Вы находитесь в зоне высокого риска, если вы обладаете ценной информацией, и одновременно совпадают два условия: большая вероятность атаки, потому что  эта информация интересна злоумышленникам, и существенный потенциальный ущерб от того, что злоумышленники получат к ней доступ.

Например, если вы активист, предприниматель, адвокат, юрист, финансист или публичная персона, то вы можете быть обладателем данных, которые могут представлять интерес для злоумышленников или конкурентов - это и контакты, и переписка, и доступ к коммерческой или адвокатской тайне, и личная информация. Чем ценнее данные, тем очевиднее интерес. Ущерб может выражаться как непосредственно в финансовых потерях, так и в репутационных, правовых или психологических последствиях. Таким образом, если ценность информации и потенциальный ущерб высоки, вы находитесь в зоне повышенного риска.

В таких случаях советы по цифровой безопасности, работающие для "обычных" людей – вроде «включить двухфакторную аутентификацию» или "синхронизировать", недостаточны и могут быть даже вредны: нужен более специфический подход. 

Представьте, что вы обычный человек, и вы не обладаете информацией, которая может быть особо интересна злоумышленникам. О чем вы думаете, когда пользуетесь электронной почтой, социальными сетями, делаете заказы в интернет-магазинах?

Скорее всего, больше всего вы боитесь потерять доступ к этим сервисам, и вам важно, чтобы ресурс предоставлял возможность восстановить эккаунт, в случае, если что-то пойдет не так – например, вы забудете пароль, или потеряете телефон. Как правило, ресурсы могут по умолчанию предоставлять какой-то выбор действий, основываясь на том, что вам может быть важно и предполагая, что вы не особо хотите разбираться в нюансах и вам надо предоставить как можно более простое и выгодное решение. Главное - чтобы вы не потеряли доступ - availability.

Например, когда почтовый клиент сообщает, что "вам надо для безопасности привязать к аккаунту резервный номер телефона", имеется в виду что-то вроде "мы считаем, что характеристика доступности (возможность восстановить утерянный доступ к аккаунту) для вас очень важна и предполагаем, что вы плохо умеете хранить свой пароль и второй фактор". В АйТи такой подход иногда называют "феодальной безопасностью" - когда решение принимается за пользователя. Но для людей в зоне риска на первый план выходит не приоритет возможности доступа, а конфиденциальность (availability vs confidentiality). А доступность и конфиденциальность как свойства безопасности конфликтуют друг с другом.

Современные платформы часто "продают" пользователям способы увеличить доступность за счет конфиденциальности, потому что у них нет возможности или ресурсов делать полноценную техническую поддержку.

Но людей в зоне риска может быть другая ситуация, иногда им НЕ полезны практики, которые подходят для обычных пользователей.

Примеры практик безопасности, которые не подходят для людей в зоне риска: 

1. Резервное копирование WhatsApp в Google Drive / iCloud

Плюсы: Обеспечивает удобный перенос чатов при смене устройства.

Минусы: Если аккаунт Google или iCloud взломан, злоумышленники могут получить доступ к резервным копиям WhatsApp.

Вывод: Этот способ не рекомендуется для людей с повышенным уровнем риска, особенно если в переписке есть конфиденциальная информация.

2. Телефон для восстановления в Gmail

Плюсы: Позволяет сбросить пароль и восстановить доступ к аккаунту в случае его потери.

Минусы: Злоумышленник может воспользоваться этим каналом для доступа к аккаунту, например, перехватив SMS.

Вывод: Этот способ восстановления не рекомендуется для людей с повышенным уровнем риска, у которых есть конфиденциальная информация в аккаунтах Gmail.

3. Электронная почта для восстановления в Gmail

Плюсы: Позволяет восстановить доступ к аккаунту, если вы забыли пароль, с помощью дополнительного адреса электронной почты.

Минусы: Дополнительный почтовый ящик должен быть защищен не менее надежно, чем основной. Иначе, злоумышленник может взломать его и сам использовать для сброса доступа.

Вывод: Этот способ восстановления не рекомендуется для людей с повышенным уровнем риска, у которых есть конфиденциальная информация в аккаунтах Gmail.

4. Хранение полного архива переписки в почте

Плюсы: Удобство поиска и быстрый доступ к сообщениям.

Минусы: Архив постоянно доступен онлайн, поэтому он более уязвим к фишинговым атакам и другим видам несанкционированного доступа по сравнению с онлайн-хранилищем.

Вывод: Этот способ восстановления не рекомендуется для людей с повышенным уровнем риска, у которых есть конфиденциальная информация в аккаунтах Gmail.

Более безопасным вариантом является хранение архива на зашифрованном оффлайн-носителе (cold storage).

5. Синхронизация с облачными сервисами производителей
(например, автоматическое сохранение документов Word в OneDrive или синхронизация заметок и паролей в iCloud)

Плюсы: Удобный доступ к документам и данным с разных устройств.

Минусы: Пользователи нередко не осознают, что их данные сохраняются в облаке. Иногда используются так называемые "темные паттерны" — приемы, которые побуждают хранить информацию в облачных сервисах без четкого и осознанного выбора.

Вывод: Пользователям с высоким уровнем риска стоит по возможности сократить количество облачных хранилищ, где размещаются конфиденциальные данные. Обязательные облачные сервисы нужно дополнительно защищать и ограничивать к ним доступ с устройств - например, использовать разные Apple ID для личных и рабочих аккаунтов и включить двухфакторную аутентификацию (ссылка).

6. Менеджеры паролей с автозаполнением и синхронизацией

Плюсы: Удобство ввода паролей и быстрый доступ к учетным данным.

Минусы: Безопасность полностью зависит от защищенности аккаунта, к которому привязан менеджер паролей. Распространённая ошибка — сохранение рабочих паролей в личном аккаунте (например, Google Chrome автоматически синхронизирует пароли в облаке личного аккаунта через passwords.google.com). Это происходит, например, если вы отдельно не регистрируетесь в рабочем аккаунте, а просто открываете новое окно в личном аккаунте и входите в рабочий, не выходя из него. Аналогичная ситуация может возникнуть и с двухфакторной аутентификацией: если Google Authenticator синхронизируется с личным аккаунтом, рабочие коды двухфакторной аутентификации фактически хранятся в облаке личного аккаунта. В результате взлом личного аккаунта дает злоумышленнику полный доступ к рабочим ресурсам.

Вывод: Пользователям с высоким уровнем риска настоятельно рекомендуется разделять личные и рабочие (а также конфиденциальные и не конфиденциальные) учетные данные, чтобы минимизировать "перетекание" информации из одного аккаунта в другой.

7. Функция "Запомнить меня" / "Оставаться в системе"

Плюсы: Позволяет избежать повторного ввода логина и пароля, экономит время.

Недостатки: Не подходит для сценариев, когда высока вероятность физического доступа злоумышленника к разблокированному устройству либо есть риск того, что вас могут принудить к разблокировке. В таких случаях сохраняется угроза несанкционированного доступа ко всем учетным записям.

Вывод: пользователи с высоким уровнем риска нужно принять решение о применении данной функции, исходя из того, насколько велика вероятность, что злоумышленники смогут получить физический доступ к их устройствам. 

Во-первых, давайте разберемся, кто находится в зоне высокого риска, то есть против кого с бОльшей вероятностью будут использовать сложный, хитрый фишинг.

Возможно, вы активист, и ваш список контактов делает вас уязвимым, или вы бизнесмен, и ваши конкуренты или недоброжелатели стремятся получить доступ к коммерческой тайне или другой важной и чувствительной информации.

Может быть, вы финансист или адвокат, и обязаны хранить данные клиентов в секрете, или публичная персона, и вам хотелось бы избежать утечки информации о вашей жизни. В таких случаях общие советы о том, как защитить себя с помощью двухфакторной аутентификации, уже не работают. Тут есть своя специфика.

Риск обычно определяется наличием двух факторов - вероятностью того, что что-то произойдет, и величиной возможного ущерба. Вероятность того, что вы станете объектом атаки, выше, если вы обладаете информацией, представляющей ценность для злоумышленника, и понимаете, что у него есть интерес к этой информации. Если вам доверена ценная информация, вероятность атаки выше.

Величина ущерба определяется как материальными потерями - возможной утратой денег (например, если злоумышленник украдет финансовую информацию или заблокирует к ней доступ), так и рисками преследования, потери репутации и даже психологическими последствиями. Так что если велика вероятность того, что вы  ценный субъект, обладающий интересующей злоумышленника информацией, и потенциальный ущерб от того, что он этой информацией завладеет, очень высок, то вы находитесь в зоне высокого риска.

Что вообще такое двухфакторная (или многофакторная) аутентификация? Это способы, которыми вы защищаете свою информацию от несанкционированного доступа. Суть в том, чтобы построить такую защиту, при которой злоумышленнику придётся пройти два (или более) этапа проверки личности разными методами.

Главная идея состоит в том, чтобы использовать разные типы факторов аутентификации. Каждый из способов обладает разной степенью защищенности.

Существует три основных типа факторов аутентификации:

1. Что-то, что вы знаете (something you know) - например, пароль.
2. Что-то, что у вас есть (something you have) - например, смартфон или ключ безопасности .
3. То, чем вы являетесь (something you are) - биометрия, например, отпечаток пальца, лицо или голос.

Дополнительные пароли сразу отметаем - такая защита не будет надежной. Мы уже знаем, что нельзя использовать один и тот же тип фактора (например, something you know) несколько раз - это не будет считаться двухфакторной или многофакторной аутентификацией.

Исторически это была первая попытка внедрить массовую двухфакторную аутентификацию.

Плюсы:

• Доступность: телефон сейчас есть у всех
• Удобство: легко восстановить через восстановление сим-карты

Минусы:

• Нарушители безопасности (как государства так и криминал) умеют получать доступ к чужим смс-сообщениям. Для этого они могут просто сделать копию страницы сайта у себя в системе и перенаправлять введенный пользователем код из смс на доступный им сервер
• Государства также умеют прекращать обслуживание в сетях операторов, то есть могут сделать так, чтобы смска не пришла
• Фишинговые сайты также могут запрашивать код из SMS и сразу использовать его на настоящем сайте, крадя и пароль, и код двухфакторной аутентификации. Пользователь вводит код на поддельной странице, откуда он в реальном времени перенаправляется злоумышленником на подлинный сайт.
• В содержимом перехваченной SMS часто видно, к какому ресурсу запрашивается доступ, что позволяет злоумышленнику отслеживать активность пользователя

Вывод: Не подходит для тех, кто находится в зоне высокого риска. Код по телефону через обыкновенное смс-сообщение можно рекомендовать только для аккаунтов, в которых нет важных объектов защиты.

Это вариант предыдущего способа, но дополнительный плюс -

Плюсы:

• Сообщения защищены сквозным шифрованием, то есть сообщение перехватить так не получится

Минусы:

• Перехватив смс-сообщение, злоумышленники могут зарегистрироваться в чужом аккаунте мессенджера, если отсутствует дополнительный пароль. А зарегистрировавшись, можно получить доступ к новым сообщениям, приходящим в мессенджер, и таким образом получить чужую двухфакторную аутентификацию
• Надежность способа зависит от доступности платформы (Whatsapp и Telegram могут заблокировать)
• Фишинговые сайты тоже могут запрашивать код и сами использовать его на настоящем сайте, и фишингом можно красть и пароль и код двухфакторной аутентификации

Вывод: Не подходит для high-risk клиентов и аккаунтов.

Протокол, по которому работают аутентификаторы, называется TOTP (Time-based One-Time Password), то есть из изначального ключа устройство, где установлено приложение, делает одноразовые пароли, привязанные к текущему времени. Этот метод появился, когда стало ясно, что двухфакторная аутентификация через SMS оказалась сравнительно ненадежной.

Плюсы:

• Работает офлайн, не зависит от наличия сети или безопасности других платформ
• В отличие от SMS, код при использовании такого способа гораздо труднее перехватить, если только злоумышленник не завладеет самим телефоном или первоначальным кодом, который, как правило, нужно сканировать

Минусы:

• Фишинговые сайты тоже могут запрашивать такой код и сами использовать его на настоящем сайте, то есть красть и пароль и код двухфакторной
• Аутентификатор привязан к устройству или к онлайн-аккаунту. Например, Google предлагает хранить коды в самом аккаунте Google через синхронизацию приложения Authenticator. Таким образом, при взломе аккаунта злоумышленник получает доступ к кодам

Вывод: Не подходит для high-risk клиентов и аккаунтов.

Сохранение TOTP кодов в специализированном парольном менеджере

Для генерации кодов можно использовать парольный менеджер 1Password и ряд других сервисов.

Плюсы:

• Все плюсы от предыдущего варианта (работает офлайн, такие коды нелегко перехватить)
• Коды не теряются при потере устройства
• Можно использовать в режиме совместного доступа разных пользователей к аккаунту, например для корпоративного аккаунта Instagram

Минусы:

• Когда оба фактора аутентификации находятся в одном месте, злоумышленник получает возможность взломать их вместе — и принцип разделения факторов фактически перестаёт работать

Вывод: Не подходит для high-risk клиентов и аккаунтов.

Фактически это полноценный второй этап аутентификации, который платформы описывают как “дополнительный”. Сами по себе коды восстановления не являются вторым фактором – поэтому двухфакторной аутентификации тут нет.

Коды восстановления предлагаются при настройке аккаунта, чтобы пользователи не обращались в службу поддержки в случае потери доступа. То есть, строго говоря, это не инструмент защиты пользователя, а скорее способ защитить саму платформу от последствий беспечности пользователей.

