AMP18+

Екатеринбург

/

Интервью

/

«Ваше местоположение легко вычислить и без геолокации, но не надо публиковать фотки из отпуска» Интервью с экспертом Яндекс.Браузера Виктором Карповым

Для многих пользователей Интернета существует набор фобий и страхов – например, что хакеры взломают банковский счет, подсадят вирусы в компьютер, украдут персональные данные пользователя и, воспользовавшись ими, наберут кредитов и т.д. Специалисты в сфере IT-безопасности считают, что эти страхи оправданы лишь отчасти. И чаще всего юзерам стоит опасаться совсем иных вещей. О том, как селфи под балканскими звездами может привести к ограблению, нужен ли мошеннику CVV2-код, чтобы сделать покупки с вашей карты на Amazone, и где заканчивается интернет-гигиена и начинается паранойя, в интервью NDNews.ru рассказал эксперт по безопасности Яндекс.Браузера Виктор Карпов.

Чего стоит бояться пользователям Интернета?

То, чего боятся пользователи, и то, чего им на самом деле стоит бояться, это очень разные вещи. Абсолютное большинство юзеров боится вирусов, троянов, потому что просто не понимает, что это такое. На втором месте среди популярных фобий – боязнь потерять деньги. Пользователи считают, что у них могут украсть доступ к банковскому счету или карте. И уже только потом, с большим отрывом, страхи о том, что у пользователя могут украсть профиль в соцсети, личные данные, фотографии, доступ к почте.

А на самом деле?

На самом деле наша статистика показывает, что люди активно пользуются платежными сетями в Интернете, при этом денег у них воруют не так много. От вирусов в целом неплохо защищают современные антивирусные продукты и регулярное обновление операционной системы и программного обеспечения. Для пользователей опасней нежелательные программы, которые самостоятельно устанавливаются, всплывающие окна браузеров, и так далее. Таким образом рекламируются нелегальные товары или вещи, вводящие человека в заблуждение. Например, ему рассказывают, что он выиграл в лотерею, что он может купить запрещенные препараты и так далее. Это косвенная, но все же угроза. Потому что нормальные рекламодатели размещаются на нормальных же площадках. А те, кого не берут на нормальные площадки, пользуются такими «мутными» каналами дистрибуции. Есть даже рынки, биржи, где торгуется такая реклама.

А что насчет фобии с кражей фото?

За ними охотятся, если это политик, звезда кино, музыки, публичная личность – чтобы слить «клубничку» в Сеть, как это часто происходит с фотографиями звезд, но обычным людям бояться нечего. Конечно, неприятно, если украдут твои данные, но на них хакеры не нацелены. Тем не менее, лучше много не выкладывать о себе. Хотя у всех есть аккаунты в соцсетях, всем хочется похвастаться – что купили и где были. Потому что даже без геопривязки можно определить, где это снято и где человек находится. Показателен недавний пример из США, когда человек вывесил флаг против Трампа, установил напротив камеру, которая снимает картинку в режиме реального времени, но не сказал, где она установлена. Хакеры дождались ночи, увидели звезды, рассчитали геометрию их расположения и вычислили, где висит этот флаг, и сняли его. Тут больше вопрос желания. Ну и если ты фотографируешься на фоне Тауэра, всем понятно, что ты в Лондоне. А соцсети часто используются как механизм уведомления мошенников, что человека нет дома. А если этот пользователь ранее еще и выкладывал фото из дома с геолокацией, с видом из окна, то можно рассчитать, какая у него квартира. Это пример, когда онлайн-угроза уходит в оффлайн. Надо всегда это иметь в виду. Поэтому: не выкладывай фото из отпуска, пока ты оттуда не вернулся; не выкладывай пост «Пошел в банк снять деньги, потому что я хочу купить машину». Вообще глупо выкладывать фотки роскошных покупок, вот, мол, подарил жене кольцо с бриллиантом. Если хочется, напиши: «У нас годовщина». И все, кто надо, все поймут. В противном случае можно оказаться под прицелом тех, кто хочет на тебе поживиться.

Многие переживают, что, вводя CVV2-код даже на более-менее проверенных сайтах, они рискуют своими деньгами. Это реальный страх?

