Чат в мессенджере: как повысить уровень безопасности в общедоступном сервисе

Кража учетной записи в мессенджере может привести к потере денежных средств и данных близких пользователя, его коллег, соседей и так далее. Иногда инфраструктура даже крупной компании может быть скомпрометирована из-за «угнанного» аккаунта в общедоступном мессенджере, если сотрудники вопреки политике безопасности делились в них чувствительной информацией, к примеру, файлами конфигурации удаленного рабочего стола или данными учетных записей. В том числе эти риски есть в чатах. Евгений Янов, руководитель департамента аудита и консалтинга компании F6 рассказал, на что нужно обратить внимание для максимально безопасного общения в общедоступных мессенджерах на примере Telegram и WhatsApp. Большинство рекомендаций актуальны и для других публичных сервисов обмена сообщениями — достаточно найти аналогичные вариации настроек.

Как правило, при создании чата выбор делается в пользу распространенных мессенджеров, которые есть у большинства пользователей — Telegram и WhatsApp. Это могут быть рабочие, школьные, районные, домовые чаты, группы по интересам или созданные для решения каких-либо задач.

Для большинства пользователей главная задача с точки зрения информационной безопасности заключается в том, чтобы обмениваться информацией, сохраняя конфиденциальность, не допустить «угона» аккаунта в мессенджере и компрометацию своих устройств.

Злоумышленники могут использовать доступ к переписке и личным данным для проведения различных атак на пользователя и его окружение. Также они могут получить доступ к конфиденциальной информации, а если владелец угнанной учетной записи «держал» в переписках логины и пароли к корпоративным сервисам, то и скомпрометировать сеть организации.

Чтобы получить доступ к аккаунтам, киберпреступники используют различные методы социальной инженерии, вредоносные ссылки или вложения, подбор пароля или данные из утечек.

Риски компрометации и «перехвата» учетной записи есть и в специализированных корпоративных мессенджерах, но вероятность успеха «злоумышленников» здесь ниже благодаря дополнительным рубежам защиты, предусмотренным требованиями безопасности организации. Кроме того, если в публичном мессенджере за сохранностью аккаунта, по сути, следит только сам владелец, то в корпоративном сервисе, как правило, есть постоянный контроль со стороны службы информационной безопасности компании.

В первую очередь, необходимо использовать встроенные механизмы защиты, которые есть в Telegram и WhatsApp. В настройках мессенджера есть вкладка «Безопасность и приватность» или «Конфиденциальность», где можно указать, какие данные и кому будут видны (ваш номер телефона, фото, статус, время онлайн, активность), кто может вам звонить, можно ли добавлять вас в чаты и так далее. Эти настройки помогут защитить вас от мошеннических атак по многим известным сценариям.

Если вас добавили в чат, пишут лично или звонят, внимательно изучите информацию о пользователе, участниках переписки и другие видимые детали.

Стоит подвергать сомнению все сообщения, где от вас требуют совершить какое-либо действие, открыть неизвестный файл или ссылку, задают вопросы о ваших данных или учетных записях. Не сообщайте никакую личную информацию, в частности, ФИО, паспортные данные, номера банковских карт, и не соглашайтесь на переход в другие мессенджеры или на сайты якобы для продолжения общения или выполнения определенных действий. Мошенники часто активно заманивают пользователя на другие площадки, что особенно заметно и должно вас насторожить.

Кроме того, в Telegram есть функционал, показывающий данные о собеседнике при первом взаимодействии. Он включает страну, дату регистрации аккаунта и другие данные о пользователе. Это поможет владельцам аккаунтов легче выявлять подозрительные профили и минимизировать риски общения с ними. В первую очередь сомнения должны вызвать недавняя регистрация учетной записи собеседника и страна, отличная от места жительства пользователя и его знакомых.