Это не двухфакторная аутентификация, потому что и пароль, и коды восстановления относятся к одному и тому же типу информации — shared secret. И то и другое — это something you know.

Плюсы:

• Коды восстановления не привязаны к мессенджерам или передаче данных

Минусы:

• Хранение кодов восстановления. Почти все пользователи держат их там же, где и пароли — в лучшем случае в парольном менеджере. Но как хранить их отдельно? Завести два менеджера паролей? Звучит абсурдно. По сути, это всего лишь ещё один пароль.
• Коды восстановления также уязвимы для фишинга

Вывод: Не подходит для high-risk клиентов и аккаунтов. Парадоксально, но таким клиентам иногда сохранять коды НЕ рекомендуется.

Идея заключается в том, что что когда пользователь хочет зайти в аккаунт на одном устройстве, ему нужно подтвердить этот вход на другом, где он уже авторизован, нажав кнопку вроде «Да, это я». Такая технология доступна не везде, но, например, используется в аккаунтах Google и Apple. У Apple коды приходят автоматически, а в Google эту функцию можно настроить вручную.

Плюсы:

Это точно лучше чем обыкновенное SMS-сообщение

Минусы:

Проблема в том, что до конца не ясно, как именно работает эта технология у конкретного пользователя. Например, у Google, судя по всему, она может реализовываться тремя разными способами, причём механизм зависит и от модели телефона, в частности, от наличия криптопроцессора. Уровень защищённости может различаться в зависимости от устройства: на одном защита сработает, а на другом уязвимость для фишинга останется. Подробностей и определённости здесь нет.

Вывод: Не подходит для high-risk клиентов и аккаунтов.

Такие ключи часто продаются под брендом YubiKey, у Google есть собственный ключ Titan (https://store.google.com/us/product/titan_security_key?hl=en-US), существуют и другие аналоги. Для таких ключей действует единый стандарт FIDO2, по этой аббревиатуре можно искать совместимые ключи.

Плюсы:

• Основной плюс таких ключей в том, что это не something you know. То есть это не «ещё один пароль», который просто подставляется при нажатии кнопки. Внутри ключа находится чип, выполняющий криптографическую операцию, и благодаря этому такие ключи устойчивы к фишингу. Если вы зайдете на фишинговый сайт, вставите там правильный ключ и нажмите на кнопку, вход в настоящий аккаунт не произойдёт.

Минусы:

• Риск изъятия и кражи ключа

Вывод: Отлично подходит для high-risk клиентов и аккаунтов для защиты от фишинга. Надо только учитывать, есть ли риск изъятия и кражи такого ключа. Если нет или он очень невелик, рекомендуем!

Passkey – это не просто длинный пароль. Это новый способ аутентификации, который используется для защиты аккаунта в качестве второго фактора.

• Принцип работы таков: устройство или парольный менеджер хранят приватный ключ. При попытке входа сервер присылает число, пользователь подтверждает аутентификацию на устройстве — вводит пароль (PIN) или биометрические данные. Устройство подписывает присланное число приватным ключом и отправляет результат обратно на сервер. У сервера есть соответствующий публичный ключ, с помощью которого он проверяет подпись и убеждается, что пользователь настоящий

Плюсы:

Как и предыдущий метод, этот способ очень устойчив к фишингу. Однако, он становится спорным в ситуации, когда есть риск, что устройство окажется в руках злоумышленников и пользователя принудят ввести биометрию или пароль.

Вывод: Отлично подходит для high-risk клиентов и аккаунтов для защиты от фишинга.

Итог: Для пользователей, находящихся в зоне высокого риска, рекомендуется использовать для двухфакторной аутентификации аппаратные ключи и passkey.

При этом следует отключить все стандартные способы восстановления доступа и иные методы двухфакторной аутентификации, основанные на паролях или кодах.

Традиционные методы на основе общего секрета (shared secret) больше не обеспечивают достаточного уровня защиты. А вот методы, основанные на публичной криптографии, обеспечивают необходимую защиту.

• Google Advanced Protection: крайне рекомендуем для всех high-risk клиентов.
• Apple Advanced Data Protection: дополнительная защита, полезна, но фокусируется на приватности и не решает задачи защиты от большинства реальных угроз high-risk пользователей.

Почему режимы не включены по умолчанию?
Расширенные меры защиты, такие как Advanced Protection, снижают удобство использования и усложняют восстановление аккаунта. Большинство пользователей ценят доступность данных выше максимальной конфиденциальности, поэтому Apple и Google ориентируются на простое восстановление информации, оставляя усиленные режимы для тех, кто готов пожертвовать удобством ради защиты.

Оба режима - это примеры того, как вендоры адаптируют свои облачные сервисы для разных аудиторий. Важно понимать, что выбор между удобством и безопасностью всегда стоит за пользователем.

В мире облачных сервисов угрозы для пользователей существуют на разных уровнях, и их игнорирование может привести к серьезным последствиям. Особенно это касается пользователей, чьи данные могут быть интересны злоумышленникам или государственным органам. В этой статье мы разберем два продвинутых режима безопасности от ведущих вендоров - Apple и Google, их различия, особенности и кому они действительно нужны.

Клиенты с высоким риском - это сотрудники и активисты НКО, медиа и проектов, адвокаты, юристы, предприниматели, публичные персоны, чья деятельность может привлекать повышенное внимание, требующие повышенной цифровой и финансовой безопасности. Для них важно не только базовое шифрование и двухфакторная аутентификация, но и расширенные меры защиты, минимизирующие сложные атаки через стандартные сервисы. При этом многие активисты не имеют ресурсов на дорогие корпоративные продукты, поэтому им особенно важны доступные стандартные решения от Apple и Google.

Для большинства пользователей облаков основные риски связаны с фишингом - попытками злоумышленников получить доступ к аккаунту, выдавая себя за легитимные сервисы. Однако для клиентов с высоким уровнем риска угрозы шире:

• Фишинг и социальная инженерия: получение доступа через обманные письма, SMS или звонки;
• Сброс аккаунтов через методы восстановления: злоумышленник использует слабые механизмы восстановления аккаунта, чтобы его захватить;
• Прямой доступ к данным через облако: возможность получить данные напрямую из резервной копии или синхронизации.

Эти угрозы делают важным использование специальных режимов безопасности для high-risk клиентов.

Apple предлагает режим Advanced Data Protection, который добавляет сквозное (end-to-end) шифрование для большинства данных в iCloud: резервные копии устройства, включая сообщения; iCloud drive с файлами и документами; фотографии, заметки, напоминания; закладки и группы вкладок Safari; диктофон, карты Wallet и т.д.

При этом некоторые данные и сервисы не становятся зашифрованными полностью, чтобы сохранять критические функции устройства: это iCloud Mail, календари и контакты, Apple Cash и карты в Wallet, а также функции Find My и часть информации о местоположении.

Как это работает?

Если режим не включен, доступ к данным iCloud возможен через привязанные устройства.
Если включен, для восстановления данных потребуется один из трех вариантов:

• специальный ключ восстановления;
• доступ к доверенному устройству;
• подтверждение через recovery-контакт.

То есть даже при взломе iCloud злоумышленник не сможет получить данные без этих дополнительных факторов, за исключением вышеуказанных сервисов, которые остаются частично доступными для работы функций устройства.

Для кого это?

Этот режим предназначен для пользователей, заботящихся о приватности или опасающихся, что их данные могут запросить правоохранительные органы США или ЕС.

📌 Инструкция по включению Advanced Data Protection от Apple

Google предлагает Advanced Protection Program, которая защищает аккаунт от фишинга и других атак социальной инженерии.

Как это работает?

• обязательная настройка FIDO2 ключей для входа;

FIDO2-ключ - это физическое устройство (например, USB-ключ, NFC-ключ или встроенный в устройство биометрический ключ), которое используется вместо обычного пароля или как дополнительный фактор при входе. Без него злоумышленник не сможет войти даже если знает пароль.

• отключение менее безопасных способов двухфакторной аутентификации (SMS, телефонные звонки);
• ограничение доступа сторонних приложений к аккаунту;

Приложениям третьих сторон запрещается напрямую получать доступ к Gmail и Google Drive. Доступ возможен только через официальные Google API с ограниченными правами, что снижает риск утечки данных через вредоносные приложения.

• усиленная процедура восстановления аккаунт;

Если пользователь потеряет доступ к аккаунту, восстановление требует более строгой проверки личности: может понадобиться несколько доверенных устройств, FIDO2-ключ, контактное лицо для восстановления и подтверждение личных данных. Это снижает риск, что злоумышленник сможет захватить аккаунт через стандартные процедуры восстановления.

Для кого это?

Этот режим создан для пользователей, которым критически важна защита от взлома, фишинга и вредоносных приложений. Он идеально подходит для high-risk клиентов: правозащитников, журналистов, сотрудников компаний с чувствительной информацией.

📌 Инструкция по включению Advanced Protection от Google

В цифровом мире не все пользователи сталкиваются с одинаковыми угрозами. Некоторые группы людей - журналисты, активисты, адвокаты, сотрудники НКО и проектов с высокой конфиденциальностью - подвергаются целевым атакам со стороны государств или крупных организаций. Еще с середины 2010-х Apple и Google начали уведомлять таких пользователей о рисках для их аккаунтов после того, как происходили реальные атаки со стороны государственных или мощных коммерческих игроков. Но угроза может исходить не только от взлома аккаунта - иногда атакуют само устройство. Для таких пользователей стандартных мер безопасности часто недостаточно. На помощь приходят специальные режимы защиты устройств и аккаунтов - Apple Lockdown Mode и Google Android Advanced Protection.

Клиенты с высоким риском - это сотрудники и активисты НКО, медиа и проектов, адвокаты, юристы, предприниматели, публичные персоны, чья деятельность может привлекать повышенное внимание, требующие повышенной цифровой и финансовой безопасности. Для них важно не только базовое шифрование и двухфакторная аутентификация, но и расширенные меры защиты, минимизирующие сложные атаки через стандартные сервисы. При этом многие активисты не имеют ресурсов на дорогие корпоративные продукты, поэтому им особенно важны доступные стандартные решения от Apple и Google.

В цифровом мире не все пользователи сталкиваются с одинаковыми угрозами. Некоторые группы людей - журналисты, активисты, адвокаты, сотрудники НКО и проектов с высокой конфиденциальностью - подвергаются целевым атакам со стороны государств или крупных организаций. Еще с середины 2010-х Apple и Google начали уведомлять таких пользователей о рисках для их аккаунтов после того, как происходили реальные атаки со стороны государственных или мощных коммерческих игроков. Но угроза может исходить не только от взлома аккаунта - иногда атакуют само устройство. Для таких пользователей стандартных мер безопасности часто недостаточно. На помощь приходят специальные режимы защиты устройств и аккаунтов - Apple Lockdown Mode и Google Android Advanced Protection.

Что делает режим?

• сообщения: блокируются вложения, кроме определенных медиа; ограничивается предварительный просмотр ссылок;
• веб: ограничение сложных веб-ресурсов, некоторые шрифты и скрипты могут не загружаться;
• FaceTime: звонки блокируются от неизвестных контактов, с которыми не было связи последние 30 дней;
• общее: ограничение установки профилей и других системных функций, которые могут быть использованы злоумышленниками.

Для кого: пользователи, которые могут стать объектом целевых атак, включая эксплойты типа Pegasus. Включение режима выполняется в Настройки → Конфиденциальность и безопасность → Режим блокировки (Lockdown Mode). После включения режим можно выключить, но делать это стоит осторожно - временно отключив, вы снижаете уровень защиты.

📌 Подробнее на официальном сайте Apple: Apple Lockdown Mode

Что делает режим?

• блокировка некоторых типов мультимедиа и вложений в мессенджерах;
• усиление защиты системных сервисов и браузера;
• ограничение установки профилей и сторонних приложений, которые могут создавать уязвимости.

Для кого: Для пользователей с высоким риском - журналистов, активистов, сотрудников НКО и проектов с высокой конфиденциальностью. Режим активируется в разделе Настройки → Безопасность → Advanced Protection на совместимых устройствах. Его можно выключить в любой момент через те же настройки.

📌 Подробнее на официальном сайте Google: Google Advanced Protection

Практика использования и возможные ограничения

Lockdown Mode и Android Advanced Protection - эффективные инструменты защиты от целевых атак для клиентов с высоким риском. 

Для таких пользователей рекомендуется использовать эти режимы постоянно. 

Эти режимы минимизируют стандартные уязвимости платформ и существенно снижают вероятность успешной целевой атаки.

Возможны несколько подходов использования:

• Разделение устройств: один телефон для обычного использования, другой - с включенным режимом защиты для работы с критичной информацией и безопасными коммуникациями;
• Единое устройство: включение режима на одном устройстве, с готовностью терпеть редкие неудобства, например, некорректное отображение некоторых сайтов или приложений.

Ограничения:

• Android Advanced Protection доступен не на всех устройствах; 
• Lockdown Mode полностью поддерживается на последних версиях iOS и macOS;
• некоторые сайты и приложения могут работать нестабильно, но критические функции остаются доступными.

Расширенные меры защиты снижают удобство использования и усложняют восстановление аккаунта. Большинство пользователей ценят доступность данных выше максимальной безопасности, поэтому эти режимы оставляют для тех, кто готов пожертвовать удобством ради защиты.

Дипфейк – это технология на основе искусственного интеллекта, которая позволяет подделывать внешний вид и голос человека в видео. То есть мошенник может появиться на экране в образе вашего знакомого и говорить его голосом, но на самом деле вы будете видеть двойника, почти не отличимого от реального человека. Это похоже на очень продвинутый «фильтр», или «маску», которые «накладывают» чужое лицо на видео в реальном времени.

