Аналитикаmind.ua21 января 2021

Шпигунські пристрасті: як полюють за даними українців популярні застосунки та спецслужби

Чому користувачі безкоштовних месенджерів, соцмереж, ігор, поштових сервісів – не клієнти, а товар

«Україна підтримує ініціативу США «Чиста мережа» (Clean Network) щодо збереження особистих даних громадян від агресивного втручання зловмисників», – заявив наприкінці 2020 року прем'єр-міністр Денис Шмигаль. Нагадаємо, адміністрація американського президента Дональда Трампа запустила Clean Network навесні 2020 року.

Ініціатива могла б стати дійсно ефективною, якби не одне маленьке «але». До числа зловмисників у Трампа зараховували лише Китай, періодично заявляючи, що в обладнанні китайських техгігантів можуть бути заховані бекдори (спрощено, шпигунське ПЗ). Однак його можуть «зашити» не тільки Huawei і ZTE, а будь-який вендор, мобільний оператор, а також треті особи й не тільки на замовлення спецслужб. У теорії. Що ж відбувається на практиці?

Епоха Дональда Трампа як президента США йде в минуле. Невідомо, чи продовжить адміністрація Джо Байдена політику подвійних стандартів. Якщо підтримає боротьбу тільки з одним «обраним» ворогом, то під роздачу може потрапити й Україна. З легкої руки Дениса Шмигаля мобільним операторам доведеться замінити понад 70% обладнання у своїх мережах. Але десятки мільярдів доларів буде спущено на вітер: усунення з українського ринку Huawei і ZTE – латання лише кількох і можливих (недоведених) дірок у величезному «решеті». Проблема з витоком даних простих українців, промисловим і державним шпигунством розв'язана не буде.

Mind попросив експертів із кібербезпеки розповісти про найбільш поширені «дірки» нашого «решета». Спойлер: жертвами кібершпіонажу вже стала переважна більшість українських користувачів інтернету. Але багато хто з них про це може й не здогадуватися.

Актуальна або «трохи» перебільшена проблема шпигунства для України? Опитані експерти дружно заявили Mind, що в нашій країні немає релевантної статистики про масштаби лиха, оскільки немає єдиного органу, який би її збирав. Проте, за оцінкою спікерів, «манія переслідування» – здебільшого вже не хвороба, а наші реалії. «З упевненістю можу заявити, що і громадяни України, і комерційні компанії, і державні органи періодично стають жертвами кібершпіонажу з різних причин», – говорить операційний директор компанії 10Guards Віталій Якушев.

Як шпигують за користувачами? Експерти умовно поділяють негласний збір інформації на напівлегальний і нелегальний. Почнемо з першого.

Facebook, калькулятор and company. Іронія в тому, що наймасовіше полювання за даними зараз відбувається без використання забороненого шкідливого шпигунського ПЗ і за добровільною згодою громадян. Багато популярних месенджерів, соцмереж, інших застосунків і програм при установці просять доступ до різних функцій та інформації на девайсе користувача. «Вони збирають метадані (ip-адреса, номер телефону, перелік контактів тощо) нібито тільки для поліпшення сервісу. Але крім декларованої переслідують й іншу мету: продаж інформації рекламодавцям для показів персоналізованої реклами», – вважає експерт із кібербезпеки Костянтин Корсун.

«Майже все безкоштовне програмне забезпечення – від популярних месенджерів до антивірусів – збирає інформацію для перепродажу. Хоча багато гравців заявляють, що цього не роблять. Насправді, вони просто ще не попалися: не було масових витоків, які б розкрили реальну ситуацію. Згадайте скандал із Cambridge Analytica, який доводить, що соцмережі не завжди виконують угоди користувача», – вважає Віталій Якушев.

Корсун наводить як приклад недавній скандал із WhatsApp: «Дані передають багато гравців. WhatsApp же просто чесно про це повідомив своїм користувачам. І за цю чесність вже поплатився. Скільки ви платите за використання Google? У цій схемі користувач – не клієнт, а товар. Нічого не може бути безкоштовним. Думаю, рано чи пізно буде виявлено, що між великими корпораціями існують комерційні угоди», – вважає експерт.

До речі, нещодавно New York Times повідомила про можливу сумнівну оборудку між Facebook і Google

Схожа думку – у співзасновника ГО «Український Кіберальянс» Андрія Барановича: «Якщо ви не платите за сервіс – пошту, соціальну мережу, месенджер тощо, значить, товар – це ви».

Як не стати товаром техгігантов? Залучити великі холдинги до відповідальності вкрай складно. Наприклад, той самий Facebook зобов'язується не передавати дані у відкритому вигляді, тобто, умовно кажучи, про Івана Івановича Іванова, який хоче купити, скажімо, холодильник. Соцмережі запевняють, що діляться тільки анонімізованими даними, незважаючи на те що реклама холодильників показується Іван Івановичу Іванову. «Зараз великі техкомпаніі вийшли на такий рівень, коли можуть напівнарушати закон. Їхній бізнес оцінюється в трильйони доларів саме тому, що вони володіють величезним обсягом інформації, яку можна монетизувати», – каже Якушев.

