Вы находитесь в зоне высокого риска, если обладаете ценной информацией и совпадают два условия: велика вероятность атаки, потому что информация интересна злоумышленникам, и возможен существенный ущерб от её утечки.

Например, активисты, предприниматели, адвокаты, юристы, финансисты или публичные персоны могут быть обладателями данных, интересных злоумышленникам или конкурентам: контактов, переписки, коммерческой или адвокатской тайны, личной информации. Чем ценнее данные, тем выше интерес. Ущерб может выражаться в финансовых, репутационных, правовых или психологических последствиях.

В таких случаях советы по цифровой безопасности недостаточны и могут быть даже вредны: нужен более специфический подход. 

Если вы обычный пользователь и не храните особо ценной информации, то главная угроза для вас — потеря доступа к сервису. Поэтому важно иметь возможность восстановить аккаунт при забытом пароле или утерянном телефоне.

Сервисы предлагают простые решения «по умолчанию», исходя из приоритета доступности. Например, просьба привязать резервный номер телефона означает: «мы считаем доступность важнее и предполагаем, что вы плохо храните пароль и второй фактор». Такой подход называют «феодальной безопасностью» — когда решения принимаются за пользователя.

Но для людей в зоне риска на первый план выходит не доступность, а конфиденциальность (availability vs confidentiality). Эти свойства конфликтуют: платформы часто «продают» доступность за счёт конфиденциальности, а для high-risk такие практики могут быть вредны.

1. Резервное копирование WhatsApp в Google Drive / iCloud

Плюсы: Обеспечивает удобный перенос чатов при смене устройства.

Минусы: Если аккаунт Google или iCloud взломан, злоумышленники могут получить доступ к резервным копиям WhatsApp.

Вывод: Этот способ не рекомендуется для людей с повышенным уровнем риска, особенно если в переписке есть конфиденциальная информация.

2. Телефон для восстановления в Gmail

Плюсы: Позволяет сбросить пароль и восстановить доступ к аккаунту в случае его потери.

Минусы: Злоумышленник может воспользоваться этим каналом для доступа к аккаунту, например, перехватив SMS.

Вывод: Этот способ восстановления не рекомендуется для людей с повышенным уровнем риска, у которых есть конфиденциальная информация в аккаунтах Gmail.

3. Электронная почта для восстановления в Gmail

Плюсы: Позволяет восстановить доступ к аккаунту, если вы забыли пароль, с помощью дополнительного адреса электронной почты.

Минусы: Дополнительный почтовый ящик должен быть защищен не менее надежно, чем основной. Иначе, злоумышленник может взломать его и сам использовать для сброса доступа.

Вывод: Этот способ восстановления не рекомендуется для людей с повышенным уровнем риска, у которых есть конфиденциальная информация в аккаунтах Gmail.

4. Хранение полного архива переписки в почте

Плюсы: Удобство поиска и быстрый доступ к сообщениям.

Минусы: Архив постоянно доступен онлайн, поэтому он более уязвим к фишинговым атакам и другим видам несанкционированного доступа по сравнению с онлайн-хранилищем.

Вывод: Этот способ восстановления не рекомендуется для людей с повышенным уровнем риска, у которых есть конфиденциальная информация в аккаунтах Gmail.

Более безопасным вариантом является хранение архива на зашифрованном оффлайн-носителе (cold storage).

5. Синхронизация с облачными сервисами производителей
(например, автоматическое сохранение документов Word в OneDrive или синхронизация заметок и паролей в iCloud)

Плюсы: Удобный доступ к документам и данным с разных устройств.

Минусы: Пользователи нередко не осознают, что их данные сохраняются в облаке. Иногда используются так называемые "темные паттерны" — приемы, которые побуждают хранить информацию в облачных сервисах без четкого и осознанного выбора.

Вывод: Пользователям с высоким уровнем риска стоит по возможности сократить количество облачных хранилищ, где размещаются конфиденциальные данные. Обязательные облачные сервисы нужно дополнительно защищать и ограничивать к ним доступ с устройств - например, использовать разные Apple ID для личных и рабочих аккаунтов и включить двухфакторную аутентификацию (ссылка).

6. Менеджеры паролей с автозаполнением и синхронизацией

Плюсы: Удобство ввода паролей и быстрый доступ к учетным данным.

Минусы: Безопасность полностью зависит от защищенности аккаунта, к которому привязан менеджер паролей. Распространённая ошибка — сохранение рабочих паролей в личном аккаунте (например, Google Chrome автоматически синхронизирует пароли через passwords.google.com). Это происходит, если вы входите в рабочий аккаунт через личный, не выходя из него. Аналогичная ситуация может возникнуть и с двухфакторной аутентификацией. 

Вывод: Пользователям с высоким уровнем риска настоятельно рекомендуется разделять личные и рабочие (а также конфиденциальные и не конфиденциальные) учетные данные, чтобы минимизировать "перетекание" информации из одного аккаунта в другой.

7. Функция "Запомнить меня" / "Оставаться в системе"

Плюсы: Позволяет избежать повторного ввода логина и пароля, экономит время.

Минусы: Не подходит для сценариев, когда высока вероятность физического доступа злоумышленника к разблокированному устройству либо есть риск того, что вас могут принудить к разблокировке. В таких случаях сохраняется угроза несанкционированного доступа ко всем учетным записям.

Вывод: пользователи с высоким уровнем риска нужно принять решение о применении данной функции, исходя из того, насколько велика вероятность, что злоумышленники смогут получить физический доступ к их устройствам. 

В цифровом мире не все пользователи сталкиваются с одинаковыми угрозами. Некоторые группы людей - журналисты, активисты, адвокаты, сотрудники НКО и проектов с высокой конфиденциальностью - подвергаются целевым атакам со стороны государств или крупных организаций. Еще с середины 2010-х Apple и Google начали уведомлять таких пользователей о рисках для их аккаунтов после того, как происходили реальные атаки со стороны государственных или мощных коммерческих игроков. Но угроза может исходить не только от взлома аккаунта - иногда атакуют само устройство. Для таких пользователей стандартных мер безопасности часто недостаточно. На помощь приходят специальные режимы защиты устройств и аккаунтов - Apple Lockdown Mode и Google Android Advanced Protection.

Клиенты с высоким риском - это сотрудники и активисты НКО, медиа и проектов, адвокаты, юристы, предприниматели, публичные персоны, чья деятельность может привлекать повышенное внимание, требующие повышенной цифровой и финансовой безопасности. Для них важно не только базовое шифрование и двухфакторная аутентификация, но и расширенные меры защиты, минимизирующие сложные атаки через стандартные сервисы. При этом многие активисты не имеют ресурсов на дорогие корпоративные продукты, поэтому им особенно важны доступные стандартные решения от Apple и Google.

Что делает режим?

• сообщения: блокируются вложения, кроме определенных медиа; ограничивается предварительный просмотр ссылок;
• веб: ограничение сложных веб-ресурсов, некоторые шрифты и скрипты могут не загружаться;
• FaceTime: звонки блокируются от неизвестных контактов, с которыми не было связи последние 30 дней;
• общее: ограничение установки профилей и других системных функций, которые могут быть использованы злоумышленниками.

Для кого: пользователи, которые могут стать объектом целевых атак, включая эксплойты типа Pegasus. Включение режима выполняется в Настройки → Конфиденциальность и безопасность → Режим блокировки (Lockdown Mode). После включения режим можно выключить, но делать это стоит осторожно - временно отключив, вы снижаете уровень защиты.

📌 Подробнее на официальном сайте Apple: Apple Lockdown Mode

Что делает режим?

• блокировка некоторых типов мультимедиа и вложений в мессенджерах;
• усиление защиты системных сервисов и браузера;
• ограничение установки профилей и сторонних приложений, которые могут создавать уязвимости.

Для кого: Для пользователей с высоким риском - журналистов, активистов, сотрудников НКО и проектов с высокой конфиденциальностью. Режим активируется в разделе Настройки → Безопасность → Advanced Protection на совместимых устройствах. Его можно выключить в любой момент через те же настройки.

📌 Подробнее на официальном сайте Google: Google Advanced Protection

Практика использования и возможные ограничения

Lockdown Mode и Android Advanced Protection - эффективные инструменты защиты от целевых атак для клиентов с высоким риском. 

Для таких пользователей рекомендуется использовать эти режимы постоянно. 

Эти режимы минимизируют стандартные уязвимости платформ и существенно снижают вероятность успешной целевой атаки.

Возможны несколько подходов использования:

• Разделение устройств: один телефон для обычного использования, другой - с включенным режимом защиты для работы с критичной информацией и безопасными коммуникациями;
• Единое устройство: включение режима на одном устройстве, с готовностью терпеть редкие неудобства, например, некорректное отображение некоторых сайтов или приложений.

Ограничения:

• Android Advanced Protection доступен не на всех устройствах; 
• Lockdown Mode полностью поддерживается на последних версиях iOS и macOS;
• некоторые сайты и приложения могут работать нестабильно, но критические функции остаются доступными.

Расширенные меры защиты снижают удобство использования и усложняют восстановление аккаунта. Большинство пользователей ценят доступность данных выше максимальной безопасности, поэтому эти режимы оставляют для тех, кто готов пожертвовать удобством ради защиты.

• Google Advanced Protection: крайне рекомендуем для всех high-risk клиентов.
• Apple Advanced Data Protection: дополнительная защита, полезна, но фокусируется на приватности и не решает задачи защиты от большинства реальных угроз high-risk пользователей.

Почему режимы не включены по умолчанию?
Расширенные меры защиты, такие как Advanced Protection, снижают удобство использования и усложняют восстановление аккаунта. Большинство пользователей ценят доступность данных выше максимальной конфиденциальности, поэтому Apple и Google ориентируются на простое восстановление информации, оставляя усиленные режимы для тех, кто готов пожертвовать удобством ради защиты.

Оба режима - это примеры того, как вендоры адаптируют свои облачные сервисы для разных аудиторий. Важно понимать, что выбор между удобством и безопасностью всегда стоит за пользователем.

В мире облачных сервисов угрозы для пользователей существуют на разных уровнях, и их игнорирование может привести к серьезным последствиям. Особенно это касается пользователей, чьи данные могут быть интересны злоумышленникам или государственным органам. В этой статье мы разберем два продвинутых режима безопасности от ведущих вендоров - Apple и Google, их различия, особенности и кому они действительно нужны.

Клиенты с высоким риском - это сотрудники и активисты НКО, медиа и проектов, адвокаты, юристы, предприниматели, публичные персоны, чья деятельность может привлекать повышенное внимание, требующие повышенной цифровой и финансовой безопасности. Для них важно не только базовое шифрование и двухфакторная аутентификация, но и расширенные меры защиты, минимизирующие сложные атаки через стандартные сервисы. При этом многие активисты не имеют ресурсов на дорогие корпоративные продукты, поэтому им особенно важны доступные стандартные решения от Apple и Google.

Для большинства пользователей облаков основные риски связаны с фишингом - попытками злоумышленников получить доступ к аккаунту, выдавая себя за легитимные сервисы. Однако для клиентов с высоким уровнем риска угрозы шире:

• Фишинг и социальная инженерия: получение доступа через обманные письма, SMS или звонки;
• Сброс аккаунтов через методы восстановления: злоумышленник использует слабые механизмы восстановления аккаунта, чтобы его захватить;
• Прямой доступ к данным через облако: возможность получить данные напрямую из резервной копии или синхронизации.

Эти угрозы делают важным использование специальных режимов безопасности для high-risk клиентов.

Apple предлагает режим Advanced Data Protection, который добавляет сквозное (end-to-end) шифрование для большинства данных в iCloud: резервные копии устройства, включая сообщения; iCloud drive с файлами и документами; фотографии, заметки, напоминания; закладки и группы вкладок Safari; диктофон, карты Wallet и т.д.

