Скрытая угроза. Как крадут ваши данные через VPN и можно ли от этого защититься
Несмотря на усилия властей запретить и заблокировать VPN-сервисы, они остаются чрезвычайно популярны в России. Однако многие недооценивают опасность таких сервисов, о которой, казалось бы, трубят на каждом углу. Между тем хакеры не только научились взламывать такие серверы, они мастерски создают свои VPN-проекты, ворующие данные жертв. Как обезопасить себя от возможных проблем и вычислить ВПН-кражу данных — в материале «Секрета».
© Коллаж: «Секрет фирмы», кадр из короткометражного фильма "Кунг Фьюри", kinopoisk.ru, Freepik/GarryKillian, nikitabuida, kjpargeter
Как хакеры совершают атаки через VPN
VPN расшифровывается, как Virtual Private Network (дословно — виртуальная частная сеть). Это защищённый мост между вашим компьютером и глобальной паутиной.
По данным Atlas VPN на 2023 год, к VPN периодически подключаются 127,7 млн россиян. По числу подключённого населения Россия входит в первую десятку стран мира. На языке кибербезопасности это означает: входит в зону повышенного риска.
Во всём мире VPN-сервисы рекламируются как способ повышения вашей приватности и безопасности. «Подключитесь к нашему VPN и получите безопасный веб-сёрфинг, а заодно защитите себя от кражи финансовой информации», — так зазывают они потенциальных клиентов.
На самом деле создатели VPN лукавят. Максимум, на что способен VPN, — это скрыть ваш IP от хакеров, что остановит далеко не всех. А вот об опасности от самого подключения к своим сервисам компании-разработчики VPN-расширений умалчивают.
Какие уязвимости ВПН используют хакеры
Первое, что стоит знать, — VPN-сервисы, как и другие программы, таят в себе уязвимости.
1. Некоторые VPN пользуются устаревшими небезопасными протоколами — PPPT и L2TP. У каждого из них нет никакого шифрования. Кроме того, PPPT вдобавок не проводит даже никакой аутентификации.
Иногда VPN применяет L2TP вместе с протоколом IPsec. Такое сочетание уже считается вполне безопасным, но тогда существенно замедляется интернет. Далеко не все сервисы готовы пожертвовать скоростью ради сохранности данных своих клиентов.
2. Другая уязвимость VPN — слабо защищённые хеш-функции (т. е. зашифрованные пароли и другие данные клиентов), которые можно украсть.
В 2022 году утечку хешей выявили исследователи из американской компании Rhino Security Labs. Хеши, как выяснилось, утекали через UNC-пути, через которые происходит идентификация ресурсов в сети. Обычно UNC-путь применяется для получения доступа к принтерам, общим папкам и т. д. Хакеры же, внедряя свой вредоносный код в сервис, могут использовать их для кражи данных через VPN.
В целом VPN-сервисы недостаточно хорошо защищены от утечек данных. Как объяснил «Секрету» ведущий инженер CorpSoft24 Михаил Сергеев, большинство провайдеров выпускает пользователей в интернет через NAT(Network Address Translation, технология, позволяющая компьютерам из домашней сети подключаться к компьютерам и устройствам за её пределами).
При использовании этой технологии ваш компьютер недоступен никому из интернета, он невидимка. Подключение же к VPN создаёт внутреннюю локальную сеть внутри VPN-канала, и это делает возможным подключиться внутри этой сети по локальному адресу к вашему устройству.
«Поэтому при определённых настройках VPN-сервера, подключаясь к нему, вы можете открыть небольшую дыру в свою инфраструктуру. И её могут использовать хакеры для взлома», — говорит эксперт.
3. Киберпреступники могут совершать атаки на VPN-сервисы (что в дальнейшем позволит взять под контроль ваш компьютер), также взламывая их шифрование.
Шифрование VPN обеспечивает безопасность вашего соединения в интернете. Ваш трафик преобразуется в непонятный код. Как правило, самые безопасные серверы используют 256-битный шифр. А те, кто послабее, 128-битный. На самом деле и тот и тот шифр достаточно надёжный, но взломать можно оба.
Хакеры взламывают их, автоматом подбирая пароли. Какой-то один из подбираемых кодов может оказаться верным. Поскольку шифр длинный, для такой атаки нужны сильные вычислительные мощности. Как правило, хакеры пытаются взломать более слабое шифрование, поэтому атаки против 128-битного шифра теоретически должны встречаться чаще.
Поэтому самыми защищёнными от атак считаются серверы на базе оперативной памяти.
Обычные VPN-серверы работают на базе жёстких дисков, все ваши действия в сети хранятся там продолжительное время, поэтому при взломе эта информация оказывается в руках преступников. Серверы же на оперативной памяти более защищены, так как при каждой перезагрузке они стирают все ваши действия из памяти.
