Перейти к основному разделу

Видеозвонки и видео-конференц-связь: как защититься от хакеров

Во всем – от домашнего обучения детей и полноценной удаленной работы до поддержания контактов с друзьями и членами семьи – мы все чаще полагаемся на интернет-технологии, чтобы оставаться на связи. Похоже, что эта тенденция будет только усиливаться со временем.

Видео-конференц-связь – один из важнейших элементов этого процесса. В апреле 2020 года ежедневное количество участников встреч с использованием платформы Zoom достигло 300 миллионов человек, в то время как в декабре 2019 года их было всего 10 миллионов. Количество пользователей возросло в тридцать раз за каких-то четыре месяца! Пандемия привела к тому, что приложение Zoom стало одним из самых скачиваемых за последние месяцы. Видео-конференц-связь используют для своих задач не только студенты, учителя, родственники, деловые партнеры и общественные группы всех размеров, но и такие известные личности, как Алан Гринспен, бывший председатель Совета управляющих Федеральной резервной системы США, и Борис Джонсон, премьер-министр Великобритании. Но насколько безопасны видеозвонки и что нужно сделать, чтобы оградить себя от рисков?

В этой статье мы остановимся на основных вопросах, связанных с безопасностью видео-конференц-связи, и мерах, которые вы можете предпринять, чтобы защитить себя.

Насколько безопасны видеозвонки и видео-конференц-связь?

Правительство США считает, что, учитывая возможность хакерских атак, переход на удаленную работу – это вопрос национальной безопасности. Агентство национальной безопасности США недавно провело оценку 13 самых популярных инструментов для видеозвонков.

При оценивании учитывались в числе прочих следующие критерии:

  • Использует ли сервис сквозное шифрование, которое ограничивает возможность посторонних перехватывать или подслушивать звонки?
  • Использует ли сервис многофакторную аутентификацию, которая надежно защищает учетные записи пользователей?
  • Основана ли технология на доступном для проверки открытом исходном коде, который считается более надежным, чем закрытое программное обеспечение?
  • Ведется ли обмен данными между инструментом для видеозвонков и третьими сторонами или аффилированными лицами?
  • Могут ли пользователи при необходимости безвозвратно удалить данные из сервиса и его репозиториев (как с клиентской стороны, так и с сервера)?

Полная версия отчета доступна по ссылке – но если вкратце, АНБ считает, что каждый сервис видеозвонков имеет какую-нибудь уязвимость или даже несколько. Например:

  • Google G Suite и Microsoft Teams не используют сквозное шифрование и открытый исходный код.
  • В Cisco WebEx, Zoom, Slack и Skype для бизнеса недостаточно полно реализовано удаление данных.
  • У GoToMeeting нет мультифакторной аутентификации.

АНБ присудило самый высокий рейтинг WhatsApp от Facebook, Signal (WhatsApp также использует код этого приложения) и Wickr. Хотя отчет не является окончательным, он представляется полезным обзором основных вопросов, связанных с безопасностью видео-конференц-связи, и подчеркивает тот факт, что ни один из продуктов, доступных на рынке, не отвечает всем критериям надежности.


Основные аспекты безопасности видеозвонков

Основные аспекты безопасности видеозвонков включают:

Наличие сквозного шифрования

Сквозное шифрование обеспечивает надежную защиту видео-конференц-связи, открывая доступ к звонку только соответствующим пользователям и никаким другим лицам и службам, включая само приложение. Более подробно о шифровании данных и принципах его работы можно прочитать в нашей статье «Что такое шифрование».

Возможность перехвата и записи видеозвонков посторонними

Могут ли посторонние наблюдать или записывать ваши видеозвонки? Кто и как может присоединяться к вашим звонкам? Учитывая, что школы переводят учеников на онлайн-обучение в Zoom, нарушение приватности видеозвонков может стать вопросом безопасности детей. Доступ к звонку в Zoom осуществляется путем перехода по короткому цифровому URL-адресу, который легко можно сгенерировать или подобрать.