При этом некоторые данные и сервисы не становятся зашифрованными полностью, чтобы сохранять критические функции устройства: это iCloud Mail, календари и контакты, Apple Cash и карты в Wallet, а также функции Find My и часть информации о местоположении.

Как это работает?

Если режим не включен, доступ к данным iCloud возможен через привязанные устройства.
Если включен, для восстановления данных потребуется один из трех вариантов:

• специальный ключ восстановления;
• доступ к доверенному устройству;
• подтверждение через recovery-контакт.

То есть даже при взломе iCloud злоумышленник не сможет получить данные без этих дополнительных факторов, за исключением вышеуказанных сервисов, которые остаются частично доступными для работы функций устройства.

Для кого это?

Этот режим предназначен для пользователей, заботящихся о приватности или опасающихся, что их данные могут запросить правоохранительные органы США или ЕС.

📌 Инструкция по включению Advanced Data Protection от Apple

Google предлагает Advanced Protection Program, которая защищает аккаунт от фишинга и других атак социальной инженерии.

Как это работает?

• обязательная настройка FIDO2 ключей для входа;

FIDO2-ключ - это физическое устройство (например, USB-ключ, NFC-ключ или встроенный в устройство биометрический ключ), которое используется вместо обычного пароля или как дополнительный фактор при входе. Без него злоумышленник не сможет войти даже если знает пароль.

• отключение менее безопасных способов двухфакторной аутентификации (SMS, телефонные звонки);
• ограничение доступа сторонних приложений к аккаунту;

Приложениям третьих сторон запрещается напрямую получать доступ к Gmail и Google Drive. Доступ возможен только через официальные Google API с ограниченными правами, что снижает риск утечки данных через вредоносные приложения.

• усиленная процедура восстановления аккаунт;

Если пользователь потеряет доступ к аккаунту, восстановление требует более строгой проверки личности: может понадобиться несколько доверенных устройств, FIDO2-ключ, контактное лицо для восстановления и подтверждение личных данных. Это снижает риск, что злоумышленник сможет захватить аккаунт через стандартные процедуры восстановления.

Для кого это?

Этот режим создан для пользователей, которым критически важна защита от взлома, фишинга и вредоносных приложений. Он идеально подходит для high-risk клиентов: правозащитников, журналистов, сотрудников компаний с чувствительной информацией.

📌 Инструкция по включению Advanced Protection от Google

В зоне высокого риска могут быть активисты, чьи контакты делают их уязвимыми; бизнесмены, чьи конкуренты стремятся получить доступ к коммерческой тайне; финансисты и адвокаты, обязанные хранить данные клиентов; публичные персоны, для которых опасна утечка личной информации. В таких случаях общие советы вроде «включить двухфакторную аутентификацию» уже не работают — нужна специфика.

Риск определяется двумя факторами: вероятностью атаки и величиной ущерба. Вероятность выше, если у вас есть ценная информация, представляющая интерес для злоумышленника. Ущерб выражается как в материальных потерях (кража или блокировка финансовых данных), так и в рисках преследования, потери репутации или психологических последствиях.

Если вероятность атаки высока и ущерб от завладения вашей информацией значителен, вы находитесь в зоне высокого риска.

Двухфакторная (или многофакторная) аутентификация - это способы, которыми вы защищаете свою информацию от несанкционированного доступа. Суть в том, чтобы построить такую защиту, при которой злоумышленнику придётся пройти два (или более) этапа проверки личности разными методами.

Главная идея состоит в том, чтобы использовать разные типы факторов аутентификации. Каждый из способов обладает разной степенью защищенности.

Существует три основных типа факторов аутентификации:

1. Что-то, что вы знаете (something you know) - например, пароль.
2. Что-то, что у вас есть (something you have) - например, смартфон или ключ безопасности .
3. То, чем вы являетесь (something you are) - биометрия, например, отпечаток пальца, лицо или голос.

Дополнительные пароли сразу отметаем - такая защита не будет надежной. Мы уже знаем, что нельзя использовать один и тот же тип фактора (например, something you know) несколько раз - это не будет считаться двухфакторной или многофакторной аутентификацией.

Исторически это была первая попытка внедрить массовую двухфакторную аутентификацию.

Плюсы:

• Доступность: телефон сейчас есть у всех
• Удобство: легко восстановить через восстановление сим-карты

Минусы:

• Нарушители безопасности (как государства так и криминал) умеют получать доступ к чужим смс-сообщениям. Для этого они могут просто сделать копию страницы сайта у себя в системе и перенаправлять введенный пользователем код из смс на доступный им сервер
• Государства также умеют прекращать обслуживание в сетях операторов, то есть могут сделать так, чтобы смска не пришла
• Фишинговые сайты также могут запрашивать код из SMS и сразу использовать его на настоящем сайте, крадя и пароль, и код двухфакторной аутентификации. Пользователь вводит код на поддельной странице, откуда он в реальном времени перенаправляется злоумышленником на подлинный сайт.
• В содержимом перехваченной SMS часто видно, к какому ресурсу запрашивается доступ, что позволяет злоумышленнику отслеживать активность пользователя

Вывод: Не подходит для тех, кто находится в зоне высокого риска. Код по телефону через обыкновенное смс-сообщение можно рекомендовать только для аккаунтов, в которых нет важных объектов защиты.

Это вариант предыдущего способа, но дополнительный плюс -

Плюсы:

• Сообщения защищены сквозным шифрованием, то есть сообщение перехватить так не получится

Минусы:

• Перехватив смс-сообщение, злоумышленники могут зарегистрироваться в чужом аккаунте мессенджера, если отсутствует дополнительный пароль. А зарегистрировавшись, можно получить доступ к новым сообщениям, приходящим в мессенджер, и таким образом получить чужую двухфакторную аутентификацию
• Надежность способа зависит от доступности платформы (Whatsapp и Telegram могут заблокировать)
• Фишинговые сайты тоже могут запрашивать код и сами использовать его на настоящем сайте, и фишингом можно красть и пароль и код двухфакторной аутентификации

Вывод: Не подходит для high-risk клиентов и аккаунтов.

Протокол, по которому работают аутентификаторы, называется TOTP (Time-based One-Time Password), то есть из изначального ключа устройство, где установлено приложение, делает одноразовые пароли, привязанные к текущему времени. Этот метод появился, когда стало ясно, что двухфакторная аутентификация через SMS оказалась сравнительно ненадежной.

Плюсы:

• Работает офлайн, не зависит от наличия сети или безопасности других платформ
• В отличие от SMS, код при использовании такого способа гораздо труднее перехватить, если только злоумышленник не завладеет самим телефоном или первоначальным кодом, который, как правило, нужно сканировать

Минусы:

• Фишинговые сайты тоже могут запрашивать такой код и сами использовать его на настоящем сайте, то есть красть и пароль и код двухфакторной
• Аутентификатор привязан к устройству или к онлайн-аккаунту. Например, Google предлагает хранить коды в самом аккаунте Google через синхронизацию приложения Authenticator. Таким образом, при взломе аккаунта злоумышленник получает доступ к кодам

Вывод: Не подходит для high-risk клиентов и аккаунтов.

Сохранение TOTP кодов в специализированном парольном менеджере

Для генерации кодов можно использовать парольный менеджер 1Password и ряд других сервисов.

Плюсы:

• Все плюсы от предыдущего варианта (работает офлайн, такие коды нелегко перехватить)
• Коды не теряются при потере устройства
• Можно использовать в режиме совместного доступа разных пользователей к аккаунту, например для корпоративного аккаунта Instagram

Минусы:

• Когда оба фактора аутентификации находятся в одном месте, злоумышленник получает возможность взломать их вместе — и принцип разделения факторов фактически перестаёт работать

Вывод: Не подходит для high-risk клиентов и аккаунтов.

Фактически это полноценный второй этап аутентификации, который платформы описывают как “дополнительный”. Сами по себе коды восстановления не являются вторым фактором – поэтому двухфакторной аутентификации тут нет.

Коды восстановления предлагаются при настройке аккаунта, чтобы пользователи не обращались в службу поддержки в случае потери доступа. То есть, строго говоря, это не инструмент защиты пользователя, а скорее способ защитить саму платформу от последствий беспечности пользователей.

Это не двухфакторная аутентификация, потому что и пароль, и коды восстановления относятся к одному и тому же типу информации — shared secret. И то и другое — это something you know.

Плюсы:

• Коды восстановления не привязаны к мессенджерам или передаче данных

Минусы:

• Хранение кодов восстановления. Почти все пользователи держат их там же, где и пароли — в лучшем случае в парольном менеджере. Но как хранить их отдельно? Завести два менеджера паролей? Звучит абсурдно. По сути, это всего лишь ещё один пароль.
• Коды восстановления также уязвимы для фишинга

Вывод: Не подходит для high-risk клиентов и аккаунтов. Парадоксально, но таким клиентам иногда сохранять коды НЕ рекомендуется.

Идея заключается в том, что что когда пользователь хочет зайти в аккаунт на одном устройстве, ему нужно подтвердить этот вход на другом, где он уже авторизован, нажав кнопку вроде «Да, это я». Такая технология доступна не везде, но, например, используется в аккаунтах Google и Apple. У Apple коды приходят автоматически, а в Google эту функцию можно настроить вручную.

Плюсы:

Это точно лучше чем обыкновенное SMS-сообщение

Минусы:

Проблема в том, что до конца не ясно, как именно работает эта технология у конкретного пользователя. Например, у Google, судя по всему, она может реализовываться тремя разными способами, причём механизм зависит и от модели телефона, в частности, от наличия криптопроцессора. Уровень защищённости может различаться в зависимости от устройства: на одном защита сработает, а на другом уязвимость для фишинга останется. Подробностей и определённости здесь нет.

Вывод: Не подходит для high-risk клиентов и аккаунтов.

Такие ключи часто продаются под брендом YubiKey, у Google есть собственный ключ Titan (https://store.google.com/us/product/titan_security_key?hl=en-US), существуют и другие аналоги. Для таких ключей действует единый стандарт FIDO2, по этой аббревиатуре можно искать совместимые ключи.

Плюсы:

• Основной плюс таких ключей в том, что это не something you know. То есть это не «ещё один пароль», который просто подставляется при нажатии кнопки. Внутри ключа находится чип, выполняющий криптографическую операцию, и благодаря этому такие ключи устойчивы к фишингу. Если вы зайдете на фишинговый сайт, вставите там правильный ключ и нажмите на кнопку, вход в настоящий аккаунт не произойдёт.

Минусы:

• Риск изъятия и кражи ключа

Вывод: Отлично подходит для high-risk клиентов и аккаунтов для защиты от фишинга. Надо только учитывать, есть ли риск изъятия и кражи такого ключа. Если нет или он очень невелик, рекомендуем!

Passkey – это не просто длинный пароль. Это новый способ аутентификации, который используется для защиты аккаунта в качестве второго фактора.

• Принцип работы таков: устройство или парольный менеджер хранят приватный ключ. При попытке входа сервер присылает число, пользователь подтверждает аутентификацию на устройстве — вводит пароль (PIN) или биометрические данные. Устройство подписывает присланное число приватным ключом и отправляет результат обратно на сервер. У сервера есть соответствующий публичный ключ, с помощью которого он проверяет подпись и убеждается, что пользователь настоящий

Плюсы:

Как и предыдущий метод, этот способ очень устойчив к фишингу. Однако, он становится спорным в ситуации, когда есть риск, что устройство окажется в руках злоумышленников и пользователя принудят ввести биометрию или пароль.

Вывод: Отлично подходит для high-risk клиентов и аккаунтов для защиты от фишинга.

Итог: Для пользователей, находящихся в зоне высокого риска, рекомендуется использовать для двухфакторной аутентификации аппаратные ключи и passkey.

При этом следует отключить все стандартные способы восстановления доступа и иные методы двухфакторной аутентификации, основанные на паролях или кодах.

Традиционные методы на основе общего секрета (shared secret) больше не обеспечивают достаточного уровня защиты. А вот методы, основанные на публичной криптографии, обеспечивают необходимую защиту.