Розслідування можуть тривати роками. Наприклад, недавно Ірландська комісія із захисту даних оштрафувала Twitter на 450 000 євро за витік даних користувачів. Хоча слив виявили ще на початку 2019 року, у Twitter заявляли, що випадково використовували дані, щоб рекламодавці могли зіставляти людей зі своїми маркетинговими списками.

Для мінімізації витоку інформації експерти радять уважно читати угоду користувача. «Програми, які ви скачуєте, за замовчуванням просять доступ до всього можливого на девайсі. Але не все варто дозволяти», – каже Корсун.

«Якщо при скачуванні калькулятора або диктофона ці програми вимагають доступ до контактів, листування тощо, подумайте, навіщо їм ці функції. Витратьте 10 секунд на відбір реально важливих для програми доступів і блокування непотрібних. Це в подальшому допоможе вам заощадити багато нервів, а іноді і коштів. Також краще встановлювати безкоштовні програми на девайси, які не обробляють важливу для вас інформацію», – рекомендує Якушев.

«Сюрпризи» в популярних застосунках. Крім напівлегального стеження, застосунки, ігри та інші програми можуть шпигувати за користувачами завдяки «вшитим» шкідливим компонентам. «Таке ПЗ збирає вже більш детальну інформацію. Наприклад, зчитує паролі банків, криптогаманців, записує, що робить користувач, тощо» – розповідає Якушев.

«Google Play і App Store постійно перевіряють застосунки, але це не дає 100%-вої гарантії. Вже не раз були випадки, коли шахраям вдавалося завантажити шкідливі програми на ці платформи», – розповідає Баранович.

Наприклад, за даними компанії Secure-D, зараз із Google Play ще не видалено 10 застосунків, у яких недавно виявлено програми-шкідники: SHAREit (понад 1 млрд завантажень користувачами), VivaVideo (+ 100 млн), Sencor Box (+ 5 млн) тощо.

«Але ще вище ймовірність зараження, коли користувачі скачують програми не із сертифікованих магазинів Google Play і App Store, а зі сторонніх джерел. Деякі операційні системи (Android, Windows, Linux та інші) дозволяють встановити на гаджет будь-яку програму з інтернету», – каже Якушев.

Баранович уточнює: «У випадку з Android категорично не варто встановлювати програми з «лівих» джерел. Не випадково настройка «Дозволити установку застосунків не з офіційного магазину» знаходиться в розділі «Безпека».

Також є ризик зараження при користуванні мессенджерами. Багато платформ сканують всі посилання й файли на наявність шкідливого ПЗ. Але знову-таки 100%-вої гарантії ніхто не дає.

«Якщо ви користуєтеся наскрізним шифруванням (E2E), то сервер не бачить вашу переписку і, відповідно, не може перевірити її на наявність шкідників. Так що доведеться вибирати – або сервіси з перевірки контенту, антивірус і антиспам, або таємниця особистого листування. Безпека – завжди tradeoff», – каже співзасновник «Українського Кіберальянсу».

Старий «добрий» фішинг. Незважаючи на те що багато користувачів знають, наскільки небезпечно «вставляти пальці в розетку» (відкривати вкладення в поштових повідомленнях, особливо від невідомих адресатів), фішинг залишається найбільш поширеним, дешевим та ефективним засобом зараження девайса шпигунським ПЗ.

«Кіберзлочинність – це бізнес із величезним оборотом. Як і в будь-якому бізнесі гравці хочуть зменшити витрати та збільшити доходи. Тому найдешевші схеми поширення програм-шкідників стають найбільш популярними», – пояснює Якушев.

Якщо раніше користувачам приходили листи від нігерійських принців із кривим перекладом  українською, то зараз шахраї навчилися так явно не «палиться».

«Повідомлення стали більш професійними, такими, що спонукають відкрити вкладений файл. Наприклад, з підмінної адреси жінкам розсилається лист про грандіозні знижки в Victoria's Secret: «Відкрився новий магазин. Розпродаж триватиме лише три дні. Поспішайте!». Упевнений, чимало жінок можуть перейти по посиланню в такому листі», – пояснює Корсун.

За його словами, такі розсилки умовно можна розділити на три види:

- Масові – листи відправляються величезні групі людей без таргетування за статтю, віком, географією тощо. «Ефективність таких розсилок мінімальна у відсотках, але величезна в абсолютних числах. Наприклад, за годину розсилається 2 млн повідомлень. Навіть якщо на них клюне 0,1% користувачів – за 60 хвилин заразиться 2000 девайсів», – пояснює Корсун.

- Таргетовані – шахраї відправляють повідомлення певній вужчій авдиторії.