Условия использования данных вашей учетной записи

 Насколько строго соблюдаются политики конфиденциальности, такие как Общий регламент ЕС по защите данных или Калифорнийский закон о защите персональных данных пользователей? Насколько прозрачны условия использования приложения в отношении сбора данных пользователей и предоставления третьим сторонам доступа к этим данным?

Хранение данных, связанных с вашим приложением для видеозвонков, на вашем компьютере или смартфоне 

Это особенно важно, если вы имеете дело с закрытыми сведениями или документами.

Например:

  • Skype сохраняет полученные вами фотографии на вашем устройстве, если вы не поменяете эту настройку (это можно сделать, выбрав пункт «Сообщения» в меню «Настройки» на устройстве под управлением Android или iOS).
  • Если скачать переписку из чата видеозвонка в Zoom, она также будет включать содержание приватных чатов между отдельными участниками звонка. Это может вызвать проблемы, если вы не хотите, чтобы ваши личные сообщения во время рабочего звонка видел кто-то, кроме их адресата.

Наличие инструментов наблюдения внутри приложения

Zoom часто упрекают за функцию отслеживания внимания, которая информирует организатора звонка, если участник переключился на другое окно на 30 секунд или более. Эта функция позволяет работодателям и учителям проверять, следят ли их сотрудники или ученики за ходом рабочего совещания или урока.

Возможность случайно скачать вредоносное ПО и в результате стать жертвой хакерской атаки 

Например, могут ли пользователи по незнанию скачать приложения, которые получат доступ к камере и микрофону? Приложение или вредоносное ПО могут предоставлять персональную информацию хакеру, который затем сможет продать ее, обнародовать или использовать в иных целях.

Так, о некоторых уязвимостях системы безопасности в Zoom уже сообщалось ранее. В 2019 году было обнаружено, что приложение Zoom устанавливало на устройства пользователей скрытый веб-сервер, с помощью которого пользователя можно было принудительно добавить в видеочат. Другая лазейка позволяла перехватить контроль над компьютером Mac пользователя Zoom, в том числе управлять веб-камерой и микрофоном. Разработчики Zoom постоянно устраняют обнаруженные уязвимости и рассказывают о своих успехах в блоге компании.

Примеры хакерских атак, связанных с видеозвонками

Один из наиболее обсуждаемых в последнее время примеров атак на видеозвонки – «Zoom-бомбардировки». Так называют вторжения посторонних в видеоконференции с целью их срыва – например, незваные гости могут выкрикивать расистские лозунги или угрозы. Хотя название этого явления относится к приложению Zoom, похожие инциденты происходили и с другими платформами для видео-конференц-связи, включая WebEx и Skype. 30 марта 2020 года ФБР объявило о расследовании увеличившегося количества случаев перехвата видеозвонков.

На некоторых форумах, включая Reddit и Discord, проводились согласованные попытки вторжения в видеоконференции Zoom. Пользователи Twitter предлагали пароли к видеоконференциям, к которым можно было подключиться без разрешения участников. Некоторые нерадивые ученики и студенты срывали таким образом онлайн-уроки и подстрекали товарищей к подобному поведению.

На TikTok и YouTube распространялись записи с видеозвонков в Zoom, на которых посторонние пользователи вторгались в видеочат с оскорбительными, расистскими или антисемитскими заявлениями, после чего организатору звонка приходилось завершать конференцию.

Ранее обычный поиск в Google адресов, содержащих строку «Zoom.us», выдавал ссылки на не защищенные паролем конференции, что позволяло подключаться к звонкам без приглашения.

Открытое вторжение в видеоконференции, каким бы неприятным и обескураживающим для участников оно ни было, вызывает куда меньше опасений, чем незамеченное присутствие посторонних, которое может стать серьезным риском как для корпоративной безопасности, так и для приватности персональных данных.