4. Ещё одна проблема VPN-серверов — в ненадёжной обработке или системе хранения данных. К примеру, в 2020 году компания Comparitech выявила, что один из VPN-сервисов, UFO VPN, хранит персональные данные клиентов, а также историю их подключений и пароли, в обычной открытой базе. Такие данные могут стать лёгкой мишенью для хакеров.
Часто бесплатные сервисы VPN могут сливать данные клиентов и сами. Об этом «Секрет» уже писал в 2021 году. Небольшие VPN-сервисы, которым надо как-то зарабатывать, часто продают IP-адреса, данные о покупках, историю посещений сайтов своих пользователей третьим лицам. Потом эти базы оказываются в даркнете.
Случаев взлома VPN было огромное множество. Например, в 2019 году произошёл, пожалуй, один из самых громких взломов VPN-сервисов.
Неизвестной хакерской группе удалось поломать крупный VPN-сервер — NordVPN. Это стало возможно после ошибки оператора дата-центра, услугами которого пользовался сервер. Сотрудник этого дата-центра зачем-то подключил VPN-сервису заведомо небезопасную систему удалённого доступа. При этом сам сервис о переходе на новую систему никак не предупредил.
Разразился скандал. Как оказалось, NordVPN оставался в уязвимом положении три месяца и его, в конце концов, взломали. Но хакеры не смогли получить доступ к логинам, паролям и фамилиям клиентов сервиса. По крайней мере, так утверждали в самой компании. Киберпреступникам пришлось довольствоваться лишь доступом к истории просмотров клиентов, при этом без возможности идентификации, кому конкретно та или иная история принадлежит.
Несмотря на это, доверие к крупным VPN-компаниям после этого инцидента во всём мире было подорвано.
В 2020 году в СМИ появилась информация о хакерских группировках из Ирана, взламывающих VPN и создающих в их сети бэкдоры. Бэкдорами могут быть специальные программы для скрытого доступа к компьютеру жертвы. Иранцев обвинили в попытках таким образом следить за предприятиями в сфере оборонки, IT и госкомпаниями разных стран, в том числе Израиля. Атаки якобы были совершены на малоизвестные VPN — Pulse Secure Connect VPN, Fortinet FortiOS VPN и Palo Alto Networks Global Protect VPN. Правда, какой-то конкретики об этих киберинцидентах не появилось даже спустя почти три года.
В 2021 году, как стало известно из данных компании VPNMentor, занимающейся вопросами кибербезопасности, хакеры смогли заполучить данные 21 млн записей клиентов разных VPN-сервисов — SuperVPN, GeckoVPN, ChatVPN. В них содержались почты и хешированные пароли клиентов. Весь архив хакеры выложили бесплатно в Telegram.
В том же 2021 году хакеры из группировки Groove взломали VPN-сервис Fortinet. Хакеры украли внутренние данные разных компаний, пользующихся сервисом, и начали шантажировать их руководство, требуя выкуп. А затем выложили в открытый доступ более 500 000 учётных данных клиентов этого сервиса.
Поддельные ВПН: что это такое и как работает
Самые опасные атаки хакеры совершают тогда, когда им удаётся заманить жертв на поддельные VPN-серверы. Такие серверы создают сами преступники, стараясь их сделать максимально похожими на оригинальные продукты. Если жертва подключится к такому серверу, хакеры смогут узнать о ней буквально всё.
Этот вид атаки в 2022 году подробно исследовали в компании ESET. Её специалисты тогда выяснили, что особенно часто злоумышленники создают серверы-подделки для смартфонов на Android.
Такие атаки проводятся с 2016 года. За ними может стоять в том числе крупная хакерская группировка Bahamut, названная в честь персонажа арабского фольклора — огромной рыбы, на которой держится весь мир. Эта группировка известна своими шпионскими атаками (в ходе них компьютеры заражаются шпионским ПО) на жителей Ближнего Востока и Африки. В ESET обнаружили как минимум восемь версий маскирующихся под VPN программ, разработанных этой группировкой.
В прошлом году ещё одна уже менее известная хакерская группировка, SideWinder, разместила в Google Play фейковое VPN-приложение — Secure VPN.
Как оказалось, устанавливая себе поддельный сервис, жертва перенаправлялась на сторонний сайт. Там и происходила кража. Программа-шпион передавала хакерам данные об устройстве жертв, в том числе его геолокацию и уровень заряда аккумулятора. Также этот вредонос был способен извлекать разные сохранённые файлы с телефона и отправлять их хакерам.
