Назад
Цифровая гигиена: как уберечь переписку в мессенджерах от конкурентов

Цифровая гигиена: как уберечь переписку в мессенджерах от конкурентов

Андрей Кузнецов, основатель и исполнительный директор dialog, рассказал изданию "Генеральный директор", как избежать утечки конфиденциальных данных из WhatsApp, Telegram и других мессенджеров.

У вас тоже есть корпоративный чат в WhatsApp? Конкуренты или любые другие недоброжелатели могут получить доступ к его содержанию. Я расскажу о шести приемах, которые позволят максимально защитить рабочую переписку от взлома.

1. Подключите двухфакторную аутентификацию. Уязвимость протокола SS7 — слабое место всех мессенджеров. При помощи специализированного оборудования или просто ноутбука с нужным ПО злоумышленники могут перехватывать SMS с кодом подтверждения мессенджера и вести переписку от вашего лица. При захвате аккаунта Telegram можно получить и доступ к архиву чатов.

Для защиты от этого вида атак включите второй фактор аутентификации.
В популярных мессенджерах это пароль или пин-код. В WhatsApp это выглядит так: «Настройки» → «Аккаунт» → «Двухшаговая проверка» → «Включить». Далее следуйте инструкциям мессенджера.

В корпоративной системе для аутентификации можно использовать аппаратные токены — небольшие устройства размером с флешку, обеспечивающие дополнительный уровень защиты. В начале 2017 года корпорация Google выдала такие токены всем своим сотрудникам. С тех пор, как утверждают ее представители, ни один аккаунт не был взломан.

Обычные SMS не считаются доверенным каналом и не используются для передачи конфиденциальных данных. Помимо или вместо SMS такие системы используют для авторизации биометрические данные — удостоверяют личность по голосу и лицу.

2. Отключите показ сообщений в уведомлениях. В течение нескольких лет данные Telegram с айфонов открыто пересылались из-за push-уведомлений. Оказалось, чтобы отобразить уведомление на устройстве, сервер мессенджера отправлял соответствующую команду на сервер Apple. Она содержала незашифрованный текст нового сообщения.

Сотрудники Apple и связанные с компанией спецслужбы могли без труда читать якобы защищенную переписку мессенджера, но в результате Telegram исправил эту уязвимость.

43% хакерских атак направлены на малый бизнес, который уделяет меньше внимания информационной безопасности Источник: Entrepreneur

WhatsApp использует для доставки уведомлений другой способ,
не раскрывающий содержимое третьим лицам. Однако отключить
их отображение на экране блокировки тоже стоит. Даже если вы уверены, что за спиной никто не наблюдает за устройством, современные камеры видеонаблюдения в помещениях способны уловить все происходящее
на телефоне, особенно если он неподвижно лежит на столе.

3. Включите в WhatsApp уведомление о смене ключа собеседника. Сквозное шифрование не всегда обеспечивает надежную защиту переписки. В WhatsApp клиентское приложение может каждый раз уведомлять пользователя о том, что ключ собеседника сменился.

Так случается по разным причинам: собеседник поменял телефон, авторизовался на другом устройстве, а может быть, вы стали жертвой атаки «человек посередине» — распространенный вид кибератаки, когда злоумышленник тайно получает доступ к каналу связи между двумя абонентами.

Допустим, некто — хакер, спецслужбы, недобросовестный администратор публичного Wi-Fi или сотрудник WhatsApp — представляется устройством вашего собеседника. В таком случае мессенджер автоматически сгенерирует новый ключ собеседника. Вы получите уведомление об этом.

По умолчанию функция в мессенджере отключена. Путь для активации: «Настройки» → «Аккаунт» → «Безопасность» → передвинуть ползунок «Показывать уведомления безопасности». Рекомендую периодически проверять, включена ли эта функция. Ее может удаленно отключить сервер WhatsApp, и вы об этом не узнаете. А прежде чем пересылать конфиденциальную информацию, стоит дополнительно проверить личность собеседника, например, с помощью аудио- или видеозвонка.

4. Предупредите сотрудников, что от вашего имени могут писать злоумышленники. Атаки методами социальной инженерии выглядят так. Недоброжелатель создает новый аккаунт в мессенджере. Копирует ваш аватар и имя, в результате чего аккаунт выглядит идентично настоящему. Затем он запрашивает у ваших сотрудников или контрагентов конфиденциальную информацию: финансовые отчеты, базу данных клиентов, тексты договоров, платежные данные.

Обучите коллектив основам информационной безопасности и периодически устраивайте им проверки. Например, поясните, что если вы общались
с сотрудником ранее, то в личном чате обязательно должна сохраниться история общения. Если ее нет, то это повод насторожиться, даже если собеседник ссылается на медленный интернет и на то, что история скоро дозагрузится. Для проверки вы можете устроить сотрудникам провокацию. Гарантирую, результат вас неприятно удивит.

5. Включите на Android шифрование данных на уровне операционной системы. На Android-телефонах и большинстве настольных компьютеров информация по умолчанию хранится в незашифрованном виде. Злоумышленник может скопировать вашу переписку, подключив телефон к компьютеру и запустив специальную программу.

Чтобы снизить риск утечки данных, вы можете зашифровать свой телефон средствами самой операционной системы. Путь для активации: «Настройки» → «Расширенные настройки» (не всегда) → «Безопасность» («Конфиденциальность») → «Шифрование» → «Зашифровать устройство».

После включения шифрования данные на устройстве и на карте памяти будут зашифрованы. Если злоумышленник разблокирует телефон, то он все равно получит доступ к информации. Однако это спасет данные, если кто-то украдет телефон или карту памяти и попытается прочитать ее на другом устройстве.

Хранилище устройств можно взломать удаленно. При таком виде атаки шифрование операционной системы не спасет.

6. Контролируйте число участников в групповых чатах. WhatsApp, например, может добавить нового пользователя в любой групповой чат
по своей инициативе. Если в вашем рабочем чате много контактов, то диверсия пройдет незамеченной.

Способа предотвратить появление нежелательных гостей в чате в этом мессенджере нет. Выхода два: вести рабочую коммуникацию в безопасной корпоративной среде, которая позволяет централизованно предоставлять право доступа к переписке, либо ежедневно проверять количество участников вашей переписки в мессенджере.

Порой случаются диверсии из-за невнимательности общающихся. Например, вы создали рабочую группу с сотрудниками и клиентом. Проект сдали, прошло несколько месяцев, один из участников чата уволился. И тут клиент высылает техническую документацию или иной конфиденциальный документ. Уволившийся сотрудник незаметно его читает.