Такая фобия встречается часто, но этому много мер противодействия. Во-первых, не вводить код где попало. Во-вторых, существует много способов валидации. Например, ввел ты номер на платежной системе, а тебе приходит СМС от твоего банка, компьютер тебя выводит на страницу банка, где сообщается, что у тебя такой-то магазин хочет списать такую-то сумму. И если тебе действительно это надо – введи код. Это неоспоримая транзакция. Но мошенники никогда не подключаются к этому сценарию. Им важно попытаться забрать у тебя номер карты и в каком-то иностранном магазине твои деньги потратить, например, заказав товар на подставной адрес. Но такие транзакции, которые не были подтверждены СМС, легче оспариваются. Ты приходишь в банк, требуешь расследования и возврата денег. Но чем больше подтверждения транзакций, тем сложнее доказать факт мошенничества. Это как в банкомате – ввел ПИН-код, ответственность на тебе. А в случае, когда у тебя спросили просто номер карты, то там вообще довольно сложно магазину подтвердить, что они не хотели ничего плохого. Например, в США некоторые магазины не спрашивают CVV2, на том же «Амазоне» нужен просто номер карты, владелец и срок действия. Такие транзакции с минимальным подтверждением, конечно, проще с точки зрения отсутствия лишних действий для пользователя, но всегда существует риск для магазина, что владелец карты оспорит транзакцию. Это вопрос баланса между доходами и потерями. Лишь по одному номеру карты деньги у вас вряд ли украдут, да и оспорить это почти всегда будет можно. Другое дело, что «угадать» имя, фамилию не так уж сложно, да и срок действия карты – это в целом не более 48 возможных вариантов (12 месяцев на 4 года). Но страх есть. И из-за этого люди не хотят пополнять баланс телефона через интернет, пользоваться интернет-банком, покупать что-то в интернете. Потому что пользователи не знают своих прав. Эта сфера, которая нормально не объяснена, – ни банками, ни магазинами. А ведь из кошелька, из сумки на улице у человека деньги проще забрать, чем с карты. Но люди получают зарплату – и в тот же день снимают все с карты, выстаиваясь в очереди у банкомата, потому что «мне спокойнее контролировать мои финансы, когда они обналичены».

В таком случае – какая самая распространенная угроза?

Кража «учеток» в мессенджерах, соцсетях. Это делается, как правило, с целью дискредитировать человека, либо вымогать у него деньги за возврат доступа к учетной записи, но, в основном, для того, чтобы писать его контактам просьбы типа «Пополни телефон», «Одолжи пять тысяч до зарплаты». И это имеет массовый характер. У людей крадут деньги – но не у того, у кого увели учетную запись, а у его контактов. Недавно у коллеги моей жены увели скайп, за один день у всех его контактов – а их много – насобирали 90 тысяч рублей. Кого-то просили пополнить баланс телефона, кого-то перевести деньги на карту, кого-то на электронный кошелек. Увод этих записей, как правило, обоснован с точки зрения выгоды.

Люди не понимают, что это «развод», когда их просят скинуть 500 рублей на телефон?

Понимают. Но мошенники тоже ведут себя аккуратно, у них хорошие навыки общения и проработанные сценарии. Это бизнес. Соответственно, у людей, как в профессиональных службах поддержки и психологической помощи, есть сценарии – как кому отвечать, как кому писать, как спросить. Если история сообщений аккаунта хранится на сервере, они анализируют, с кем человек общался, какие отношения, у кого сколько просить.

Но это какие-то продвинутые мошенники.

Конечно, есть веерная рассылка – всем пишут: одолжи пять тысяч. И совсем другое – целевые группы. Ты посмотрел историю общения, посмотрел, что тот постил фотки с отдыха, что у него деньги есть, что он не работает с владельцем аккаунта в одной компании, чтобы человек не мог спросить: «А тебе реально пять тысяч нужно?». Очевидно, что мошенники тоже не сидят на месте.

А хождение по всяким ссылкам?

Если соблюдать банальные правила безопасности, если у тебя нормальный бразуер и антивирус, то в пассивном состоянии – то есть просто кликнул на ссылку, но не вводил свои данные, – опасности нет. Точнее, есть, но не очень большая. Особенно, если включается социальная инженерия, когда человек, например, попадает на страницу фишинга, то есть страницу, которая похожа на настоящую страницу «Фейсбука»*, или на страницу, которая пишет: «Ваш компьютер заражен, скачайте эту программу», или на страницу, которая говорит: «На компьютере обнаружено детское порно, данные об этом сейчас будут отправлены в МВД». Все это сценарии, где включается психология. Во всех из них вынуждают сделать пользователя что-то, чего он делать не хотел, – ввести логин и пароль, номер банковской карты, скачать программу, которая якобы должна разблокировать его аккаунт.

Процент пользователей-параноиков растет?

Он не растет и не уменьшается, таких всегда меньше одного процента, насколько не было бы массовым проникновение технологий – бесконтактные платежи, интернет, соцсети, платежи телефонами, часами, очками. Даже если все граждане России начнут расплачиваться картами, а не наличкой, 1% все равно будет бояться.