Как распознать хакерский ВПН
Отличить фейковый VPN от обычного довольно просто, говорят опрошенные «Секретом» специалисты по кибербезопасности. Прежде всего, надо прочитать подробную информацию в сети о незнакомом вам VPN-приложении. Если такой сервис действительно есть, надо смотреть, не переводят ли вас при скачивании на сторонний сайт, не скачивается ли к вам на смартфон ещё какой-то неизвестный файл.
Особенно стоит быть внимательным, если реклама странного VPN пришла к вам на почту. Откуда у этого сервиса может быть ваш почтовый ящик? Ответ очевиден: из баз данных, которыми пользуются хакеры.
Также стоит насторожиться, если VPN-сервис слишком сильно рекламируется. При этом ведётся агрессивная рекламная кампания не на крупных площадках, а в группах в соцсетях и на каких-то форумах. Эксперт по информационной безопасности компании Axenix Евгений Качуров отмечает, что бесплатные сервисы, обещающие максимальную анонимность, должны вызывать подозрения. Их рекомендуют сторониться.
Ещё один тревожный звоночек — отсутствие у такого сервиса техподдержки или каких-то аккаунтов и групп в соцсетях.
Как защититься от слежки через VPN: простые советы
Если вы не хотите попасть на крючок к мошенникам, соблюдайте простые меры предосторожности.
Никогда не проводите через VPN платежи.
Не открывайте через VPN свой почтовый ящик, если на нём есть важные сведения.
Когда VPN-сервис начинает требовать дать ему слишком много разрешений, это должно насторожить. Многие из них нужны хакерам для слежки.
Никогда не скачивайте VPN откуда-то ещё, кроме как из официальных магазинов. Если же вы хотите рискнуть и попробовать новый малоизвестный VPN-сервис, посмотрите, сколько людей его установили до вас и какие отзывы на приложение (но помните, что и отзывам до конца нельзя верить).
По словам специалиста Лаборатории компьютерной криминалистики компании F.A.С.С.T. Игоря Михайлова, как правило, сайты-подделки под видом страниц VPN-сервисов живут недолго, пока не заработают негативную репутацию. После этого хакеры закрывают один сайт и открывают другой.
«Есть ещё два пути проверки подобных сайтов. Во-первых, можно посмотреть с помощью сервиса WHOIS, давно ли создан сайт. Если сайт создан менее года назад, это должно насторожить. Во-вторых, можно воспользоваться веб-сервисом WayBackMachine (Архив Интернета). Если там нет информации о VPN, который вы хотите скачать, или есть информация о нём только за последний год, это тоже повод для беспокойства», — говорит эксперт.
Также стоит быть внимательным, продолжает Михайлов, если VPN-сервис предлагается на сервисах с частными объявлениями за символическую плату или бесплатно. Некоторые особенно хитрые маркетологи таких проектов предлагают даже вознаграждение за работу в качестве тестировщиков.
«Оплата подобной услуги может привести к краже данных карты пользователя на фишинговом ресурсе, устройство также может быть заражено вредоносным ПО», — говорит эксперт.
Руководитель исследовательской группы Positive Technologies Ирина Зиновкина добавляет, что лучше вообще перестать пользоваться бесплатными сервисами.
«Надо понимать, что поддержка VPN на стороне разработчика — трудоёмкая и затратная задача. И если не берутся деньги за использование, то они будут поступать разработчику через продажу данных пользователей», — отмечает Зиновкина.
Точно не стоит скачивать взломанные версии VPN-сервисов с торрентов, продолжает руководитель отдела отраслевых архитекторов Innostage Максим Хараск. Он напомнил, что даже на проверенных платформах есть сервисы, которые воруют данные или не защищают должным образом от злоумышленников. А на малоизвестных сайтах их в сотни раз больше.
Ведущий инженер CorpSoft24 Михаил Сергеев посоветовал выбирать тот сервис, который соблюдает строгую политику конфиденциальности и не хранит логи активности клиентов. Такие сервисы, как правило, платные, уточнил эксперт.
Всё это не значит, что VPN как явление должны перестать существовать. В добросовестных руках это полезный инструмент, действительно защищающий пользователя от утечки данных и отслеживания действий в сети. Но для неопытных пользователей случайные ВПН-сервисы могут быть опасны, и это всегда стоит иметь в виду.
Лучше потратить время и внимательно изучить отзывы о тех расширениях, которые вы хотите установить, особенно бесплатных. Ведь невнимательность в этом вопросе может стоить гораздо дороже предполагаемой экономии.
Коллаж: «Секрет фирмы», кадр из короткометражного фильма "Кунг Фьюри", kinopoisk.ru, Freepik/GarryKillian, nikitabuida, kjpargeter