К сожалению, такие технологии стремительно становятся доступнее, и случаи мошенничества с дипфейками растут взрывными темпами – за 2023 год их число увеличилось в 31 раз по всему миру. А в 2024 году число таких случаев превысило показатели всех предыдущих лет вместе взятых.

Дипфейк-видеозвонки представляют собой прежде всего разновидность социальной инженерии – обмана доверия. 

• Мошенничество с финансами 

Злоумышленники могут выдавать себя за директора или бухгалтера вашей организации и просить срочно перевести деньги на какой-то счёт. Были случаи, когда сотрудников обманывали на миллионы долларов, устроив видеоконференцию с поддельными «коллегами» – все участники, включая финансового директора, оказались дипфейками. 

Для некоммерческих организаций это может означать потерю грантовых средств или пожертвований.

• Фишинг и утечка данных 

Под видом знакомого человека мошенник может выманивать конфиденциальную информацию: пароли, списки подопечных, внутренние документы. Например, вам может позвонить «коллега из другой организации» с просьбой поделиться отчетами или доступом к аккаунтам.

• Имитация руководства и дискредитация

Ещё один риск – когда аферисты притворяются вашим руководителем или известным лицом, чтобы дать вам задания или вовлечь в сомнительные действия. Бывали случаи, когда мошенники выдавали себя за публичных персон и в видеозвонке провоцировали людей на откровенные высказывания. Затем запись такого разговора выкладывалась в сеть для дискредитации участников.

Для некоммерческих организаций это может обернуться репутационными потерями, если, например, от имени директора будут озвучены странные или неподобающие заявления.

• Неожиданное обращение или странная ситуация 

Первый тревожный «звоночек» – вам пишет или звонит знакомый человек с нового номера или аккаунта, да ещё и с необычной просьбой. Например, директор внезапно просит позвонить ему по видеосвязи в WhatsApp, хотя раньше вы общались только в Signal. Если общение происходит необычным способом – это повод насторожиться, особенно если сразу просят выполнить какие-то инструкции, связанные с финансами, или создают ощущение спешки и давления.

• Несовпадения в видео и голосе 

Часто в дипфейках можно увидеть незначительные искажения и неестественные детали. Например, лицо может казаться слегка «плоским», неэмоциональным или размытым - особенно на границе с волосами, ушами или фоном. Мимика может не совсем соответствовать речи. Обратите внимание на губы и голос: двигаются ли губы синхронно со звуком? Если звук чуть опережает или отстаёт от движения рта или человек на экране практически не моргает либо делает это слишком редко/необычно/наоборот очень часто и асинхронно – это сигнал о возможной подделке. То же касается и взгляда: если ощущение «живого» взгляда отсутствует, а глаза будто смотрят в пустоту – насторожитесь. Обратите внимание на странности с зубами: иногда алгоритмы плохо прорисовывают отдельные зубы, создавая слитную или неестественную текстуру.

• Неестественная речь и паузы. 

Даже если голос очень похож, прислушайтесь к интонации и паузам. Синтезированный или поддельный голос может звучать чуть более монотонно, «роботично» или с непривычным акцентом. Мошенник, говорящий не на своём родном языке, может допускать нетипичные для вашего знакомого обороты речи. Кроме того, если задать внезапный вопрос, фальшивка может замешкаться, так как тому, кто скрывается за маской, нужно время среагировать. Например, вы можете невзначай спросить: «А помнишь, как прошла наша встреча на прошлой неделе?» Если собеседник в растерянности или пытается поменять тему – это тревожный сигнал. 

Эксперты советуют: задайте вопрос, ответ на который точно знает ваш настоящий знакомый, и посмотрите на реакцию. Настоящий коллега ответит сразу, а вот мошенник, вероятно, уйдёт от ответа.

• Плохое качество видео, скрытое лицо 

Мошенники могут специально ухудшить условия связи, чтобы вы не заметили изъяны дипфейка. Например, они сидят далеко от камеры или в полутьме, с лицом в тени, с размытым фоном. Если вам кажется странным, что собеседника плохо видно, попросите его сесть ближе к свету или включить камеру получше. Обратите внимание на неестественное освещение: тени на лице могут не совпадать с источниками света в комнате.

• Странности при движении 

Ещё один способ проверить – попросить собеседника выполнить простое действие в кадре, например, показать, что написано на кружке или снять на секунду очки. Резкое движение (повернуть голову в профиль на 90°, провести рукой перед лицом, пригубить из чашки) может вывести дипфейк из строя: наложенная маска лица часто не успевает перестроиться и «сползает», появляются заметные искажения. Это один из самых эффективных и часто рекомендуемых методов проверки. Но стоит все же отметить, что самые передовые real-time дипфейки (которые, к счастью, пока не общедоступны) уже учатся справляться и с этим. Большинство мошенников используют более доступные и менее совершенные инструменты, которые действительно «ломаются» от таких проверок.

Ни один из этих признаков сам по себе не гарантирует 100% разоблачения, но совпадение нескольких сигналов – серьезный повод не доверять увиденному. 

Атака с использованием дипфейка обычно разворачивается по определённому сценарию. 

Как правило, всё начинается с неожиданного контакта.

• Необычное приглашение на звонок

Жертва получает письмо, сообщение в мессенджере или звонок от лица, выдающего себя за знакомого (начальника, партнёра, донора и т.п.). Вас могут попросить срочно выйти на видеоконференцию по внеплановому поводу. 

Часто злоумышленники используют поддельный или взломанный аккаунт знакомого человека, чтобы обращение выглядело правдоподобно.

• Видеозвонок с «двойником» 

Сотрудник подключается к конференции. На экране действительно появляется лицо знакомого человека – например, руководителя. Мошенник с помощью программы в реальном времени транслирует поддельное изображение и голос. Первые минуты могут не вызывать подозрений: голос узнаваем, внешность совпадает (особенно если связь не слишком чёткая).

• Манипуляции во время разговора 

Далее мошенник переходит к сути: под каким-то предлогом просит совершить действия. 

Например, «директор» может в конце звонка сказать: «У нас чрезвычайная ситуация, срочно переведи 100 000 рублей нашему партнёру. Детали вышлю потом, времени объяснять нет». Либо «коллега» попросит выдать ему доступ к базе данных, «пока IT-отдел недоступен». 

Важный момент – злоумышленники давят на срочность или авторитет.

• Завершение атаки

После получения желаемого (денег, информации) мошенник может быстро прервать связь и исчезнуть. Иногда, если жертва сомневается, аферисты могут устроить дополнительный «спектакль» – например, подключат других фейковых участников для убедительности или попытаются надавить повторно. Обман обычно раскрывается слишком поздно — лишь когда реальный человек, от имени которого звонили, узнаёт о «своих» странных звонках. 

• Всегда подтверждайте личность по другому каналу 

Прежде чем выполнять просьбу из видеозвонка, перезвоните этому человеку по известному вам номеру или напишите в привычный чат. То же касается любых внезапных звонков с неизвестных аккаунтов от коллег или партнёров. Альтернативно (или дополнительно) можно договориться внутри команды о кодовом слове для экстренной проверки: если вам по видео дают сомнительное распоряжение, задайте невинный вопрос, в котором должна прозвучать заранее оговоренная фраза-пароль. Мошенник о ней не узнает и не сможет правильно ответить.

• Не поддавайтесь давлению, берите паузу

Мошенники спешат заставить вас сделать перевод или выдать данные «прямо сейчас». Не торопитесь! Прекратите разговор при малейшем подозрении. Ничего страшного не случится, если вы скажете: «Извините, сейчас нет возможности, давайте через час», – и за это время спокойно проверите ситуацию. 

• Внутренние финансовые процедуры и MFA 

Для защиты денег введите правило: один сотрудник не должен в одиночку проводить значимые транзакции по чьей-то устной команде. Всегда нужна двойная проверка – например, подтверждение второго ответственного лица. Используйте многофакторную аутентификацию (MFA) везде, где можно: в почте, мессенджерах, рабочих аккаунтах. Это затруднит жизнь злоумышленникам – им будет сложнее взломать аккаунт и разослать приглашения от имени вашего коллеги.

• Обучение команды и обмен опытом 

Обсудите с сотрудниками и волонтерами случаи дипфейк-мошенничества. Убедитесь, что люди знают об этой угрозе и не считают её «фантастикой». Проведите небольшой тренинг: разошлите статью или разыграйте сценарий подозрительного звонка на общем собрании. Найдите базовые инструменты, которыми пользуются мошенники для подмены лица и поэкспериментируйте.

• Настройте безопасность видеоконференций 

Используйте возможности платформ Zoom, Teams и прочих, чтобы обезопасить встречи от посторонних. Например, ставьте пароль на важные звонки, делайте их по индивидуальной ссылке, не публикуйте открыто ID конференции. Воспользуйтесь функцией «зал ожидания», чтобы вручную впускать только известных участников. Для внутренних совещаний можно включить опцию «доступ только для авторизованных пользователей» (по корпоративным аккаунтам) – тогда постороннему будет сложнее проникнуть под поддельным именем. 

Чем меньше шансов у злоумышленника вообще попасть с вами на связь, тем лучше. Кроме того, следите за обновлениями: современные видеосервисы работают над внедрением средств распознавания дипфейков и верификации участников. Возможно, скоро появятся индикаторы, подтверждающие, что на видео реальный человек. Но пока главная защита – это ваша бдительность.

1. DeepFake-O-Meter v2.0 - бесплатная и удобная онлайн-платформа, объединяющая несколько передовых алгоритмов для анализа изображений, видео и аудио на предмет дипфейков.

• Преимущества: Подходит для массового пользования — очень удобно, если нужно быстро проверить медиафайл.
• Ограничения: Это экспериментальная инициатива; могут быть ограничения по скорости или количеству проверок.

2. Deepware Scanner - онлайн-сервис для загрузки и проверки видео на дипфейки

• Преимущества: Простой интерфейс — загружаете видео или вставляете ссылку.
• Ограничения: Может быть более поверхностным по сравнению с мультисистемами.

3. Sensity AI - платформенное решение «всё в одном» для обнаружения дипфейков; подходит для видео, изображения и аудио (по последним обзорам — 2025)

• Преимущества: Комплексная защита и интеграция для профессионального использования.

4. Reality Defender - профессиональная платформа, которая работает с изображениями, видео, аудио и текстом; предлагает веб-интерфейс, API, визуальные отчеты и real‑time анализ.

• Преимущества: Очень надёжная, активно обновляемая, доступна бесплатная версия (50 проверок/месяц) 
• Ограничения: Основной акцент — бизнес и госструктуры, но есть и индивидуальные опции.

5. McAfee Deepfake Detector - расширение (или функция на PC) для браузера, которое предупреждает о дипфейк-аудио прямо при просмотре видео; работает в реальном времени.

• Преимущества: Очень удобно при просмотре видео онлайн, мгновенные оповещения.
• Ограничения: Часто доступно только на устройствах с Intel Core Ultra или в составе определённых ноутбуков.

6. Resemble Detect - специализированный инструмент для обнаружения дипфейк‑аудио; поддерживает загрузку аудиофайлов (WAV, MP3), с точностью до ~90 % и бесплатным лимитом до 2 мин.

• Преимущества: Быстрая проверка аудио, удобен для подкастов, звонков, голосовых сообщений.
• Ограничения: Только аудио.

Лучший способ справиться с проблемой — это подготовиться к ней заранее. Поэтому сделайте это, не откладывая:

Установите сложный пароль.

Забудьте про 4-значные PIN-коды и простые графические ключи (L, Z, квадрат). Используйте минимум 6-значный PIN-код, а лучше — пароль из букв и цифр.

Если вы географически находитесь в таком месте, где вас не могут заставить разблокировать телефон против воли, включите биометрию - это отличная защита от кражи! Активируйте Face ID или сканер отпечатка пальца.

Активируйте службу поиска.

На iPhone: Зайдите в Настройки > [ваше имя] > Локатор > Найти iPhone и убедитесь, что все три переключателя (Найти iPhone, Сеть Локатора, Последняя геопозиция) активны. «Сеть Локатора» — это та самая функция, которая поможет найти телефон, даже если он выключен.

На Android: Зайдите в Настройки > Google > Найти устройство (или поищите "Найти устройство" поиском по настройкам) и включите его.

Запишите IMEI.

Наберите на телефоне команду *#06#. Появится уникальный 15-значный IMEI-код вашего устройства. Сфотографируйте его или запишите и сохраните в надежном месте. Он понадобится для заявления в полицию.

Настройте резервное копирование.

Если вам нужна информация с телефона, настройте резервное копирование. Включите автоматическое создание резервных копий в iCloud (для iPhone) или Google One/Google Фото (для Android), чтобы не потерять ценные данные.

Как только вы поняли, что телефона у вас нет, действуйте.

Для Android:

Воспользуйтесь сервисом Google «Найти устройство» (android.com/find). Войдите в тот же аккаунт Google, что и на потерянном телефоне. В этом сервисе есть опции:

Прозвонить: Устройство будет издавать громкий звуковой сигнал в течение 5 минут, даже если включен беззвучный режим. Идеально, если вы думаете, что телефон где-то рядом.

Заблокировать устройство: Это самый важный шаг. Телефон немедленно заблокируется вашим PIN-кодом или паролем. Дополнительно на экране блокировки можно вывести сообщение (например, «Телефон утерян, пожалуйста, позвоните по номеру +XXXXXXXXXXX») и номер для связи.

