Подключаясь к Wi-Fi сети в своем любимом кафе, уверены ли вы в своей безопасности? На что вы подписываетесь, подтверждая свой номер телефона? Ответы на вопросы о рисках использования публичных точек доступа.
Причиной усложнения процедуры авторизации в публичных Wi-Fi сетях стали благие намерения государственных органов. Министерство внутренних дел и Федеральную службу безопасности России давно беспокоило обилие неконтролируемых точек входа в Интернет, которые, наряду с законопослушными гражданами, могли использовать террористы хакеры и прочие разномастные преступники.
Пытаясь исправить ситуацию, эти ведомства добились принятия нескольких постановлений правительства, чей посыл, несмотря на косноязычность юридических формулировок, вполне ясен: необходимо отслеживать, кто и когда подключается к публичным Wi-Fi сетям.
Теперь в России личность абонента точки доступа устанавливается по номеру мобильного телефона. Поскольку SIM-карту, в теории, нельзя получить без паспорта, такая схема была признана правительством надежной и введена в эксплуатацию. Данные о факте подключения, времени и номере телефона абонента, что он ввел в форму на стартовой странице хот-спота, теперь сохраняются у хозяина точки доступа на срок не менее полугода, на тот случай, если ими заинтересуются правоохранительные органы.
На этом месте все параноики и анонимусы-любители, читающие Trashbox, должны окончательно распрощаться с публичными Wi-Fi сетями, если по какой-либо причине они до сих пор продолжали подключаться к хот-спотам. Но чего опасаться обычным людям?
Хакеры и Wi-Fi сети
Поскольку SIM-карты продолжают находится в открытой продаже, требования по авторизации в Wi-Fi сетях при помощи номера мобильного телефона не эффективны в поиске тех, кто целенаправленно скрывает свою личность и имеет хотя бы базовое представление об информационной безопасности.
При этом, обязательная авторизация в хот-спотах, при помощи мобильного телефона, создает заметные риски для законопослушных граждан. Я не совершу открытия, рассказав о том, что публичный Wi-Fi небезопасен в принципе. Существует достаточно много распространенных и простых средств, позволяющих перехватывать данные, передаваемые по этому каналу связи, без вмешательства в программное обеспечение роутера и устройств, к нему подключенных.
Самые простые атаки класса MITM (Man in the middle) — «человек по середине» можно осуществить даже при помощи рутованного смартфона и единственного приложения, а с помощью ноутбука со специализированной операционной системой и небольшой антенной мало-мальски опытный хакер может полностью контролировать происходящее в беспроводной сети, вплоть до подмены сайтов и загрузки вредоносного программного обеспечения на устройства, к ней подключенные. И не удивительно, ведь суть атаки «человек по середине» заключается в перенаправлении трафика, идущего от смартфона к роутеру и обратно. Между ними внедряется компьютер-посредник, читающий все данные, отсылаемые в обе стороны и способный манипулировать ими произвольным образом.
Защитить от MITM-атаки способны VPN–приложения, шифрующие передаваемые данные еще на смартфоне и отправляющие их в интернет в защищенном от чтения посторонними виде, но пользуются ими очень немногие, в то время, как авторизоваться на сайтах, заходить в личные кабинеты банков и совершать покупки при помощи Wi-Fi никто не опасается.
Теперь же, давайте грубо прикинем, как много новых возможностей появляется у злоумышленника, с появлением форм авторизации в Wi-Fi сетях при помощи номера телефона. Используя поддельную точку доступа или перехватив ваши данные, при авторизации в официальной точке доступа, злоумышленник узнает ваш номер. Такая информация очень ценна.
- Во-первых, ее всегда можно продать спамерам, которые постоянно собирают свежие номера для массовых рассылок.
- Во-вторых, номер телефона повсеместно используется при авторизации в различных сервисах и мобильных приложениях. Его знание послужит хорошим подспорьем при поиске ваших аккаунтов в сети и их последующем взломе.
- В-третьих, номер телефона позволяет вас обмануть. Уже давно никого не удивляют истории о внезапных звонках от родственников, которым срочно нужны деньги или работников банков, которым неожиданно понадобился номер вашей карты и PIN-код. Все мы думаем, что хорошо знаем приемы телефонных мошенников, но, тем не менее, они продолжают успешно выманивать деньги играя на неожиданности, страхах и убедительности своих сценариев.
- Наконец, в-четвертых. Авторизируясь при помощи мобильного телефона для получения подключения к сети интернет, вы, как правило, получаете SMS-сообщение. Код из него послужит доказательством того, что номер телефона актуален и принадлежит вам. Беда заключается в том, что таким же образом подтверждается согласие на получение платных услуг от оператора связи и его партнеров. Таким образом, авторизировавщись в подозрительном хот-споте, вы может и получите доступ к сети интернет, но заодно имеете все шансы на получение «бонуса» в виде регулярной рассылки прогнозов погоды, или того хуже, бородатых анекдотов по 10 рублей за штуку.
Маркетологи и Wi-fi сети
Даже если хот-спот установлен в вашем любимом кафе или ресторане, вы не находитесь в информационной безопасности. Просто теперь ваши данные достанутся другим людям. Ни в офисе именитой организации, ни в фойе отеля, нет никаких гарантий, точка доступа в сеть интернет не будет использована для того, чтобы на вас заработать.
Рекламный рынок активно развивается и чутко реагирует на все изменения в телекоммуникационной сфере. Когда законодатель обязал владельцев открытых точек подключения к сети интернет, собирать данные о клиентах, маркетологи обрадованно потирали руки, как, впрочем, и производители точек доступа, проектируемых специально в расчете на установку в общественных местах.
