, возраст, язык и эмоции говорящего. Здесь стоит учесть, что такие устройства не распознают конкретные слова и фразы среди зашифрованного потока, а способны лишь с точностью до 90% определить, содержатся ли в записи известные оборудованию фразы. Учитывая потенциал глубинного обучения и нейронных сетей, устройства анализа можно наделить практически безграничными возможностями для распознавания пользователей.

Существуют и другие способы расшифровки зашифрованного трафика, например фиксация длительности пауз между словами [221]. Несомненно, для организации прослушивания на таком уровне потребуются колоссальные затраты и дорогостоящее оборудование, такое вряд ли под силу рядовым злоумышленникам. В то же время даже самые современные криптографические технологии неспособны защитить шифрованные VoIP-коммуникации от прослушивания [222].

Кроме того, спецслужбы в разных странах не оставляют попыток получить ключи шифрования для расшифровки трафика мессенджеров, в числе прочего предоставляющих услуги IP-телефонии. В частности, власти США потребовали от Марка Цукерберга, владельца компании

Facebook и мессенджеров Facebook Messenger и WhatsApp, отключить шифрование в социальной сети и мессенджерах, чтобы спецслужбы могли перехватывать звонки и сообщения «потенциальных преступников» [223]. Если же провайдеры услуг обмена сообщениями и IP-телефонии отказываются предоставлять ключи шифрования или иным образом содействовать спецслужбам, то, как правило, оперативно разрабатываются законы, запрещающие соответствующим программам

Blackberry Messenger [224].

КЕЙС Один из крупнейших американских провайдеров IP-телефонии хранил информацию о пользователях в открытой базе данных. Как выяснилось в январе 2019 г., к персональным данным абонентов за предыдущие 4 года мог получить доступ любой желающий. Среди более чем 13 млн записей были доступны метаданные голосовых вызовов (сведения об абонентах, длительности разговора и т.п.) и полное содержимое SMS- и MMS-сообщений [225].

Обычным злоумышленникам проще перехватить речь на самом устройстве (до шифрования или после расшифровки) с помощью записывающего программного обеспечения или подслушивающих устройств в телефоне или в окружающих предметах. Также хакер может вынудить жертву установить взломанную версию официального приложения, такого как Skype, с фишингового сайта (особенно актуально для пользователей устройств под управлением операционной системы Android и компьютеров), в котором отключены алгоритмы шифрования и трафик отправляется также на сервер злоумышленника.

Подслушивание

Последний вариант — непосредственное подслушивание переговоров людьми. Это могут быть как сотрудники компании, в которой вы работаете, родственники, друзья, так и посторонние лица, окружающие вас в общественных местах. Следует внимательно контролировать окружающую обстановку и не допускать подслушивания важных для вас телефонных переговоров посторонними лицами.

КЕЙС В Швеции в 2019 г. был обнаружен незащищенный сервер, на котором с 2013 г. накопилось свыше 2,7 млн записей переговоров жителей страны с сотрудниками медицинского центра, где можно получить телефонную консультацию врача. Некоторые записи содержали номера телефонов звонивших граждан, а другие — номера карточек социального страхования. Мало того, что на сервер можно было проникнуть без авторизации, там использовалась устаревшая версия веб-сервера Apache, не обновлявшаяся все эти годы. Многие из более чем 20 имеющихся уязвимостей можно было использовать для проникновения на сервер, даже если бы защита была включена [226].

Защита от прослушивания и мошенничества

случае с любыми другими коммуникациями и аспектами цифровой жизни, следует индивидуально сформулировать модели угроз и нарушителя, о чем говорилось в главе 1.

Примечание. В 2019 г. в даркнете детализация звонков и SMSсообщений абонента «Билайн» за месяц стоила от 2500 рублей. Выяснить персональную информацию об абоненте, зная номер его мобильного телефона, можно было, заплатив от 400 рублей. Та же информация об абонентах МТС стоила от 15 000 и от 900 рублей, об абонентах «Мегафона» — от 20 000 рублей и от 1500 рублей, об абонентах «Теле 2» — от 8000 рублей и от 3500 рублей соответственно. Разовое определение местоположения абонента в среднем стоило от 30 000 до 45 000 рублей («Мегафон», МТС, «Теле 2»). Исключение составил «Билайн» — от 2000 рублей. Доступ к тексту SMS-сообщений стоил от 150 000 рублей за один месяц [227].