Очистить устройство: Крайняя мера. Все данные с устройства будут удалены безвозвратно. После этого вы больше не сможете отследить телефон через сервис Google. Используйте эту функцию, только если уверены, что не сможете вернуть устройство и на нем хранятся критически важные данные.

Для владельцев Samsung:

У Samsung есть свой мощный сервис Find My Mobile (findmymobile.samsung.com), который предлагает уникальные функции: удаленное создание резервной копии данных, просмотр последних звонков и сообщений, и даже включение режима энергосбережения, чтобы продлить время работы батареи для отслеживания.

Для iPhone:

Используйте сервис «Локатор» через сайт icloud.com/find или приложение «Локатор» на другом устройстве Apple. В этом сервисе есть опции:

Воспроизвести звук: Аналогично Android, поможет найти устройство поблизости.

Отметить как пропавшее (Режим пропажи): Это приоритетное действие. Устройство немедленно блокируется паролем, а на его экране отобразится ваше сообщение с контактным номером. Важно, что в этом режиме отключается Apple Pay, но телефон все еще можно отследить. Телефон, переведенный в режим пропажи, становится практически бесполезным для нашедшего или вора.

Стереть iPhone: Полное удаление всех данных. Как и в случае с Android, после этого отслеживание станет невозможным. При стирании можно оставить сообщение на экране.

Важно! Если телефон выключен или не в сети, все команды (блокировка, стирание) будут исполнены, как только он появится в сети или будет обнаружен через офлайн-сеть «Локатор».

Заблокируйте SIM-карту.

Немедленно позвоните своему мобильному оператору и попросите заблокировать SIM-карту. Это нужно, чтобы злоумышленник не смог использовать ваш номер для получения SMS-кодов для сброса паролей от банков и других сервисов. Вы сможете легко восстановить свой номер на новой SIM-карте. Если у вас была eSIM, процедура аналогична.

Выйдите из важных аккаунтов.

Даже если вы заблокировали телефон, лучше перестраховаться. С компьютера или другого устройства:

Google: Перейдите в Настройки аккаунта Google > Безопасность > Ваши устройства и нажмите «Выйти» на потерянном устройстве.

Apple ID: Перейдите на сайт appleid.apple.com, войдите в свой аккаунт и удалите потерянное устройство из списка доверенных.

Социальные сети и мессенджеры (Telegram, WhatsApp, Facebook): В настройках безопасности каждого сервиса есть раздел «Активные сеансы» или «Подключенные устройства». Завершите сеанс на потерянном устройстве.

Банковские приложения: Позвоните на горячую линию вашего банка, объясните ситуацию и следуйте их инструкциям. Часто достаточно просто выйти из сессий удаленно, но консультация с банком не будет лишней.

Если вы находитесь в юрисдикции, где полиция занимается такими делами, подайте заявление в полицию. Это особенно важно, если вы уверены, что телефон украли. Вам понадобится паспорт, документы на телефон (если есть) и тот самый IMEI-код, который вы сохранили заранее. Это увеличивает шансы на возврат.

При этом остерегайтесь мошенников!  Если вы включили «Режим пропажи» и оставили свой номер, вам могут приходить SMS или сообщения в мессенджеры якобы от Apple или Google с текстом «Ваш телефон найден! Его местоположение можно увидеть по ссылке: [фишинговая ссылка]». НИКОГДА не переходите по таким ссылкам и не вводите там свой пароль! Это уловка, чтобы украсть ваш Apple ID или Google-аккаунт и отвязать от него телефон. Проверяйте статус устройства только на официальных сайтах: icloud.com/find и android.com/find.

Каждый раз, когда вы заходите в интернет, ваше устройство использует IP-адрес. По сути, это сетевой «домашний адрес» вашего компьютера или телефона. IP-адрес выдаётся интернет-провайдером и обычно привязан к географическому региону. Поэтому любой сайт или сервис, узнав ваш IP, сможет определить хотя бы город или район вашего пребывания.

Специализированные базы данных (GeoIP-сервисы) выдают приблизительные координаты по IP: страну, город, а иногда даже широту/долготу и почтовый индекс. Точность у публичных баз не идеальная (как правило, уровень города), но для начальной оценки этого достаточно.

Иногда бывает доступна более точная информация. Во-первых, в России по закону провайдеры связи хранят данные о подключениях пользователей и обязаны предоставлять их по запросу правоохранителей. Зная IP-адрес, можно через провайдера выяснить, кому он выдан и по какому адресу находится абонент в конкретный момент.

Например, если вы вышли в сеть из дома с проводным интернетом, ваш IP однозначно привязан к адресу квартиры у данного провайдера. Если с мобильного интернета – IP привязан к вашему оператору и может быть сопоставлен с данными о вышке, через которую вы подключены.

Весь трафик на территории России проходит через систему оперативно-розыскных мероприятий (СОРМ) и фиксируется, содержание переписки или вашего использования сайта не видно, но виден файл использования.

Как защититься:

Главное – не выходить в интернет напрямую, без защитных инструментов, если для вас критична конфиденциальность местоположения. Даже мгновения между тем, как вы подключились к Wi-Fi и включили VPN может хватить, чтобы вы оставили достаточно следов для идентификации. Сервисы фиксируют IP адреса, с которых устройства выходят в сеть, и сохраняют их. При желании, можно вычислить приблизительные координаты вашего местоположения даже через годы.

Скрыть свой реальный IP-адрес помогает использование VPN или сети Tor. VPN (Virtual Private Network) создаёт зашифрованный туннель и подменяет ваш IP на IP своего сервера. Публичные Wi-Fi сети небезопасны, рекомендуется включать VPN на всех сетях и настроить “kill switch” (блокировку интернета при падении VPN). 

Tor – анонимная сеть, а которую можно попасть через специальный браузер Tor Browser. Tor позволяет добиться высокой анонимности, но у него есть минусы, например, невысокая скорость. Некоторые сайты блокируют подключение через Tor. В России прямой доступ к сети Tor тоже блокируется.

Кроме того, за активностью в Tor могут следить, фиксируя сам факт подключения. Злоумышленники и хакеры часто используют Tor при совершении преступлений, поэтому правоохранительные органы следят за его использованием с подозрением.

Другой канал утечки геолокации – Wi-Fi. Здесь есть несколько векторов:

Публичные точки доступа. Подключаясь к чужому Wi-Fi, вы потенциально раскрываете свое присутствие в этой локации. В некоторых странах, в том числе в России, все публичные Wi-Fi обязаны идентифицировать пользователей по номеру телефона или паспорту. То есть, чтобы получить интернет в кафе, вы вводите свой номер, подтверждаете кодом – а система сохраняет связку вашего телефона, MAC-адреса устройства и времени подключения. Лучше использовать мобильный интернет либо VPN-туннель поверх публичного Wi-Fi, чтобы провайдер не видел ваш трафик. Но сам факт подключения в конкретном месте всё равно фиксируется, если есть SMS-идентификация. Если идентификации нет, то владелец сети вайфай будет нести ответственность за все, что происходит в его сети.

Прослушка Wi-Fi трафика. Даже без обязательной авторизации, открытый Wi-Fi небезопасен. Злоумышленник может создать фальшивую точку доступа (например, Free_Cafe_WiFi) и ждать подключения. Многие устройства автоматически подключаются к сетям с знакомыми названиями. Подключившись к мошеннической точке, вы позволяете атакующему видеть незашифрованные данные. Кроме того, в момент подключения ваше устройство сообщает точке доступa свой MAC-адрес – уникальный идентификатор сетевой карты. MAC не несёт прямой гео-информации, но может использоваться для наблюдения. В публичных местах (торговых центрах, метро) иногда специально ставят Wi-Fi сенсоры, записывающие MAC-адреса всех проходящих устройств – таким образом считают статистику посещаемости и перемещений людей. Для вас это означает, что включённый Wi-Fi = потенциальный маяк. Однако в большинстве современных устройств сейчас по умолчанию создаются одноразовые MAC-адреса, что усложняет процесс наблюдения.

Излучение смартфона при поиске сетей. Даже если вы не подключаетесь к Wi-Fi, ваш телефон постоянно обменивается «маячками» с окружающими сетями, пытаясь найти знакомые точки доступа. Смартфон рассылает в эфир пакеты с информацией о себе (имя устройства, поддерживаемые стандарты и пр.), которые могут быть замечены специальными сканерами. 

Как защититься:

Первое правило – выключайте модули Wi-Fi и Bluetooth, когда не пользуетесь ими. Если они постоянно включены, вы рассеиваете вокруг много  информации. На Android и iOS сейчас по умолчанию включена рандомизация MAC-адреса при подключениях – убедитесь, что эта опция активна (в настройках Wi-Fi вашего устройства). Но при авторизации по SMS рандомный MAC всё равно свяжется с вашим номером, тут защиты нет.

Избегайте подключаться к незнакомым Wi-Fi, особенно без пароля. Если очень нужно, не открывайте ничего конфиденциального в такой сети без VPN. Лучше используйте собственный мобильный интернет (раздав его на ноутбук при необходимости) – трафик сотового оператора шифруется и не виден посторонним в округе. Однако, если это трафик на территории РФ, то учтите, что данные все равно передаются через СОРМ.

Сотовая связь – один из самых мощных инструментов отслеживания. Ваш телефон, как только включен и зарегистрирован в сети оператора, постоянно общается с ближайшими базовыми станциями (вышками). Оператору всегда известно, к какой вышке вы сейчас подключены, и на основе этого можно примерно рассчитать вашу позицию. В городе, где много вышек 5G, ваше местонахождение определяется с точностью до метра. Точность определения вашего местоположения зависит от новизны используемой технологии.

Таким образом, обычный мобильный телефон постоянно передает ваше положение своей сотовой компании. Кроме того, метки местоположения пишутся в биллинговых данных (для роуминга, тарификации и т.п.).

Но и это ещё не всё. Есть специализированные устройства – имитаторы базовых станций (известные как IMSI-catcher или «Stingray»). Это портативные приборы, которые при активации маскируются под сотовую вышку и заставляют телефоны поблизости подключиться к ним. Подключившись к такому устройству, ваш телефон раскрывает ему свой уникальный номер (IMSI ID на SIM-карте) и может даже передавать через него звонки и SMS. IMSI-catcher позволяет вычислить местонахождение телефона с высокой точностью, поскольку злоумышленник видит сигнал вашего аппарата и может подойти ближе для усиления сигнала.

Такие устройства используются по всему миру силовыми структурами для поиска людей и перехвата данных.

Отдельно упомянем GPS – спутниковую навигацию. Сама по себе GPS-технология не передаёт ваше местоположение куда-либо, приёмник только слушает сигналы со спутников и вычисляет координаты. Поэтому распространённый миф «меня могут отследить через GPS» верен лишь наполовину. Если на вашем устройстве включены службы геолокации, то разные приложения (навигатор, такси, социальные сети) регулярно запрашивают координаты и могут их отправлять на свои серверы. То есть GPS-координаты могут утечь через интернет. Например, Android и iOS сами собирают вашу историю местоположений и сохраняют её в аккаунте Google/Apple.

Злоумышленник может взломать ваш аккаунт в iCloud/Google и получить доступ к геоистории, которую система честно там хранит. Поэтому учётные записи на телефоне нужно защищать: ставьте уникальные длинные пароли и включайте двухфакторную аутентификацию. Также отключите лишний сбор локации – в настройках Google Location History или «Службы геолокации» Apple можно запретить сбор истории перемещений, и в целом проверить, какие приложения обладают доступом к GPS.

Кроме штатного GPS, бывали случаи скрытной активации геолокации через уязвимости SIM-карт или сотовых протоколов. Это сложные в реализации взломы, обычно применяются против конкретных целей и требуют дорогого оборудования. Но знать о них полезно: даже если вы выключили GPS на телефоне, нельзя на 100% полагаться, что он не выдаст место – против продвинутых атак это слабая мера. Так же набирает силы тенденция атак с использованием SS7. Надёжнее физически отключить устройство от сети.

Как защититься:

В идеале – не носить с собой телефон, когда не хотите, чтобы вас отследили. В новых моделях вынуть батарею нельзя – тогда выручают специальные аксессуары: например, чехлы фарадея или сумки, блокирующие все сигналы (в продаже есть «экранирующие чехлы» для телефонов. Перед использованием рекомендуем проверить, правда ли работает выбранное средство.

Менее эффективно – включить авиарежим: он отключает активные передатчики (связь, Wi-Fi), однако полностью не гарантирует, что устройство ничего не передаёт.

В повседневной практике достаточно выключать телефон в чувствительных местах и не держать его около места тайных встреч. При пересечении границы тоже рекомендуется держать телефон выключенным до выхода из аэропорта.

В остальное время, когда телефон включен, минимизируйте утечки: отключите GPS-модуль, если он не нужен в данный момент. Когда нужен – вы можете вручную включить его и потом снова выключить. Проверьте в настройках, какие приложения имеют доступ к вашей локации – оставьте только доверенные и только «При использовании приложения». Всевозможным утилитам фонового мониторинга, камерам, соцсетям – поставьте «Никогда» для геолокации. Иначе простой фоторедактор может тайно собирать ваш GPS и сливать неизвестно кому.

Стоит также очищать метаданные из файлов, которые вы распространяете. Например, фотографии: многие смартфоны записывают в фото EXIF-метки, включая точные координаты места съёмки. Если вы выкладываете снимок, злоумышленник может посмотреть эти метаданные и узнать, где и когда он сделан. Некоторые соцсети автоматически стирают геометки при загрузке, но далеко не все сервисы это делают. Если вы отправили фото напрямую через мессенджер или опубликовали на сайте – координаты могут сохраниться внутри файла.

