Едем в отпуск: я и моя паранойя

28.08.2020

Сфера туризма оживает после пандемии. Россияне осваивают внутренние направления, постепенно открываются и зарубежные: Турция, Великобритания, Швейцария, Черногория, Куба, Доминикана, страны Восточной Африки. Мы стали внимательнее в вопросах охраны здоровья, и в поездках особенно тщательно следим за личной гигиеной. А что насчёт гигиены цифровой? Специалисты Digital Security составили топ возможных угроз, от которых хочется предостеречь путешественников.

А ты точно туроператор?

С этого вопроса советуем начать, если бронируете что-то на новых, неизвестных ресурсах. Почитайте отзывы и (если уж решились) убедитесь, что совершаете платёж на защищённой странице: адрес должен начинаться с «https://», а не «http://». Протокол https не даёт стопроцентную гарантию, что сайт не является мошенническим, но всё же уменьшает этот риск.

Косвенную угрозу таят и проверенные букинги-скайсканнеры. Мошенники часто подделывают популярные сайты, создавая их фишинговые клоны. Ссылка на фишинговый сайт или страницу акции может прийти в email-рассылке, также на неё можно перейти из рекламного баннера. Поэтому не ленитесь заглянуть в адресную строку и проверить: https://www.booking.com/ – это не то же самое, что https://www.booklng.com/.

Там, где не платят часами

Отправляясь в новую локацию, стоит узнать об особенностях совершения платежей. Не везде распространены терминалы бесконтактной оплаты. Например, в странах Африки, Южной Америки (кроме Бразилии) и Западной Азии (кроме Саудовской Аравии) не работает система мобильных платежей (Apple Pay, Google Pay и др.). В США, в сравнении с Россией, намного реже встречается PayPass.

В Японии и Китае более популярны собственные платёжные системы – JCB и We Chat Pay, чем привычные иностранцам Visa и Mastercard. А карту МИР, вопреки названию, принимают только в странах ЕАЭС (Россия, Беларусь, Армения, Казахстан и Кыргызстан) и Турции.

Учитывая возможные сложности с картами, туристы стараются иметь при себе наличные. И вот тут кроется угроза. Мы советуем пользоваться банкоматами внутри офисов банков. Снимая деньги в слишком людных местах (метро, подземный переход) или наоборот в одиноко стоящих уличных банкоматах, вы рискуете стать жертвой скимминга.

Мошенники модифицируют интерфейс банкомата с использованием специального оборудования (скиммера), чтобы скопировать данные вашей карты, а затем изготовить её дубликат. Скиммеры становятся всё более незаметными и могут быть установлены внутрь слота для карты. После запуска скиммер перекачивает данные вашей карты, иногда даже напрямую на мобильный телефон преступника через Bluetooth.

Сети расставлены

Большинство публичных мест – от аэропортов до кафе и торговых центров – предлагают бесплатный Wi-Fi. Туристам это удобно: можно сориентироваться в незнакомой местности, найти нужную информацию, вызвать такси.

К сожалению, бесплатный не значит безопасный. Под "Free_WiFi" может скрываться зловредная сеть, при подключении к которой весь ваш трафик – логины, пароли и другие данные – попадёт в руки злоумышленников. Кроме того, большое скопление незащищённых пользователей, подключённых к одной сети, позволяет довольно легко распространить вредоносное ПО, например, программу-вымогатель.

Если устройство предупреждает вас о подключении к незащищённой сети – это значит, что сеть не защищена паролем и шифрованием. С паролями, думаем, всё понятно. Шифрование же означает, что информация, которая передаётся между вашим устройством и маршрутизатором, имеет форму “секретного кода”, поэтому её невозможно прочитать без ключа для расшифрования этого кода. Когда же вы подключаетесь к сети, не защищённой шифрованием, злоумышленник может вклиниться в сеанс и перехватить данные. Отметим, что даже если для сети установлен пароль и подключение значится как защищённое, мошенник может попытаться получить пароль точно так же, как и другие пользователи, а обход механизмов шифрования – дело его квалификации. Однако стать жертвой, подключаясь к незащищённой сети, гораздо легче. Не упрощайте жизнь мошенникам.

Будем реалистами: вряд ли вы напуганы настолько, чтобы никогда больше не подключаться к публичному Wi-Fi, однако проявляйте должную осторожность.

Отключите на своем устройстве автоматическое подключение к Wi-Fi сетям. И это мы советуем сделать не только путешественникам, а вообще всем пользователям. Если эта опция активирована, ваше мобильное устройство периодически опрашивает окружение в поисках знакомой сети. Злоумышленники могут притвориться такой сетью и подключить мобильное устройство в свою сеть без вашего ведома.

Используйте публичный Wi-Fi, только если это действительно необходимо. А подключившись...

  • открывайте вкладки в браузере в режиме инкогнито
  • старайтесь не вводить логины-пароли, данные банковских карт и другую критичную информацию, лучше потратьте на это мобильный трафик
  • ничего не скачивайте и не обновляйте

Juice Jacking, или как слить личные данные через зарядку

Кроме публичного Wi-Fi опасность представляют и зарядные станции, расположенные в аэропортах, торговых центрах, зонах отдыха. Дело в том, что питание и поток данных в смартфонах проходят по одному и тому же кабелю. И если вы подключитесь к модифицированной злоумышленником зарядной станции, он сможет скопировать ваши данные или установить на устройство вредоносное ПО. Такие атаки называются Juice Jacking.

Чтобы избежать этого, используйте девайс под названием USB-condom, который выступает посредником между портом зарядки и устройством и блокирует передачу данных. Ещё один вариант: зарядить сначала пауэрбанк, и уже от него – своё устройство.

Код. QR-код

QR-коды можно встретить везде: от музейной витрины до скамейки в парке. Они могут быть полезны и сообщать интересую информацию, а могут и загрузить на ваш телефон вредоносную программу или привести на фишинговый сайт. Подобное часто встречается в Азии, где распространена оплата по QR-коду. Например, водителю из Шанхая не повезло оплатить штраф за парковку по поддельному коду. А вот так развлекались с QR -кодами злоумышленники в Астраханской области.

Советуем не сканировать подозрительные коды, размещённые в непонятных местах, и уж тем более, не оплачивать с их помощью что-либо. Используйте сканер QR-кодов со встроенной функцией предварительного просмотра: он считывает код и отображает контент за ссылкой. В App Store и Google Play есть подходящие приложения.

Надеемся, путешествия скоро окончательно вернутся в нашу жизнь. А пока привыкаем соблюдать не только правила эпидемиологической безопасности, но и безопасности информационной.