За долги могут ограничить выезд из страны. Если у вас есть задолженность по исполнительному документу свыше 10 000 ₽, пристав вправе ограничить вам выезд. Для долгов по алиментам, компенсациям за вред здоровью или моральному ущербу порог такой же — 10 000 ₽.

Важно следить за долгами заранее: на сайте ФНС (личный кабинет налогоплательщика) или «Госуслуги» можно проверить налоговые задолженности, а на сайте ФССП — судебные задолженности. Если нашли долг, оплатите его сразу — ограничения снимают через несколько дней после оплаты.

Если о долге вам не сообщили, это не отменяет ограничения. Формально приставы обязаны направить вам уведомление, но на практике многие узнают о проблеме уже на границе.

Ряд российских сайтов и приложений плохо работают за рубежом (например, «Госуслуги» и онлайн-банки). Это происходит, потому что такие сайты блокируют доступ с иностранных IP-адресов для защиты данных и безопасности. 

Что же делать, если доступ все же необходим?

• VPN: Установите VPN и выберите российский или близлежащий сервер. При этом не обязательно выбирать именно российский IP – бывает, что приложения работают через сервера других стран.
  
  
• Мобильный интернет: Если у вас есть российская SIM‑карта с роумингом, попробуйте подключиться к мобильному интернету. Часто такие подключения распознаются сервисами как российские.
  
  
• Двухфакторная аутентификация: Для «Госуслуг» введена обязательная двухфакторная аутентификация (2FA). Если у вас нет доступа к SMS из России, можно настроить вход через одноразовый код из приложения-аутентификатора (TOTP).
  
  
• Обновление приложений: Убедитесь, что у вас установлена последняя версия приложения. Часто сбои возникают из-за устаревшего ПО.
  
  
• Поддержка: Если проблема сохраняется, обращайтесь в службу поддержки банка или сервиса – они могут подсказать обходные пути или подтвердить статус работы за границей.

• Паспорта: действующий заграничный паспорт (внимательно проверьте срок годности – для въезда в большинство стран необходимо, чтобы паспорт действовал  не менее полугода) и внутренний российский паспорт. 

        Каждому ребенку также потребуется отдельный загранпаспорт.

• Семейные документы: свидетельства о рождении детей, свидетельство о браке или разводе.
  
  
• Дипломы и аттестаты: если планируете работать или учиться, возьмите оригиналы дипломов об образовании. Уточните, возможно вам понадобится поставить апостиль на оригинал документа.
  
  
• Справка об отсутствии судимости: понадобится для виз в большинство стран. Обычно выдается МВД и действует примерно 3–12 месяцев (у большинства консульств – 3 месяца, а у некоторых – до года). Лучше получить справку заранее и по возможности поставить на нее апостиль.
  
  
• Медицинская страховка: покупайте полис для поездки и на первый год жизни за границей, если страна требует. Если виза не нужна,мы все же рекомендуем иметь страховой полис с хотя бы минимальным покрытием.
  
  
• Водительские права: российские права годятся ограниченно. Лучше оформить международное водительское удостоверение.
  
  
• Документы на питомцев: возьмите ветпаспорт с актуальными прививками. Для большинства стран нужен сертификат здоровья, оформляемый за несколько дней до поездки.
  
  
• Согласие на выезд ребенка: если ребенок едет не с обоими родителями (например, с одним из них или с третьим лицом), оформите нотариально заверенное согласие на выезд ребенка за границу. В Турции, например, справка не нужна, если ребенок младше 14 лет и путешествует с одним родителем, но при поездках с другими лицами необходимо разрешение.
  
  

Перед отъездом лучше сделать копии всех документов и переводы на язык страны переезда – в некоторых консульствах требуют легализованные переводы. Храните копии отдельно от оригиналов.

Если у вас в России остаются дела (например, недвижимость, суды или другие вопросы), стоит оформить доверенность на надежного человека. Это может быть генеральная доверенность или доверенность на представление интересов в госорганах и судах. Срок действия — любой, от месяца до нескольких лет.

Важно! Доверенность дает широкие полномочия: распоряжение деньгами, недвижимостью, автомобилем и т.д. Поэтому доверяйте её только близкому и проверенному человеку.

Для официального признания ваших российских документов за границей часто требуется проставить апостиль – специальный штамп, подтверждающий подлинность документа. Обычно апостиль ставят на:

• Свидетельства о рождении и браке (для оформления вида на жительство, гражданства или учебы);
  
  
• Дипломы об образовании и вкладыши к ним (для обучения и работы за рубежом);
  
  
• Справку об отсутствии судимости (если консульство требует подтвердить ее подлинность);
  
  
• Документы из суда, полиции или нотариата (при необходимости их предъявлять за границей).
  

Если страна не является участником Гаагской конвенции об апостиле, для документов может потребоваться консульская легализация. 

Во многих случаях часть документов можно оформить и отправить по доверенности из России.

Совет: проверьте заранее требования страны переезда на сайтах посольств. Некоторые страны принимают временные российские справки (без апостиля) или вообще не требуют определенных документов.

Безвизовый режим: Гражданам России проще всего въехать в страны СНГ и дружественные государства:

• СНГ и ЕАЭС: Армения, Беларусь, Казахстан, Киргизия, Таджикистан, Узбекистан позволяют россиянам въезжать без визы (обычно до 30–90 дней и больше). Между Россией и странами ЕАЭС (Армения, Беларусь, Казахстан, Киргизия) таможенного контроля нет, но пограничный/миграционный контроль может сохраняться.
  
  
• Турция: разрешает россиянам безвизовый въезд на срок до 60 дней подряд (в сумме не более 90 дней за полгода). 
  
  
• Объединённые Арабские Эмираты: имеют гибкие визовые программы. Например, покупка недвижимости на сумму от ~750 000 дирхам (≈$205 000) дает 2‑летнюю резидентскую визу. 
  
  
• Черногория: предоставляет вид на жительство при покупке недвижимости без установленного минимума стоимости.
  
  
• Другие страны: без визы можно посещать Турцию (до 60 дней), Сербию, Черногорию, Монголию, Грузию и ряд азиатских стран (виза по оформляется уже по прибытию в ОАЭ, Египет, Индонезию, Таиланд и др. страны).
  

Визы и сложность въезда: Въезд в страны ЕС, США, Канаду, Великобританию с российским паспортом сейчас осложнен.

• Европа (Шенген): многие страны ужесточили правила. Эстония с 2022 года запрещает въезд россиянам с туристическими шенгенскими визами и приостановила выдачу туристических виз, так же как Латвия, Литва, Польша и Чехия.
  
  
• Программы «золотых виз»: В некоторых странах ЕС ещё действуют инвестиционные визы.
  
  
• США, Великобритания, Канада, Австралия: получить визы туда очень сложно. Процедуры строго контролируются, от кандидатов требуют много документов и решительные причины для переезда. 

Совет: всегда проверяйте актуальные правила перед поездкой на сайтах консульств. Безвизовые соглашения и визовые требования могут меняться.

Необходимые документы

При пересечении границы убедитесь, что все документы у вас в порядке:

• Паспорта и визы: действующий загранпаспорт (проверьте дату окончания) и внутренний паспорт РФ. Для детей – их паспорта и свидетельства о рождении;
 
• Согласие на выезд детей за границу, если ребенок путешествует не с родителями, а с родственниками или друзьями. В зависимости от страны, может потребоваться согласие второго родителя на выезд ребенка, если ребенок путешествует с одним из них;
 
• Документы на питомцев: паспорт питомца и справки о прививках, ветеринарное свидетельство о состоянии здоровья. Для некоторых стран нужны специальные разрешения.

Техника и гаджеты 

• Очистите гаджеты: удалите из телефона и ноутбука фото, переписки и документы, которые нежелательно показывать. Перенесите важные файлы в зашифрованные облачные хранилища;
 
• Установите сложные пароли: используйте надёжные пароли и двухфакторную аутентификацию на всех аккаунтах;
 
• Отключите биометрию: уберите отпечатки пальцев и распознавание лиц на смартфоне. Тогда силовики не смогут открыть устройство без вашего согласия;
 
• Режим «гостя»: на телефоне и компьютере можно создать гостевой или рабочий профиль с минимальным доступом. В нём будут только нужные приложения, остальное заблокировано;
 
• Шифрование: современные iPhone и Android автоматически шифруют память при пароле. Ноутбуки лучше защитить полным шифрованием диска: BitLocker (Windows) или FileVault (MacOS). Можно также создать скрытый шифрованный контейнер VeraCrypt – даже если заставят расшифровать основной диск, скрытый контейнер может остаться незаметным;
 
• Минимизируйте флешки: не берите с собой USB‑накопители с конфиденциальными файлами. Если храните данные на флешках, зашифруйте их паролем.

Сохраняйте спокойствие и вежливый тон. Если попросят разблокировать устройство или показать содержимое, можно поинтересоваться о правовом основании проверки. Но не спорьте и не сопротивляйтесь – лучше уступить требованиям и в дальнейшем обжаловать действия уже находясь в безопасности. Если устройство оказалось у силовиков и вы не видите его – есть вероятность, что к устройству подключили Мобильный криминалист или аналог и скачали образ всего телефона.

• Наличные:
  
• В рублях вы можете вывозить любое количество. Но перед поездкой посчитайте сумму в долларах по курсу ЦБ: если эквивалент превысит $10 000, потребуется таможенная декларация.
• Иностранную валюту (доллары, евро и др.) можно вывозить не более $10 000.
  
• При обратном ввозе в Россию декларацию нужно подавать, если сумма в эквиваленте превышает $10 000.
  
  
• Банковские карты: российские карты Visa/Mastercard за границей работают редко из‑за санкций – если они выпущены в РФ, то действовать могут только в ограниченном числе стран (например, в Беларуси), а порой совсем не принимаются. Карты «Мир» тоже мало где работают: без ограничений – в Беларуси и на Кубе. С ограничениями – в Армении, Казахстане, Вьетнаме, Лаосе, Мьянме, Никарагуа и Таджикистане. Проанализируйте ситуацию заранее и запаситесь альтернативами (наличными или картами других стран).
  
  
• Открытие счета: открыть банковский счет россиянам в других странах возможно, но обычно нужно подтверждение проживания и дохода. В Беларуси, как правило, можно открыть счет без особых ограничений, в Армении понадобится адрес проживания, договор аренды или трудовой договор (в зависимости от банка), в Казахстане - местный ИНН, свидетельство о регистрации и другие документы, а зависимости от банка. В Европе в большинстве случаев для открытия счета необходим вид на жительство.
  
  
• Криптовалюта: хранить биткоины и другие цифровые валюты в России разрешено (законодательно криптовалюты легализуются, но не разрешается использовать их как платёжное средство внутри страны. Это значит, что вы можете продавать крипту на бирже или менять на фиат для перевода денег за границу. «Перевезти» деньги через криптовалюту – один из вариантов, но учтите риски: многие биржи могут ограничить операции из‑за санкций, а официальный курс обмена может быть невыгодным. Заранее изучите правила конвертации в стране назначения.
  
  

Подсказка: при обналичивании больших сумм в аэропорту пользуйтесь «зелёным» коридором (для сумм до $10 000). За декларированием наличности (если нужна декларация) обращайтесь на «красный» коридор. Сотрудники таможни могут спросить, сколько у вас валюты, и при превышении лимита выписать штраф. Лучше самостоятельно декларировать крупные суммы заранее и иметь с собой документы, подтверждающие их легальный источник.

Каждый раз при выходе в интернет ваше устройство использует IP-адрес - сетевой «домашний адрес» вашего компьютера или телефона, который выдаётся интернет-провайдером и обычно привязан к географическому региону. Поэтому любой сайт или сервис, узнав ваш IP, сможет определить хотя бы город или район вашего пребывания.