Даже без доступа к вашим устройствам, злоумышленники могут узнать о местоположении через браузер и приложения в интернете. Например:

Запрос геолокации через браузер. На сайтах бывает всплывающее окно «Разрешить сайту узнать ваше местоположение?». Если пользователь согласится, браузер передаст сайту точные координаты. Откуда он их возьмёт? Обычно из API Google Location – то есть используя ближайшие Wi-Fi сети, данные GPS телефона или IP-адрес.

Так что никогда не разрешайте сайтам доступ к местоположению, если только это не критично (например, карты).

Приложения от Яндекса. Кроме того, что они отправляют IP-адреса на сервера в РФ (а значит, это в доступе СОРМ), предоставляют данные своих приложений (поездки, данные геолокации и тд), они ещё могут связывать идентификатор пользователя через Яндекс-метрику.

Опасные расширения и приложения. Иногда сами пользователи устанавливают дополнения в браузер, которые шпионят за ними. Например, VPN-плагины в браузере из подозрительных источников могут передавать ваш трафик и данные.

Всегда скачивайте расширения только из официальных каталогов Chrome/Firefox и читайте отзывы. Бывали случаи, когда безобидные на вид программы (фонарики, игры) на деле собирали геоданные, контакты и отправляли третьим лицам.

WebRTC–утечка IP. Современные браузеры поддерживают протокол WebRTC для связи в реальном времени (видеозвонки и т.п.). Побочный эффект: через WebRTC сайт может выполнить особый запрос и получить ваш реальный IP-адрес, даже если вы сидите за VPN.

Для защиты рекомендуем использовать VPN с kill switch или отключить WebRTC. В Firefox это можно сделать вручную в настройках about:config (установкой media.peerconnection.enabled = false), в Chrome – сложнее, можно поставить расширение типа WebRTC Leak Prevent. Либо использовать браузер Tor, где WebRTC по умолчанию отключён. Рекомендуется провести тест на утечки (например, на сайте browserleaks.com) – он покажет, виден ли ваш реальный IP через WebRTC. Если да – срочно закрывать эту лазейку.

При звонках через мессенджеры (Telegram, WhatsApp, Signal и другие)  можно получить реальный IP адрес. Для большей конфиденциальности функцию peer2peer лучше отключать.

Цифровой отпечаток браузера. Помимо IP, браузер сообщает сайтам массу технической информации: версия, язык, часовой пояс, размер экрана, установленные шрифты и пр. В совокупности эти данные формируют уникальный отпечаток (fingerprint), по которому вас могут узнавать при повторных визитах. Он не даёт прямых координат, но может выдать, например, часовой пояс и язык – что уже указание на страну. 

Для защиты стоит пользоваться браузерами с усиленной приватностью (Firefox с расширениями NoScript, uBlock, CanvasBlocker и пр., либо Brave), которые затрудняют снятие отпечатка. В режиме инкогнито тоже меньше следов. Однако, инкогнито режимы в браузере не являются абсолютным «инкогнито», чтобы сбросить идентификатор, лучше пользоваться виртуальными или одноразовыми ОС.

Шпионское ПО (spyware) – огромная проблема, им часто заражают телефоны целенаправленно. Такие программы в фоне передают всю информацию о ваших перемещениях, разговорах и переписке злоумышленнику. В телефон они могут попасть через фишинговую ссылку, установочный файл, уязвимость системы или руками, если кто-то получил доступ к вашему устройству. В некоторых случаях применяется сталкерское ПО – легальные коммерческие приложения слежки, продающиеся как «родительский контроль». 

Рекомендуем вам защитить устройства, чтобы свести утечки местоположения к минимуму.

Криптовалюта открывает новые возможности, но вместе с этим приходят и риски. Чтобы защитить свои средства и средства доноров, важно понимать, как безопасно хранить крипту, принимать пожертвования и минимизировать угрозы.

Прежде чем начать использовать криптовалюту, важно понять, где и как ваши средства будут храниться. Есть два основных типа кошельков:

• Кастодиальные кошельки - это когда ваши средства хранятся у третьей стороны, например, на бирже или в сервисе (Coinbase, Binance). Плюс: удобно и быстро. Минус: вы полностью зависите от работы сервиса - если сервис будет недоступен, взломан или ограничен по законам и правилам (например, на время расследования транзакций), вы временно не сможете использовать свои средства;

По сути вы не держите ключи сами - формально это ваши средства, но контроль за ними не полностью ваш.

• Некастодиальные кошельки - это когда вы сами храните свои средства, обычно с помощью “сид-фразы”. Плюс: полный контроль - никто не сможет использовать ваши средства без вашего ключа. Минус: потеря сид-фразы означает потерю доступа ко всем средствам навсегда; с помощью фишинга можно подменить адрес получателей, а с помощью атаки на устройство можно получить доступ к управлению средствами.

Горячий кошелек — это некастодиальный кошелек, подключенный к интернету (например, мобильное приложение или десктоп-кошелек). Удобен для быстрых переводов и ежедневных расходов, но уязвим к фишингу и взлому через заражение устройства.

• надежно хранить сид-фразу - потеря фразы приведет к невозможности доступа к кошельку, а её компрометация (слив или кража) позволит злоумышленнику полностью управлять средствами;
• использовать защищенные устройства: обновлять ОС, проверять отсутствие подозрительных приложений;
• сильный пароль и двухфакторная аутентификация;
• проверка возможностей восстановления доступа с другого устройства, если текущее сломается.

• Аппаратные кошельки - физические устройства для хранения ключей и подписания транзакций. Даже при заражении компьютера средства остаются в безопасности. Аппаратные кошельки помогают минимизировать риск потери средств при поломке или заражении устройства.

Аппаратные (холодные) криптокошельки – одно из ключевых средств защиты: они хранят приватные ключи оффлайн, изолируя их от интернет-угроз;

• Мультиподпись (Multi-signature) -  требует нескольких подтверждений для перевода. Полезно, если нескольким людям нужно совместно управлять средствами;
• Режим “watch-only” - позволяет проверять баланс и поступления, но не переводить средства. Отличная дополнительная защита.

При приеме пожертвований в криптовалюте важно думать о безопасности и конфиденциальности как для организации, так и для доноров. Большинство криптовалют, например Bitcoin, Ethereum и USDT, имеют полностью открытые блокчейны, где все транзакции видны публично. Для доноров, которым важна приватность, есть криптовалюты с повышенной конфиденциальностью, такие как Monero или Zcash. При этом необходимо учитывать действующие законы и правила в каждой стране.

Основные рекомендации по безопасной работе с криптодонатами:

• Разделяйте кошельки: на горячий и холодный: не держите все средства в одном месте. Небольшие суммы для ежедневных расходов храните на “горячем” кошельке (подключенном к интернету), а основные средства - на “холодном” кошельке без постоянного подключения к сети. Даже если горячий кошелек будет скомпрометирован, основные средства останутся в безопасности;
• Используйте отдельные адреса для каждого донора;
• Проверяйте и защищайте кошельки: используйте надежные пароли, двухфакторную аутентификацию и, при возможности, аппаратные кошельки;
• Следите за обновлениями: обновляйте ПО кошельков, сайта и форм приема платежей. Это снижает риски вредоносного ПО;
• Минимизируйте сбор лишних данных: старайтесь собирать только необходимые сведения о донорах и аккуратно использовать аналитические сервисы;
• Используйте мультиподпись при совместном управлении средствами: это повышает безопасность при переводе крупных сумм.

Представьте, что вашим подписчикам приходят странные сообщения якобы от вашего имени или появляются посты, которых вы не публиковали. Это почти наверняка означает, что аккаунт взломан злоумышленниками. Ниже - простые шаги, как распознать взлом, что делать сразу и как защититься в будущем.

• Посторонние входы: появляются уведомления о входе с незнакомых устройств или мест. В настройках безопасности видны активные сеансы на устройствах, которыми вы не пользуетесь;
• Необычная активность: появляются публикации и рассылки, которых вы не делали, например, спам или подозрительные ссылки. Иногда меняются фото профиля, имя или другие данные без вашего ведома;
• Потеря доступа: пароль перестал подходить, хотя вы его не меняли. Иногда приходят письма о смене пароля или адреса почты, которые вы не запрашивали.

• Фишинг - жертве присылают письмо или ссылку, замаскированную под официальный сайт. Введенные данные на таком сайте сразу попадают к мошенникам;
• Социальная инженерия - мошенник обманным путем выманивает код доступа или пароль, например, выдавая себя за техподдержку. Никогда не сообщайте одноразовые коды и пароли!
• Повторяющиеся или простые пароли - если один пароль используется на нескольких сервисах, его утечка открывает доступ к другим учетным записям;
• Кража сессии (cookie) или токена доступа - злоумышленник получает доступ к вашей действующей сессии через получение доступа к устройству. Это может быть атака онлайн – тогда защититься поможет антивирус и базовая защита устройства или атака оффлайн –кража или изъятие устройства – тогда поможет шифрование жесткого диска;
• Перехват SMS - если злоумышленник получает одноразовый код, он может войти в ваш аккаунт. Спасает двухэтапная аутентификация через приложение Authenticator или электронный ключ (например, Yubikey).

• Смените пароль - используйте функцию восстановления доступа через email или телефон. Если восстановить доступ не удается, пишите в поддержку платформы;
• Завершите чужие сеансы - в настройках безопасности завершите все активные сессии на чужих устройствах;
• Проверьте настройки профиля - убедитесь, что контактные данные (например, почта и телефон) ваши. Удалите сторонние приложения с доступом к аккаунту;
• Замените повторяющиеся пароли - если этот же пароль использовался где-то ещё, измените его;
• В каждом сервисе свои нюансы - ознакомьтесь с инструкциями платформы;
• Предупредите аудиторию - сообщите коллегам и подписчикам через другие каналы, что аккаунт взломан, и попросите игнорировать странные сообщения;
• Проведите “уборку” устройства - проверьте компьютер или телефон на вирусы и обновите ОС.

• Двухфакторная аутентификация - включите 2FA везде, где возможно. Это самый надежный способ защитить аккаунт;
• Надежные пароли - длинные, сложные, уникальные для каждого сервиса. Рекомендуем использовать менеджер паролей;
• Осторожность со ссылками - не переходите по сомнительным ссылкам. Лучше вручную вводить адрес сайта или использовать официальное приложение нужного сервиса;
• Контроль устройств и обновления - регулярно проверяйте активные сеансы и держите ОС и приложения обновленными;
• Резервное восстановление - привяжите актуальную почту, номер телефона и, если возможно, запасной адрес электронной почты. Запишите процедуры восстановления для каждой соцсети - так вы быстро вернете доступ в экстренной ситуации. Имейте ввиду, что если захватят резервную почту, то могут захватить и этот аккаунт – защищайте все активы, которые у вас есть;
• Не делитесь доступом - не сообщайте пароли коллегам и никому постороннему. Техподдержка не спрашивает код из SMS. Если нужно передать пароль или второй фактор коллегам – создайте общую папку в облачном парольном менеджере.

Используйте менеджер паролей:

Сервисы вроде Bitwarden, 1Password или встроенные решения от Apple/Google надежно хранят все ваши пароли. Вам нужно будет помнить только один — главный.

Настройте пути восстановления для аккаунтов:

Для Apple ID:

Зайдите в Настройки > [ваше имя] > Вход и безопасность. Добавьте номер телефона, или имейл для восстановления, можете настроить «Контакт для восстановления» или «Ключ восстановления».

Для Google Account:

Зайдите в настройки аккаунта Google, раздел «Безопасность». Убедитесь, что указаны резервный номер телефона и резервная электронная почта.

Сохраните ключи шифрования:

Если вы используете шифрование диска (BitLocker на Windows, FileVault на Mac), система предлагает сохранить ключ восстановления. Обязательно сделайте это! Распечатайте его, сохраните в менеджере паролей или в надежном облачном хранилище. Без этого ключа и пароля данные могут быть потеряны навсегда.

Включите регулярное резервное копирование:

Настройте автоматические бэкапы в iCloud (iPhone), Google One (Android), Time Machine (Mac) или «Историю файлов» (Windows).

Если вы забыли пароль от Windows

Метод 1: Сброс пароля аккаунта Microsoft (данные сохранятся)

- Если вы входите в Windows с помощью учетной записи Microsoft (например, [email protected]), это самый простой способ;

- На экране входа в систему нажмите на ссылку «Я не помню свой пароль»;

- Следуйте инструкциям на экране. Вам будет предложено подтвердить свою личность с помощью резервной почты или телефона, которые вы указывали при регистрации;

- После подтверждения вы сможете задать новый пароль.

Метод 2: Использование ключа восстановления BitLocker

Если ваш диск зашифрован с помощью BitLocker и система запрашивает ключ восстановления, его можно найти (в зависимости от того, куда вы его сохраняли):

- В вашем аккаунте Microsoft по ссылке: account.microsoft.com/devices/recoverykey;

- Или на USB-накопителе, если вы сохраняли его туда;

- Или в распечатанном виде, если вы его распечатали.

Метод 3: Сброс локального пароля (требует технических навыков, данные сохранятся)

Если вы использовали локальный аккаунт (без привязки к Microsoft), и диск не зашифррован или у вас есть ключ, можно использовать установочный диск Windows или специальную загрузочную флешку для сброса пароля. Этот метод требует уверенных знаний ПК. Для большинства пользователей проще и безопаснее будет переустановить систему.

Метод 4: Переустановка Windows (все данные на системном диске будут удалены!)