Не так давно журнал Forbes сообщал о продаже хакерами свыше 500 000 наборов украденных учетных данных Zoom, которые включали URL-адреса персональных звонков и хост-ключи Zoom. Вероятно, значительная часть этих учетных данных включала повторно используемые пароли, которые хакеры получили из других источников.

В ответ представители Zoom заявили:

 «Мы уже привлекли несколько организаций, чтобы найти эти базы паролей и инструменты, которые были использованы для их создания, а также компанию, которая уже закрыла тысячи веб-сайтов, где пользователей обманом заставляли скачивать вредоносное ПО или предоставлять свои учетные данные. Мы продолжаем расследование ситуации, блокируем учетные записи, которые были взломаны, просим пользователей сменить пароли на более надежные и рассматриваем возможность реализации дополнительных технологических решений для поддержки наших усилий».

Zoom call online risks and dangers”

Способы защитить звонки в Zoom

После начала пандемии COVID-19 самым популярным приложением для видео-конференц-связи стало Zoom, обогнав и привычный мессенджер Skype, и приложение FaceTime, которое широко использовалось для видеозвонков друзьям.

Быстрый рост числа пользователей привел и к росту недовольства тем, что Zoom недостаточно серьезно относится к безопасности видеозвонков пользователей. Беспокойство вызывало и отсутствие в Zoom сквозного шифрования, на которое рассчитывали некоторые пользователи. Представители Zoom выпустили руководства по обеспечению приватности звонков в своем блоге и в виде видеоролика, однако в них меры предлагается принимать самим пользователям.

 7 советов для защиты ваших звонков в Zoom

  1. Ограничивайте доступ к встречам при помощи паролей и обязательной аутентификации. Так вы не позволите посторонним подключиться к звонку. Исключайте из беседы нежелательных или нарушающих порядок участников.
  2. Ограничивайте возможность демонстрации экрана. Так вы гарантируете, что демонстрировать экран смогут только нужные участники.
  3. Будьте бдительны, когда переходите по ссылкам или открываете документы, присланные вам. Используйте другие каналы связи, чтобы убедиться, что ссылку или документ вам отправил именно ваш собеседник.
  4. Не показывайте в кадре ничего лишнего. Например, уберите из кадра все личные вещи или фотографии ваших детей, если вы не хотите, чтобы их рассматривали. В Zoom также можно изменить фон позади себя (другие приложения для видеоконференций, например Skype, дают возможность размыть фон).
  5. Убедитесь, что на вашем экране нет ничего лишнего, перед тем как демонстрировать его участникам. Например, другие вкладки или окна приватных бесед, которые могут быть открыты, или документы, которые могут содержать закрытую финансовую информацию или личные данные. Следите за тем, чтобы случайно не показать письмо с вашим адресом на нем, ваш паспорт, кредитную карту или еще что-то, чего не должны видеть посторонние.
  6. Проверяйте настройки. Некоторые настройки безопасности не установлены по умолчанию. Настройки Zoom для персонального компьютера и мобильного устройства отличаются – в версии для компьютера они более детализированы и дают больше контроля за безопасностью, нежели в мобильной версии. Например, в версии для компьютера организатор звонка имеет в распоряжении больше инструментов управления, а пользователи могут управлять заблокированными учетными записями. 
  7. Старайтесь следить за обновлениями приложения. Так вы будете в курсе всех доступных функций безопасности и приватности.

Способы обезопасить видеозвонки

Способы обеспечения безопасности видеочатов у каждой платформы свои, поэтому важно знать особенности вашей конкретной платформы. Однако многие общие принципы остаются одинаковыми для всех приложений видеосвязи.

Вот несколько базовых советов, которые помогут сделать видеозвонки безопаснее:

Не показывайте лишнего


Следите за тем, чем делитесь в интернете, включая ваши слова и поведение в видеозвонках. Всегда есть риск, что кто-то может вас записывать или подглядывать за вами, оставаясь незамеченным. Личную информацию следует раскрывать только в случае крайней необходимости.

