Почтовый деанон: россиян хотят обязать привязывать электронную почту к номеру телефона
«Все это звенья одной цепи». Зачем россиянам хотят привязать электронную почту к номеру телефона?
Законопроект сенаторов может создать проблемы и пользователям, и интернет-сервисам, полагают эксперты
Сенаторы во главе с председателем комитета Совета Федерации по конституционному законодательству Андреем Клишасом внесли в Госдуму законопроект, который обязывает россиян привязывать свою электронную почту к номеру мобильного телефона. Таким образом, владельца каждого e-mail-адреса можно будет идентифицировать, обратившись к его мобильному оператору. Авторы законопроекта полагают, что это спасет общество от ложных угроз террористических актов. Эксперты считают, что законопроект открывает более широкий доступ к персональным данным граждан и несет неудобства российским интернет-компаниям.
«Идентификацию пользователей электронной почты предлагается осуществлять с использованием абонентского номера на основании договора об идентификации, заключаемого организатором сервиса электронной почты с оператором связи», — говорится в пояснительной записке к законопроекту.
Обязанность по идентификации владельцев e-mail-адресов сенаторы хотят возложить на почтовые сервисы. Кроме того, им придется ограничивать передачу по электронной почте сообщений с информацией, нарушающей требования законодательства РФ. В течение суток с момента получения требования Роскомнадзора пользователь, рассылающий такую информацию, должен быть заблокирован. Также российских организаторов сервисов электронной почты обяжут хранить сведения об идентификации только на территории РФ.
Как пояснил Daily Storm один из соавторов законопроекта, зампред комитета Совфеда по конституционному законодательству Александр Башкин, законопослушным гражданам не стоит опасаться введения новых норм.
«Внесение этого законопроекта — продолжение планомерной работы, которая проводится сенаторами и депутатами на протяжении последних лет. Речь идет об усилении безопасности в интернет-пространстве России по предотвращению каких-либо экстремистских проявлений либо террористических действий. Принятие этого законопроекта помогло бы следствию выявлять распространение противозаконной информации», — пояснил сенатор, напомнив, что в прошлом году в России ввели обязательную идентификацию в мессенджерах.
Башкин заверил, что каких-либо нарушений тайны переписки в случае принятия этого законопроекта не возникнет, так как ни у мобильных операторов, ни у третьих лиц возможностей проникать в само содержание писем не будет.
«Это будет возможно, как и сегодня, только на основании решения суда, в случае проведения уголовно-разыскных мероприятий либо расследования уголовного дела. Ровно так же, как со всеми видами неэлектронной переписки. То есть все охраняется законом, более того, ничего нового по сравнению с юрисдикциями других государств не происходит», — сообщил сенатор, отметив, что такая система действует во всех развитых европейских государствах.
В Госдуме, впрочем, считают иначе. Глава профильного комитета по информационной политике, информационным технологиям и связи Леонид Левин заявил, что механизм ограничения пересылки запрещенной информации в законопроекте об идентификации пользователей электронной почты можно трактовать как нарушение конституционного права граждан на тайну переписки.
«Обозначенный в законопроекте механизм ограничения пересылки запрещенной информации не оговаривает необходимость законности действий со стороны уполномоченного органа и может быть истолкован как произвольное внесудебное ограничение установленного конституцией права граждан на тайну личной переписки», – заявил Левин журналистам через свою пресс-службу.
Впрочем, и у самих представителей интернет-отрасли насчет законопроекта мнения неоднозначные. Некоторые эксперты убеждены, что закон работать не будет, так как технически отследить отправителя письма очень сложно. Профессионал, умеющий пользоваться серверами, протоколами и портами, сможет отправить письмо анонимно с помощью анонимайзеров и VPN, причем, приди к адресату оно может из любой страны мира.
Вице-президент Mail.Ru Group Владимир Габриелян заявил, что «законопроект неуместен и избыточен». «Он предполагает существенные неудобства для пользователей и дискриминирует российских игроков рынка. Отечественные компании понесут дополнительные издержки, в то время как зарубежные игроки неоднократно игнорировали требования российского законодательства», — пояснил ТАСС свою позицию Габриелян.
Представитель Google в России Светлана Анурова сказала Daily Storm, что компания воздержится от комментариев до тех пор, пока законопроект не будет принят. Также оперативно не стали комментировать инициативу сенаторов в «Яндексе» и «Рамблере».
А вот руководитель аналитического центра Zecurion Владимир Ульянов считает, что технически организовать проверку всех электронных писем россиян вполне возможно. Он напомнил, что часть сервисов уже использует идентификацию по номеру телефона, чтобы, например, восстановить пароль. И этим могут пользоваться те, кому интересно содержание переписки.
«Понятно, что это [привязка электронной почты к номеру телефона] делается для повышения безопасности, но это может и облегчать работу злоумышленникам, которые в случае взлома аккаунта электронной почты получат доступ и ко всем другим привязанным [к адресу] аккаунтам», — пояснил Daily Storm эксперт.
Он привел и другой пример. Банковские карты чаще всего привязаны к телефонным номерам, и это обеспечивает безопасность, но если пользователь теряет контроль над телефонным аппаратом (в случае взлома или потери), то проблема безопасности встает во весь рост. «Нельзя исключать и возможность утечки информации, которые постоянно и везде происходят. Поэтому, если будет такая однозначная привязка, это сыграет на руку злоумышленникам», — считает Ульянов. По его словам, законопроект не будет работать при использовании сим-карты, оформленной на другого человека или у любого иностранного мобильного оператора.