Если ничего не помогает, остается только полная переустановка операционной системы с помощью установочной флешки.

Если вы забыли пароль от macOS

Метод 1: Сброс с помощью Apple ID (данные сохранятся)

- На экране входа несколько раз введите неверный пароль;

- Должна появиться опция сброса пароля с помощью вашего Apple ID;

- Введите данные Apple ID и следуйте инструкциям для создания нового пароля.

Метод 2: Использование ключа восстановления FileVault (данные сохранятся)

Если при включении шифрования FileVault вы у себя сохранили ключ восстановления, система предложит использовать его для сброса пароля.

Метод 3: Режим восстановления macOS (данные могут быть удалены!)

- Выключите ваш Mac;

- Включите его и сразу зажмите определенную комбинацию клавиш (Command + R для Mac на Intel, удерживайте кнопку питания для Mac на Apple Silicon);

- В открывшемся меню «Утилиты macOS» можно воспользоваться «Терминалом» для сброса пароля (сложный метод) или переустановить macOS. Переустановка поверх существующей системы может сохранить данные, но гарантий нет.

Важно: В отличие от компьютеров, на современных смартфонах обойти пароль без полного сброса и потери всех данных практически невозможно. Это сделано для защиты вашей информации в случае кражи.

Если вы забыли пароль от iPhone или iPad

Если Face ID или Touch ID не работают, а пароль вы не помните, единственный выход — стереть устройство. Данные можно будет восстановить позже из резервной копии iCloud или на компьютере (если они сделаны).

Способ 1: Через iCloud / Локатор (если телефон онлайн)

- Зайдите на сайт icloud.com/find с любого другого устройства;

- Войдите в свой Apple ID;

- Выберите ваш iPhone в списке устройств и нажмите «Стереть iPhone»;

- После стирания устройство перезагрузится, и вы сможете настроить его заново, восстановив данные из последней резервной копии.

Способ 2: Через режим восстановления (если телефон офлайн или способ 1 не работает)

- Подключите iPhone к компьютеру;

- На Mac откройте Finder, на ПК с Windows — iTunes (или приложение «Устройства Apple»);

- Переведите iPhone в режим восстановления. Процесс отличается для разных моделей (поищите инструкцию «режим восстановления [ваша модель iPhone]»);

- Компьютер предложит «Восстановить» или «Обновить» устройство. Выберите «Восстановить»;

- После завершения процесса настройте iPhone как новый или восстановите из бэкапа.

Если вы забыли пароль от Android-смартфона

Как и с iPhone, придется стирать все данные.

Способ 1: Через сервис Google «Найти устройство» (если телефон онлайн)

- Перейдите на сайт android.com/find;

- Войдите в аккаунт Google, который привязан к устройству;

- Выберите ваш смартфон и опцию «Очистить устройство».

Важно: После сброса на большинстве Android телефонов сработает система защиты Factory Reset Protection (FRP). Это значит, что при первом включении телефон потребует ввести логин и пароль от последнего Google-аккаунта, который был на нем. Если вы не помните и эти данные, телефон останется заблокированным (хотя специализированными приложениями можно разблокировать некоторые модели телефонов). Поэтому убедитесь, что у вас есть доступ к своему Google-аккаунту, прежде чем стирать данные.

Способ 2: Через меню Recovery (Hard Reset)

- Выключите телефон;

- Зажмите комбинацию клавиш для входа в меню Recovery (обычно это «Громкость вниз» + «Питание»). Комбинация может отличаться в зависимости от производителя или вообще не работать;

- В появившемся меню кнопками громкости выберите пункт Wipe data/factory reset и подтвердите выбор кнопкой питания;

- После сброса телефон перезагрузится. Защита FRP также сработает, и потребуется ввод данных старого Google-аккаунта.

Существует несколько основных векторов атак:

Физический доступ: Злоумышленник получает ваш телефон (кража, потеря) и пытается подобрать пароль, чтобы извлечь данные напрямую.

Удаленный доступ: Устройство заражается вредоносным программным обеспечением (ПО) через интернет. Самые частые каналы удаленного заражения:

* Социальная инженерия: Вас обманом заставляют совершить нужное действие;

* Вредоносные приложения: Загрузка приложений из неофициальных источников или даже из официальных магазинов, где зловредное ПО маскируется под безобидные утилиты;

* Уязвимости в ПО и атаки «ноль-кликов»: Наиболее опасный тип атак. Они используют неизвестные разработчикам уязвимости в операционной системе или популярных приложениях (iMessage, WhatsApp). Такие атаки, как знаменитая Pegasus, не требуют от пользователя никаких действий — заражение происходит незаметно.

При успешном взломе злоумышленники могут получить практически полный контроль над устройством и доступ к:

• Файлам, фотографиям, документам (включая удаленные);
• Переписке в мессенджерах, SMS и электронной почте;
• Паролям, данным банковских карт, доступу к онлайн-банкингу;
• Списку контактов и истории звонков;
• Данным о вашем местоположении (GPS).

Кроме того, шпионское ПО может незаметно:

• Активировать микрофон и камеру для записи окружения;
• Делать скриншоты и записывать все, что вы делаете на экране;
• Устанавливать другие вредоносные приложения.

Признаками взлома могут быть:

• Появление незнакомых приложений, которые вы не устанавливали;
• Неожиданное открытие или закрытие приложений без вашего участия;
• Появление всплывающих окон, которых ранее не было;
• Предупреждения от системы безопасности устройства о подозрительной активности.

Для повышения безопасности рекомендуется:

• Регулярно обновлять все приложения и операционную систему, чтобы закрыть известные уязвимости;
• Не использовать устройства, которые больше не получают обновлений безопасности;
• Избегать использования ПО из ненадежных источников, так как оно может содержать встроенные вирусы;
• Не переходить по подозрительным ссылкам и не скачивать файлы из ненадёжных источников;
• Использовать сложные и уникальные пароли для различных учётных записей и регулярно их обновлять;
• Контролировать разрешения приложений и проверять, к чему приложения на смартфоне запрашивают доступ. Фонарику не нужен доступ к вашим контактам и микрофону
• Включить двухфакторную аутентификацию там, где это возможно, для дополнительной защиты учётных записей.Соблюдение этих рекомендаций поможет снизить риск взлома и защитить ваши персональные данные.

• Отключитесь от интернета: Включите авиарежим, чтобы остановить передачу данных;
• Смените пароли: Используя другое, безопасное устройство, немедленно смените пароли от почты, банков и других ключевых аккаунтов;
• Предупредите контакты: Сообщите близким, чтобы они не реагировали на странные сообщения от вас;
• Сделайте резервную копию важных файлов: Сохраните только фото, видео и документы. Не копируйте приложения и их данные;
• Выполните полный сброс до заводских настроек: Это самый надежный способ удалить вредоносное ПО с устройства.

Сертификат — это «пропуск» для сайта: если устройство ему доверяет, то в адресной строке браузера появляется замочек, исчезают предупреждения и обмен данными происходит по HTTPS. 

Сертификаты безопасности, такие как SSL/TLS, предназначены для шифрования данных между пользователем и сайтом. Они подтверждают подлинность ресурса и защищают информацию от перехвата. При наличии такого сертификата соединение считается безопасным, что отображается в браузере значком замка рядом с адресом сайта.

Есть сертификат сайта (действует для одного домена, например google.com) и есть корневой сертификат — главный ключ, которому доверяет вся операционная система. Владелец корневого сертификата может выпускать сертификаты на любые сайты. Поэтому установка корневого сертификата опаснее: вы не только открываете дверь одному сайту, вы отдаёте ключи от подъезда.

После 2022 года многие зарубежные центры сертификации перестали выдавать и продлевать сертификаты для российских сайтов. Госуслуги и банки начали открываться с ошибками. В ответ, Минцифры запустило свой центр сертификации и предложило гражданам доверять его корневому сертификату, чтобы сайты Госуслуг и банков открывались. 

Установка российских сертификатов безопасности вызывает споры. С одной стороны, они позволяют устранить предупреждения браузеров о небезопасном соединении и обеспечивают доступ к сайтам. С другой стороны, существует вероятность, что такие сертификаты могут использоваться для отслеживания или перехвата трафика пользователя. Это может быть связано с рисками проведения атак типа «человек посередине», при которых злоумышленники получают доступ к конфиденциальной информации.

Есть вероятность, что если пользователь доверяет корневому сертификату Минцифры, то к его трафику незаметно для него могут получить доступ структуры, обладающие технической возможностью перехвата и имеющие интерес к мониторингу интернет-активности. 

В Казахстане в 2015-2019 году продвигали «национальный» корневой сертификат. После установки сертификата, правоохранительные органы Казахстана получали доступ к трафику пользователей. В ответ Google, Mozilla и Apple заблокировали этот корневой сертификат в своих браузерах.

Технически-возможный сценарий в России. Если у вас установлен корневой сертификат, то, например, при вводе в браузер google.com третьи лица, обладающие технической возможностью перехвата и мониторинга интернет-активности, через подконтрольный DNS могут перенаправить вас на свой сервер. При этом вам показывается настоящий интерфейс Google, и никаких ошибок или предупреждений браузер не выдаёт, поскольку сертификат поддельного сайта подписан тем самым корневым сертификатом. В итоге можно получить доступ к логину и паролю, а все действия на сайте могут просматриваться. 

Чтобы не устанавливать российские сертификаты на всю операционную систему, можно воспользоваться браузерами, в которые уже они уже встроены. Например, можно установить Яндекс браузер, в котором корневой сертификат уже встроен, и использовать его только для тех сайтов, где сертификат обязателен. Но помните: это не убирает риск — все, что вы делаете через Яндекс браузер, может отслеживаться.

Часто удобно использовать официальные мобильные приложения банков и госуслуг — в многие из них сертификат также установлен.

Без российских сертификатов некоторые российские сайты могут отображаться с ошибками или вовсе быть недоступными. Это касается, в первую очередь, государственных и финансовых ресурсов. Пользователю в таком случае придётся либо установить сертификат на всю операционную систему, либо использовать браузеры, в которое установлен сертификат или мобильные приложения сервисов.

1. Установите отдельный браузер только для сайтов, которые не работают без корневого сертификата (Госуслуги, банки). Для всего личного советуем использовать другой браузер.
2. Не устанавливайте корневой сертификат на всю операционную систему. Доверяйте сертификату лишь внутри конкретного браузера. Для бОльшей защищённости используйте виртуальную машину или отдельный смартфон для работы с российскими сайтами.

Общий совет такой: действуйте по принципу наименьшего доверия, а именно ограничивайте установку одним браузером, разделяйте рабочие и личные контексты и, по возможности, переходите на мобильные приложения. Это не снимает угрозу полностью, но ощутимо сокращает возможный ущерб.

Просьба разблокировать телефон на российской границе стала уже стандартной процедурой. Спорить о ее законности на месте бесполезно и контрпродуктивно. Ваша главная задача — спокойно пройти границу, и это на 99% зависит от подготовки.

Это руководство поможет вам подготовить вашу технику, минимизировать риски и сохранить спокойствие.

Если времени мало, пройдитесь по этому списку. Для полного понимания рисков изучите инструкцию целиком.

[ ] Соцсети, чаты, каналы, история поиска и YouTube — почищены от рискованного контента.

[ ] Контакты и фотографии/видео (включая папку «Недавно удаленные») — проверены и очищены.

[ ] Приложения нежелательных СМИ, VPN-сервисы и банковские приложения с историей «опасных» донатов — удалены.

[ ] Face ID / Touch ID — отключены (для предотвращения принудительной разблокировки).

[ ] Установлен сложный пароль на разблокировку (минимум 6 цифр).

Главная стратегия: «Выглядеть скучно, а не стерильно».

Ваша цель — не вызвать подозрений. Абсолютно пустой, «стерильный» телефон может привлечь внимание. Телефон должен выглядеть как устройство обычного человека: есть мессенджеры, пара игр, приложение для заказа такси, несколько нейтральных фотографий. Задача — при беглом осмотре уставшего пограничника показаться ему неинтересным.

Начните подготовку заранее. Все ценное, что вы удаляете с телефона, предварительно сохраните в облачное хранилище, доступ к которому с телефона будет закрыт.

- Защитите Telegram — цель №1.

Это самое проверяемое приложение. Удалять его бесполезно — могут заставить скачать и войти заново.

Установите облачный пароль (2FA). Это обязательно. Зайдите в Настройки > Конфиденциальность > Двухэтапная аутентификация. Без этого пароля ваши переписки не защищены. Храните пароль в надежном менеджере, но не в телефоне.

- Почистите контент.

Отпишитесь от всех «опасных» каналов, удалите переписки, чаты и загруженные файлы по стоп-словам.

Вручную или через поиск найдите и удалите из всех приложений (чаты, заметки, браузер) упоминания следующих тем:

- Номера, начинающиеся с +380 в контактах (лучше временно переименовать);

- Военно-политическая лексика и связанные с ней ключевые слова;

- Содержание, затрагивающее политическую оппозицию, военные действия и протестную активность;

- Наименования политических и вооружённых формирований, а также связанных с ними организаций.

Перечень экстремистских организаций можно найти здесь.

Перечень организаций, признанных нежелательными, здесь.

- Проверьте фото, видео и контакты.

Внимательно просмотрите галерею и очистите папку «Недавно удаленные». Удалите все, что может быть неоднозначно истолковано: фото с митингов, с флагами Украины, фото военкоматов и военной инфраструктуры, а также просто мемы, скриншоты новостей.

Не используйте функцию «Скрытые фото» на iPhone! Она легко обнаруживается.

Проверьте записную книжку: могут ли имена или фамилии контактов привлечь внимание? Временно переименуйте их.

