Если ввести личные данные на сайте с использованием VPN, могут ли мошенники их получить и воспользоваться ими?
Все зависит от того, кто окажется мошенником: владелец сайта, который вы посетите, хакер, который попытается похитить ваши данные, или сам VPN-сервис. Расскажу, как работает технология VPN и про каждый из вариантов.
Что такое VPN
VPN — это аббревиатура, которая расшифровывается как Virtual Private Network, то есть «виртуальная частная сеть». Технологию придумали не для обхода блокировок или защиты от хакеров, а чтобы компании могли объединять филиалы в единую сеть. Например, чтобы работники офисов в Казани и Минске могли спокойно подключиться к базе клиентов в американском дата-центре.
Все данные в виртуальной сети зашифрованы и недоступны даже провайдеру, который обеспечивает соединение с интернетом. Благодаря этой особенности VPN стал популярен среди обычных пользователей, желающих скрыть свои действия в интернете.
Дело в том, что пользователь связывается с сайтами не напрямую, а через посредника — VPN-сервер. Вы набираете в браузере journal.tinkoff.ru, ваше устройство обращается к VPN-серверу и просит скачать данные вместо себя. В итоге сервер журнала не знает конечного получателя данных и думает, что общается только с VPN-сервером.
Кажется, вот она — анонимность: можно заходить на какие угодно сайты, а они никогда не узнают, что это был ты. Но увы, так это не работает.
Почему VPN не обеспечивает анонимность и безопасность
Представьте, что VPN — это бронированный инкассаторский автомобиль, которому все равно, что перевозить: что-то невинное вроде цветов или письмо с вирусом сибирской язвы.
Так же работает и VPN: если попросить его отправить ваши данные мошенникам или добавить на ваше устройство вирус, он это сделает. Да еще и в зашифрованном виде, чтобы не вмешалась третья сторона вроде системных администраторов, которые потенциально могут от этого вируса защитить.
VPN не защищает от вредоносных программ на вашем устройстве. Если хакер уже установил вам кейлоггер — программу, которая считывает нажатия клавиш, — VPN не помешает ее работе. Вы зайдете на сайт через зашифрованный канал, введете данные карты, кейлоггер их перехватит и отправит хакеру по тому же зашифрованному VPN-каналу.
VPN не распознает сайты мошенников и не защищает там ваши данные. Если вы зайдете на поддельный сайт РЖД, VPN вас никак не остановит и не предупредит. А если оставите данные паспорта на сайте фальшивого «Аэрофлота», они окажутся в базе мошенников в незашифрованном виде.
VPN не скрывает вашу личность, если вы вводите логин и пароль. Когда вы подключаетесь к сайту через VPN, сервер действительно не знает, с кем имеет дело. Но если вы зайдете в свой аккаунт на сайте, все старания пойдут насмарку: серверу сайта будет все равно, через какой IP вы зашли, все данные с этого момента будут ассоциироваться с вашей учетной записью.
Может ли сам VPN-сервис украсть данные
Подключаясь к VPN, вы отдаете весь трафик владельцу сервиса. Как он распорядится этими данными, узнать невозможно.
Специалисты по кибербезопасности не советуют использовать VPN для любой чувствительной интернет-активности. Нет никаких гарантий, что сервис не будет использовать ваши данные в коммерческих целях. В первую очередь это касается бесплатных VPN, котором надо как-то окупать свою работу.
Один из способов монетизации — анализ трафика пользователей и продажа информации рекламодателям. Если вы зайдете на сайты онлайн-казино под VPN, будьте уверены, что реклама в интернете начнет зазывать вас к букмекерам — даже когда VPN отключен. Все потому, что рекламодатели сопоставили вашу личность до и после подключения к VPN — и смена IP-адреса больше не вводит их в заблуждение.
Например, популярный сервис VPN Hotspot Shield собирал данные пользователей и перехватывал трафик, несмотря на заявления о полной анонимности. Компания собирала cookies и сотрудничала с другими организациями в рекламных целях.
Сервисы могут анализировать трафик пользователей не только ради рекламы. В ноябре 2021 года на продажу в даркнете выставили базу данных 45 млн пользователей сервисов FreeVPN.org и DashVPN.io. С помощью похищенной информации хакеры взламывают другие ресурсы, на которых пользователи регистрировались с теми же данными. Или шантажируют посетителей сайтов для взрослых.
Подробнее об опасностях бесплатных VPN-сервисов мы рассказали в отдельной статье.
Зачем тогда использовать VPN
Чтобы посещать сайт как бы из другой страны. Обычно российские пользователи используют VPN, чтобы получать доступ к зарубежным ресурсам, — скажем, слушать Spotify или смотреть Disney+.