Глава департамента системных решений компании Group-IB Антон Фишман отметил, что законопроект является продолжением построения суверенного интернета в России: «Пакет Яровой», идентификация пользователей мессенджеров — все это звенья одной цепи».
«Скорее всего, идентифицировать пользователей по номеру телефону будут только российские почтовые сервисы — вряд ли крупные международные компании пойдут на этот шаг в качестве обязательного. А это значит, что идентифицированные пользователи из России не смогут отправлять или получать письма от неидентифицированных адресатов. Разумеется, не исключены потенциальные попытки обойти этот запрет при помощи, например, VPN-регистрации на международных почтовых сервисах. Таким образом, у желающих это сделать фактически будет два почтовых ящика: один для общения с идентифицированными пользователями из России, другой — с остальным миром», — предположил эксперт.
В законопроекте отмечается, что этот документ существенно снизит число ложных анонимных террористических сообщений. Однако пока эксперты сомневаются в том, что законопроект в предложенной редакции станет эффективным законом.
«Можно создать отдельный контур электронной почты, который будет работать только со своими отправителями и получателями, — в дополнение к общему интернет-профилю. В таком случае это будет достаточно эффективно. Однако на данный момент законопроект для этого не проработан — мы не исключаем, что в него будут внесены поправки», – считает Антон Фишман.
Электронную почту хотят привязать к номеру мобильного телефона
Организаторов сервисов электронной почты планируют обязать идентифицировать пользователей по номеру мобильного телефона. Таким образом, анонимная переписка по e-mail станет невозможной. Проект внесен в Госдуму 23 июля.
Идентифицировать пользователя организаторы сервисов электронной почты смогут самостоятельно или с помощью оператора связи. Как именно это будет происходить и для каких случаев будут сделаны исключения, установит правительство. Полагаем, порядок идентификации будет схож с тем, который уже используют мессенджеры.
У операторов сервисов электронной почты появятся и другие обязанности:
– ограничивать переписку пользователя, если этого потребовал уполномоченный орган;
– предоставлять техническую возможность отказаться получать сообщения других пользователей;
– обеспечивать конфиденциальность сообщений;
– не допускать передачу сообщений в случаях и порядке, которые определит правительство.
Также российские операторы сервисов электронной почты должны будут хранить сведения о номере телефона пользователя только на территории РФ. По общему правилу разглашать эти данные третьим лицам без согласия пользователя будет нельзя.
Интересно, что из проекта однозначно не следует, что правила не будут распространяться на корпоративную почту. Возможно, исключения для нее установят отдельно.
Если проект станет законом, он начнет действовать с 2020 года.
Ты только проснулся? Уже два дня тут это обсуждается, ищи сам баяны, лень
А что ты скрываешь ?)
В соцсети собираются пускать только под настоящим именем, по паспорту.
Заксобрание Ленинградской области разработало законопроект «О правовом регулировании деятельности социальных сетей». Он предполагает строгий порядок допуска и идентификации пользователей, которых обяжут создавать страницы только под своим настоящим именем. При регистрации придется предоставить паспортные данные. Детям до 14 лет вход в соцсети запретят вовсе. Внесение проекта в Госдуму запланировано на 5 апреля.
Согласно законопроекту «О правовом регулировании деятельности социальных сетей и о внесении изменений в отдельные законодательные акты» (его текст есть в распоряжении «Известий») пользователем соцсети может быть только лицо, достигшее возраста 14 лет. При регистрации владелец сервиса обязан проверить паспортные данные у российских и иностранных граждан. За нарушение этого правила юрлицу — владельцу сайта грозит штраф от 100 тыс. до 300 тыс. рублей. Если пользователь не сообщил об изменении данных или умышленно указал недостоверную информацию, ему грозит штраф от 1 тыс. до 3 тыс. рублей.
Создавать страницу можно только одну и только под настоящим именем и фамилией, иначе последует штраф: владельцу сайта — до 300 тыс. рублей, пользователю — до 5 тыс. Пользователям, не достигшим 18 лет, запрещается вступать в сообщества, где размещена запрещенная для детей информация. В противном случае родителям придется заплатить штраф до 2 тыс. рублей. Продажа несовершеннолетним любых товаров через соцсети тоже будет караться законом. Кроме того, документ предполагает запрет на рекламу «оккультно-магического характера и курительных смесей».
Запрещается информировать граждан о несанкционированных собраниях и митингах, распространять информацию о несогласованных мероприятиях и публиковать переписку с другими пользователями без их согласия.
Нельзя распространять любую информацию (текст, фото, видео), пропагандирующую национальную и иную нетерпимость, употребление алкогольной и табачной продукции, нетрадиционные сексуальные отношения и прочее — если сообщение не сопровождается «явным осуждением указанных материалов».
В пояснительной записке упоминается резонансное дело воспитательницы детского сада Евгении Чудновец. Она сделала репост видеозаписи издевательства над ребенком в детском лагере. После этого виновные были наказаны. Но и саму воспитательницу признали виновной в распространении детской порнографии, хотя репост она делала, чтобы привлечь внимание к ситуации и найти преступников. Впоследствии приговор в отношении нее был отменен.