Не давайте ссылку на видеочат всем подряд


Не публикуйте ее в открытых постах в социальных сетях, онлайн-профилях, не рассылайте в групповых сообщениях электронной почты и не делитесь ею там, где ее могут увидеть посторонние. Приглашайте участников из самого приложения и предупреждайте их о том, что ссылку больше никому передавать не нужно.

Включите уведомления о пересылке сообщений о видеозвонках


Так вы будете знать, если сообщение электронной почты с приглашением в чат будет передано кому-то еще, и сможете убедиться, что в звонке не участвуют посторонние. В противном случае вы сможете выяснить, почему приглашение попало не в те руки. При необходимости запланируйте другую встречу с новыми данными для входа.

Установите надежный пароль


Большинство приложений для видеозвонков дают возможность защитить звонки паролем. Создайте надежный пароль, который будет сложно подобрать. Задавайте сложные пароли и не используйте один и тот же пароль для разных приложений и сервисов.

Выбирайте приложения, использующие сквозное шифрование


Так вы будете уверены, что посторонние не смогут получить доступ к вашим разговорам. Популярные приложения для видеозвонков, использующие сквозное шифрование:

  • Google Duo
  • Apple FaceTime
  • Cisco WebEx
  • GoToMeeting
  • WhatsApp
  • Signal

Регулярно обновляйте ПО


Чаще всего уязвимости системы безопасности и эксплойты обнаруживаются в устаревших версиях приложений. Обновления нередко содержат исправления безопасности, устраняющие ошибки и уязвимости. Своевременное обновление приложения для видео-конференц-связи – один из самых эффективных способов защитить себя от хакеров, потому что, именно выпуская обновления, разработчики исправляют нарушения безопасности. Это мера предосторожности, которую стоит принимать всегда, не только для приложений с видеозвонками и видео-конференц-связью. Обновлять приложения и другое ПО на ваших устройствах можно достаточно просто на всех основных платформах. В большинстве случаев вам даже не придется ничего делать, кроме как подтвердить обновление. Убедитесь, что участники беседы тоже используют последнюю версию приложения.

Запрещайте дальнейшее подключение участников, как только все приглашенные присоединятся к конференции

Если у кого-то из приглашенных участников пропадает соединение с чатом, нужно временно разрешить подключение, чтобы такой участник мог вернуться, и снова запретить.

Используйте функцию зала ожидания


Такие функции позволяют направить участников в отдельную виртуальную комнату перед началом конференции. Организатор или ведущий вручную допускает к конференции только нужных участников. Вы можете пообщаться с каждым участником в начале звонка, чтобы убедиться, что на собрании не будут присутствовать посторонние.

Изучите матчасть


Всегда полезно знать все особенности вашего ПО для видео-конференц-связи до начала его использования. Пройдитесь по всем настройкам, посмотрите профиль пользователя, изучите все доступные опции на случай, если какие-то из них нужно будет изменить. Если что-то не вполне понятно и вы не уверены, как следует поступить, сделайте себе пометку, чтобы позже разобраться с этим вопросом.

how to protect video calls online

Воспользуйтесь дополнительными функциями безопасности

Никогда не повредит пробежаться по настройкам видеозвонков, чтобы узнать, можно ли дополнительно себя обезопасить.

Например:

  • Skype позволяет выбрать, смогут ли другие пользователи находить вас по номеру телефона или адресу электронной почты.
  • FaceTime также дает возможность разрешить или запретить другим людям находить вас по номеру телефона или адресу электронной почты. Отключение этой функции может быть полезно, если вы не горите желанием возобновить отношения с одноклассниками, которых не видели со школы, или дальними родственниками.
  • В Google Duo есть функция «Тук-тук», которая позволяет получателю звонка видеть изображение с камеры звонящего еще до того, как ответить на звонок. Если вам эта идея не нравится, нажмите на три точки в верхнем правом углу главного экрана приложения Duo, перейдите в настройки и отключите эту функцию.

