Возможна ли кража данных через VPN-сервисы?

Все зависит от того, кто окажется мошенником: владелец сайта, который вы посетите, хакер, который попытается похитить ваши данные, или сам VPN-сервис. Расскажу, как работает технология VPN и про каждый из вариантов.

VPN — это аббревиатура, которая расшифровывается как Virtual Private Network, то есть «виртуальная частная сеть». Технологию придумали не для обхода блокировок или защиты от хакеров, а чтобы компании могли объединять филиалы в единую сеть. Например, чтобы работники офисов в Казани и Минске могли спокойно подключиться к базе клиентов в американском дата-центре.

Все данные в виртуальной сети зашифрованы и недоступны даже провайдеру, который обеспечивает соединение с интернетом. Благодаря этой особенности VPN стал популярен среди обычных пользователей, желающих скрыть свои действия в интернете.

Дело в том, что пользователь связывается с сайтами не напрямую, а через посредника — VPN-сервер. Вы набираете в браузере journal.tinkoff.ru, ваше устройство обращается к VPN-серверу и просит скачать данные вместо себя. В итоге сервер журнала не знает конечного получателя данных и думает, что общается только с VPN-сервером.

Кажется, вот она — анонимность: можно заходить на какие угодно сайты, а они никогда не узнают, что это был ты. Но увы, так это не работает.

Представьте, что VPN — это бронированный инкассаторский автомобиль, которому все равно, что перевозить: что-то невинное вроде цветов или письмо с вирусом сибирской язвы.

Так же работает и VPN: если попросить его отправить ваши данные мошенникам или добавить на ваше устройство вирус, он это сделает. Да еще и в зашифрованном виде, чтобы не вмешалась третья сторона вроде системных администраторов, которые потенциально могут от этого вируса защитить.

VPN не защищает от вредоносных программ на вашем устройстве. Если хакер уже установил вам кейлоггер — программу, которая считывает нажатия клавиш, — VPN не помешает ее работе. Вы зайдете на сайт через зашифрованный канал, введете данные карты, кейлоггер их перехватит и отправит хакеру по тому же зашифрованному VPN-каналу.

VPN не распознает сайты мошенников и не защищает там ваши данные. Если вы зайдете на поддельный сайт РЖД, VPN вас никак не остановит и не предупредит. А если оставите данные паспорта на сайте фальшивого «Аэрофлота», они окажутся в базе мошенников в незашифрованном виде.

VPN не скрывает вашу личность, если вы вводите логин и пароль. Когда вы подключаетесь к сайту через VPN, сервер действительно не знает, с кем имеет дело. Но если вы зайдете в свой аккаунт на сайте, все старания пойдут насмарку: серверу сайта будет все равно, через какой IP вы зашли, все данные с этого момента будут ассоциироваться с вашей учетной записью.

Подключаясь к VPN, вы отдаете весь трафик владельцу сервиса. Как он распорядится этими данными, узнать невозможно.

Специалисты по кибербезопасности не советуют использовать VPN для любой чувствительной интернет-активности. Нет никаких гарантий, что сервис не будет использовать ваши данные в коммерческих целях. В первую очередь это касается бесплатных VPN, котором надо как-то окупать свою работу.

Один из способов монетизации — анализ трафика пользователей и продажа информации рекламодателям. Если вы зайдете на сайты онлайн-казино под VPN, будьте уверены, что реклама в интернете начнет зазывать вас к букмекерам — даже когда VPN отключен. Все потому, что рекламодатели сопоставили вашу личность до и после подключения к VPN — и смена IP-адреса больше не вводит их в заблуждение.

Например, популярный сервис VPN Hotspot Shield собирал данные пользователей и перехватывал трафик, несмотря на заявления о полной анонимности. Компания собирала cookies и сотрудничала с другими организациями в рекламных целях.

Сервисы могут анализировать трафик пользователей не только ради рекламы. В ноябре 2021 года на продажу в даркнете выставили базу данных 45 млн пользователей сервисов FreeVPN.org и DashVPN.io. С помощью похищенной информации хакеры взламывают другие ресурсы, на которых пользователи регистрировались с теми же данными. Или шантажируют посетителей сайтов для взрослых.

Подробнее об опасностях бесплатных VPN-сервисов мы рассказали в отдельной статье.

Чтобы посещать сайт как бы из другой страны. Обычно российские пользователи используют VPN, чтобы получать доступ к зарубежным ресурсам, — скажем, слушать Spotify или смотреть Disney+.

Но бывает и обратная ситуация, когда из-за границы нужно подключиться к российским сайтам. Например, вне России не открываются госуслуги, «Авито», сайты РЖД, Почты России, а также ФНС, ФССП, Минстроя и других ведомств.

Обойти региональные ограничения как раз и помогают VPN-сервисы. Так как к сайту обращается не пользователь, а сервер-посредник в нужной стране, конечный сервер ничего не заподозрит и будет работать так же, как для местных пользователей.

Но есть нюанс: владельцы сайтов знают IP-адреса VPN-серверов и догадываются, что запросы на самом деле поступают от тех, кто пытается обойти ограничения. В теории эти адреса можно добавить в черный список, как это пытается сделать Роскомнадзор. Но VPN-сервисов множество, а адреса серверов меняются регулярно — заблокировать все невозможно. Если не получилось подключиться к сайту через один сервис, попробуйте несколько других.

Чтобы подключиться через публичный вайфай. Если вы пришли поработать в кафе и подключились к вайфаю без пароля, хакеры легко перехватят ваш трафик. Вряд ли они расшифруют данные: большинство сайтов пересылают информацию по защищенному протоколу HTTPS. Но если вы оставите личные данные на сайте, на котором до сих пор используют незащищенный протокол HTTP, хакеры их увидят.

VPN обеспечивает дополнительный слой шифрования данных, а некоторые VPN-сервисы могут обнаружить перехват и предупредить пользователя. Но даже если сигнал вайфая перехватят, хакеры не увидят ничего, кроме кракозябр. Зашифрованный запрос к сайту выглядит примерно так:

VPN — это всего лишь технология, которая помогает выходить в интернет с помощью сервера-посредника и шифрует трафик между отправителем и получателем. Она не умеет распознавать сайты мошенников, не защитит ваши данные, если вы сами их введете, не обезопасит от вирусов. Если у вас на устройстве установлена программа для перехвата данных, VPN без колебаний отправит эти данные мошенникам.

VPN может предупредить, если кто-то перехватит ваш трафик. Но при этом владельцы VPN-сервиса сами могут перехватить ваши данные и использовать в своих целях.

VPN скрывает ваш IP-адрес и местоположение. Но он не обеспечит полную анонимность, особенно если вы войдете в свою учетную запись на сайте.

Правила безопасности в интернете при работе с VPN ровно такие же, как без него. Если хотите защитить свои данные, пройдите третий урок нашего бесплатного курса «Как защититься от мошенников» — это займет 15 минут.