Специализированные базы данных (GeoIP-сервисы) выдают приблизительные координаты по IP: страну, город, а иногда даже широту/долготу и почтовый индекс. Точность у публичных баз не идеальная (как правило, уровень города), но для начальной оценки этого достаточно.

Иногда бывает доступна более точная информация. Во-первых, в России по закону провайдеры связи хранят данные о подключениях пользователей и обязаны предоставлять их по запросу правоохранителей. Зная IP-адрес, можно через провайдера выяснить, кому он выдан и по какому адресу находится абонент в конкретный момент.

Как защититься:

Главное – не выходить в интернет напрямую, без защитных инструментов. Даже мгновения между тем, как вы подключились к Wi-Fi и включили VPN может хватить, чтобы вы оставили достаточно следов для идентификации. Сервисы фиксируют IP адреса, с которых устройства выходят в сеть, и сохраняют их. 

Скрыть свой реальный IP-адрес помогает использование VPN или сети Tor. VPN (Virtual Private Network) создаёт зашифрованный туннель и подменяет ваш IP на IP своего сервера. Публичные Wi-Fi сети небезопасны, рекомендуется включать VPN на всех сетях и настроить “kill switch” (блокировку интернета при падении VPN). 

Tor – анонимная сеть, а которую можно попасть через специальный браузер Tor Browser. Tor позволяет добиться высокой анонимности, но у него есть минусы, например, невысокая скорость, а также блокировка подключения. Злоумышленники и хакеры часто используют Tor при совершении преступлений, поэтому правоохранительные органы следят за его использованием с подозрением.

• Публичные точки доступа. Подключаясь к чужому Wi-Fi, вы раскрываете своё присутствие в этой локации. В некоторых странах, в том числе в России, все публичные Wi-Fi обязаны идентифицировать пользователей по номеру телефона или паспорту. Чтобы подключиться к Wi-Fi в кафе, вы вводите номер и код, система сохраняет связку телефона, MAC-адреса и времени. Лучше использовать мобильный интернет или VPN, чтобы скрыть трафик, но факт подключения всё равно фиксируется. Без идентификации ответственность за действия несёт владелец сети.
• Прослушка Wi-Fi трафика. Открытый Wi-Fi небезопасен: злоумышленник может создать фальшивую сеть (например, Free_Cafe_WiFi). Подключившись, вы раскрываете незашифрованные данные, а также MAC-адрес — уникальный идентификатор сетевой карты. MAC можно использовать для наблюдения: в ТЦ или метро Wi-Fi сенсоры фиксируют его, чтобы отслеживать посещаемость и перемещения. Включённый Wi-Fi становится потенциальным «маяком».  хотя современные устройства чаще используют одноразовые MAC-адреса, что усложняет слежку.
• Излучение смартфона при поиске сетей. Даже если вы не подключаетесь к Wi-Fi, ваш телефон постоянно обменивается «маячками» с окружающими сетями, пытаясь найти знакомые точки доступа. Смартфон рассылает в эфир пакеты с информацией о себе (имя устройства, поддерживаемые стандарты и пр.), которые могут быть замечены специальными сканерами. 

Как защититься:

• Первое правило – выключайте модули Wi-Fi и Bluetooth, когда не пользуетесь ими. На Android и iOS по умолчанию включена рандомизация MAC-адреса при подключениях – убедитесь, что эта опция активна (в настройках Wi-Fi вашего устройства). Но при авторизации по SMS рандомный MAC всё равно свяжется с вашим номером, тут защиты нет.
• Избегайте подключаться к незнакомым Wi-Fi, особенно без пароля. Если очень нужно, не открывайте ничего конфиденциального в такой сети без VPN. Лучше используйте собственный мобильный интернет (раздав его на ноутбук при необходимости) – трафик сотового оператора шифруется и не виден посторонним в округе. Однако, если это трафик на территории РФ, то учтите, что данные все равно передаются через СОРМ.

Сотовая связь — один из мощнейших инструментов отслеживания. Как только телефон зарегистрирован в сети, он постоянно общается с ближайшими базовыми станциями: оператор знает, к какой вышке вы подключены, и по этому можно примерно определить позицию — в плотной 5G-сети точность может доходить до метров. Метки местоположения также записываются в биллинговых данных.

Есть и специальное оборудование — IMSI-catcher (Stingray). Такие устройства маскируются под вышку, заставляют телефоны подключиться и получают уникальный номер SIM (IMSI), а при желании — и звонки/SMS; зная сигнал, злоумышленник может локализовать телефон с высокой точностью.

GPS сам по себе не передаёт ваше местоположение — приёмник только слушает спутники и вычисляет координаты. Миф «меня отследят через GPS» верен лишь наполовину: если включены службы геолокации, приложения (навигатор, такси, соцсети) регулярно запрашивают координаты и могут отправлять их на серверы, а Android и iOS сохраняют историю в аккаунтах Google/Apple.

Злоумышленник, взломавший ваш iCloud/Google-аккаунт, получит доступ к этой геоистории, поэтому учётные записи нужно защищать: используйте уникальные длинные пароли и двухфакторную аутентификацию. Отключайте лишний сбор локации — в Google Location History и «Службах геолокации» Apple — и проверьте права приложений на доступ к GPS.

Как защититься:

• В идеале – не носить с собой телефон, когда не хотите, чтобы вас отследили. В новых моделях вынуть батарею нельзя – тогда выручают специальные аксессуары: например, чехлы фарадея или сумки, блокирующие все сигналы.
• Включить авиарежим: он отключает активные передатчики (связь, Wi-Fi), однако полностью не гарантирует, что устройство ничего не передаёт.
• Выключать телефон в чувствительных местах и не держать его около места тайных встреч. При пересечении границы тоже рекомендуется держать телефон выключенным до выхода из аэропорта.
• Минимизируйте утечки: отключите GPS-модуль, если он не нужен в данный момент. Когда нужен – вы можете вручную включить его и потом снова выключить. Проверьте в настройках, какие приложения имеют доступ к вашей локации – оставьте только доверенные и только «При использовании приложения». Всевозможным утилитам фонового мониторинга, камерам, соцсетям – поставьте «Никогда» для геолокации. 
• Стоит также очищать метаданные из файлов, которые вы распространяете. Например, фотографии: многие смартфоны записывают в фото EXIF-метки, включая точные координаты места съёмки. Если вы отправили фото напрямую через мессенджер или опубликовали на сайте – координаты могут сохраниться внутри файла.

Даже без доступа к вашим устройствам, злоумышленники могут узнать о местоположении через браузер и приложения в интернете. Например:

• Запрос геолокации через браузер. На сайтах бывает всплывающее окно «Разрешить сайту узнать ваше местоположение?». Никогда не разрешайте сайтам доступ к местоположению, если только это не критично (например, карты).
• Приложения от Яндекса. Кроме того, что они отправляют IP-адреса на сервера в РФ (а значит, это в доступе СОРМ), предоставляют данные своих приложений (поездки, данные геолокации и тд), они ещё могут связывать идентификатор пользователя через Яндекс-метрику.
• Опасные расширения и приложения. Иногда сами пользователи устанавливают дополнения в браузер, которые шпионят за ними. Например, VPN-плагины в браузере из подозрительных источников могут передавать ваш трафик и данные.
• WebRTC–утечка IP. Современные браузеры поддерживают протокол WebRTC для связи в реальном времени (видеозвонки и т.п.). Побочный эффект: через WebRTC сайт может выполнить особый запрос и получить ваш реальный IP-адрес, даже если вы сидите за VPN.
• При звонках через мессенджеры (Telegram, WhatsApp, Signal и другие)  можно получить реальный IP адрес. Для большей конфиденциальности функцию peer2peer лучше отключать.
• Цифровой отпечаток браузера. Помимо IP, браузер сообщает сайтам массу технической информации: версия, язык, часовой пояс, размер экрана, установленные шрифты и пр. В совокупности эти данные формируют уникальный отпечаток (fingerprint), по которому вас могут узнавать при повторных визитах. Он не даёт прямых координат, но может выдать, например, часовой пояс и язык – что уже указание на страну. 

Как защититься:

• Всегда скачивайте расширения только из официальных каталогов Chrome/Firefox и читайте отзывы. 
• Для защиты стоит пользоваться браузерами с усиленной приватностью (Firefox с расширениями NoScript, uBlock, CanvasBlocker и пр., либо Brave), которые затрудняют снятие цифрового отпечатка. В режиме инкогнито тоже меньше следов. 
• Использейте VPN с kill switch или отключите WebRTC. В Firefox это можно сделать вручную в настройках about:config (установкой media.peerconnection.enabled = false), в Chrome – сложнее, можно поставить расширение типа WebRTC Leak Prevent. Либо использовать браузер Tor, где WebRTC по умолчанию отключён. Рекомендуется провести тест на утечки (например, на сайте browserleaks.com) – он покажет, виден ли ваш реальный IP через WebRTC. 

Шпионское ПО (spyware) – огромная проблема, им часто заражают телефоны целенаправленно. Такие программы в фоне передают всю информацию о ваших перемещениях, разговорах и переписке злоумышленнику. В телефон они могут попасть через фишинговую ссылку, установочный файл, уязвимость системы или руками, если кто-то получил доступ к вашему устройству. В некоторых случаях применяется сталкерское ПО – легальные коммерческие приложения слежки, продающиеся как «родительский контроль». 

Рекомендуем вам защитить устройства, чтобы свести утечки местоположения к минимуму.

Криптовалюта открывает новые возможности, но вместе с этим приходят и риски. Чтобы защитить свои средства и средства доноров, важно понимать, как безопасно хранить крипту, принимать пожертвования и минимизировать угрозы.

Прежде чем начать использовать криптовалюту, важно понять, где и как ваши средства будут храниться. Есть два основных типа кошельков:

• Кастодиальные кошельки - это когда ваши средства хранятся у третьей стороны, например, на бирже или в сервисе (Coinbase, Binance). Плюс: удобно и быстро. Минус: вы полностью зависите от работы сервиса - если сервис будет недоступен, взломан или ограничен по законам и правилам (например, на время расследования транзакций), вы временно не сможете использовать свои средства;

По сути вы не держите ключи сами - формально это ваши средства, но контроль за ними не полностью ваш.

• Некастодиальные кошельки - это когда вы сами храните свои средства, обычно с помощью “сид-фразы”. Плюс: полный контроль - никто не сможет использовать ваши средства без вашего ключа. Минус: потеря сид-фразы означает потерю доступа ко всем средствам навсегда; с помощью фишинга можно подменить адрес получателей, а с помощью атаки на устройство можно получить доступ к управлению средствами.

Горячий кошелек — это некастодиальный кошелек, подключенный к интернету (например, мобильное приложение или десктоп-кошелек). Удобен для быстрых переводов и ежедневных расходов, но уязвим к фишингу и взлому через заражение устройства.

• надежно хранить сид-фразу - потеря фразы приведет к невозможности доступа к кошельку, а её компрометация (слив или кража) позволит злоумышленнику полностью управлять средствами;
• использовать защищенные устройства: обновлять ОС, проверять отсутствие подозрительных приложений;
• сильный пароль и двухфакторная аутентификация;
• проверка возможностей восстановления доступа с другого устройства, если текущее сломается.

• Аппаратные кошельки - физические устройства для хранения ключей и подписания транзакций. Даже при заражении компьютера средства остаются в безопасности. Аппаратные кошельки помогают минимизировать риск потери средств при поломке или заражении устройства.

Аппаратные (холодные) криптокошельки – одно из ключевых средств защиты: они хранят приватные ключи оффлайн, изолируя их от интернет-угроз;

• Мультиподпись (Multi-signature) -  требует нескольких подтверждений для перевода. Полезно, если нескольким людям нужно совместно управлять средствами;
• Режим “watch-only” - позволяет проверять баланс и поступления, но не переводить средства. Отличная дополнительная защита.

