«Вы как на ладошке», или В чем риски использования VPN-сервисов?
Госдума утвердила пакет поправок, который не запрещает VPN «как таковой», но вводит штрафы за его неправомерное использование. Штрафы за рекламу VPN-сервисов и аналогичных средств обхода блокировок запрещенных в России сайтов составят от 50 тысяч рублей для граждан до 500 тысяч рублей для юридических лиц. Но и без штрафов каждый должен понимать, почему пользоваться VPN небезопасно.
«Хотя большинство людей думают, что VPN шифрует трафик и защищает их в интернете, на деле все зависит от самого сервиса. Особенно опасны бесплатные VPN-приложения: многие из них собирают данные пользователей, продают их третьим сторонам или сами содержат вредоносный код».
Реальный случай: в 2022 году предприниматель из Москвы Андрей Матюшенко установил бесплатный VPN для доступа в YouTube. Через неделю его банковский аккаунт был взломан. Оказалось, что VPN перенаправлял трафик через серверы, контролируемые мошенниками. Они получили доступ к его email и паролям, которые он вводил на сайтах, включая интернет-банк. Потери составили более 300 000 рублей.
«Важно понимать: когда вы используете VPN, вы как бы отдаете весь свой интернет-трафик «в руки» посредника. Если этот посредник ненадежен, то ваши данные, пароли и переписки могут быть скомпрометированы», – говорит Артур Погосян.
«В сегодняшней России граждане зачастую не понимают последствий массового подключения к VPN-сервисам. При этом через VPN проходит весь трафик, связанный с вашей цифровой идентичностью: авторизация в банке, доступ к госуслугам, криптокошельки, рабочие системы. Если этим каналом управляете не вы, а неизвестная третья сторона – вы передаете ей ключи от своей цифровой жизни».
Цифровая идентичность – это не просто логин и пароль. Это совокупность признаков, по которым система распознает: вы – это вы, предупреждает эксперт. VPN, который не находится под вашим административным контролем, становится точкой, в которой может быть перехвачен каждый элемент этой структуры: от сессионных токенов до поведенческих шаблонов».
По словам Евгения Семенова, средний пользователь не может проверить, кто на самом деле управляет VPN-инфраструктурой, где физически размещены серверы, как обрабатываются логи и какие технические средства встроены. Часто под видом VPN-сервиса может скрываться все что угодно – вплоть до систем перехвата и расшифровки трафика с возможностью глубокой инспекции содержимого. Вместо защиты пользователь получает уязвимость – в самой чувствительной точке своей цифровой идентичности.
Что происходит на практике? Массовая утечка данных миллионов пользователей: email, IP-адреса, логины, токены авторизации. VPN, который должен был защищать, стал источником компрометации цифровой личности. Известно, что один из сервисов VPN превращал устройства пользователей в узлы чужого трафика. IP-адреса продавались третьим сторонам, происходил перехват трафика и действий от имени пользователя. Это приводило к блокировке аккаунтов, взлому криптокошельков и утрате доверия к действиям, совершенным от имени жертвы.
Установлено, что из-за фейковых VPN-приложений на устройства попадали вредоносные APK, которые перехватывали SMS, 2FA-коды, clipboard и внедряли прокси-сервисы. После этого происходил захват банковских приложений, кошельков и других критичных систем.
Почему это разрушает цифровую идентичность и наносит реальный вред? VPN-сервис, не подконтрольный вам, – это не просто риск утечки данных. Это инструмент, с помощью которого кто-то может:
- внедриться в вашу сессию,
- подменить трафик,
- вести наблюдение,
- действовать в сети от вашего имени.
«Это не гипотетическая угроза, а практическая возможность. В таких условиях теряется не только приватность – теряется субъектность: способность быть собой в цифровом пространстве и контролировать свои действия, активы, репутацию», – подытожил Евгений Семенов.
«Критики скажут, что вы раскрываете свои данные, включая всю историю веб-серфинга, не только при использовании VPN-сервиса, но и в отношении других сервисов. Но это сервисы публичные и принадлежащие крупным компаниям с репутацией – Яндекс, Google и другие. А VPN-сервисы часто представляют себой малоизвестные компании, далекие от такого масштаба, а значит, уровень защиты информации и compliance-стандарты по этому направлению у них могут быть не такого высокого уровня».
Вторая причина отказаться от VPN-сервисов – предусмотренная законом ответственность, говорит Катков. Использовать VPN как таковой пока не запретили, но ограничили все «вокруг» использования, особенно его пропаганду. Кроме того, закон предусматривает наказание за специальный поиск экстремисткого контента.
«Не исключаю, что законодатель дойдет и до прямого запрета использования, однако пока этому мешает законное использование этой технологии (например, для защиты данных), а также электоральный фактор», — отмечает эксперт.
«VPN-сервисы активно используются как частными пользователями, так и бизнесом – например, для доступа к ПО иностранных вендоров, покинувших российский рынок. Однако их применение связано с серьезными рисками для информационной безопасности и может находиться в «серой зоне» с точки зрения законодательства».
Основные угрозы при использовании VPN, по словам Татьяны Лыновой:
- Утечка данных – как уже было сказано, VPN-провайдеры могут собирать и хранить конфиденциальную информацию: логины, пароли, банковские данные.
- Вредоносное ПО – некоторые приложения содержат скрытые угрозы, способные повредить устройство или спровоцировать утечку данных.
- Отсутствие контроля над трафиком – администратор VPN-сервера имеет доступ ко всему трафику пользователя, включая потенциально незашифрованные данные.
- Атаки на защищенные соединения – недобросовестные провайдеры могут внедрять сертификаты для перехвата HTTPS-трафика. При использовании на сайтах протокола HTTP владелец VPN может беспрепятственно получить доступ к данным пользователя.
«Для сайтов, использующих протокол HTTPS, VPN не снижает уровень защиты трафика, если только провайдер не внедряет поддельные сертификаты», – говорит эксперт.
«Единственный безопасный вариант – собственный VPN, так как вы контролируете сервер и не делите его с другими пользователями. Во всех остальных случаях вы не можете быть уверены, что ваши данные не будут скомпроментированы или проданы».