Як не потрапити в пастку в електронній пошті
Морґан Маркі-Буар (Morgan Marquis-Boire) і Білл Марчак (Bill Marczak) із громадської лабораторії Торонтського університету (The University of Toronto's Citizen Lab) публічно висловили тривогу. Їх непокоїть те, що комерційна програма спостереження FinFisher, ймовірно, використовується для проникнення в комп'ютери активістів Бахрейну та контролю за ними.
Програма встановлюється в комп'ютері користувача, який нічого не підозрює. Вона може записувати й передавати електронні повідомлення, скріншоти, аудіозаписи розмов, що ведуться через Skype. Програма була застосована проти бахрейнських користувачів, будучи прихованою в невинних, на перший погляд, електронних повідомленнях.
Один із таких випадків викрила команда Маркі-Буара. Лист було створено таким чином, нібито він надійшов від Меліси Чан (Melissa Chan) – кореспондентки англомовної служби телемережі Al Jazeera. Зловмисники використовували її журналістську репутацію, щоб обдурити своїх жертв і заохотити їх відкрити документ.
Нині Чан працює на Al Jazeera в Єрусалимі. А коли вона була кореспонденткою в Китаї, сама стала об’єктом електронних атак. Намагаючись взяти під контроль її реальний Gmail, їй надсилали повідомлення від когось, хто нібито був причетний до китайської «жасмінової революції». Незалежна бахрейнська газета Al-Wasat засвідчила, що також стала мішенню фальшивих повідомлень із джерел, які не надсилали шкідливих програм, однак спонукали її публікувати вигадані історії. Згодом уряд використовував їх, щоби спробувати дискредитувати видання.
Підробні джерела електронної пошти можна відносно легко імітувати. В адресі відправника під час бахрейнської атаки було використано не власний e-mail Чан, а схожий на нього аккаунт Gmail (melissa.aljazeera@gmail.com), яким вона раніше, ймовірно, користувалася.
Захиститися від атак можна, якщо з максимальною обачністю ставитися до невідомих відправників. Якщо ви не завантажуєте вкладення та не використовуєте незнайомі посилання в електронній пошті, ви невразливі щодо атак хакерів, які стають можливими завдяки цим повідомленням.
Коли я розмовляв із Чан, вона відзначила, що «багато хто не дивиться на адресу відправника електронного листа, а лише на ім'я чи прізвище». «Одного разу чи двічі, – розповіла вона, – коли я не була впевнена у відправнику, я надіслала у відповідь прохання ідентифікувати себе, щоб знати, ким він є насправді».
Це – гарний метод, але є ще кращий, якщо ви можете використати для перевірки фактів альтернативний засіб спілкування. Зателефонуйте або відразу надішліть листа, щоби підтвердити отримання повідомлення, перш ніж відкрити будь-яку вкладку. Якщо зловмисник вже використовував шкідливі програми, щоб узяти під контроль комп'ютер іншого користувача, він може мати доступ до приватної інформації. Він також може виступати в ролі «посередника» online між двома кореспондентами, які нічого не підозрюють, передавати їм електронною поштою запитання та відповіді. При цьому він має можливість шпигувати або додавати власні вигадки. Підробити живий телефонний дзвінок складніше.
Важко давати оцінку бахрейнській шпигунській історії, викритій громадською лабораторією в Торонто, з погляду витонченості: в певному сенсі маскарад був незграбним. Та якби він був переконливішим, то, можливо, лишився би непоміченим. Ми бачимо тільки результати невдалого шпигунства. Тим не менш, навіть цього достатньо, щоб оцінити шкоду, заподіяну репутації журналістів та безпеці їхніх комунікацій. Підробка спецслужбами повідомлень від імені реальних журналістів задля шпигування за активістами – серйозна небезпека для свободи преси.
Аналіз торонтської громадської лабораторії демонструє, що шпигунські програми, створені нібито з правоохоронною метою британською компанією Gamma International, нині використовуються неприйнятним чином. Компанії слід негайно зізнатися, чи продавала вона цю технологію бахрейнській владі та що вона збирається робити, аби запобігти повторенню зловживань.
Автор: Денні О'Браєн (Danny O’Brien), координатор КЗЖ із пропаганди інтернету. Працював у багатьох країнах світу як журналіст та активіст у сфері прав на технології та цифрові технології (Twitter @danny_at_cpj).
Джерело: Комітет захисту журналістів (CPJ).
Переклад: Аркадій Сидорук.