Один из авторов документа — депутат заксобрания Ленобласти Владимир Петров пояснил, что закон должен вступить в силу с 1 января 2018 года. У соцсетей будет время, чтобы привести пользовательские соглашения в соответствие с ним, удалить тех, кому еще не исполнилось 14 лет, а с остальных собрать паспортные данные, чтобы при необходимости изменить имена аккаунтов.
— Сейчас сложная ситуация: соцсети — это многомиллионные виртуальные общества, влияющие на реальную жизнь страны. Актуальность документа подтверждена недавними громкими событиями — от несанкционированных политических выступлений до террористической опасности, — пояснил Владимир Петров. — Ради общественной безопасности необходимо ввести принцип поголовной верификации пользователей, это можно сделать только с момента получения гражданином паспорта — с 14 лет. Никто не пытается ввести цензуру или ограничить свободу слова. Верификация и строгий контроль за подлинностью имен лишь усилит цену собственного мнения и виртуального общения.
Никто не пытается ввести цензуру или ограничить свободу слова. Верификация и строгий контроль за подлинностью имен лишь усилит цену собственного мнения и виртуального общения.
Кроме того, предположил депутат, привязка аккаунта к паспорту поможет решить проблему манипуляции общественным мнением в сети, уничтожит всевозможные «сообщества троллей» и пранкеров.
— В западных соцсетях заметна аналогичная тенденция — их администрации заинтересованы в защите пользователей от негативной и пагубной информации. Они стремятся к максимальному предоставлению личной информации. Уверен, что многие страны пойдут по данному пути, — отметил Владимир Петров.
В пояснительной записке к законопроекту говорится, что публикация фотографий и видео с употреблением алкоголя и запрещенных веществ, «по мнению подростка, делает его авторитетнее в глазах окружающих». К каким последствиям это может привести, показывает нашумевшее дело Дианы Шурыгиной, пострадавшей от своих пьяных сверстников.
Также упоминаются сообщения о подростках, совершивших суицид после вступления в интернет-сообщества. «Недостаточное внимание со стороны родителей, проблемы в школе, неразделенная любовь, страх перед будущим — заставляют детей погружаться в виртуальный мир», — говорится в документе.
— Надо признать: интернет уже перестал быть забавной игрушкой, где пересылают смешные картинки про котиков, — сказал «Известиям» депутат Госдумы Виталий Милонов. — Это виртуальное отражение государства. Злоумышленники нередко используют интернет и соцсети в своих целях — благо почва позволяет. Чем меньше будет безответственной анонимности, тем лучше — нельзя отдавать эту сферу на откуп растлителям, террористам и преступникам. Если документ поступит на рассмотрение Госдумы, то, думаю, с рядом поправок и после широкого обсуждения с отраслью он имеет высокие шансы на одобрение палаты.
Советник президента Герман Клименко заявил, что законопроект пока еще «крайне сырой».
— Я не юрист, но определение социальной сети выглядит очень расплывчато и под него подпадают все ресурсы с коммуникацией между зарегистрированными посетителями. Но что делать с незарегистрированными? Регистрация под своим именем без псевдонимов также порождает много вопросов, — прокомментировал Герман Клименко. — Мне кажется, что законопроект имело бы смысл предварительно обсудить с индустрией. Площадок, обладающих профессиональной и юридической компетенциями, достаточно: Институт развития интернета, Российская ассоциация электронных коммуникаций, Региональный общественный центр интернет-технологий. Иначе можем получить эффект «пакета Яровой», когда из-за неточно сформулированных требований по объему хранения трафика начался информационный шторм.
С Германом Клименко солидарны представители Mail.ru Group (владеет соцсетями «ВКонтакте» и «Одноклассники»). По их мнению, инициатива «на первый взгляд недостаточно проработана».
— Если законопроект будет внесен на обсуждение, у нас будет возможность с ним ознакомиться, — прокомментировали в пресс-службе Mail.ru Group.
Директор по внешним коммуникациям Rambler & Co (владеет блог-платформой Livejournal) Матвей Алексеев сообщил, что в подобном законопроекте нет необходимости.
— Сейчас и так всё прекрасно регулируется. У нас есть СОРМ (система оперативно-разыскных мероприятий в телекоммуникациях. — «Известия»), есть Уголовный и Гражданский кодексы, — напомнил Матвей Алексеев. — Если проект станет законом, это будет ударом по отечественным проектам и соцсетям. При этом в документе нет ограничений на пользование иностранными соцсетями и блог-платформами.
Принятие законопроекта может ударить по бизнесу, считает Матвей Алексеев. Многие компании используют соцсети для продвижения товаров и услуг.
Еще одна инициатива из законопроекта — полный запрет на использование соцсетей в рабочее время для работников бюджетной сферы. В пояснительной записке указывается, что соцсети «поработили офисных работников»: потери рабочего времени огромны, а работодатели не могут с этим бороться.
Произошло это, возможно, на фоне этого события:
Путин заявил о конце «расхристанной квазисвободы» в интернете
Президент уверен, что в интернете не должно быть ничего запрещенного законом, но при введении ограничений считает нужным консультироваться с обществом
Интернет не может быть местом «расхристанной квазисвободы», где бесконтрольно распространяется любая информация, уверен президент России Владимир Путин. В США и странах Европы, по его словам, уже введено очень жесткое регулирование, свои меры принимает Китай, и российские власти не могут стоять в стороне. В частности, они, считает Путин, должны ограничивать распространение в интернете информации по целому ряду тем (пропаганда самоубийств и терроризма, детская порнография, распространение наркотиков и т. д.), однако делать это нужно «аккуратно, цивилизованно и технологично».
