Засадное положение: четверть школьных чатов уязвимы для мошенников
Более четверти школьных чатов и сообществ (28%) уязвимы для мошенников. Они открыты для просмотра: чтобы подключиться к беседе, не требуется разрешение модератора. Участники таких чатов нередко обмениваются сканами и фотографиями документов, поэтому есть риск утечек персональных данных учеников и родителей. Такие выводы сделали эксперты Skyeng по результатам анонимного опроса почти 3 тыс. учителей. С его итогами ознакомились «Известия». Эксперты соглашаются: открытые чаты и группы — благоприятная среда для киберпреступников, и все сведения в них могут быть использованы для подготовки к атаке.
Чат нараспашку
Каждый четвертый школьный чат или сообщество находится в открытом доступе, подсчитали эксперты из команды интерактивной рабочей тетради Skysmart (проект Skyeng). Такие выводы они сделали из анонимного опроса 2,8 тыс. учителей. С ним ознакомились «Известия».
— Родительские или классные чаты в меньшей степени интересуют злоумышленников. Но это не говорит о том, что данные хорошо защищены. Из исследования мы видим, что каждый четвертый чат или сообщество, где учителя общаются с учениками, открыт, и любой может видеть контакты других участников, данные об успеваемости, фото с мероприятий, другие сведения и использовать эту информацию по своему усмотрению, — предупредил GR-директор Skyeng Макар Гончаров.
Большинство педагогов (76%) публикуют в таких чатах и группах информационно-новостные сообщения, 14% респондентов пишут об итогах успеваемости школьников, а каждый десятый учитель (10%) делится результатами проведенных мероприятий с приложением фотографий и списков достижений учеников.
По подсчетам компании, каждый десятый педагог (12%) не спрашивает у родителей разрешения на размещение информации о детях в школьных группах и чатах, еще четверть учителей делает это не всегда. Большинство респондентов (63%) всё же предпочитают спрашивать разрешение родителей о публикации сведений.
Открытые чаты и сообщества подразумевают полный доступ посторонних лиц к любой публикуемой там информации и являются благоприятной средой для киберпреступлений, бьют тревогу опрошенные «Известиями» эксперты в области информационной безопасности.
При этом необязательно атака будет проведена непосредственно в группе, сведения могут использовать для подготовки и изучения жертв, сказала исполнительный директор компании «Акронис Инфозащита» Елена Бочерова. Если злоумышленник получит доступ к данным, он обязательно попытается их монетизировать, отметил руководитель группы развития бизнеса Solar Dozor компании «Ростелеком-Солар» Алексей Кубарев. Он либо продаст данные в Darknet, либо попробует использовать сведения для атаки на жертву, считает эксперт.
Вариантов использования персональных данных из открытых чатов масса, говорят специалисты. Используя личную информацию ученика, мошенники могут добраться и до сведений о родителях и даже до используемых ими платежных реквизитов, а это грозит потерей денег, предупредила руководитель аналитического департамента Infosecurity в Softline Company Дарья Кошкина. Самих детей и подростков злоумышленники могут использовать для кибербуллинга (травли, нападок и издевок), а также угрожать в соцсетях, предупредил эксперт «Доктор Веба» Илья Куркин.
Без модерации профайлов участников чат или группа в мессенджере может стать пристанищем для злоумышленников, согласен эксперт по кибербезопасности ESET Роман Ковач. Многие люди сталкивались с неизвестными «молчунами» в общих группах, когда неясно, кто они, почему не принимают участия в дискуссиях, где гарантия их заинтересованности в сохранности сведений из чата, отметил эксперт.
Информация из родительских чатов может быть потенциально интересна шантажистам в Сети, сказал Роман Ковач. Их цель — не украсть ценные сведения, а напугать жертву и заставить поверить, что мошенник завладел существенными данными, пояснил эксперт. Он привел такой пример: допустим, в руки злоумышленника попал утерянный смартфон. Получив доступ к истории мессенджера, хакер нашел таблицу с адресами и расписанием дополнительных занятий группы школьников. Сопоставив данные с адресной книгой на устройстве, мошенник получает полный пакет контактов родителей, имен их детей и примерный маршрут передвижения. Этих данных достаточно для шантажа по телефону, электронной почте или в социальных сетях. А невинное сообщение в родительской группе о семейном отпуске с указанием дат может стать наводкой для «домушников», добавил Роман Ковач.
Также злоумышленники могут начать выманивать деньги, отметил эксперт «Лаборатории Касперского» по детской онлайн-безопасности Андрей Сиденко. Мошенники могут создать профиль в социальной сети или получить доступ к уже существующему и рассылать сообщения по списку друзей с просьбой одолжить денег.
Всех отмодерировать
Основа безопасности в школьных чатах и сообществах — строгая модерация, указал руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Это должны быть закрытые чаты с проверкой личности участников, периодической ревизией аудитории и возможностью вступления новичков только по приглашению администратора, пояснил эксперт. Кроме того, всем участникам стоит применить правильные настройки аккаунтов: добавить двухфакторную аутентификацию, отключить возможность автоматического добавления в группы, скрыть фото профиля и контактные данные от посторонних, рекомендовал эксперт.
Ни в коем случае не стоит передавать документы открыто, тем более портретную фотографию с раскрытым паспортом в руке, посоветовала менеджер по развитию бизнеса группы компаний Angara Анна Михайлова. Минимум для защиты персональных данных — закрывать на изображении номер документа, сведения о картах и ФИО. Чувствительную информацию лучше отправлять не в чат, а личным сообщением (к сожалению, мы не можем знать, что на уме у других участников), используя защищенные каналы связи и средства шифрования, отметила Дарья Кошкина.
Роман Ковач рекомендовал установить единые базовые правила культуры общения в чате — например, не пересылать непроверенные сообщения извне, не делиться определенными фотографиями.