Простому обывателю» достаточно помнить о том, что он может стать жертвой мошенничества с помощью телефона, и о том, что мобильник могут украсть. Специальная шпионская аппаратура, как правило, используется против активных оппозиционеров и тех, чьими данными желают завладеть, например, бизнес-конкуренты. Общие советы следующие:

Не публикуйте в интернете свой личный номер телефона;

разделите рабочие и личные коммуникации. Если публикация номера необходима, используйте отдельный номер телефона, лучше «анонимный» или «виртуальный» [[29]], особенно на таких сайтах, как «Авито» и «Авто.ру». Такие сайты часто просматривают злоумышленники и присылают фишинговые и спам-сообщения на опубликованные номера телефонов. Кроме того, следя за продажей дорогих вещей, автомобилей и т.п. и зная номер телефона, злоумышленники могут выяснить адрес владельца номера и попытаться ограбить его или использовать другие схемы, которые мы рассматривали ранее. По данным таких сайтов, а также социальных сетей формируется портрет потенциальной жертвы. Частные объявления содержат сведения о различных аспектах жизни их авторов: финансовом состоянии и т.п., что позволяет мошенникам использовать против них методы социальной инженерии.

Виртуальные номера

по возможности используйте виртуальные номера телефонов. Ресурсы,

подобные https://freezvon.ru или https://sms-reg.com, предлагают платный и бесплатный доступ к виртуальным номерам выбранной страны. Пользуясь их услугами, можно, к примеру, получить код доступа к ресурсу, не светя личный номер, либо совершить звонок для подтверждения доступа. Обратите внимание: ни о какой конфиденциальности речь не идет и содержимое сообщений и разговоров может быть доступно как владельцам сервисов, так и другим пользователям. Кроме того, многие операторы сотовой связи предлагают услугу смены телефонного номера без замены SIM-карты прямо в личном кабинете или приложении.

сервисов, например https://zvonili.com, позволяют определить регион и название оператора, к которому привязан номер, а также прочитать отзывы других людей о мошеннических номерах.

представился собеседник: сотрудником правоохранительных органов, судебным приставом или работником службы поддержки банка, в котором хранятся ваши сбережения. В ответ на его просьбу назвать паспортные данные, ПИН-код, реквизиты банковской карты и прочую информацию скажите, что можете приехать и лично поговорить с должностным лицом. Уточните адрес, контактное лицо, должность, вопрос, по которому вам звонят. Перепроверьте информацию, перезвоните самостоятельно в офис организации и уточните, поступал ли от их сотрудников запрос о предоставлении персональных данных клиента. Учтите, что должностным лицам и так известна информация о вас и никакую дополнительную информацию они запрашивать не вправе.

Не давайте телефон чужим людям (даже для одного звонка). Так злоумышленники могут выяснить ваш номер телефона и использовать его для дальнейших махинаций.

Не называйте свой номер телефона, если вам звонят по ошибке, задавайте встречный вопрос: какой номер вы набирали? Не сообщайте, в какое время бываете дома вы или ваши соседи (или говорите, что целый день).

Не публикуйте домашний телефон в интернете, не указывайте его на визитных карточках и где-либо еще; только рабочий и/или мобильный.

Не привязывайте номер телефона к аккаунту, если только это не требуется для входа и многофакторной аутентификации (впрочем, для этого есть специальные приложения). Кроме того, учтите, что даже скрытый в настройках аккаунта номер может быть открыт для поиска в интернете, например в сети «ВКонтакте» [231].

Надежно защищайте устройство с номером мобильного телефона, к

которому привязаны банковские счета. Ваши финансовые средства — цель №1 для злоумышленников.

Не устанавливайте дома автоответчик — это все равно что вывесить на двери объявление: «Меня нет дома». Если же используете, не сообщайте в автоответе, где вас можно найти или когда вы вернетесь.

Заносите в черный список телефонные номера мошенников, чтобы избежать дальнейших звонков от них и избавиться от спама. Обратите внимание: в некоторых случаях мошенники могут подделывать исходящий номер, имитируя вызов от службы поддержки или, к примеру, банка. Также злоумышленники могут звонить с разных номеров, подделывая их или используя виртуальные номера.

Сообщайте о фактах мошенничества, обратившись к соответствующему оператору сотовой связи; в компанию, от имени которой действуют злоумышленники; в правоохранительные органы. Предупредите родственников и друзей о мошеннической схеме.

Примечание. Криптотелефоны, как утверждается, позволяют вести конфиденциальные разговоры, защищенные от прослушивания, но все ввозимые на территорию РФ шифровальные устройства должны проходить сертификацию в ФСБ [232], без которой их реализация и использование запрещены, как это было в свое время с Blackberry [233].