Беларусские силовики освоили методы, характерные для мошенников. Они могут прибегать к провокациям, чтобы задерживать протестно настроенных людей, используя, например, ссылки-ловушки, которые отправляют под разными предлогами. «Зеркало» объясняет, как распознать опасный URL и обезопасить себя.
«При переходе по ссылке, посланной под каким-либо предлогом, становится известен IP-адрес»
Обычно не переходить по подозрительным ссылкам советуют для защиты от мошенников, которые таким образом угоняют аккаунты в соцсетях или выманивают платежные данные.
Но у силовиков есть очень похожая технология — «Web-капкан». О ней подробно рассказывал старший преподаватель Института повышения квалификации и переподготовки Следственного комитета Петр Зарецкий в научной статье в 2021 году. Автор назвал это «ссылки-ловушки».
— При переходе по подобной ссылке, посланной под каким-либо предлогом устанавливаемому пользователю, инициатору становится известен IP-адрес и некоторые другие данные об используемом устройстве и программном обеспечении, — писал он.
Автор упоминает два популярных сервиса для создания ссылок-ловушек — IP Logger и Grabify. Оба позволяют добавить к обычной ссылке (например, на статью в интернете) дополнительную «оболочку». Внешне ссылка будет вести на ту же статью, но создатель «оболочки» сможет отслеживать все переходы по ней.
После клика по ссылке ее создатель увидит время перехода, IP-адрес, страну и браузер пользователя.
Напомним, что для пользователей внутри Беларуси IP-адрес — это очень чувствительная информация. Зная его, силовики могут получить полные данные человека и его фактическое местонахождение.
Правда, автор публикации отмечает: с общедоступными сервисами у силовиков бывают проблемы. Их механизмы «не прозрачны для правоохранителей», ссылки «выглядят весьма подозрительно» и часто блокируются.
— Разработанная сотрудниками института система «Web-капкан» позволяет в течение получаса развернуть полностью контролируемую систему, состоящую из ссылки с правдоподобным URL, размещенного на сервере PHP- или Node. js-скрипта и электронного почтового ящика (либо телеграм-аккаунта), на который в режиме реального времени поступит сообщение о переходе по ссылке с данными об IP-адресе, устройстве и программном обеспечении (useragent), установленных языках и текущем времени браузера, иных технических параметрах пользователя, осуществившего переход, — пишет преподаватель Института повышения квалификации СК.
По словам автора публикации, в этой системе есть также функция использования технологии «кликджекинг». Это механизм обмана пользователей, когда на сайте используют невидимые элементы. К примеру, кнопку платежа совмещают с призывом к действию. Проще говоря, мошенники могут сделать сайт с большой кнопкой «заберите свой приз», а в реальности нажатие будет инициировать платеж. В статье в «Википедии» эта технология многократно названа вредоносной.
Преподаватель из Института повышения квалификации и переподготовки СК пишет, что кликджекинг силовикам помогает. В отдельных случаях он позволяет «устанавливать также аккаунт в социальных сетях пользователя, перешедшего по ссылке-ловушке».
«Увидел ссылку, нажал. А вскоре ко мне приехали»
Пример ловушки — фейковое сообщение о запуске плана «Перамога 2.0», которое появилось 15 марта на поддельном канале BYPOL. Текст сопровождался фальшивыми видеообращениями от имени Светланы Тихановской и Александра Азарова. Пресс-секретарь Тихановской Анна Красулина предупредила, что сообщение — обман.
«План „Перамога 2.0“ разработан с внедрением современных технологий искусственного интеллекта. От участников требуется лишь регистрация в боте, а ИИ обеспечит выдачу максимально эффективного задания», — говорилось в посте. Дальше шли ссылки на «Полную версию плана» и телеграм-бот.
Кто конкретно стоял за этой провокацией — неизвестно. Однако вечером того же дня силовики опубликовали видео с мужчиной, задержанным после публикации этого сообщения.
— Сегодня, находясь в интернете, увидел ссылку «Перамога 2.0», нажал на нее, ничего не произошло. А вскоре ко мне приехали гости, — говорит он на видео.
Как себя защитить?
— Такие ссылки активно распространяются в чатах и на фейковых ТГ-каналах. Обычно они замаскированы под опросы, сенсационные новости или завлекающие сообщения, например, «пройди по ссылке, чтобы получить выигрыш», — пишут «Киберпартизаны» в проекте, посвященном цифровой безопасности. — Не проходите по ссылкам, которые сопровождаются явно завлекающим текстом и ведут на неизвестные вам сайты. По ошибке такую ссылку может прислать даже ваш знакомый.
А поможет ли VPN посмотреть ссылку безопасно? В случае использования общедоступного сервиса вроде IP Logger — да, VPN успешно подменит ваш IP для сайта. Но в случае кликджекинга — гарантии нет. Если сам сайт будет построен так, чтобы украсть ваши данные, — VPN может не спасти.
Напомним, что Telegram позволяет делать ложные внутренние ссылки, которые также могут быть опасны. Внешне они выглядят как обычные ссылки на аккаунт или бот. Но на самом деле ведут не туда, куда написано.
Например, такие ложные ссылки рассылали от имени сообщества «Киберпартизан». Ложная ссылка отличалась одной буквой s.
Поэтому «Киберы» советуют не переходить без VPN по ссылкам в сообщениях и всегда проверять их подлинность перед кликом.
Как проверить, куда на самом деле ведет ссылка? На смартфоне — сделать долгое нажатие на нее. На ПК — навести курсор на ссылку и подождать, когда появится адрес. Дальше стоит сверить ссылку, которую вам прислали, со ссылкой, которая ведет на настоящий телеграм-бот, — они должны полностью совпадать. К слову, такая внимательность может уберечь вас и от мошенников.