Еще о мерах защиты. В мессенджерах обязательно стоит включить двухфакторную аутентификацию. В Telegram «облачный пароль» включается в настройках конфиденциальности, а в WhatsApp — «Ключи доступа» в разделе «Аккаунт». Также можно установить дополнительный пароль для входа в приложение: «Код-пароль» в Telegram и «Двухшаговая проверка» в WhatsApp.

Также стоит периодически проверять активные сессии — с каких устройств осуществлялся доступ к вашему аккаунту. Если вы обнаружите, что устройство в списке активных сессий не ваше, то нужно как можно скорее закрыть сессию и изменить пароль.

Важно помнить об актуальности телефонного номера, связанного с аккаунтом. Известные случаи, когда люди теряют доступ к своему мобильному номеру, но не «отвязывают» его от аккаунта в Telegram, что также может привести к компрометации.

Ни в коем случае не следует хранить пароли, конфигурационные файлы для доступа и другую конфиденциальную информацию в «Избранном» (Saved Messages) в Telegram — это часто становится причиной взлома инфраструктуры организаций. Для хранения такой информации лучше использовать проверенный менеджер паролей, например, KeePass.

Дополнительно можно настроить push-уведомления так, чтобы текст сообщений не был виден на заблокированном экране.

Очевидный, но всё же актуальный совет: при добавлении новых участников в чат проверяйте аккаунты. Можно по ошибке добавить учётную запись человека с похожим именем, в том числе поддельную, или старую учётную запись, которая была скомпрометирована. Так как отображаемое имя в профиле можно указать любое, то лучше ориентироваться на «имя пользователя» (@....) и на номер телефона.

Стоит быть внимательными к необычному поведению собеседников. Должны насторожить необычные просьбы от знакомых, коллег, несвойственные им обращения или манера письма. Например, если коллега, с которым вы общаетесь на «ты» вдруг стал обращаться на «вы» и по имени, отчеству.

Владельцам, администраторам групп и чатов следует просить участников сообщить, если они заметили странную активность в своем аккаунте, чтобы обезопасить свои контакты.

Если участник рабочего, домашнего или школьного чата начинает массово отправлять сообщения с просьбами о финансовой помощи, предложениями быстрого заработка, подозрительными ссылками и файлами, например, с вопросом «Это ты?» или просьбами проголосовать в конкурсе, то это повод для беспокойства. Злоумышленники могут писать под разными предлогами как с угнанным аккаунтов, так и с поддельных, например, в личных сообщениях, и точно также представляться знакомыми, работодателями, банками. Нужно связаться с пользователем другим способом, прежде чем отвечать. Если подозрения подтвердятся, то необходимо немедленно удалить угнанный аккаунт из чата. Также нужно изменить пароли и ссылки к документам, если они были переданы в чате, где находился скомпрометированный аккаунт. Также следует предупредить круг контактов, что мошенники используют украденный аккаунт легитимного владельца. Стоит проявлять осторожность и при использовании ботов: даже если бот не отправляет вам вредоносные файлы или ссылки он всё ещё может собирать ваши данные (как минимум, боту доступны данные профиля, включая номер телефона). Если более нет необходимости в использовании какого-либо бота, рекомендуется отозвать для него права на взаимодействие. Если вы обсуждаете особо конфиденциальную информацию, то в мессенджере можно создавать для этого секретные чаты или «самоуничтожающиеся сообщения»: в Telegram можно включить таймер удаления сообщений, а в WhatsApp есть функция «исчезающие сообщения».

Если речь идёт о конфиденциальной служебной информации, то важно понимать, что любой публичный мессенджер, при всех мерах безопасности, не является доверенной средой. Для конфиденциальной информации следует использовать специально созданные для этого инструменты и контролируемую организацией инфраструктуру, а не общедоступный сервис.

В повседневной жизни можно использовать надёжный публичный мессенджер, но с определёнными условиями: не пренебрегать инструментами безопасности и использовать дополнительные меры защиты для максимальной конфиденциальности. И еще стоит подвергать сомнению все сообщения от подозрительных собеседников, особенно если от вас требуют какое-либо действие или просят предоставить чувствительную информацию.