Загружайте приложения только из официального магазина приложений

Мы уже рассказывали, как определить поддельное приложение. Проверяйте рейтинг приложения, читайте отзывы пользователей и не скачивайте приложения с неизвестных сайтов.

Созванивайтесь только с теми, кого знаете

Убедитесь, что можете доверять вашему собеседнику, прежде чем раскрывать любые личные сведения. Принимайте запросы на переписку или звонки только от пользователей из вашего списка друзей.

Задействуйте двухфакторную аутентификацию

Так хакерам будет сложнее получить доступ к вашим устройствам или учетным записям, поскольку система будет требовать не только пароль, но и дополнительный PIN-код.

Закрывайте приложение, когда не пользуетесь им

Корпорации будут пытаться следить за вами при любой возможности, так что лучше им не помогать в этом. Прикрывайте веб-камеру на своем устройстве, когда она не используется, и всегда закрывайте приложение после его использования, а не просто переключайтесь из него.

Не позволяйте записывать конференции

Запретите любым участникам, кроме организатора, записывать конференцию или настройте уведомления, чтобы знать, когда кто-то из участников начнет запись.

Отключите любые опции, которые дают приложению слишком много прав

Например, любые настройки, позволяющие передавать данные третьим лицам, а также все функции, которые якобы должны помочь улучшить ваш пользовательский опыт путем предоставления рекламным компаниям или партнерам доступа к вашим данным. Отключите настройки, которые позволяют незнакомым людям вас находить, добавлять в друзья, присоединяться к вашей группе или беседе или отправлять вам сообщения. Отключите для всех пользователей возможность записывать звук и изображение с вашей камеры. Устанавливайте пароли на все сервисы.

Включайте видео с вашей камеры только тогда, когда это необходимо

Выключив веб-камеру и перейдя только на голосовое общение, вы предотвратите любые попытки узнать личную информацию о вас, которую могут выдать окружающие предметы. Это также снижает нагрузку на интернет-канал и улучшает общее качество звука и изображения.

Если вы планируете пригласить много участников, формат веб-трансляции может быть более подходящим, чем видеозвонок

Веб-трансляция – это конференция или презентация, проводимая в онлайн-режиме. Участники могут смотреть выступления, задавать вопросы выступающим и общаться друг с другом. Управление веб-трансляцией доступно только организатору и избранному кругу выступающих. Этот формат может помочь лучше контролировать большое количество участников.

Соблюдайте осторожность при использовании публичных сетей Wi-Fi

Особенности бесплатных точек доступа Wi-Fi, привлекательные для пользователей, в равной степени привлекательны и для хакеров – например, возможность подключения без аутентификации. Это позволяет злоумышленникам беспрепятственно получать доступ к незащищенным устройствам, подключенным к такой сети. Поэтому при подключении к публичным сетям нужно принимать меры предосторожности.

Давайте свой телефон только тем, кому полностью доверяете

Получив ваш телефон в руки, злоумышленник может запросто установить хакерское приложение и создать вам большие проблемы.

Помните: хакеры и киберпреступники весьма предприимчивы. Рост объемов использования видео-конференц-связи приводит к тому, что она становится приоритетной целью злоумышленников. Компаниям, которые хотят сохранять лидерство на этом рынке, придется не только совершенствовать технологии совершения видеозвонков, но и неустанно прикладывать усилия для защиты пользователей.

А позаботиться о себе сами вы сможете при помощи антивирусного решения «Лаборатории Касперского», которое защищает от вирусов ваш персональный компьютер и устройства под управлением Android, надежно хранит пароли и личные документы, а также осуществляет шифрование данных, которые вы посылаете или получаете через безопасное соединение.

Статьи по теме:

Видеозвонки и видео-конференц-связь: как защититься от хакеров

После начала эпидемии COVID-19 многие виды деятельности, до этого требовавшие личной встречи участников, переместились в онлайн.
Kaspersky logo

Статьи на эту тему