«Общий подход, на мой взгляд, должен быть такой: нельзя все, что запрещено в законе. А все, что не запрещено, все можно», — отметил Путин, выступая на медиафоруме Общероссийского народного фронта (ОНФ).
Путин отметил, что власть должна «купировать угрозы», связанные с чрезмерной свободой в интернете, указав на опасность «автоматических вбросов». Но в то же время признал, что существующих в настоящее время ограничений «достаточно» и существующая система ограничений «функционирует нормально».
Президент напомнил, что многие требуют ужесточения ограничений на распространение информации в интернете. Однако в решении этого власть, по словам Путина, должна исходить не из уверенности в том, что она «лучше всех все знает», но из состояния общества.
«Такие чувствительные вещи мы должны вырабатывать вместе с вами, — обратился президент к участникам медиафорума. — Постепенно общество взрослеет, к людям приходит понимание, что такое хорошо, что такое плохо, на что мы можем пойти сегодня, а что избыточно».
Теперь ни один россиянин не сможет общаться по e-mail без привязки номера телефона к адресу ящика? +
Когда говоришь не по писанному.
Писать и получать письма по электронной почтой в России смогут лишь идентифицированные пользователи. Такой законопроект внесли в Госдуму сенаторы из Совета Федерации, сообщает ТГ-канал “Ясно Понятно”.
Идентификацию предлагается осуществлять при помощи телефонного номера. Для этого оператор связи должен будет заключить договор с «организатором сервиса e-mail», говорится в пояснительной записке к законопроекту.
Такая процедура, как считают сенаторы, позволит уменьшить число ложных террористических сообщений, рассылаемых по e-mail и даст больше возможностей для борьбы со спамом.
Но это еще не все. В Госдуму также внесен законопроект, обязывающий провайдеров электронной почты ограничивать передачу электронных сообщений, содержащих информацию, распространение которой в России запрещено.
Предусматривается, что сервисы e-mail должны ограничивать передачу таких сообщений в течение суток с момента получения соответствующего требования уполномоченного федерального органа исполнительной власти.
В каком виде эти законопроекты дойдут до финального чтения (если дойдут, конечно) – пока не очень ясно. Скорее всего, они обрастут правками. Ограничить и запретить у нас любят, но как доходит до практики – все становится не так однозначно.
А вот и первые энергичные отклики пошли на это:
Итернет-омбудсмен Дмитрий Мариничев считает, что в нынешнем виде законопроект, который обязывает организаторов сервисов электронной почты ограничивать передачу сообщений, содержащих запрещенную для распространения в России информацию, не может принят быть.
“Такого закона в России быть не может. А как же тайна переписки? Как Конституция? Это противоречит здравому смыслу и действующему законодательству, но главное – это технически неисполнимо. Три фактора, которые сходятся. Можно принять такой закон, но он не то что работать не будет, в нем смысла не будет никакого”, – сказал “Интерфаксу” Мариничев.
“Сенаторы Совета Федерации внесли в Госдуму законопроект об обязательной идентификации пользователей электронной почты по мобильному номеру. Документ опубликован на сайте нижней палаты парламента.
Андрей Клишас, Людмила Бокова, Александр Башкин и Александр Карлин предложили обязать операторов идентифицировать пользователей почтовых сервисов по номеру телефона. Кроме того, «уполномоченный федеральный орган исполнительной власти» может потребовать запретить абоненту пользоваться почтой, если он рассылает запрещенную информацию.
Операторы также должны добавить возможность для пользователей отказываться от получения электронных сообщений. Почтовые сервисы могут сами определять номер абонента и должны хранить сведения об идентификации мобильного телефона.
Авторы законопроекта настаивают, что он направлен на борьбу с массовыми рассылками о ложном минировании. «Компетентными органами проводятся необходимые мероприятия по поиску злоумышленников, однако использование распространителями анонимных угроз почтовых сервисов позволяет им скрывать свои персональные данные», — говорится в пояснительной записке.
Сенаторы Бокова и Клишас были в числе авторов законопроекта об автономной работе российского сегмента интернета.”
Интересно, как они собираются идентифицировать пользователей, зарегмистрировавших свои имейлы на телефоны друзей, знакомых, да на чьи угодно номера, но не на свои?
4 признака письма, которое вас ограбит
Если вы где-то засветили свою почту, например на электронной доске объявлений, — ждите не только безобидного рекламного спама, но и писем от мошенников.
Они отправляют письма от имени госорганов, сообщают о выигрыше в лотерею, а еще предлагают простую работу с высоким доходом, но итог один: мошенники крадут деньги и личные данные. Рассказываем, по каким признакам понять, что письмо от злоумышленников.
Сложность: /
Неизвестный отправитель в сочетании с темой письма, которая вам не очень понятна, — повод настрожиться. Стоит с подозрением относиться к письмам от отправителей с иностранными или очень редкими именами — например, от Добрыни Пантелеймонова.
Если отправитель обращается к вам не по имени, а называет «дорогим другом», письмо лучше проигнорировать, и тем более не скачивать вложения из него.