- Обязательно очистите историю поиска и просмотров за весь период:

Браузер (Safari, Chrome): История > Очистить историю.

YouTube: Настройки > История и конфиденциальность > Очистить историю просмотров / поиска.

- Удалите или деактивируйте рискованные приложения и аккаунты.

Приложения: Удалите VPN, приложения «нежелательных» СМИ, а также банковские приложения, если в них есть история донатов в фонды, которые могут считаться «вражескими».

Соцсети: Удалите «оппозиционные» посты, материалы с ЛГБТК+ тематикой. Можете временно деактивировать аккаунты Facebook и Instagram (это делается через настройки). Аккаунт VK можно удалить. Это не вызовет подозрений, а восстановление займет немного времени.

- Отключите Face ID и Touch ID.

Это важный шаг, чтобы предотвратить разблокировку телефона без вашего согласия (например, поднеся его к вашему лицу) и исключить автозаполнение паролей.

iPhone: Настройки > Face ID (или Touch ID) и код-пароль > Сбросить Face ID / Отключить Touch ID.

Android: Настройки > Безопасность > Блокировка экрана.

- Установите цифровой пароль не менее 6 знаков.

- Скройте уведомления на заблокированном экране, чтобы содержание сообщений не было видно посторонним.

iPhone: Настройки > Уведомления > Показ миниатюр > Без блокировки.

Android: Настройки > Уведомления > Уведомления на экране блокировки > Не показывать уведомления.

С точки зрения удаления контента те же правила подготовки относятся к ноутбукам и планшетам. Кроме этого, самый надежный способ защиты — полнодисковое шифрование, на телефонах оно всегда включено, а на компьютерах оно может быть выключено.

Windows: Включите BitLocker.

macOS: Включите FileVault.

Продвинутый уровень: Используйте VeraCrypt для создания скрытых зашифрованных контейнеров, которые невозможно обнаружить при стандартной проверке.

Приезжайте в аэропорт заранее. Дайте себе запас времени на случай долгой проверки.

Сохраняйте спокойствие. Вы подготовились. Молча и нейтрально выполняйте требования сотрудника.

Если телефон изымают, а не просто осматривают, вежливо, но настойчиво требуйте составить протокол изъятия, где будут указаны модель, IMEI и причина.

Если на ваших устройствах много потенциально опасного и вы не уверены, что можете все хорошо почистить, тогда возможно, самая безопасная стратегия — путешествовать с отдельным, «чистым» телефоном и компьютером. Но если вы едете с основным, это руководство поможет вам свести риски к минимуму.

ChatGPT и другие большие языковые модели (LLM) — это нейросети, способные генерировать текст по запросу. Такие нейросети являются моделями искусственного интеллекта, которые в своей работе отчасти напоминают нейроны человеческого мозга.

Для того чтобы эффективно отвечать на вопросы пользователей, большие языковые модели обучаются на огромном объеме данных. Эти данные поступают из различных источников, таких как общедоступные веб-сайты, базы данных и открытые библиотеки. Информация для обучения собирается из источников, которые разрешены и доступны для использования, включая статьи, книги, научные публикации и другие тексты.

Нейросети, используемые для языковых моделей, способны не только распознавать текст, но и учитывать контекст. Чем больше данных и информации они обрабатывают, тем точнее могут воспринимать детали и специфику каждой ситуации.

Кроме того, модели обучаются не только на сторонних ресурсах, но и на взаимодействиях с пользователями. Эта информация может быть использована для генерации ответов и улучшения работы модели в будущем.

Когда вы отправляете запросы чату, модель сохраняет эти запросы в своей памяти. Она анализирует ваши предпочтения и интересы, создавая ваш профиль, чтобы лучше адаптировать ответы и учитывать контекст вашего запроса.

Разработчики крупных языковых моделей часто заявляют, что данные, собранные во время общения, используются только для ответов в рамках вашего аккаунта. Однако, в политике конфиденциальности Google Gemini содержится предупреждение о том, что пользователи не должны включать в свои запросы конфиденциальную информацию или любые данные, если они не хотят, чтобы эти данные становились доступными для рецензентов или использовались Google для улучшения продуктов, услуг и технологий машинного обучения. 

Таким образом, важно понимать, что риски сохраняются. Алгоритмы нейросетей не всегда прозрачны, и даже их создатели не всегда могут точно объяснить, как именно они формируют ответы.

Есть случаи, когда пользователи случайно передавали чувствительную информацию в ChatGPT, что приводило к утечкам данных.

Мы рекомендуем не передавать конфиденциальные или личные данные в чат. В разделе "Вопросы и ответы" Open AI есть такая информация: «Наши модели могут использовать персональные данные, чтобы понять, как такие вещи, как имена и адреса, сочетаются в языке и предложениях, или узнать об известных людях и общественных деятелях. Это позволяет нашим моделям лучше выдавать релевантные ответы», а также «Мы можем использовать контент, отправленный в ChatGPT, DALL-E и другие наши сервисы для частных лиц, для улучшения работы модели. Например, в зависимости от настроек пользователя, мы можем использовать подсказки пользователя, ответы модели и другой контент, такой как изображения и файлы, для улучшения работы модели». То есть, есть возможность, что чат может случайно сгенерировать ответ, содержащий конфиденциальные данные.

Также важно помнить о мерах безопасности вашего аккаунта: если он плохо защищен, злоумышленники могут его взломать и получить доступ к личной информации.

Для этого нужно деактивировать соответствующую функцию, необходимо зайти в настройки профиля (иконка в левом нижнем углу), выбрать "Настройки" > "Управление данными" (Settings > Data Controls) и отключить параметр "Улучшить модель для всех" (Improve the model for everyone). Если эта опция отключена, новые разговоры не используются для обучения модели. Однако данные могут храниться до 30 дней для выявления злоупотреблений, после чего они удаляются.

В Google Gemini и других LLM также можно сделать соответствующие настройки. Более подробную информацию об отключении функции у разных моделей можно найти на сайте Wired (текст на английском).

Использование ChatGPT для корректировки текста или перевода на другой язык — это удобно, и модель справляется с этим очень хорошо. Тем не менее, даже в этом случае следует проявлять осторожность. Если вы работаете над деловым письмом, вероятно, особых проблем не возникнет, если только вы не делитесь с чатом конфиденциальной информацией, паролями или личными данными. Однако, когда речь идет о редактировании креативных авторских текстов, ситуация может стать более сложной.

Несмотря на заявления технических специалистов, что память чата устроена так, что он не хранит информацию и не копирует ее, а только запоминает (как человеческий мозг, который запоминает, но не дословно), на практике чат может действительно воспроизводить тексты дословно. Это связано с тем, что даже разработчики не могут точно объяснить, по какому принципу нейронная сеть решает, какое слово будет следующим в тексте.

В правилах пользования Google Translate указано, что данные пользователей не обрабатываются, Google не хранит их, и информация используется исключительно для перевода. 

Если вы доверяете Google, то можете использовать переводчик, включая сенситивную информацию. Однако стоит помнить, что Google собирает большое количество данных о пользователях для рекламы и создания профилей. Несмотря на то, что данные анонимизируются, уже давно стало очевидно, что по косвенным данным можно идентифицировать пользователей.

Основой онлайн-переводчика является модель искусственного интеллекта, которая нуждается в обучении, и она обучается на запросах пользователей. Google заявляет, что текст, отправленный в Google Translate, не используется для создания пользовательских профилей или целевой рекламы, однако сервис может регистрировать запросы на перевод. Эти данные обычно используются для улучшения функциональности сервиса. Тем не менее, обработанные данные могут быть проанализированы алгоритмами, что вызывает опасения по поводу конфиденциальности.

Мы рекомендуем внимательно читать пользовательские соглашения и самостоятельно решать, стоит ли доверять сенситивную информацию переводчику, учитывая, что в онлайн-переводчиках используются те же нейросети, которые должны обучаться.

Мы настоятельно не рекомендуем делиться с чатом сенситивной или личной информацией. Также мы рекомендуем деактивировать функцию использования ваших данных для обучения модели.

Для дополнительной безопасности можно скачать ChatGPT на личный сервер или устройство. В этом случае ваши данные останутся в безопасности. 

Если ваш аккаунт недостаточно защищен, злоумышленники могут получить доступ к вашим данным. Следовательно, остаются актуальными все рекомендации по созданию сложных паролей и защите от взлома.

Если вы не хотите, чтобы к вашим данным имел доступ государственный аппарат, мы не рекомендуем делиться сенситивной информацией с нейросетями, зарегистрированными в России или Китае. Согласно российскому законодательству, сервисы, которые попадают в реестр ОРИ (организаторов распространения информации), обязаны хранить информацию о пользователях, переписку и другие данные и предоставлять ее правоохранительным органам по запросу. По смыслу закона, языковые модели не являются организаторами распространения информации, но поскольку в списке ОРИ сейчас находятся Яндекс, Вконтакте и другие компании, разрабатывающие модели искусственного интеллекта, то обмен информацией вполне вероятен.   

Что касается онлайн-переводчиков, то важно внимательно ознакомиться с их правилами использования и принять для себя решение, доверяете ли вы разработчику.

Любая технология, включая российский софт и SIM-карты, может как упрощать жизнь, так и представлять угрозу. Чтобы понять степень риска, нужно рассматривать два аспекта:

Вероятность — как часто может реализоваться угроза? Например, насколько вероятно, что ваши данные попадут в руки третьих лиц?

Ущерб — как сильно пострадают ваши данные или ваша жизнь, если угроза станет реальностью? Это может включать утечку личной переписки, компрометацию аккаунтов или слежку.

Безопасность связана с управлением этими рисками. Например, приложения могут автоматически собирать данные о вашем местоположении, скачивать обновления без уведомления или передавать информацию удаленным серверам. Такие ситуации становятся особенно важными, если разработчик софта или оператор SIM-карты обязан предоставлять данные правоохранительным органам, а схема доступа к данным не всегда прозрачна и доведена до сведения каждого потенциального или действующего пользователя.

Давайте разберемся, что это значит на практике, и рассмотрим реальный опыт использования таких технологий.

Российский софт часто вызывает вопросы из-за особенностей законодательства и применения его на практике.

Существует несколько механизмов, через которые государственные органы могут получать доступ к пользовательским данным. Разработчики программного обеспечения, если их сервис подпадает под требования закона “Об информации” (ст. 10.1), могут быть внесены в реестр организаторов распространения информации (ОРИ) и обязаны хранить и предоставлять информацию о передаче сообщений, их содержимое, а также данные для их расшифровки. Операторы связи и интернет-провайдеры, в свою очередь, должны обеспечивать доступ к коммуникациям пользователей через систему оперативно-розыскных мероприятий (СОРМ).

СОРМ — это система перехвата, внедренная в инфраструктуру операторов связи и интернет-провайдеров. Она позволяет правоохранительным органам в режиме реального времени получать доступ к звонкам, сообщениям и интернет-трафику пользователей. Хотя формально эта система создана для борьбы с преступностью, она также может использоваться для массовой слежки.

Пример: сервис Яндекс.Доставка. Этот сервис собирает данные о ваших заказах и адресах доставки, соответственно, знает ваше местонахождение. Если эта информация запрашивается правоохранительными органами, то она им представляется, что может привести к нежелательным последствиям. Поэтому всегда важно оценивать свою личную модель угроз даже при заказе пиццы.

Из отчета Яндекса можно видеть, какое количество запросов приходится именно на сервисы доставки и такси, функционал которых невозможен без сбора данных об адресе доставки. Так, в период с января по июнь 2024 года было зафиксировано 30 329 из 36 540 запросов информации по данным сервисам. 

В то же время, технически российский софт принципиально не отличается от зарубежного. Вопрос лишь в простоте доступа государственных органов к таким данным и том, как именно они их используют — от проведения расследований и предотвращения преступлений до мониторинга активности пользователей и возможного давления на оппозиционно настроенных граждан.

Физически SIM-карты одинаковы. Однако российские операторы обязаны хранить и предоставлять данные о звонках, SMS и местоположении пользователей по запросу спецслужб. Это делает использование российских SIM-карт особенно рискованным для тех, кто опасается утечки информации о своем местоположении даже находясь за границей.

• Передача данных государственным органам: компании обязаны это делать по закону. Например, если вы используете сервис такси, он может передавать данные о маршрутах ваших перемещений;
• Сбор избыточной информации: приложения нередко требуют доступ к камере, микрофону или местоположению, и в целом собирают приличный объем данных, которые им не всегда необходимы для функционирования. Одна из основных целей этого — передача данных брокерам для таргетированной рекламы. В то же время, такие сведения могут передаваться и государственным структурам, что позволяет им использовать эти данные для анализа, мониторинга и других целей.

Дата брокеры — это компании, которые собирают, анализируют и передают персональные данные пользователей. Они получают информацию из приложений, сайтов, социальных сетей, госреестров и других источников, а затем обрабатывают ее для создания профилей. Эти профили продаются бизнесам, рекламодателям или другим организациям для таргетинга рекламы, исследований или анализа поведения пользователей. В России рынок дата-брокеров также развит и частично ориентирован на сотрудничество с государственными структурами.

Примером является программный комплекс “Демон Лапласа”. Эта система осуществляет мониторинг социальных сетей и онлайн-СМИ, собирая и анализируя данные пользователей. Полученная информация используется для прогнозирования протестных акций и выявления экстремистского контента;

• Уязвимости и утечки: как и любой другой софт, российские программы могут содержать уязвимости, которые злоумышленники могут использовать для кражи данных. Даже если один сервис собирает минимальное количество информации и в нем происходит утечка, например, электронных адресов, ущерб всё равно может быть значительным. Это связано с тем, что утекшие данные могут быть обогащены информацией из других источников, включая базы дата-брокеров, которые собирают и анализируют персональные сведения пользователей, а затем передают их бизнесу или государственным структурам.