Но ведь легкий флер паранойи даже полезен?

Полезно понимание рисков и опасностей, с которыми ты можешь столкнуться. Когда ты заходишь в почту, потрать две секунды и посмотри, что ты на том сайте. Что ты не вводишь данные не туда, куда надо. Или пришел ты в гости и решил проверить «ВКонтакте» – лучше так вообще, конечно, не делать на чужом компьютере, где может быть установлено вредоносное ПО, вирус, а владелец может этого даже не знать. Это гигиена. Ты же, приходя домой, моешь руки, – то же самое в интернете. Прежде чем платить, убедись, что компьютер защищен, что магазин использует партнерство с известным банком. Прежде чем отправлять деньги на телефон другу, убедись, что это он, позвони ему. Все эти риски известны, но люди о них не всегда слышат.

Насколько оправдан с точки зрения безопасности персональных данных россиян закон о переносе серверов?

Давайте называть вещи своими именами. Дело в том, что определенные организации (правоохранительные органы) хотят иметь возможность знать о том, кто из граждан где зарегистрирован и так далее. Ни о какой защите данных речи не идет. Крупные компании вроде Apple и Microsoft и так очень сильно озабочены защитой данных пользователей, поскольку на кону их репутация.

Если завтра скажут, что утекли данные со всех айфонов, то для Apple – это крах. А если выяснится, что утекли данные паспортов граждан России из какого-то госучреждения, то этому учреждению будет по барабану – ну утекли и утекли. В лучшем случае про это расскажут в региональных новостях.

К тому же не существует способа – при современных подходах к построению интернет-сервисов – удостовериться, что эти данные хранятся только в России. Кто мешает иностранным компаниям хранить копии этих данных в России на серверах, которые ни к чему не подключены? Просто они туда заливают данные, чтобы формально соответствовать закону.

Конечно, компании могут держать эти данные и за границей. И не в двух, не в десяти экземплярах. Речь о десятках тысяч копий на сотнях тысяч серверов, которые распределены по странам и регионам, чтобы обеспечить лучшую пропускную способность. Глупо полагать, что компания не будет оптимизировать эти процессы.

Сейчас очень большой процент интернет-пользователей ушел на мобильные устройства. Они безопаснее ПК? Или наоборот?

Мобильный телефон чуть лучше защищен от вредоносных программ, чем ПК. С точки зрения распространения вредоносных программ телефоны и планшеты Apple являются одними из наиболее безопасных, поскольку их программы имеют меньше доступа к личным данным, тщательнее проверяются перед размещением в магазине приложений, без специальных настроек нельзя установить программу с «левого» сайта. Это причина, почему эксперты по интернет-безопасности зачастую пользуются этими гаджетами. Что касается Android, то там есть вредоносные программы. Бывает, что разработчик делает хороший продукт, а к нему приходят люди и говорят: «Давай, мы тебе заплатим, а ты нам продашь свою программу. Он продает, и в программу встраивают вредоносный код, выпускают обновления, которые устанавливаются на телефон, и начинают красть данные. Поэтому тут тоже должен работать принцип гигиены – например, не надо устанавливать малопопулярные программы, не надо ставить программы, которые тебе предлагает какой-то сайт. Почитай отзывы, посмотри, какая у нее аудитория. Я, например, пользователь Android, и у меня нет ни одной программы, у которой меньше 20-30 тысяч пользователей. Вряд ли ее кто-то просто так купит – слишком дорого. Если только сам разработчик захочет промышлять какими-то гадостями. Плюс, так как почти все программы имеют доступ к контактам, СМС, почте и фото, то не стоит держать в телефоне ничего, чего можно опасаться, если оно утечет в сеть.

Но все не так грустно. Большинство пользователей, примерно 90%, – мы проводили исследования – говорят, что они знают про угрозы в интернете, но не боятся их. Потому что «Да кому я нужен?». Мы пользователей спрашивали: «Переживаете ли вы, что ваш провайдер знает, какие сайты вы посещаете? Или что госструктуры могут получить информацию о вас, в том числе и весь ваш трафик?». Половина говорит: «Мы знаем, что такое возможно». И 80% из них это не тревожит, потому что они читают сайты про рыбалку, например. И они понимают, что они не нужны «каким-то хакерам из Америки, которых Обама напоследок подрядил разрушать Россию, скачивая из телефона их данные».

Екатеринбург, Москва, Екатерина Норсеева

* Продукты компании Meta, признанной экстремистской организацией, заблокированы в РФ.

© 2017, РИА «Новый День»

В рубриках

Екатеринбург, Интервью, Урал, Интервью, Общество, Россия, Технологии, Фоторепортаж,