Но бывает и обратная ситуация, когда из-за границы нужно подключиться к российским сайтам. Например, вне России не открываются госуслуги, «Авито», сайты РЖД, Почты России, а также ФНС, ФССП, Минстроя и других ведомств.
Обойти региональные ограничения как раз и помогают VPN-сервисы. Так как к сайту обращается не пользователь, а сервер-посредник в нужной стране, конечный сервер ничего не заподозрит и будет работать так же, как для местных пользователей.
Но есть нюанс: владельцы сайтов знают IP-адреса VPN-серверов и догадываются, что запросы на самом деле поступают от тех, кто пытается обойти ограничения. В теории эти адреса можно добавить в черный список, как это пытается сделать Роскомнадзор. Но VPN-сервисов множество, а адреса серверов меняются регулярно — заблокировать все невозможно. Если не получилось подключиться к сайту через один сервис, попробуйте несколько других.
Чтобы подключиться через публичный вайфай. Если вы пришли поработать в кафе и подключились к вайфаю без пароля, хакеры легко перехватят ваш трафик. Вряд ли они расшифруют данные: большинство сайтов пересылают информацию по защищенному протоколу HTTPS. Но если вы оставите личные данные на сайте, на котором до сих пор используют незащищенный протокол HTTP, хакеры их увидят.
VPN обеспечивает дополнительный слой шифрования данных, а некоторые VPN-сервисы могут обнаружить перехват и предупредить пользователя. Но даже если сигнал вайфая перехватят, хакеры не увидят ничего, кроме кракозябр. Зашифрованный запрос к сайту выглядит примерно так:
..0R7.D…."…..-.O..d..J<..4….M……..f`..@z./xAF….u.?SXJ..,P8t…L.-g…)T,..Hk.Zz..>…|.w.$W.o.8ydS.:…….#…\..|T}…..!..7u..B…@…:..R6…y..b.9/\.Wa.{…Vh…A..Y7..0.e.>T…….+xu..G..M.S..M.qyg..n…Kr………}.K…^R..%..n.S…<|5.B.A.`G..:x.3?……c..).3%.{…#..@o…zN&{tU+f….&..G…….uj…v…8X.. @…kry.. j<……E>..l..V…P.x…9…..D..S.s-…3……,…'..N..K..=D.
Что в итоге
VPN — это всего лишь технология, которая помогает выходить в интернет с помощью сервера-посредника и шифрует трафик между отправителем и получателем. Она не умеет распознавать сайты мошенников, не защитит ваши данные, если вы сами их введете, не обезопасит от вирусов. Если у вас на устройстве установлена программа для перехвата данных, VPN без колебаний отправит эти данные мошенникам.
VPN может предупредить, если кто-то перехватит ваш трафик. Но при этом владельцы VPN-сервиса сами могут перехватить ваши данные и использовать в своих целях.
VPN скрывает ваш IP-адрес и местоположение. Но он не обеспечит полную анонимность, особенно если вы войдете в свою учетную запись на сайте.
Правила безопасности в интернете при работе с VPN ровно такие же, как без него. Если хотите защитить свои данные, пройдите третий урок нашего бесплатного курса «Как защититься от мошенников» — это займет 15 минут.
Что-то последнее время впн активно мочат в Российском медиа (хм), даже ролики снимают рекламные. Интересно, что же случилось
Если при запросе дополнительных разрешений Вы не нажали Да (например адресная книга, файловая система и ДР.), то VPN сервис видит:
1. Все содержимое (в том числе логины и пароли и всю личную информацию) при работе с ресурсами где в начале адреса стоит http: (без Sв конце)
2. Видит адреса сайтов на которые вы заходите для ресурсов которые работают через https: (или замочек в браузере).
Если трафик не шифруется (http) - то спокойно может, если шифруется (https) то в общем случае нет.
На сколько помню, на последней версии протокола https нет возможности провести атаку Man-in-the-middle, хотя именно такая атака крайне удобна, т.к. VPN по сути и является "человеком по середине"(что означает, что половина работы уже сделана автоматически для ее проведения)
Конечно всегда могут найтись уязвимости в https или какую-то новую атаку придумают. Но это звезды должны сойтись: должна быть обнаружена уязвимость, ей должны воспользоваться раньше, чем о ней узнают, ее должен эксплуатировать именно ваш провайдер VPN, вы должны ввести чувствительные данные, пока уязвимость не исправлена
Ilya, совершенно верно пишите.
Я удивлен безграмотностью автора, который видимо по заказу надрал из интернета тезисов и склепал статью. Видимо только из-за "заказа" ее и пропустили, ибо любой даже малограмотный эксперт скажет что трафик https шифруется асимметричными ключами (SSL на основе RSA) и никто посередине (атака MITM), без установки дополнительных сертификатов у вас на устройстве не сможет расшифровать и/или подменить что-либо в трафике. Все тезисы легко проверяются по названиям и аббревиатуре - читайте первоисточники.