Отнеситесь с сомнением к письму от знакомого человека, если текст не похож на вашу обычную переписку: например, если собеседник пишет, что попал в беду и срочно просит денег или предлагает перейти по ссылке, чтобы скачать что-то интересное. Сначала лучше позвонить знакомому: возможно, его аккаунт взломали.
«Мой дорогой друг» — обезличенное обращение
«От 25 до 100 тыс» — подозрительно большая сумма
«Подробности здесь» — ссылка может быть вредоносной
Сложность: /
Чтобы вынудить человека перейти по ссылке на сайт мошенников, в письме обещают золотые горы: дорогой приз за прохождение опроса, высокооплачиваемую работу, для которой не нужен опыт, или другой способ быстрого заработка по принципу «миллион за неделю — легко».
«Теперь вы в нашей команде» — интересно, по какому принципу отбирают в «команду»?
«Около двух штук зеленых за сутки» — мошенники завлекают обещаниями большого заработка, чтобы я прошел по ссылке
После перехода по ссылке компьютер или телефон заражается вирусом, который крадет пароли или повреждает файлы. Ссылка может вести на фишинговый сайт для кражи паролей или на сайт, где попросят оплатить комиссию перед получением приза.
Что делать. Не переходить по ссылкам, если предложение выглядит чересчур заманчивым. Проверить «акцию» в интернете: возможно, кто-то уже попался на удочку и написал гневный отзыв. С работой тоже нужно быть осторожнее: вряд ли компания будет рассылать предложения всем подряд: для вакансий есть специальные сайты.
Если все-таки решили скачать сомнительный файл, сначала проверьте его антивирусом, и только потом открывайте. Не отключайте антивирус по просьбе сайтов или программ.
Сложность: /
Часто обман можно определить по теме письма: «получите в подарок автомобиль», «заработайте миллион без вложений». Иногда мошенники специально запугивают получателя, чтобы он открыл письмо: «у вас задолженность по договору», «подтвердите вашу учетную запись, иначе аккаунт будет удален».
«Осипов Виктор» — я не знаю человека с таким именем
«nalog.ru» — кажется, что ссылка ведет на знакомый сервис, но nalog.ru — это простой текст, ссылка начинается дальше
«info@ah-fussleisten.de» — домен с окончанием de — немецкий, вряд ли это российские налоговики
«Добрый день!» — нет обращения по имени. Госорганы обычно знают, кому пишут
Перед названием темы могут поставить «Re»: так кажется, что вы уже переписывались с отправителем
У вас новое сообщение — это привычная формулировка в письмах от соцсетей
77777.8@mail.ru — но адрес не похож на знакомый домен
Что делать. Не открывать письма со странными темами и от неизвестных отправителей. Если все же открыли письмо, не паникуйте: за «просто посмотреть» никто не снимет деньги с карты и не оформит кредит по вашему паспорту.
Мошенники пишут от имени госорганов: якобы пенсионный фонд расщедрился на прибавку к пенсии, а отдел соцзащиты готов выплатить компенсацию по СНИЛС. Письмо может быть и от имени банка — тогда преступники сообщают о сбое в системе или необходимости обновить персональные данные.
Цель таких писем — выудить информацию о банковской карте. Мошенники просят ее номер, срок действия, пин и трехзначный код с обратной стороны карты, чтобы перевести деньги из «пенсионного фонда» или занести данные в систему «банка».
Сам факт, что вам неожиданно пришло письмо от госструктуры, уже должен насторожить. Пенсионный фонд предупреждает, что рассылкой не занимается, и просит пользователей не переходить по сомнительным ссылкам на сайт, похожий на ПФР. О том же пишут налоговики.
Как определить фальшивку. Внимательно посмотрите на окончание электронного адреса. Слово после символа «@» — это домен: он должен совпадать с адресом официального сайта организации. Например, адрес письма от налоговой должен оканчиваться на @nalog.ru , от Сбербанка — на @sberbank.ru .
Отправитель попытался замаскировать письмо под рассылку от Сбербанка, но адрес и ошибка в теме выдают его с потрохами
Исключения могут быть, если вы действительно ждете от организации ответ: например, мне приходило письмо от специалиста поддержки госуслуг, чтобы я выслал сканы через почту, так как в системе был сбой. Другой вариант: вы сами когда-то подписались на рассылку — например, я регулярно получаю новости от госстройнадзора области.
Письмо заканчивается настоящим доменом Пенсионного Фонда pfrf.ru, но ссылка внутри письма ведет на сайт мошенников: преступники научились подделывать адреса. И еще обычно настоящие госслужащие оставляют в подписи должность и контактный номер телефона:
Что делать. При любых сомнениях позвоните в организацию, откуда якобы прислали сообщение, и поинтересуйтесь, действительно ли они рассылали письма. Только номер телефона берите не из письма, а на официальном сайте отправителя. Телефоны банков указаны на банковских картах.
Как проверить, не от мошенника ли письмо
Поскольку мошенники научились подделывать домены так, что на первый взгляд кажется, что письмо от госоргана, нужно анализировать техническую часть письма.
Мне пришло письмо от @fcod.nalog.ru: выглядит как домен налоговой службы, но лучше в этом убедиться
Техническая часть письма — это окно с подробной служебной информацией: много непонятных слов и цифр. Нужно смотреть на поля Received и Return-Path : информация об отправителе должна совпадать с доменом письма.