Например, случай с утечкой данных Яндекс.Еды. В марте 2022 года стало известно о сливе базы пользователей из-за действий одного из сотрудников компании. Впоследствии данные оказались на интерактивной карте, объединённой с информацией из других утечек. Компания ужесточила подход к хранению информации и приняла меры против виновного. Однако это вызвало масштабный общественный резонанс, так как пользователи столкнулись с угрозами, шантажом и мошенничеством.

Сбор данных — это стандартная практика, но реализация и последствия могут быть различными. Поэтому каждую ситуацию нужно анализировать с точки зрения рисков применимых к конкретному пользователю.

Например, Антивирус Касперского, выполняя свои функции по обнаружению угроз, отправляет неизвестные файлы или вирусы на сервер компании для анализа и это его стандартная функция. Один из известных случаев связан с передачей фрагментов программного обеспечения, а именно вируса, который использовался американскими службами безопасности в кибероперациях. Антивирус действовал в соответствии со своей функцией и настройками, однако это вызвало международный резонанс.

• Мобильные приложения: чаще всего они требуют доступ к конфиденциальным данным и собирают значительно больше данных, чем софт для ПК;
• Мессенджеры: из-за большого объема передаваемых данных они представляют особую ценность для перехвата, даже при наличии высокой защиты. Основной риск связан не столько с уязвимостями самих приложений, сколько с тем, что в них концентрируется много личной и чувствительной информации. Дополнительно угроза может исходить от перехвата данных через SIM-карту, например, SMS с кодом доступа;
• Браузеры: имеют доступ ко всей активности и перемещениям пользователя в сети, включая авторизационные данные, историю посещений и финансовые операции. Использование браузеров для онлайн-банкинга или хранения платежных данных делает их особенно привлекательной целью для атак.

● Отслеживание местоположения: сотовая сеть фиксирует, где вы находитесь, а эти данные могут быть использованы спецслужбами;

● Перехват сообщений: через перехваченные SMS злоумышленники или спецслужбы получают доступ к вашим аккаунтам, а особенно, если это единственный способ подтверждения.

Например, правозащитник обнаружил, что его аккаунт в мессенджере был скомпрометирован. Злоумышленники отключили его SMS-сервис и, перехватив код подтверждения, получили доступ к его переписке. Это указывает на использование уязвимостей в сигнальном протоколе, который позволяет перехватывать SMS-сообщения и обходить двухфакторную аутентификацию.

Ваши данные все равно обрабатываются российскими операторами. То есть любое ваше действие известно оператору: местоположение, звонки, сообщения. А эти данные могут быть доступны спецслужбам по запросу.

Риски высоки, особенно для людей, занимающихся активной общественной или политической деятельностью. SIM-карты фиксируют не только ваши звонки, но и местоположение при каждом подключении к сети.

1. В первую очередь подумайте о ваших личных рисках и постройте личную модель угроз: если вы работаете с конфиденциальной и чувствительной информацией, стоит избегать, по возможности, российских SIM-карт и софта или минимизировать такое использование. Опять же, в рамках разумного: например, живя в РФ, вы не можете отказаться от российских SIM-карт. В данном случае всегда встает выбор между удобством и безопасностью.

Вот краткая схема построения личной модели угроз:

• Определите активы: что для вас ценно? (личные данные, устройства, учетные записи);
• Идентифицируйте угрозы: кто или что может причинить вред? (хакеры, утечки, слежка, спецслужбы);
• Оцените уязвимости: где слабые места? (слабые пароли, небезопасные подключения);
• Оцените риски: какова вероятность угроз и их последствия? (низкая/высокая вероятность, низкий/высокий ущерб);
• Примите меры защиты: установите пароли, используйте VPN, шифруйте данные;
• Мониторьте и обновляйте: регулярно проверяйте защиту, обновляйте софт и настройки.

1. Разделите устройства: используйте отдельное устройство для работы с программами, которым вы не доверяете или которые вы можете использовать с зарубежной SIM-картой;
2. Настройте двухфакторную аутентификацию, как бы банально это ни звучало: это может включать использование облачных паролей вместо SMS. Важно, чтобы SMS-код не был вашим единственным способом подтверждения;
3. Ограничьте доступ приложений: проверьте настройки конфиденциальности вашего телефона и список данных, к которым имеет доступ каждое используемое вами приложение и на основании этого примите решение о дальнейшим его использовании;
4. Знакомьтесь с Политикой конфиденциальности и Правилами использования онлайн-сервисов: это поможет принять решение об использовании сервиса и предотвратить нежелательные и неожиданные ситуации.

Да, могут. Если у вас есть долги больше 30 000 рублей, судебный пристав может ограничить выезд. Для алиментов, компенсации за ущерб здоровью, смерть кормильца или моральный вред порог еще ниже — 10 000 рублей. Пристав отправляет данные в ФСБ, и всё — вас не выпустят. Никто об этом заранее не предупреждает, так что лучше проверить свои задолженности.

Как это сделать? Загляните на сайт ФНС или Госуслуг — там легко узнать свои налоговые долги. Если что-то не так, идите в налоговую инспекцию с паспортом. А вот судебные задолженности можно проверить на сайте Федеральной службы судебных приставов или в МФЦ.

Иногда из-за рубежа не получается зайти на Госуслуги, онлайн-банки или другие российские сервисы. Это происходит, потому что такие сайты блокируют доступ с иностранных IP-адресов для защиты данных и безопасности.

Что делать, если доступ нужен?

• VPN: Установите программу, которая сменит ваш IP на российский. Так сайт “подумает”, что вы заходите из России, и всё заработает.
• Мобильный интернет: Если у вас есть российская SIM-карта, подключитесь к её интернету — он часто даёт доступ даже за границей.
• Обновите приложения: Иногда проблема просто в старой версии программы. Проверьте, что у вас стоит последняя.
• Поддержка: Напишите в техподдержку сервиса — они могут подсказать решение.

• Загранпаспорт (проверьте срок действия).
• Внутренний паспорт РФ.
• Свидетельства о рождении и браке/разводе.
• Дипломы и аттестаты (иногда нужен апостиль).
• Справка об отсутствии судимости (действует 3 месяца).
• Медицинская страховка.
• Водительские права (возможно, международные).
• Документы на питомцев: ветпаспорт с прививками.
• Согласие родителей на выезд ребенка за границу (для бабушек и друзей).

Лучше заранее перевести документы и сделать копии. Это упростит жизнь за границей!

Если у вас в России остаются дела (например, недвижимость, суды или другие вопросы), стоит оформить доверенность на надежного человека. Это может быть генеральная доверенность или доверенность на представление интересов в госорганах и судах. Срок действия — любой, от месяца до нескольких лет. Важно! Доверенность дает широкие полномочия: распоряжение деньгами, недвижимостью, автомобилем и т.д. Поэтому доверяйте её только близкому и проверенному человеку.

Зависит от страны и целей переезда. Апостиль обычно ставят на:

• Свидетельство о рождении.
• Свидетельство о браке или разводе.
• Дипломы об образовании (если нужен для работы или учебы).

Апостиль не требуется для стран, с которыми Россия имеет договоры о правовой помощи. Также учтите, что многие документы могут вообще не понадобиться. В крайнем случае их можно оформить и отправить из России через доверенное лицо (убедитесь, что есть доверенность).

В 2025 году гражданам России проще всего переехать в следующие страны:

• Страны СНГ: Армения, Казахстан, Беларусь и другие страны Содружества Независимых Государств сохраняют безвизовый режим с Россией, что облегчает переезд и длительное пребывание.
• Турция: Для краткосрочных поездок в Турцию виза не требуется. Однако для длительного пребывания или работы необходимо оформить соответствующую визу или вид на жительство. Турция предлагает программы получения гражданства при покупке недвижимости на сумму от $400 000.
• Объединённые Арабские Эмираты (ОАЭ): ОАЭ предоставляет различные виды виз, включая резидентские визы для инвесторов, предпринимателей и специалистов. Получение резидентской визы возможно при покупке недвижимости от $205 000, трудоустройстве, обучении, а также для фрилансеров и пенсионеров.
• Черногория: Черногория предлагает программы получения вида на жительство при покупке недвижимости или открытии бизнеса. Это может служить промежуточным этапом для дальнейшей миграции в страны Европейского Союза.
• Европейский Союз: В 2025 году получить вид на жительство в странах ЕС стало сложнее для граждан России. Некоторые страны, такие как Латвия и Эстония, ограничили или приостановили выдачу ВНЖ россиянам. Однако в некоторых странах ЕС всё ещё действуют программы «золотых виз» за инвестиции, хотя условия могут быть ужесточены. Например, Греция сохраняет программу ВНЖ за инвестиции в недвижимость, но минимальная сумма инвестиций увеличена до €500 000 в ряде регионов.

Важно: Миграционные правила постоянно меняются. Рекомендуется перед планированием переезда уточнять актуальную информацию на официальных сайтах посольств и консульств интересующих стран.

Куда ехать проще:

Безвизовые страны: Армения, Беларусь, Казахстан, Кыргызстан, Таджикистан, Узбекистан, Турция, Грузия, Сербия, Черногория, Монголия. В этих странах можно находиться от 30 дней до года без визы, в зависимости от правил.

Легко получить визу: ОАЭ, Египет, Индонезия (Бали), Таиланд (виза по прилету). Турция и Черногория также дают вид на жительство при покупке недвижимости.

Куда сложнее:

• Европа (Шенген): Визы выдаются, но сложнее. Некоторые страны, например Латвия и Эстония, ограничили выдачу виз россиянам. Лучше подавать через страны, сохраняющие лояльность, например Италию или Испанию.
• США и Великобритания: Процесс сложный, визы выдаются не так часто и при строгих проверках.
• Канада и Австралия: Визы получить можно, но подготовка требует много времени и документов.

Совет: Перед подачей уточняйте требования в консульстве. Для долгосрочного пребывания или работы нужно изучить правила оформления вида на жительство в конкретной стране.

Убедитесь, что у вас с собой все необходимые документы:

• Действующий загранпаспорт. Убедитесь, что в паспорте нет ошибок;
• Заграничные паспорта и свидетельства о рождении детей; Визы в страну назначения (при необходимости);
• Согласия на перевозку детей (если вы не родитель, например, родственник или друг семьи);
• Документы на питомцев.

Подготовка телефона и устройств: Вы не обязаны разблокировать устройства при пересечении границы по просьбе пограничников, но лучше не вступать с ними в спор и заранее обезопасить себя.

• Удалите чувствительные данные. Сотрите переписки, фотографии, документы, которые могут вызвать вопросы. Все чувствительные данные перенесите в облачные хранилища и запарольте. Не забудьте про сложные пароли и двухфакторную аутентификацию.
• Уберите биометрическую разблокировку устройств. Это не всегда гарантированный способ от несанкционированного доступа к устройствам.
• Включите минимальный доступ. Настройте рабочий или «гостевой» профиль на телефоне, где будут доступны только базовые приложения. Это же касается компьютеров и ноутбуков.
• Шифруйте данные. Используйте устройства с функцией полного шифрования, чтобы ваши данные не были легко доступны. Помните, что при пересечении границы устройства могут забрать для досмотра. Айфоны 5S и выше) зашифрованы автоматически.Ноутбуки можно зашифровать полно дисковым шифрованием (Bitlocker для Windows, Filevault для MacOS, который включается в настройках одной кнопкой). Ещё можно использовать Veracrypt для создания невидимых шифрованных контейнеров внутри дисков.Как это сделать, читайте здесь. Даже если вам придется предоставить пароль для декодирования устройства, проверяющий не сможет найти скрытую зашифрованную папку, а если и обнаружит её, то не получит доступ к зашифрованным в ней документам.
• Не берите с собой флешки, содержащие конфиденциальную информацию.

Сохраняйте спокойствие и уважительный тон, при просьбе разблокировать устройства спросите о причинах такой проверки, но не вступайте в споры и старайтесь искать компромисс.

В рублях наличными можно перевозить любую сумму, но если она составляет более 10 000 долларов по курсу ЦБ на день поездки, то необходимо заполнить таможенную декларацию. Вывоз и ввоз валюты ограничен 10 000 долларов (если это евро, то сумма считается по курсу). 

Российские карты МИР будут работать только в некоторых странах - сейчас карта МИР действует без ограничений только в Беларуси и на Кубе. С ограничениями - в Армении, Казахстане, Венесуэле, Вьетнаме, Лаосе, Молдавии, Мьянме, Таджикистане, Никарагуа. Карта перестала работать в Кыргызстане, Узбекистане и Турции. 

Открыть банковский счет россиянам в других странах возможно, но обычно нужно подтверждение проживания и дохода. В Беларуси, как правило, можно открыть счет без особых ограничений, в Армении понадобится адрес проживания, договор аренды или трудовой договор (в зависимости от банка),в Казахстане - местный ИНН, свидетельство о регистрации и другие документы, а зависимости от банка. В Европе в большинстве случаев для открытия счета необходим вид на жительство.

Хранение криптовалют является законным (запрещено использовать криптовалюты как платежное средство), можно “перевезти” деньги этим способом. При этом, важно соблюдать меры предосторожности и заранее изучить, нет ли рисков закрытия криптокошелька в связи с санкциями. В этой статье можно прочитать, как покупать криптовалюту.