Дмитрий, тут есть нюанс.
В плане трафика вы правы, но есть "но"
Если vpn без проприетарного клиента, то вы правы, а вот если не так...
Большинство vpn устанавливают свои приложения.
Что именно они могут делать (в том числе играться с сертификатами и собирать данные) в общем случае неизвестно.
Грубо "если вы не платите за услугу - то вы не потребитель, а товар".
То есть потребитель это тот, кто продает вам рекламу и/или покупает ваши данные .
Дмитрий, я удивлен, что вы не увидели мой раздел про публичный вайфай, где я про это пишу)
Алексей, но ведь итог статьи больше сводится к тому какое плохое это ваше впн, разве нет? мне кажется как раз не хватает информации о том что сайты могут быть http и https, разницы между ними, преимущества использования впн в обычной жизни и список топ хороших впн)
Дмитрий, выводы каждый делает для себя сам) У нас есть материалы и про хорошие впн: https://journal.tinkoff.ru/short/trusted-vpn-services/
Тут читатель спрашивал, возможна ли кража данных через VPN-сервисы? И как понимаете, ответ: да, возможно. Зачем маскировать правду - я не понимаю.
Алексей, я скорее не понимаю (точнее понимаю) зачем сейчас начали так негативить на впн
данные крадут и с впн и без впн) причём наверняка без впн ощутимо больше
а за статью по впн спасибо)
Я поднял свой впн, это делается буквально 10 минут, инструкций полно, и я ни от кого не завишу. Всем рекомендую! Если это звучит сложно, то это только так звучит. Но я воспользовался этим методом не из-за боязни за свои данные, а ради стабильности и более высокой скорости. Что касается даже бесплатного ВПН - ребята видят только то, что видит провайдер, а именно: адреса сайтов, всё. Всё взаимодействие с сайтом (https) идет через SSL, довольно надежная штука. Так же есть сайты http, у которых нет сертификата (и чтобы попасть на такой сайт, нужно пропустить все предупреждения браузера, случайно вы туда не попадете!), но об этом вас предупреждает сам браузер — пишет, что там нет сертификата. Нечего туда просто заходить и всё! А все сливы личных данных, которые произошли за последний год с небольшим, это отнюдь не из-за ВПН, это от недостаточности уровня штрафов для компаний за подобные утечки и следующую из этого безалаберность по отношению к нашим с вами данным!
Ещё, ssl устаревший протокол и там кучу дыр уже нашли. Сейчас tls(версии 1.3) используется, но в целом верно
Создать свой VPN сервер сейчас стало настолько просто, что некоторые создают его прямо под конкретную задачу.
Существует некоторое количество облачных провайдеров, которые предоставляют бесплатный период пользования своими ресурсами, например Digital Ocean. Можно 60 дней играться чем угодно, дают на это 200$, при том что стоимость подходящего ресурса 7$ в месяц.
Algo VPN сервер разворачивается за несколько минут практически без участия человека и вот уже у вас есть 60 дней бесплатного вашего личного VPN на максимальной скорости.
VPN-сервис имеет чисто техническую возможность просматривать весь трафик.
Поэтому многие банки, имеющие откровенно дырявые приложения (например Райф передаёт данные пользователя через https в открытом виде) запрещают подключаться к ним через VPN или с телефона, имеющего root-права.
Не хочется рисковать - надо арендовать хостинг (VPS) и настраивать свой VPN.
А у меня другой вопрос: VPN-приложения ведь могут воровать данные пользователя? Есть ли безопасные VPN-приложения? У кого какие?
Наталия, кроме просмотра траффика VPN-приложение может смотреть те данные, которые Вы разрешили, например адресную книгу или файловую систему.
Сейчас из-за работы РКН нет смысла использовать популярные приложения, даже в платном режиме работают крайне медленно или вообще периодически не подключаются. Оптимальный способ это сделать свой личный VPN-сервер например на WireGuard. Инструкций в интернете уже много и стоит дешевле подписки на платные тарифы приложений.
Самое лучшее приложение, на мой взгляд — openvpn. Но к нему нужно докупить .ovpn файл с настройками у любого провайдера VPN-услуг.
Из всего списка посещаемых в сети мест, доверять нельзя никому. Любой ресурс/приложение может передавать ваши данные. Здесь уже каждый сам определяет, какую интернет-контрацепцию ему выбирать.
У нас государство сейчас стращает пользователей vpn тем, что они могут сливать данные. Так я скорее боюсь собственное государство, чем мошенников
Shadowsocks, v2ray, наше всё)