Везде указан один и тот же отправитель: fcod.nalog.ru. Значит, это действительно письмо от налоговиков
Вот как найти эту техническую часть в разных почтовых сервисах.
«Яндекс-почта». В панели инструментов найти кнопку с тремя точками, в выпадающем меню нажать на «Свойства письма».
Насторожитесь, если ссылка на личный кабинет налогоплательщика ведёт куда-то кроме lkfl.nalog.ru
«Гугл-почта». Рядом со стрелкой «Ответить» есть точки «Еще»: после нажатия на них появится выпадающее меню. Нужно выбрать «Показать оригинал».
Необязательно проверять все письма от учреждений: анализируйте только те, в которых предлагают перейти по ссылке или что-то скачать
«Мэйл-ру». Необходимо нажать «Еще» и в выпадающем списке выбрать «Служебные заголовки».
Откроется окно со служебной информацией
Технологии | «Пожалуйста, укажите свой номер…»: почему этого лучше не делать
Подпишись
на рассылку
Лучшие публикации Теплицы, доставленные на твой email
Подпишись
на Теплицу(Pro)
Не пропусти лучшие новости для экспертов в области IT, активистов, дизайнеров
Подпишись
в Фейсбуке
Не пропусти лучшие публикации Теплицы, руководства, анонсы мероприятий
Подпишись
ВКонтакте
Не пропусти лучшие публикации Теплицы, руководства, анонсы мероприятий
Подпишись
в Телеграм
Не пропусти лучшие публикации Теплицы, руководства, анонсы мероприятий
Подпишись
на YouTube
Не пропусти видео-уроки, скринкасты, записи вебинаров и мероприятий
Сергей Смирнов
Всего материалов: 17
«Пожалуйста, укажите свой номер…»: почему этого лучше не делать
Регистрируетесь на сайте или в мобильном приложении? Возможно, вам предложат указать номер телефона. И даже станут пугать взломщиками и забытыми паролями. Консультант по цифровой безопасности Сергей Смирнов помогает разобраться, в чем тут риски, кто и зачем хочет получить наши телефонные номера и что можно с этим сделать.
Зачем им мой телефон?
Одна из причин – идентификация пользователя. При активации сим-карты в России и некоторых других странах мира (например, в Германии, Польше, Испании) покупатель должен показать продавцу удостоверение личности. Впоследствии владельцы сервисов могут требовать для идентификации телефонный номер. Пример – wi-fi в российских гостиницах и аэропортах. Вы не можете «просто» подключиться к Интернету. Придется указать номер своего мобильного телефона, получить на него специальный проверочный код и ввести его на странице сервиса.
Российские законодатели верят в идентификацию с помощью номеров мобильных телефонов. По их замыслу, даже пользователи мессенджеров обязаны подтверждать свою личность таким образом. Отрицание права на анонимность типично для общества XXI века, перегруженного фобиями в борьбе с терроризмом и преступностью.
Сбор всевозможной информации о вас в сети, привязка к личности, составление вашего профиля (например, для маркетинговых целей или для нужд правоохранительных органов) создают угрозу приватности и безопасности.
В авторитарных странах отсутствие анонимности означает проблемы с доступом к информации. Под ударом оказывается свобода слова: блогер не может писать о нарушениях прав человека под своим настоящим именем, не опасаясь репрессий.
Вторая распространенная цель, ради которой у вас запрашивают телефонный номер, – восстановление доступа к аккаунту при забытом пароле. Нажмите кнопку, по SMS придет гиперссылка, и вы вернете контроль над аккаунтом. Звучит хорошо, но есть слабое место: зависимость от оператора мобильной связи. Тот способен перевыпустить сим-карту, и злоумышленник «восстановит» пароль к вашему аккаунту.
Владельцы сервисов нередко предлагают указать телефон «для защиты вашей учетной записи». С точки зрения «безопасника» эта функция, наоборот, создает уязвимость.
Третья цель – предоставление услуг. Владелец онлайнового магазина просит ваш номер телефона, чтобы присылать полезную информацию. Авиакомпания сообщает о задержке рейса или изменении выхода на посадку. Метеослужба передает прогноз погоды. Медицинский центр напоминает о визите к врачу. Социальная сеть отправляет тревожный сигнал, если неизвестное лицо пытается войти в ваш аккаунт. Банки используют SMS, чтобы подтверждать онлайновые платежи и доставлять клиентам информацию об изменении их счетов (PUSH-уведомления) для этого тоже применяются).
Кажется, от всего перечисленного клиенту одна польза. Но данные собираются также в маркетинговых целях, а то и просто для рассылки спама и назойливых звонков с предложением всего на свете. Номера телефонов запрашивают всюду: на кассе в магазине («для оформления скидочной карты»), при заселении в гостиницу, для получения визы, чтобы записаться на шиномонтаж. На вопрос «зачем?» могут ответить «таков порядок» или «на всякий случай».
Люди устали, привыкли, хотят побыстрее завершить процедуру регистрации, дают телефон, не размышляя, как он будет использоваться. Тем более не читают длинное, составленное сухим языком пользовательское соглашение. Где-то в тексте соглашения может затеряться информация о том, что, собственно, владелец сервиса намерен делать с вашим телефонным номером и на каких условиях, а также как потом удалить телефонный номер из системы. Персональные данные, включая телефонные номера, то и дело «утекают».