- Персоналізовані – лист приходить одній конкретній жертві. «Її шахраї довго вивчають, дізнаються вік, контакти, інтереси тощо. Наприклад, такою жертвою може стати бухгалтер компанії. Йому прийде повідомлення нібито від колеги, що не викликає підозр: «Валентина Семенівна, це терміново! З'явилися нові зміни в обліку тощо. Деталі – в атачі», – наводить приклад Корсун. У доданому файлі дійсно можуть бути зміни законодавства. Валентина Семенівна почне щось підозрювати, тільки коли згодом випадково дізнається, що колега не надсилала їй листа. Але за цей час програма-шпигун уже встигне зібрати і передати важливу інформацію з комп'ютера.

На умовах анонімності Mind розповіли, що у такий нехитрий спосіб вивели майже 5 млн грн з регіонального підрозділу одного великого автохолдингу. Головбух запідозрила недобре, тільки побачивши спустошення рахунку. Аналогічні трюки спецслужби провертають із політиками, держслужбовцями, що володіють цінною інформацією. Не дарма експерти постійно радять не зберігати важливих даних у гаджетах, на яких стоїть пошта.

Операційний директор компанії 10Guards ранжує шпигунське ПЗ у розсилках за типами «посилок»:

  • Найчастіше програми-шкідники заховані в офісних файлах (Word, Excel тощо) з макросами. «Якщо не впевнені, що отримали файли від надійного джерела, – відкривайте їх, наприклад, за допомогою Google Docs. Будь-офісний документ можна туди завантажити, програма виріже все, що може бути потенційно шкідливим і покаже тільки зміст самого документа. Від злому через офісні файли також захищає регулярне оновлення операційної системи й самих пакетів офісних програм», – пояснює Якушев.
  • На другому місці за популярністю – виконувані файли. «Є близько 30 видів таких файлів. У Windows – із розширенням .exe, .scr, у Mac – .dmg тощо. Більшість поштових сервісів не дозволяють відправляти такі файли. Але бувають випадки, коли вони просочуються», – говорить експерт.
  • На третьому місці – екзотика (листівки, музичні файли в GIF, PDF тощо). «У цих форматах зараз мало дірок безпеки. Але все-таки вони залишаються. Наприклад, два роки тому зламали смартфон засновника Amazon Джеффа Безоса. Йому надіслали відео через WhatsApp. Такі атаки – не масові, а дірки в безпеці дуже швидко виявляються та закриваються», – пояснює Якушев.

Співзасновник «Українського Кіберальянса» доповнює, що листівки в основному не страшні. «Але навіть за допомогою нешкідливою картинки, розміщеної на власному сервері, можна відстежити IP-адресу користувача, який на неї клікнув. А отже – з'ясувати його приблизне місце розташування», – пояснює Баранович.

«Привіт» від спецслужб. Найменш масове і найбільш дороге – полювання за даними держструктур і стратегічно важливих підприємств. «Це досить вузький, але потужний сегмент кіберзлочинності, на який витрачаються просто колосальні бюджети», – зазначає Корсун.

«З огляду на, що в Україні низький рівень кібербезпеки в державних структурах, можна й без статистики стверджувати: там «живе» шпигунське ПЗ різних держав. І не тільки РФ, а й Китаю, Північної Кореї та інших. Багато країн ведуть агентську шпигунську діяльність у кіберпросторі», – вважає Якушев.

За словами Барановича, найбільш актуальна і дуже сильно недооцінена загроза – шпигунство з боку Росії: «Навіть щодо тих інцидентів, про які стало відомо, розслідування не проводилися. А скільки ще спроб шпигунства, про які ми не знаємо?»

Один з найбільш поширених інструментів проникнення в держсистеми – supply-chain (атака через довіреного постачальника рішень). «Злом держустанов і систем великих компаній найчастіше відбувається не шляхом обману користувачів, а через скомпрометоване програмне забезпечення для бізнесу. Тобто напад спочатку націлюється на невеликого розробника ПЗ, чиє програмне забезпечення так само включено в рішення іншого, більшого й відомого розробника», – пояснює керуючий IТ-безпекою Tet (раніше Lattelecom) Улдіс Лібіетіс.

Свіжий приклад – злом декількох міністерств і держвідомств США. «У грудні була новина про те, що гіганти Microsoft і VMware постраждали через вразливості ПЗ платформи Solarwinds Orion. Урок із цього такий: перевіряти потрібно не тільки свій код, а й всі продукти третіх осіб. Вони можуть становити аж до 80–90% ПЗ, тому їх не так просто перевірити. Через це перевірку коду ПЗ замінюють менш ефективними методами – аналізом аномалій і змін в роботі», – розповідає Лібіетіс.

І яскравий кейс supply-chain для України: поширення вірусу notPetya через M.E.Doc. «Зловмисники зламали виробника ПЗ – додали програму-шкідника – клієнти оновилися й заразилися. Проте фахівці рекомендують постійно оновлюватися: якщо не робити цього, ризик бути зламаним набагато вище», – каже Якушев.

Только аутентифицированные пользователи могут оставлять комментарии. Войдите, пожалуйста.