При приеме пожертвований в криптовалюте важно думать о безопасности и конфиденциальности как для организации, так и для доноров. Большинство криптовалют, например Bitcoin, Ethereum и USDT, имеют полностью открытые блокчейны, где все транзакции видны публично. Для доноров, которым важна приватность, есть криптовалюты с повышенной конфиденциальностью, такие как Monero или Zcash. При этом необходимо учитывать действующие законы и правила в каждой стране.

Основные рекомендации по безопасной работе с криптодонатами:

• Разделяйте кошельки: на горячий и холодный: не держите все средства в одном месте. Небольшие суммы для ежедневных расходов храните на “горячем” кошельке (подключенном к интернету), а основные средства - на “холодном” кошельке без постоянного подключения к сети. Даже если горячий кошелек будет скомпрометирован, основные средства останутся в безопасности;
• Используйте отдельные адреса для каждого донора;
• Проверяйте и защищайте кошельки: используйте надежные пароли, двухфакторную аутентификацию и, при возможности, аппаратные кошельки;
• Следите за обновлениями: обновляйте ПО кошельков, сайта и форм приема платежей. Это снижает риски вредоносного ПО;
• Минимизируйте сбор лишних данных: старайтесь собирать только необходимые сведения о донорах и аккуратно использовать аналитические сервисы;
• Используйте мультиподпись при совместном управлении средствами: это повышает безопасность при переводе крупных сумм.

Представьте, что вашим подписчикам приходят странные сообщения якобы от вашего имени или появляются посты, которых вы не публиковали. Это почти наверняка означает, что аккаунт взломан злоумышленниками. Ниже - простые шаги, как распознать взлом, что делать сразу и как защититься в будущем.

• Посторонние входы: появляются уведомления о входе с незнакомых устройств или мест. В настройках безопасности видны активные сеансы на устройствах, которыми вы не пользуетесь;
• Необычная активность: появляются публикации и рассылки, которых вы не делали, например, спам или подозрительные ссылки. Иногда меняются фото профиля, имя или другие данные без вашего ведома;
• Потеря доступа: пароль перестал подходить, хотя вы его не меняли. Иногда приходят письма о смене пароля или адреса почты, которые вы не запрашивали.

• Фишинг - жертве присылают письмо или ссылку, замаскированную под официальный сайт. Введенные данные на таком сайте сразу попадают к мошенникам;
• Социальная инженерия - мошенник обманным путем выманивает код доступа или пароль, например, выдавая себя за техподдержку. Никогда не сообщайте одноразовые коды и пароли!
• Повторяющиеся или простые пароли - если один пароль используется на нескольких сервисах, его утечка открывает доступ к другим учетным записям;
• Кража сессии (cookie) или токена доступа - злоумышленник получает доступ к вашей действующей сессии через получение доступа к устройству. Это может быть атака онлайн – тогда защититься поможет антивирус и базовая защита устройства или атака оффлайн –кража или изъятие устройства – тогда поможет шифрование жесткого диска;
• Перехват SMS - если злоумышленник получает одноразовый код, он может войти в ваш аккаунт. Спасает двухэтапная аутентификация через приложение Authenticator или электронный ключ (например, Yubikey).

• Смените пароль - используйте функцию восстановления доступа через email или телефон. Если восстановить доступ не удается, пишите в поддержку платформы;
• Завершите чужие сеансы - в настройках безопасности завершите все активные сессии на чужих устройствах;
• Проверьте настройки профиля - убедитесь, что контактные данные (например, почта и телефон) ваши. Удалите сторонние приложения с доступом к аккаунту;
• Замените повторяющиеся пароли - если этот же пароль использовался где-то ещё, измените его;
• В каждом сервисе свои нюансы - ознакомьтесь с инструкциями платформы;
• Предупредите аудиторию - сообщите коллегам и подписчикам через другие каналы, что аккаунт взломан, и попросите игнорировать странные сообщения;
• Проведите “уборку” устройства - проверьте компьютер или телефон на вирусы и обновите ОС.

• Двухфакторная аутентификация - включите 2FA везде, где возможно. Это самый надежный способ защитить аккаунт;
• Надежные пароли - длинные, сложные, уникальные для каждого сервиса. Рекомендуем использовать менеджер паролей;
• Осторожность со ссылками - не переходите по сомнительным ссылкам. Лучше вручную вводить адрес сайта или использовать официальное приложение нужного сервиса;
• Контроль устройств и обновления - регулярно проверяйте активные сеансы и держите ОС и приложения обновленными;
• Резервное восстановление - привяжите актуальную почту, номер телефона и, если возможно, запасной адрес электронной почты. Запишите процедуры восстановления для каждой соцсети - так вы быстро вернете доступ в экстренной ситуации. Имейте ввиду, что если захватят резервную почту, то могут захватить и этот аккаунт – защищайте все активы, которые у вас есть;
• Не делитесь доступом - не сообщайте пароли коллегам и никому постороннему. Техподдержка не спрашивает код из SMS. Если нужно передать пароль или второй фактор коллегам – создайте общую папку в облачном парольном менеджере.

Лучший способ справиться с проблемой — это подготовиться к ней заранее. Поэтому сделайте это, не откладывая:

Установите сложный пароль.

Забудьте про 4-значные PIN-коды и простые графические ключи (L, Z, квадрат). Используйте минимум 6-значный PIN-код, а лучше — пароль из букв и цифр.

Если вы географически находитесь в таком месте, где вас не могут заставить разблокировать телефон против воли, включите биометрию - это отличная защита от кражи! Активируйте Face ID или сканер отпечатка пальца.

Активируйте службу поиска.

На iPhone: Зайдите в Настройки > [ваше имя] > Локатор > Найти iPhone и убедитесь, что все три переключателя (Найти iPhone, Сеть Локатора, Последняя геопозиция) активны. «Сеть Локатора» — это та самая функция, которая поможет найти телефон, даже если он выключен.

На Android: Зайдите в Настройки > Google > Найти устройство (или поищите "Найти устройство" поиском по настройкам) и включите его.

Запишите IMEI.

Наберите на телефоне команду *#06#. Появится уникальный 15-значный IMEI-код вашего устройства. Сфотографируйте его или запишите и сохраните в надежном месте. Он понадобится для заявления в полицию.

Настройте резервное копирование.

Если вам нужна информация с телефона, настройте резервное копирование. Включите автоматическое создание резервных копий в iCloud (для iPhone) или Google One/Google Фото (для Android), чтобы не потерять ценные данные.

Как только вы поняли, что телефона у вас нет, действуйте.

Для Android:

Воспользуйтесь сервисом Google «Найти устройство» (android.com/find). Войдите в тот же аккаунт Google, что и на потерянном телефоне. В этом сервисе есть опции:

Прозвонить: Устройство будет издавать громкий звуковой сигнал в течение 5 минут, даже если включен беззвучный режим. Идеально, если вы думаете, что телефон где-то рядом.

Заблокировать устройство: Это самый важный шаг. Телефон немедленно заблокируется вашим PIN-кодом или паролем. Дополнительно на экране блокировки можно вывести сообщение (например, «Телефон утерян, пожалуйста, позвоните по номеру +XXXXXXXXXXX») и номер для связи.

Очистить устройство: Крайняя мера. Все данные с устройства будут удалены безвозвратно. После этого вы больше не сможете отследить телефон через сервис Google. Используйте эту функцию, только если уверены, что не сможете вернуть устройство и на нем хранятся критически важные данные.

Для владельцев Samsung:

У Samsung есть свой мощный сервис Find My Mobile (findmymobile.samsung.com), который предлагает уникальные функции: удаленное создание резервной копии данных, просмотр последних звонков и сообщений, и даже включение режима энергосбережения, чтобы продлить время работы батареи для отслеживания.

Для iPhone:

Используйте сервис «Локатор» через сайт icloud.com/find или приложение «Локатор» на другом устройстве Apple. В этом сервисе есть опции:

Воспроизвести звук: Аналогично Android, поможет найти устройство поблизости.

Отметить как пропавшее (Режим пропажи): Это приоритетное действие. Устройство немедленно блокируется паролем, а на его экране отобразится ваше сообщение с контактным номером. Важно, что в этом режиме отключается Apple Pay, но телефон все еще можно отследить. Телефон, переведенный в режим пропажи, становится практически бесполезным для нашедшего или вора.

Стереть iPhone: Полное удаление всех данных. Как и в случае с Android, после этого отслеживание станет невозможным. При стирании можно оставить сообщение на экране.

Важно! Если телефон выключен или не в сети, все команды (блокировка, стирание) будут исполнены, как только он появится в сети или будет обнаружен через офлайн-сеть «Локатор».

Заблокируйте SIM-карту.

Немедленно позвоните своему мобильному оператору и попросите заблокировать SIM-карту. Это нужно, чтобы злоумышленник не смог использовать ваш номер для получения SMS-кодов для сброса паролей от банков и других сервисов. Вы сможете легко восстановить свой номер на новой SIM-карте. Если у вас была eSIM, процедура аналогична.

Выйдите из важных аккаунтов.

Даже если вы заблокировали телефон, лучше перестраховаться. С компьютера или другого устройства:

Google: Перейдите в Настройки аккаунта Google > Безопасность > Ваши устройства и нажмите «Выйти» на потерянном устройстве.

Apple ID: Перейдите на сайт appleid.apple.com, войдите в свой аккаунт и удалите потерянное устройство из списка доверенных.

Социальные сети и мессенджеры (Telegram, WhatsApp, Facebook): В настройках безопасности каждого сервиса есть раздел «Активные сеансы» или «Подключенные устройства». Завершите сеанс на потерянном устройстве.

Банковские приложения: Позвоните на горячую линию вашего банка, объясните ситуацию и следуйте их инструкциям. Часто достаточно просто выйти из сессий удаленно, но консультация с банком не будет лишней.

Если вы находитесь в юрисдикции, где полиция занимается такими делами, подайте заявление в полицию. Это особенно важно, если вы уверены, что телефон украли. Вам понадобится паспорт, документы на телефон (если есть) и тот самый IMEI-код, который вы сохранили заранее. Это увеличивает шансы на возврат.

При этом остерегайтесь мошенников!  Если вы включили «Режим пропажи» и оставили свой номер, вам могут приходить SMS или сообщения в мессенджеры якобы от Apple или Google с текстом «Ваш телефон найден! Его местоположение можно увидеть по ссылке: [фишинговая ссылка]». НИКОГДА не переходите по таким ссылкам и не вводите там свой пароль! Это уловка, чтобы украсть ваш Apple ID или Google-аккаунт и отвязать от него телефон. Проверяйте статус устройства только на официальных сайтах: icloud.com/find и android.com/find.

Используйте менеджер паролей:

Сервисы вроде Bitwarden, 1Password или встроенные решения от Apple/Google надежно хранят все ваши пароли. Вам нужно будет помнить только один — главный.

Настройте пути восстановления для аккаунтов:

Для Apple ID:

Зайдите в Настройки > [ваше имя] > Вход и безопасность. Добавьте номер телефона, или имейл для восстановления, можете настроить «Контакт для восстановления» или «Ключ восстановления».

Для Google Account:

Зайдите в настройки аккаунта Google, раздел «Безопасность». Убедитесь, что указаны резервный номер телефона и резервная электронная почта.

Сохраните ключи шифрования:

Если вы используете шифрование диска (BitLocker на Windows, FileVault на Mac), система предлагает сохранить ключ восстановления. Обязательно сделайте это! Распечатайте его, сохраните в менеджере паролей или в надежном облачном хранилище. Без этого ключа и пароля данные могут быть потеряны навсегда.

Включите регулярное резервное копирование:

Настройте автоматические бэкапы в iCloud (iPhone), Google One (Android), Time Machine (Mac) или «Историю файлов» (Windows).

Если вы забыли пароль от Windows

Метод 1: Сброс пароля аккаунта Microsoft (данные сохранятся)

- Если вы входите в Windows с помощью учетной записи Microsoft (например, [email protected]), это самый простой способ;

- На экране входа в систему нажмите на ссылку «Я не помню свой пароль»;

- Следуйте инструкциям на экране. Вам будет предложено подтвердить свою личность с помощью резервной почты или телефона, которые вы указывали при регистрации;

- После подтверждения вы сможете задать новый пароль.