В апреле 2019 года компания DeviceLock сообщила о том, что обнаружила в российском сегменте Интернета более тысячи открытых баз данных. В ноябре 2018 года «Коммерсант» написал о многочисленных личных файлах, обнаруженных журналистами на общедоступных компьютерах в московских МФЦ. Посетители второпях, по небрежности оставляли свои электронные документы где попало.
А еще телефонный номер запрашивает мессенджер, которому нужны контакты вашего смартфона. По-другому этот мессенджер не работает.
А еще номером интересуются мошенники и социальные инженеры. Сим-картой из потерянного/украденного телефона могут воспользоваться для доступа к финансам и даже для снятия денег с банковского счета. Одного телефонного номера для этого мало, поэтому злоумышленники используют дополнительную собранную ими информацию.
Наконец, для перехвата SMS-сообщений можно использовать уязвимость протокола SS7 (в России также используется название ОКС‑7), который создавался в 70‑х годах прошлого столетия без «прицела на безопасность».
Может, лучше вообще не указывать номер телефона?
Давайте рассмотрим некоторые примеры.
Электронная почта
Mail.ru и Яндекс запрашивают номер телефона прямо на странице регистрации. Можно выбрать ссылку «У меня нет мобильного телефона» (было бы честнее написать «Я не хочу указывать мобильный телефон»). Эта ссылка меняет запрос телефонного номера на запрос адреса email (Mail.ru, указывать email не обязательно) или выбор ответа на контрольный вопрос (Яндекс).
Итак, можно избежать указания номера мобильного телефона при регистрации нового адреса, но этот путь нельзя назвать очевидным. Если вы указывали номер раньше, нетрудно удалить его в настройках сервиса (ввести код, который сервис отправит на ваш телефон по SMS). Чтобы включить двухфакторную аутентификацию в Mail.ru и Яндексе, номер мобильного телефона нужен. И пока двухфакторная аутентификация включена, удалить этот номер из настроек аккаунта нельзя (даже если для генерации кодов вы пользуетесь мобильным приложением, а не SMS).
Номер мобильного телефона потребуется и для регистрации аккаунта Google (и почты Gmail). Потом его можно удалить в настройках сервиса. Для подключения и работы двухфакторной аутентификации номер указывать не обязательно. Тем не менее Google не перестает предлагать ввести номер телефона «для вашей безопасности».
Швейцарский сервис Proton Mail и немецкая Tutanota, которые уделяют особое внимание приватности и конфиденциальности пользователей, не просят телефонный номер ни для регистрации, ни для двухфакторной аутентификации.
Социальные сети
«ВКонтакте» позволяет зарегистрироваться только с номером телефона. Удалить его в настройках нельзя, можно лишь заменить на другой номер. В число способов двухфакторной аутентификации входит SMS, и отключить этот вариант не получится.
Facebook также требует номер при регистрации, но позволяет впоследствии удалить его в настройках. Двухфакторная аутентификация может быть включена и использоваться без мобильного номера.
Twitter позволяет выбирать, с чем вам удобно регистрироваться – номером телефона или адресом email. К сожалению, используя разные адреса email и разные IP-адреса, мне ни разу не удалось зарегистрировать новый аккаунт только по адресу email. Twitter неизменно сообщал о «подозрительной активности», блокировал процесс регистрации и требовал подтвердить телефонный номер. Пройдя регистрацию, номер из настроек убрать можно, но лишь теоретически: выполнив эту операцию, Twitter немедленно блокировал аккаунт и требовал снова указать телефонный номер. Двухфакторную аутентификацию Twitter согласился включить лишь через SMS.
Instagram регистрирует без телефонного номера (нужен адрес email). Двухфакторную аутентификацию тоже можно включить и использовать без SMS.
Мессенджеры
В некоторых популярных мессенджерах привязка к телефону – неотъемлемая часть. В эту компанию попадают WhatsApp, Telegram, Viber и даже Signal, который эксперты по безопасности часто рекомендуют как более защищенный по сравнению с конкурентами.
Пользователи Facebook могут общаться с помощью Facebook Messenger, и хотя при регистрации аккаунта Facebook нужен номер телефона, его впоследствии можно удалить и пользоваться Facebook Messenger без этой привязки.
Для работы со Skype нужна учетная запись Microsoft, но там указывать номер телефона не обязательно.
Из менее известных продуктов, не требующих привязки к номеру мобильного телефона, можно назвать мессенджеры Wire и Briar. Последний к тому же децентрализованный (не зависит от единого сервера) и, подобно своему известному «коллеге» Firechat, поддерживает возможность связи между пользователями без Интернета (с помощью технологий wi-fi и Bluetooth), хоть и на малых расстояниях. Пока у Briar, однако, сравнительно небольшая аудитория и нет версии для iOS.
Что можно сделать для безопасности?
- По возможности не регистрироваться там, где требуют номер телефона. Не указывать номер, если нет особой нужды.
- Проверить настройки уже используемых сервисов. Если там есть номер и его можно удалить без ущерба для функциональности сервиса, возможно, это следует сделать.
- Отказаться от схем «восстановления пароля» по телефону. Лучше потратить немного времени на создание надежных паролей, сохранить их в защищенной базе менеджер паролей , периодически делать резервные копии как этой базы, так и самих защищенных данных.
- Включить в настройках аккаунтов двухфакторную аутентификацию . Лучше, если вторым фактором станет не SMS, а, например, одноразовый код из мобильного приложения. Google Authenticator или Authy подойдут.