В результате их совместных усилий сейчас не сложно найти готовое программно-аппаратное средство для администрирования публичной точки доступа и не только. Казалось бы, все, что требуется от такой системы организовать авторизацию по номеру мобильного телефона через отправку СМС-сообщений, однако разработчики постарались на славу и предлагают достаточно сложные, функциональные продукты для работы с клиентами Wi-Fi сетей и сбора информации о них.
Я приведу неполный список типичных функций такой Wi-Fi точки доступа в интернет, собранный из нескольких описаний на сайте ее производителя:
- Сбор данных о пользователях (номер телефона, профили в социальных сетях, пол, день рождения, количество входов, время и так далее, и тому подобное).
- Сбор данных об устройствах (mac-адрес устройства, размер экрана, производитель, используемая операционная система, версия браузера).
- Сортировка собранных данных, поиск по ним и выгрузка статистики в различных форматах для дальнейшей обработки
- Интеграция с социальными сетями.
- Отправка СМС-сообщений через СМС-агрегаторы, автоматизированные звонки;
- Ограничения времени активности пользователя, доступного контента и скорости подключения.
- Подсчет количества пользователей с включенным Wi-Fi модулем, не подключившихся к точке доступа.
- Анкетирование пользователей.
- Различные типы всплывающих баннеров: изображение, видео, GIF, flash, текстовые, встраиваемые рекламные объявления, возможность подмены рекламы на сторонних сайтах новыми объявлениями.
Устанавливая подобный хот-спот в кафе, баре, гостинице или ресторане, владелец заведения не просто исполняет требования закона, но и получает возможность следить за посетителями, изучать их предпочтения, интересы. В списке выше следует обратить особое внимание на то, что хот-спот запоминает mac-адреса подключенных к нему устройств, а эти адреса уникальны и точно идентифицируют ваш смартфон, планшет или ноутбук.
Самое неприятное заключается в том, что закон разрешает хранить такую информацию неопределенно долго и никак не препятствует ее использованию в интересах маркетологов.
Так, пользуясь бесплатным интернетом, например, в магазине дорогой спортивной одежды, вы, конечно, ожидаете увидеть баннеры с рекламой его товаров, и местный хот-спот не обманет ваших ожиданий. Но, совершив покупку и вернувшись домой, вы, должно быть будете удивлены и недовольны СМС-сообщением из того же магазина и тем более, вам не понравится рекламный звонок. Однако, вы точно не ожидаете, что, узнав mac-адрес вашего смартфона, рекламный отдел магазина сформирует запрос на целевую рекламу через популярную баннерную сеть, и кроссовки с лыжами будут преследовать вас на любимых сайтах при подключении через домашний интернет.
Конечно, этот пример слегка утрирован, и на деле рекламщики, скорее всего, будут действовать тоньше, однако сути происходящего это не меняет. Подключаясь к публичному Wi-Fi, вы фактически меняете доступ в интернет на личные данные, добровольно превращаясь в объект неявной, но эффективной рекламной компании.
Не все владельцы точек доступа пользуются такими возможностями, но многие. Сложно их в этом винить, в конце концов, публичный Wi-Fi оказывается и мощным рекламным инструментом и неплохим способом упростить жизнь клиентам, например, выдавая завсегдатаям персональные скидки или специальные предложения. Однако, здесь наблюдается различие в подходах. Никто не обязывает владельца точки доступа предупреждать о том, что она собирает данные о пользователях и тем более, спрашивать их разрешения. Поэтому только редкие честные компании помещают на страницы авторизации предупреждения о сборе информации и ее обработке. И то, как правило, не предоставляют выбора. Или вы меняете доступ в интернет на свои контакты и метрики, либо остаетесь без подключения к глобальной сети.
Может показаться, что я сгущаю краски, однако за рассылкой рекламы по телефонным номерам, собранным при помощи Wi-Fi точек, были замечены многие крупные компании, от сети магазинов «Перекресток» и до московского метрополитена. Хотя федеральная антимонопольная служба не одобряет таких действий, рассматривает их как нарушение закона «О рекламе», выносит предупреждения и накладывает крупные штрафы, у ведомства определенно нет ни времени, ни сил, ни практической возможности проверить все без исключения хот-споты.
В сложившейся ситуации забота о приватности остается вашим личным делом. Мы лишь можем дать один универсальный и несколько полезных советов, которые помогут не стать жертвой хакерской атаки или объектом нежелательных рекламных компаний.
Универсальный совет:
- Не подключайтесь к публичным Wi-Fi сетям.
Полезные советы:
- Если ваш смартфон поддерживает работу с двумя SIM-картами, заведите дополнительный номер. Не связывайте его с аккаунтами, не держите на нем много денег и не используйте больше нигде, кроме как для авторизации в сомнительных Wi-Fi сетях.
- Внимательно изучайте страницы авторизации перед подключением, смотрите, на что соглашаетесь, вводя номер телефона.
- Используйте доверенные VPN-приложения или не заходите при помощи публичных точек доступа на сайты, требующие авторизации. Особенно банковские страницы и аккаунты в социальных сетях.
- Если вы начали получать СМС сообщения с неизвестных номеров вносите их в черный список. Многие смартфоны снабжены таким «из коробки», для остальных же подходящее решение найдется в магазине приложений.
- Если вы хорошо представляете, от какой компании приходят рекламные сообщения, и не пожалеете времени на составление претензии, эффективным может быть обращение с жалобой в государственные органы. На ваше заявление отреагирует Федеральная антимонопольная служба, Прокуратура или Роскомнадзор. Только не ждите моментального результата. На рассмотрение жалобы уйдет значительное время.
Источник trashbox.ru | Автор Santry