Метод 2: Использование ключа восстановления BitLocker

Если ваш диск зашифрован с помощью BitLocker и система запрашивает ключ восстановления, его можно найти (в зависимости от того, куда вы его сохраняли):

- В вашем аккаунте Microsoft по ссылке: account.microsoft.com/devices/recoverykey;

- Или на USB-накопителе, если вы сохраняли его туда;

- Или в распечатанном виде, если вы его распечатали.

Метод 3: Сброс локального пароля (требует технических навыков, данные сохранятся)

Если вы использовали локальный аккаунт (без привязки к Microsoft), и диск не зашифррован или у вас есть ключ, можно использовать установочный диск Windows или специальную загрузочную флешку для сброса пароля. Этот метод требует уверенных знаний ПК. Для большинства пользователей проще и безопаснее будет переустановить систему.

Метод 4: Переустановка Windows (все данные на системном диске будут удалены!)

Если ничего не помогает, остается только полная переустановка операционной системы с помощью установочной флешки.

Если вы забыли пароль от macOS

Метод 1: Сброс с помощью Apple ID (данные сохранятся)

- На экране входа несколько раз введите неверный пароль;

- Должна появиться опция сброса пароля с помощью вашего Apple ID;

- Введите данные Apple ID и следуйте инструкциям для создания нового пароля.

Метод 2: Использование ключа восстановления FileVault (данные сохранятся)

Если при включении шифрования FileVault вы у себя сохранили ключ восстановления, система предложит использовать его для сброса пароля.

Метод 3: Режим восстановления macOS (данные могут быть удалены!)

- Выключите ваш Mac;

- Включите его и сразу зажмите определенную комбинацию клавиш (Command + R для Mac на Intel, удерживайте кнопку питания для Mac на Apple Silicon);

- В открывшемся меню «Утилиты macOS» можно воспользоваться «Терминалом» для сброса пароля (сложный метод) или переустановить macOS. Переустановка поверх существующей системы может сохранить данные, но гарантий нет.

Важно: В отличие от компьютеров, на современных смартфонах обойти пароль без полного сброса и потери всех данных практически невозможно. Это сделано для защиты вашей информации в случае кражи.

Если вы забыли пароль от iPhone или iPad

Если Face ID или Touch ID не работают, а пароль вы не помните, единственный выход — стереть устройство. Данные можно будет восстановить позже из резервной копии iCloud или на компьютере (если они сделаны).

Способ 1: Через iCloud / Локатор (если телефон онлайн)

- Зайдите на сайт icloud.com/find с любого другого устройства;

- Войдите в свой Apple ID;

- Выберите ваш iPhone в списке устройств и нажмите «Стереть iPhone»;

- После стирания устройство перезагрузится, и вы сможете настроить его заново, восстановив данные из последней резервной копии.

Способ 2: Через режим восстановления (если телефон офлайн или способ 1 не работает)

- Подключите iPhone к компьютеру;

- На Mac откройте Finder, на ПК с Windows — iTunes (или приложение «Устройства Apple»);

- Переведите iPhone в режим восстановления. Процесс отличается для разных моделей (поищите инструкцию «режим восстановления [ваша модель iPhone]»);

- Компьютер предложит «Восстановить» или «Обновить» устройство. Выберите «Восстановить»;

- После завершения процесса настройте iPhone как новый или восстановите из бэкапа.

Если вы забыли пароль от Android-смартфона

Как и с iPhone, придется стирать все данные.

Способ 1: Через сервис Google «Найти устройство» (если телефон онлайн)

- Перейдите на сайт android.com/find;

- Войдите в аккаунт Google, который привязан к устройству;

- Выберите ваш смартфон и опцию «Очистить устройство».

Важно: После сброса на большинстве Android телефонов сработает система защиты Factory Reset Protection (FRP). Это значит, что при первом включении телефон потребует ввести логин и пароль от последнего Google-аккаунта, который был на нем. Если вы не помните и эти данные, телефон останется заблокированным (хотя специализированными приложениями можно разблокировать некоторые модели телефонов). Поэтому убедитесь, что у вас есть доступ к своему Google-аккаунту, прежде чем стирать данные.

Способ 2: Через меню Recovery (Hard Reset)

- Выключите телефон;

- Зажмите комбинацию клавиш для входа в меню Recovery (обычно это «Громкость вниз» + «Питание»). Комбинация может отличаться в зависимости от производителя или вообще не работать;

- В появившемся меню кнопками громкости выберите пункт Wipe data/factory reset и подтвердите выбор кнопкой питания;

- После сброса телефон перезагрузится. Защита FRP также сработает, и потребуется ввод данных старого Google-аккаунта.

Существует несколько основных векторов атак:

Физический доступ: Злоумышленник получает ваш телефон (кража, потеря) и пытается подобрать пароль, чтобы извлечь данные напрямую.

Удаленный доступ: Устройство заражается вредоносным программным обеспечением (ПО) через интернет. Самые частые каналы удаленного заражения:

* Социальная инженерия: Вас обманом заставляют совершить нужное действие;

* Вредоносные приложения: Загрузка приложений из неофициальных источников или даже из официальных магазинов, где зловредное ПО маскируется под безобидные утилиты;

* Уязвимости в ПО и атаки «ноль-кликов»: Наиболее опасный тип атак. Они используют неизвестные разработчикам уязвимости в операционной системе или популярных приложениях (iMessage, WhatsApp). Такие атаки, как знаменитая Pegasus, не требуют от пользователя никаких действий — заражение происходит незаметно.

При успешном взломе злоумышленники могут получить практически полный контроль над устройством и доступ к:

• Файлам, фотографиям, документам (включая удаленные);
• Переписке в мессенджерах, SMS и электронной почте;
• Паролям, данным банковских карт, доступу к онлайн-банкингу;
• Списку контактов и истории звонков;
• Данным о вашем местоположении (GPS).

Кроме того, шпионское ПО может незаметно:

• Активировать микрофон и камеру для записи окружения;
• Делать скриншоты и записывать все, что вы делаете на экране;
• Устанавливать другие вредоносные приложения.

Признаками взлома могут быть:

• Появление незнакомых приложений, которые вы не устанавливали;
• Неожиданное открытие или закрытие приложений без вашего участия;
• Появление всплывающих окон, которых ранее не было;
• Предупреждения от системы безопасности устройства о подозрительной активности.

Для повышения безопасности рекомендуется:

• Регулярно обновлять все приложения и операционную систему, чтобы закрыть известные уязвимости;
• Не использовать устройства, которые больше не получают обновлений безопасности;
• Избегать использования ПО из ненадежных источников, так как оно может содержать встроенные вирусы;
• Не переходить по подозрительным ссылкам и не скачивать файлы из ненадёжных источников;
• Использовать сложные и уникальные пароли для различных учётных записей и регулярно их обновлять;
• Контролировать разрешения приложений и проверять, к чему приложения на смартфоне запрашивают доступ. Фонарику не нужен доступ к вашим контактам и микрофону
• Включить двухфакторную аутентификацию там, где это возможно, для дополнительной защиты учётных записей.Соблюдение этих рекомендаций поможет снизить риск взлома и защитить ваши персональные данные.

• Отключитесь от интернета: Включите авиарежим, чтобы остановить передачу данных;
• Смените пароли: Используя другое, безопасное устройство, немедленно смените пароли от почты, банков и других ключевых аккаунтов;
• Предупредите контакты: Сообщите близким, чтобы они не реагировали на странные сообщения от вас;
• Сделайте резервную копию важных файлов: Сохраните только фото, видео и документы. Не копируйте приложения и их данные;
• Выполните полный сброс до заводских настроек: Это самый надежный способ удалить вредоносное ПО с устройства.

Дипфейк – это технология на основе искусственного интеллекта, которая позволяет подделывать внешний вид и голос человека в видео. То есть мошенник может появиться на экране в образе вашего знакомого и говорить его голосом, но на самом деле вы будете видеть двойника, почти не отличимого от реального человека. Это похоже на очень продвинутый «фильтр», или «маску», которые «накладывают» чужое лицо на видео в реальном времени.

К сожалению, такие технологии стремительно становятся доступнее, и случаи мошенничества с дипфейками растут взрывными темпами – за 2023 год их число увеличилось в 31 раз по всему миру. А в 2024 году число таких случаев превысило показатели всех предыдущих лет вместе взятых.

Дипфейк-видеозвонки представляют собой прежде всего разновидность социальной инженерии – обмана доверия. 

• Мошенничество с финансами 

Злоумышленники могут выдавать себя за директора или бухгалтера вашей организации и просить срочно перевести деньги на какой-то счёт. Были случаи, когда сотрудников обманывали на миллионы долларов, устроив видеоконференцию с поддельными «коллегами» – все участники, включая финансового директора, оказались дипфейками. 

Для некоммерческих организаций это может означать потерю грантовых средств или пожертвований.

• Фишинг и утечка данных 

Под видом знакомого человека мошенник может выманивать конфиденциальную информацию: пароли, списки подопечных, внутренние документы. Например, вам может позвонить «коллега из другой организации» с просьбой поделиться отчетами или доступом к аккаунтам.

• Имитация руководства и дискредитация

Ещё один риск – когда аферисты притворяются вашим руководителем или известным лицом, чтобы дать вам задания или вовлечь в сомнительные действия. Бывали случаи, когда мошенники выдавали себя за публичных персон и в видеозвонке провоцировали людей на откровенные высказывания. Затем запись такого разговора выкладывалась в сеть для дискредитации участников.

• Неожиданное обращение или странная ситуация 

Первый тревожный «звоночек» – вам пишет или звонит знакомый человек с нового номера или аккаунта, да ещё и с необычной просьбой. Например, директор внезапно просит позвонить ему по видеосвязи в WhatsApp, хотя раньше вы общались только в Signal. Необычный канал связи — повод насторожиться, особенно при срочных финансовых поручениях или давлении.

• Несовпадения в видео и голосе 

В дипфейках часто видны мелкие искажения и неестественные детали: лицо кажется «плоским», без эмоций, границы волос/ушей/фона размыты, мимика не совпадает с речью.
Проверьте синхронность губ и звука — задержка или опережение; движение глаз - редкое/слишком частое или асинхронное моргание, «пустой» взгляд — повод насторожиться.
Обратите внимание на зубы: алгоритмы часто плохо прорисовывают отдельные зубы, создавая слитную или неестественную текстуру.

• Неестественная речь и паузы. 

Даже если голос очень похож, прислушайтесь к интонации и паузам. Синтезированный или поддельный голос может звучать чуть более монотонно, «роботично» или с непривычным акцентом. Кроме того, если задать внезапный вопрос, фальшивка может замешкаться, так как тому, кто скрывается за маской, нужно время среагировать. 

Эксперты советуют: задайте вопрос, ответ на который точно знает ваш настоящий знакомый, и посмотрите на реакцию. Настоящий коллега ответит сразу, а вот мошенник, вероятно, уйдёт от ответа.

• Плохое качество видео, скрытое лицо 

Мошенники могут специально ухудшить условия связи, чтобы вы не заметили изъяны дипфейка. Обратите внимание на неестественное освещение: тени на лице могут не совпадать с источниками света в комнате.

• Странности при движении 

Ещё один способ проверить – попросить собеседника выполнить простое действие в кадре, например, показать, что написано на кружке или снять на секунду очки. Резкое движение (повернуть голову в профиль на 90°, провести рукой перед лицом, пригубить из чашки) может вывести дипфейк из строя. 

Ни один из этих признаков сам по себе не гарантирует 100% разоблачения, но совпадение нескольких сигналов – серьезный повод не доверять увиденному. 

Атака с использованием дипфейка обычно разворачивается по определённому сценарию. 

Как правило, всё начинается с неожиданного контакта.