- Позаботиться о мобильном устройстве: удалить ненужные приложения, регулярно чистить данные (SMS-сообщения, историю звонков, переписку в мессенджерах), убедиться, что включено шифрование устройства, а если у кого-то пока не включено – прямо сейчас установить пароль на вход.
- Настроить уведомления сервисов так, чтобы быть в курсе любой попытки несанкционированного входа.
Можно прибегнуть и к другим, более редким рецептам, например, использовать сим-карту зарубежного оператора (в некоторых странах по-прежнему можно купить сим-карту без предъявления документа). Правда, придется поддерживать этот номер в рабочем состоянии – следить за балансом и вовремя пополнять счет.
Если вам приходится указывать номер мобильного телефона, отдавайте себе отчет в том, какие риски связаны с этим фактом. Возможно, лучше не передавать с помощью этого сервиса избыточную информацию. Если же вам не повезло и вы потеряли смартфон (или его украли, или изъяли), есть смысл, не откладывая, заблокировать сим-карту у оператора мобильной связи.
Всякие правила безопасности индивидуальны. Вам может не подойти часть этих рекомендаций, зато для вас эффективно работает что-то другое. Поделитесь с нами в комментариях.
На главную
Взломана почта и привязан чужой телефон
Trawar 12 мар 2016
Пишу на форум,т.к. в поддержке не просто не реагируют на проблему,а такое ощущение,помогают ворам. По порядку:
5.03.16 не смог войти в игру,пароль не проходил.На почте пропали все входящие письма,из чего сделал вывод,что кто-то взломал почту.Поменял пароль,доступ к почте нормальный.Соответственно,написал заявку в Центр поддержки ( ID заявки: 5648063 ).Никакой реакции..Создал вторую заявку,при этом обратил внимание,что в привязке почему-то указан НЕ МОЙ номер телефона.( ID заявки: 5654588 ).Прошло 5 дней,ни ответа,ни привета.А сегодня приходит письмо,в котором сообщается о запросе на замену почтового ящика.И все,привет,моей учетной записи НЕ СУЩЕСТВУЕТ.И хоть бы кто чего объяснил.
Offnen_ 12 мар 2016
sinkus 12 мар 2016
nurlanerzhanov 12 мар 2016
_Christopher_Robin_ 12 мар 2016
Trawar (12 Мар 2016 – 16:50) писал:
Пишу на форум,т.к. в поддержке не просто не реагируют на проблему,а такое ощущение,помогают ворам. По порядку:
5.03.16 не смог войти в игру,пароль не проходил.На почте пропали все входящие письма,из чего сделал вывод,что кто-то взломал почту.Поменял пароль,доступ к почте нормальный.Соответственно,написал заявку в Центр поддержки ( ID заявки: 5648063 ).Никакой реакции..Создал вторую заявку,при этом обратил внимание,что в привязке почему-то указан НЕ МОЙ номер телефона.( ID заявки: 5654588 ).Прошло 5 дней,ни ответа,ни привета.А сегодня приходит письмо,в котором сообщается о запросе на замену почтового ящика.И все,привет,моей учетной записи НЕ СУЩЕСТВУЕТ.И хоть бы кто чего объяснил.
Без доступа к привязанному телефону номер не поменять. Так что не надо тут. Давай колись что там по правде случилось.
KAJIbIMAH 12 мар 2016
Endq 12 мар 2016
Trawar (12 Мар 2016 – 16:50) писал:
Пишу на форум,т.к. в поддержке не просто не реагируют на проблему,а такое ощущение,помогают ворам. По порядку:
5.03.16 не смог войти в игру,пароль не проходил.На почте пропали все входящие письма,из чего сделал вывод,что кто-то взломал почту.Поменял пароль,доступ к почте нормальный.Соответственно,написал заявку в Центр поддержки ( ID заявки: 5648063 ).Никакой реакции..Создал вторую заявку,при этом обратил внимание,что в привязке почему-то указан НЕ МОЙ номер телефона.( ID заявки: 5654588 ).Прошло 5 дней,ни ответа,ни привета.А сегодня приходит письмо,в котором сообщается о запросе на замену почтового ящика.И все,привет,моей учетной записи НЕ СУЩЕСТВУЕТ.И хоть бы кто чего объяснил.
На форуме мы вам, к сожалению, помочь вам ничем не сможем, такие вопросы решаются только в ЦПП.
Скорость ответа сотрудников Центра поддержки пользователей на заявку зависит от:
1. корректности описания сути проблемы в тексте заявки;
2. правильности выбора отдела, куда следует подать заявку заявка (заявка по не прошедшему платежу, к примеру, созданная в разделе “Технические проблемы”, может быть рассмотрена позже, чем если бы она была подана в правильный отдел);
3. возможного количества поданных пользователем заявок по одному и тому же вопросу (чем больше пользователь создает однотипных заявок, тем больше вероятность того, что срок ответа будет задерживаться);
4. месту в живой очереди, в которой находится заявка (в первую очередь рассматриваются заявки, которые поданы раньше);
5. общей загруженности сотрудников ЦПП, куда подана заявка.
Не добавляйте новую информацию в заявки, не дублируйте их, т.к. в таком случае заявки объединяются и снова уходят в конец очереди. Таким образом Вы сами отодвигаете срок её рассмотрения.