• Необычное приглашение на звонок

Жертва получает письмо, сообщение в мессенджере или звонок от лица, выдающего себя за знакомого (начальника, партнёра, донора и т.п.). Вас могут попросить срочно выйти на видеоконференцию по внеплановому поводу. 

Часто злоумышленники используют поддельный или взломанный аккаунт знакомого человека, чтобы обращение выглядело правдоподобно.

• Видеозвонок с «двойником» 

Сотрудник подключается к конференции. На экране действительно появляется лицо знакомого человека – например, руководителя. Мошенник с помощью программы в реальном времени транслирует поддельное изображение и голос. Первые минуты могут не вызывать подозрений: голос узнаваем, внешность совпадает (особенно если связь не слишком чёткая).

• Манипуляции во время разговора 

Далее мошенник переходит к сути: под каким-то предлогом просит совершить действия. 

Важный момент – злоумышленники давят на срочность или авторитет.

• Завершение атаки

После получения желаемого (денег, информации) мошенник может быстро прервать связь и исчезнуть. Иногда, если жертва сомневается, аферисты могут устроить дополнительный «спектакль» – например, подключат других фейковых участников для убедительности или попытаются надавить повторно. 

• Всегда подтверждайте личность по другому каналу 

Прежде чем выполнять просьбу из видеозвонка, перезвоните этому человеку по известному вам номеру или напишите в привычный чат. То же касается любых внезапных звонков с неизвестных аккаунтов от коллег или партнёров. Альтернативно (или дополнительно) можно договориться внутри команды о кодовом слове для экстренной проверки. 

• Не поддавайтесь давлению, берите паузу

Мошенники спешат заставить вас сделать перевод или выдать данные «прямо сейчас». Не торопитесь! Прекратите разговор при малейшем подозрении. 

• Внутренние финансовые процедуры и MFA 

Для защиты денег введите правило: один сотрудник не должен в одиночку проводить значимые транзакции по чьей-то устной команде. Всегда нужна двойная проверка – например, подтверждение второго ответственного лица. Используйте многофакторную аутентификацию (MFA) везде, где можно: в почте, мессенджерах, рабочих аккаунтах. 

• Обучение команды и обмен опытом 

Обсудите с сотрудниками и волонтерами случаи дипфейк-мошенничества. Убедитесь, что люди знают об этой угрозе и не считают её «фантастикой». Проведите небольшой тренинг: разошлите статью или разыграйте сценарий подозрительного звонка на общем собрании. Найдите базовые инструменты, которыми пользуются мошенники для подмены лица и поэкспериментируйте.

• Настройте безопасность видеоконференций 

Используйте возможности платформ Zoom, Teams и прочих, чтобы обезопасить встречи от посторонних. Например, ставьте пароль на важные звонки, делайте их по индивидуальной ссылке, не публикуйте открыто ID конференции. 

Чем меньше шансов у злоумышленника вообще попасть с вами на связь, тем лучше. Кроме того, следите за обновлениями: современные видеосервисы работают над внедрением средств распознавания дипфейков и верификации участников. 

Сертификат — это «пропуск» для сайта: если устройство ему доверяет, то в адресной строке браузера появляется замочек, исчезают предупреждения и обмен данными происходит по HTTPS. 

Сертификаты безопасности, такие как SSL/TLS, предназначены для шифрования данных между пользователем и сайтом. Они подтверждают подлинность ресурса и защищают информацию от перехвата. При наличии такого сертификата соединение считается безопасным, что отображается в браузере значком замка рядом с адресом сайта.

Есть сертификат сайта (действует для одного домена, например google.com) и есть корневой сертификат — главный ключ, которому доверяет вся операционная система. Владелец корневого сертификата может выпускать сертификаты на любые сайты. 

После 2022 года многие зарубежные центры сертификации перестали выдавать и продлевать сертификаты для российских сайтов. Госуслуги и банки начали открываться с ошибками. В ответ, Минцифры запустило свой центр сертификации и предложило гражданам доверять его корневому сертификату, чтобы сайты Госуслуг и банков открывались. 

Установка российских сертификатов безопасности вызывает споры. С одной стороны, они позволяют устранить предупреждения браузеров о небезопасном соединении и обеспечивают доступ к сайтам. С другой стороны, существует вероятность, что такие сертификаты могут использоваться для отслеживания или перехвата трафика пользователя. 

Есть вероятность, что если пользователь доверяет корневому сертификату Минцифры, то к его трафику незаметно для него могут получить доступ структуры, обладающие технической возможностью перехвата и имеющие интерес к мониторингу интернет-активности. 

В Казахстане в 2015-2019 году продвигали «национальный» корневой сертификат. После установки сертификата, правоохранительные органы Казахстана получали доступ к трафику пользователей. В ответ Google, Mozilla и Apple заблокировали этот корневой сертификат в своих браузерах.

Технически-возможный сценарий в России. Если у вас установлен корневой сертификат, то, например, при вводе в браузер google.com третьи лица, обладающие технической возможностью перехвата и мониторинга интернет-активности, через подконтрольный DNS могут перенаправить вас на свой сервер. При этом вам показывается настоящий интерфейс Google, и никаких ошибок или предупреждений браузер не выдаёт, поскольку сертификат поддельного сайта подписан тем самым корневым сертификатом. В итоге можно получить доступ к логину и паролю, а все действия на сайте могут просматриваться. 

Чтобы не устанавливать российские сертификаты на всю операционную систему, можно воспользоваться браузерами, в которые уже они уже встроены. Например, можно установить Яндекс браузер, в котором корневой сертификат уже встроен, и использовать его только для тех сайтов, где сертификат обязателен. Но помните: это не убирает риск — все, что вы делаете через Яндекс браузер, может отслеживаться.

Часто удобно использовать официальные мобильные приложения банков и госуслуг — в многие из них сертификат также установлен.

Без российских сертификатов некоторые российские сайты могут отображаться с ошибками или вовсе быть недоступными. Это касается, в первую очередь, государственных и финансовых ресурсов. Пользователю в таком случае придётся либо установить сертификат на всю операционную систему, либо использовать браузеры, в которое установлен сертификат или мобильные приложения сервисов.

1. Установите отдельный браузер только для сайтов, которые не работают без корневого сертификата (Госуслуги, банки). Для всего личного советуем использовать другой браузер.
2. Не устанавливайте корневой сертификат на всю операционную систему. Доверяйте сертификату лишь внутри конкретного браузера. Для бОльшей защищённости используйте виртуальную машину или отдельный смартфон для работы с российскими сайтами.

Общий совет такой: действуйте по принципу наименьшего доверия, а именно ограничивайте установку одним браузером, разделяйте рабочие и личные контексты и, по возможности, переходите на мобильные приложения. Это не снимает угрозу полностью, но ощутимо сокращает возможный ущерб.

Просьба разблокировать телефон на российской границе стала уже стандартной процедурой. Спорить о ее законности на месте бесполезно и контрпродуктивно. Ваша главная задача — спокойно пройти границу, и это на 99% зависит от подготовки.

Это руководство поможет вам подготовить вашу технику, минимизировать риски и сохранить спокойствие.

Если времени мало, пройдитесь по этому списку. Для полного понимания рисков изучите инструкцию целиком.

• Соцсети, чаты, каналы, история поиска и YouTube — почищены от рискованного контента;
• Контакты и фотографии/видео (включая папку «Недавно удаленные») — проверены и очищены;
• Приложения нежелательных СМИ, VPN-сервисы и банковские приложения с историей «опасных» донатов — удалены;
• Face ID / Touch ID — отключены (для предотвращения принудительной разблокировки);
• Установлен сложный пароль на разблокировку (минимум 6 цифр).

Главная стратегия: «Выглядеть скучно, а не стерильно».

Ваша цель — не вызвать подозрений. Абсолютно пустой, «стерильный» телефон может привлечь внимание. Телефон должен выглядеть как устройство обычного человека: есть мессенджеры, пара игр, приложение для заказа такси, несколько нейтральных фотографий. Задача — при беглом осмотре уставшего пограничника показаться ему неинтересным.

Начните подготовку заранее.

Все ценное, что вы удаляете с телефона, предварительно сохраните в облачное хранилище, доступ к которому с телефона будет закрыт.

• Защитите Telegram.

Это самое проверяемое приложение. Удалять его бесполезно — могут заставить скачать и войти заново.

Установите облачный пароль (2FA). Это обязательно. Зайдите в Настройки > Конфиденциальность > Двухэтапная аутентификация. Без этого пароля ваши переписки не защищены. Храните пароль в надежном менеджере, но не в телефоне.

• Почистите контент.

Отпишитесь от всех «опасных» каналов, удалите переписки, чаты и загруженные файлы по стоп-словам.

Вручную или через поиск найдите и удалите из всех приложений (чаты, заметки, браузер) упоминания следующих тем:

• Номера, начинающиеся с +380 в контактах (лучше временно переименовать);
• Военно-политическая лексика и связанные с ней ключевые слова;
• Содержание, затрагивающее политическую оппозицию, военные действия и протестную активность;
• Наименования политических и вооружённых формирований, а также связанных с ними организаций.

Перечень экстремистских организаций можно найти здесь.

Перечень организаций, признанных нежелательными, здесь.

• Проверьте фото, видео и контакты.

Внимательно просмотрите галерею и очистите папку «Недавно удаленные». Удалите все, что может быть неоднозначно истолковано: фото с митингов, с флагами Украины, фото военкоматов и военной инфраструктуры, а также просто мемы, скриншоты новостей.

Не используйте функцию «Скрытые фото» на iPhone! Она легко обнаруживается.

Проверьте записную книжку: могут ли имена или фамилии контактов привлечь внимание? Временно переименуйте их.

• Обязательно очистите историю поиска и просмотров за весь период:

Браузер (Safari, Chrome): История > Очистить историю.

YouTube: Настройки > История и конфиденциальность > Очистить историю просмотров / поиска.

• Удалите или деактивируйте рискованные приложения и аккаунты.

Приложения: Удалите VPN, приложения «нежелательных» СМИ, а также банковские приложения, если в них есть история донатов в фонды, которые могут считаться «вражескими».

Соцсети: Удалите «оппозиционные» посты, материалы с ЛГБТК+ тематикой. Можете временно деактивировать аккаунты Facebook и Instagram (это делается через настройки). Аккаунт VK можно удалить. Это не вызовет подозрений, а восстановление займет немного времени.

• Отключите Face ID и Touch ID.

Это важный шаг, чтобы предотвратить разблокировку телефона без вашего согласия (например, поднеся его к вашему лицу) и исключить автозаполнение паролей.

iPhone: Настройки > Face ID (или Touch ID) и код-пароль > Сбросить Face ID / Отключить Touch ID.

Android: Настройки > Безопасность > Блокировка экрана.

• Установите цифровой пароль не менее 6 знаков.
• Скройте уведомления на заблокированном экране, чтобы содержание сообщений не было видно посторонним.

iPhone: Настройки > Уведомления > Показ миниатюр > Без блокировки.

Android: Настройки > Уведомления > Уведомления на экране блокировки > Не показывать уведомления.

С точки зрения удаления контента те же правила подготовки относятся к ноутбукам и планшетам. Кроме этого, самый надежный способ защиты — полнодисковое шифрование, на телефонах оно всегда включено, а на компьютерах оно может быть выключено.

Windows: Включите BitLocker.

macOS: Включите FileVault.

Продвинутый уровень: Используйте VeraCrypt для создания скрытых зашифрованных контейнеров, которые невозможно обнаружить при стандартной проверке.

Приезжайте в аэропорт заранее. Дайте себе запас времени на случай долгой проверки.

Сохраняйте спокойствие. Вы подготовились. Молча и нейтрально выполняйте требования сотрудника.

Если телефон изымают, а не просто осматривают, вежливо, но настойчиво требуйте составить протокол изъятия, где будут указаны модель, IMEI и причина.

Если на ваших устройствах много потенциально опасного и вы не уверены, что можете все хорошо почистить, тогда возможно, самая безопасная стратегия — путешествовать с отдельным, «чистым» телефоном и компьютером. Но если вы едете с основным, это руководство поможет вам свести риски к минимуму.

В основе ChatGPT — архитектура Transformer: модель разбивает текст на токены (фрагменты слов) и, определив контекст, предсказывает следующий токен. Сначала идёт предобучение на гигантских массивах текстов, а затем — донастройка с помощью диалогов и обратной связи пользователей, чтобы ответы были полезнее и безопаснее.

Кроме того, в сервисах для частных пользователей (например, в личном аккаунте ChatGPT) новые диалоги могут использоваться для улучшения моделей. Это происходит в том случае, если вы не отключили эту функцию в настройках. Для бизнес-продуктов (ChatGPT Team/Enterprise и API) действует иной режим: данные по умолчанию не используются в обучении моделей.

Давайте разберемся, где хранятся данные ваших диалогов.

1) Провайдер 

Данные передаются в компанию, которая предоставляет ИИ сервис. 

Если мы приводим в пример ChatGPT, то его разработчик, компания OpenAI, зарегистрирована в США и подчиняется местным законам. Данные из чатов персонального аккаунта могут быть выданы властям и специальным службам США. При этом, на сегоднящний день крайне маловероятно, что они будут переданы российским структурам.

Данные личных чатов используются для обучения модели. То есть они могут появиться случайно в разговоре с ChatGPT любого человека (это крайне маловероятно, но возможно). В личном чате эту функцию можно отключить, или включить Temporary Chat, который хранится до 30 дней и не используется для тренировки.

Если делиться чатом по ссылке (функция share), то он может попасть в выдачу Google и любой человек, у которого окажется ссылка, сможет получить доступ к содержимому.

ИИ-модели уязвимы к Prompt Injection: злоумышленник вводит вредоносные команды, и модель может выдать чужие диалоги или внутреннюю информацию. Защищаться очень сложно; хотя OpenAI и другие инвестируют в защиту, лучше считать, что всё, что вы отправляете в ИИ-сервисы, может стать публичным.

2) Ваш эккаунт

История ваших чатов хранится в аккаунте на сайте ChatGPT или другой модели, которой вы пользуетесь. Но эккаунт можно захватить, например, через фишинг, повтор паролей, угон сессии, утёкшие API-ключи. Получив доступ к вашему аккаунту, атакующий может посмотреть историю переписки и данные, которыми вы делились в диалогах.

3) Ваше устройство

Если устройство заражено или плохо защищено, злоумышленники могут отслеживать ваши действия, в том числе всё, что вы вводите в чат, с помощью вредоносных программ, небезопасных расширений или утилит для записи экрана.

Вывод: передавать конфидециальную информацию чату небезопасно. Чем выше чувствительность данных, тем жёстче должны быть процессы: минимизация, корпоративные тарифы режим «временного чата», соглашения об обработке данных (DPA) и внутренние политики обращения с ИИ-инструментами. Так же, можно поднимать ИИ-инструменты на своём оборудовании, чтобы исключить утечки (много ИИ-инструментов и инструкций можно найти тут). 

У пользователей есть Data Controls — переключатели, позволяющие управлять историей и использовать (или не использовать) ваши разговоры для улучшения моделей:

1. В веб-версии/десктопе: Профиль → Settings → Data Controls → отключите «Improve the model for everyone» (после этого новые чаты не будут использоваться для обучения).
2. На iOS/Android: меню → Settings → Data Controls → Chat History & Training (тот же переключатель доступен в мобильных приложениях).
3. Временный чат (Temporary Chat) — альтернативный быстрый вариант для разовых запросов: не попадает в историю, не используется для обучения, удаляется в течение 30 дней. Запускается из выпадающего меню в окне чата.
4. Для бизнеса (ChatGPT Team/Enterprise и API) данные по умолчанию исключены из обучения; при необходимости подписывается DPA и настраиваются сроки хранения/резиденция данных.

Сбор и использование личных данных зависит от сервиса и режима использования.

• DeepL (бесплатные сервисы): в условиях использования прямо указано, что загруженный контент может временно обрабатываться для обучения и улучшения нейросетей. То есть вводимые вами тексты потенциально могут стать частью данных для улучшения качества.
• DeepL для бизнеса (Pro/Enterprise): позиция иная — «тексты не хранятся и не используются для обучения без вашего согласия»; заявлены расширенные меры защиты и соответствие требованиям безопасности.
• Google Translate: Google прямо пишет, что «мы собираем информацию о том, как вы используете наши сервисы», и что эта информация может быть применена для совершенствования алгоритмов.
• Google Cloud Translation (корпоративный API от Google): контент используется только для предоставления сервиса; публичной публикации и передачи третьим лицам не происходит. Это отдельный продукт от потребительского «Google Переводчика» на translate.google.com.
• Microsoft Azure AI Translator: заявляет, что данные клиентов не записываются на постоянное хранение во время перевода (нет записи отправленного текста/речи в дата-центрах Microsoft).

Бесплатные «пользовательские» переводчики нередко используют данные для улучшения сервиса, а корпоративные API-продукты крупных разработчиков специально спроектированы так, чтобы не использовать ваш контент для обучения и минимизировать хранение. Если вы работаете с договорами, медицинскими документами, то выбирайте режимы и тарифы с понятными гарантиями (и оформляйте договор об обработке данных).

1) Оцените чувствительность

Если это персональные данные, коммерческая тайна, сведения о здоровье/финансах — избегайте бесплатных потребительских сервисов. Используйте корпоративные планы (ChatGPT Team/Enterprise, API) или локальные решения.

2) Настройте Data Controls — Отключите «Improve the model for everyone», если не хотите делиться диалогами для обучения;
 — Для разовых конфиденциальных запросов пользуйтесь Temporary Chat.

3) Минимизируйте данные

Заменяйте ФИО, номера договоров и другие маркеры псевдонимами. Вставляйте фрагменты, необходимые для ответа, а не целые документы.

4) Следите за каналами и следами 

Не вставляйте секретные данные (ключи API, пароли) в любые чаты. Не загружайте закрытые документы в бесплатные переводчики.

5) Проверьте политику переводчика

Для DeepL — используете ли вы Free (контент может использоваться для улучшения) или Pro/Enterprise (контент не хранится/не используется без согласия).

Для Google — различайте Cloud Translation API (строгие условия обработки) и Google Translate (данные будут использованы для обучения).

Для Microsoft — убедитесь, что работаете через Azure Translator, где нет постоянного логирования переводимого текста.

6) Формализуйте правила 

Для компании — пропишите политику использования ИИ: какие сервисы разрешены, кто может отправлять и какие данные, какие предъявляются требования к анонимизации, запрет на загрузку персональных данных в недоверенные ИИ-инструменты, порядок экспорта/удаления.

7) Не забывайте про «человеческий фактор» 

Нейросети уверенно «галлюцинируют». В критичных задачах (юридическая экспертиза, медицина, финансы) всегда опирайтесь на второе мнение человека и проверяйте первоисточники.

8) Используйте функцию памяти осознанно 

Если включена «память» (Memory), она может запоминать ваши предпочтения; в Data Controls её можно отключить и очистить накопленную информацию.

9) Удаляйте информацию 

Чаты можно удалять или вести их в «временном» режиме. Для личных чатов действует стандартный цикл удаления; в режиме Temporary Chat — автоудаление в 30 дней. 

В России законы дают государству большие полномочия контролировать цифровые коммуникации. Так, закон «Об информации» требует, чтобы определённые сервисы, входящие в реестр ОРИ – организаторов распространения информации, хранили сведения о передаче сообщений, саму переписку и ключи для расшифровки, и выдавали это правоохранительным органам по первому требованию.

Операторы связи обязаны устанавливать оборудование СОРМ и предоставлять правоохранителям все данные о звонках, SMS, подключениях и прочих услугах связи.

По этим правилам у властей на руках почти любая информация о пользователе. Например, в 2023 году российские силовики направили к «Яндексу» десятки тысяч запросов именно по сервисам такси и доставки: почти 20 000 запросов в первой половине года и ещё 22 918 во второй половине. 

Технически российский софт принципиально не отличается от зарубежного. Вопрос лишь в простоте доступа государственных органов к таким данным и том, как именно они их используют — от проведения расследований и предотвращения преступлений до мониторинга активности пользователей и возможного давления на оппозиционно настроенных граждан.

Технически SIM-карта – обычная карта абонента. Но по законам российские операторы обязаны хранить и передавать правоохранителям данные о местоположении абонента, всех звонках и SMS. Даже за границей, если вы заходите в сеть через роуминг российского оператора, ваш звонок и данные в роуминге фиксируются в его системе. Поэтому любая активность – звонки, SMS, интернет-сессии – известна оператору и при необходимости по запросу передаётся спецслужбам. Так что для людей, которые избегают слежку, российские SIM-карты представляют серьёзный риск – даже если их используют вне страны.

• Передача данных в спецслужбы. Любая компания в России должна по закону выдавать ваши данные правоохранителям. Даже простой заказ такси или пиццы даёт доступ к информации о ваших передвижениях и адресах доставки. 
  
  
• Дата-брокеры и реклама. Многие приложения собирают больше информации, чем нужно для работы. Сведения о вашем телефоне, местоположении, предпочтениях могут передаваться маркетинговым агентствам и дата-брокерам - фирмам, которые агрегируют личные данные пользователей из разных источников и продают их рекламодателям или организациям. 

В России развита связка информационных компаний с государством: зарубежные и российские компании (например, Яндекс, VK) продают доступ к целевой рекламе. Такие практики помогают спецслужбам дополнять профиль человека. 

• Системы аналитики и слежки. Существуют автоматизированные системы для мониторинга интернета и соцсетей. Например, российский проект «Демон Лапласа» позволяет круглосуточно собирать и анализировать посты из Facebook, «ВКонтакте», Telegram, СМИ и блогов, чтобы выявлять экстремизм и прогнозировать протестные акции. 
  
  
• Уязвимости и утечки. Даже если сервис собирает минимум данных, его система может дать сбой. Даже если один сервис собирает минимальное количество информации и в нем происходит утечка, например, электронных адресов, ущерб всё равно может быть значительным. Это связано с тем, что утекшие данные могут быть обогащены информацией из других источников. 

• Мобильные приложения. Чаще всего именно они запрашивают доступ к камере, микрофону, контактам, геолокации и другим личным данным. Многие приложения собирают информацию о вас «на всякий случай» и передают её рекламодателям. Активистам стоит тщательно проверять, какие разрешения получает приложение. 
• Мессенджеры. Кроме Российский мессенджеров и сервисов (MAX, VK, ОК, TamTam и т.д.), к которым есть прямой доступ спецслужб, есть другие сервисы, которые могут быть привязаны в российской сим-карте (Telegram, WhatsApp, Signal и тд). Несмотря на шифрование, в этих мессенджерах концентрируется много личной информации: переписки, фото, видео, контакты. Даже если зашифрованный канал надёжен, злоумышленники могут зайти в аккаунт, обойдя 2FA через SMS или «клонирование» SIM-карты. Как мы писали выше, спецслужбы России имеют доступ к SMS-сообщениям на территории России и за её пределами. 
• Браузеры. Веб-браузер хранит историю посещений, куки и может «запоминать» логины и пароли. Если вы пользуетесь Яндекс браузером, то нужно помнить, что Яндекс входит в реестр ОРИ (организаторов распространения информации) и по закону все данные о пользователях могут быть переданы спецслужбам. 

В целом, стоит помнить: удобство и безопасность часто противопоставлены. Живя или работая в России, полностью отказаться от отечественных сервисов и SIM-карт невозможно. Но можно свести риск к минимуму: использовать VPN, шифрование, разделять устройства и тщательно контролировать, какие данные вы раскрываете и кому. Так вы существенно повысите собственную цифровую безопасность и сохраните свободу действий в сложных условиях.