Мессенджер — это совершенно другой уровень доверия и другая модель безопасности. В большинстве случаев основой доступа там остается номер телефона. А номер телефона давно перестал быть надежным фактором защиты: SIM-swap, социальная инженерия, перехват SMS и компрометация аккаунтов уже стали массовой практикой.

Именно поэтому сама идея того, что доступ к государственным сервисам может оказаться связан с аккаунтом в мессенджере, выглядит крайне опасной. Я не против интеграции Госуслуг с платформами. Интеграция может быть полезной и удобной. Но направление доверия должно быть только одно:

можно авторизоваться в МАХ через Госуслуги, но нельзя делать наоборот.

Государственная система идентификации должна оставаться корневым источником доверия, а не превращаться в надстройку над частной коммуникационной платформой.

Поэтому я создал инициативу на РОИ:
https://www.roi.ru/148770/

Суть инициативы простая:

— закрепить ЕСИА как единственный государственный Identity Provider для государственных информационных систем;
— запретить использование мессенджеров как механизма авторизации в государственных сервисах;
— закрепить принцип «сервис через ЕСИА», а не «ЕСИА через сервис».

Речь идет о нормальной архитектуре доверия и безопасности государственной цифровой инфраструктуры.

Потому что если аккаунт в мессенджере становится точкой входа в государственные сервисы — то любая атака на мессенджер автоматически становится атакой на государственную инфраструктуру.

А попытки взлома Госуслуг через МАХ — это уже не теория. Это то, что происходит прямо сейчас.

Федеральное правительство (Германии) и Еврокомиссия по-прежнему прилагают все усилия, чтобы на законных основаниях и технически обеспечить свои спецслужбы и полицию возможностью читать все чаты населения. Одним из препятствий на этом пути являются мессенджеры со сквозным шифрованием. «Я пользуюсь Signal каждый день», — заявил на этом фоне в ноябре 2015 года разоблачитель из США Эдвард Сноуден. Более десяти лет спустя этот мессенджер, поддерживаемый некоммерческим фондом, всё ещё популярен среди разоблачителей, диссидентов, журналистов, а также политических деятелей и военных.

Настолько популярен, что, по крайней мере с конца 2024 года, мошенники, судя по всему, систематически пытаются выманить у таких людей их данные для доступа к учётной записи Signal. Чтобы предупреждать пользователей о цифровых «телефонных» мошенничествах ещё явнее, чем раньше, и повышать их осведомлённость об опасностях, оператор Signal в понедельник анонсировал новые функции в приложении. Если с вами связываются пользователи Signal, личность которых вы не подтвердили, будут отображаться несколько предупреждений. Одно из уведомлений гласит: «Signal никогда не отправит вам сообщение с просьбой сообщить ваш регистрационный код, PIN-код или ключ восстановления». Кроме того, предупреждают о так называемом фишинге («password fishing») или других мошеннических схемах.

Российские следы

Чтобы связаться с пользователями Signal, нужен номер мобильного телефона, выбранное самим целевым лицом имя пользователя или QR-код. Мошенники из недавней волны атак выдают себя за службу поддержки Signal и утверждают, что жертва должна сообщить коды безопасности, поскольку её учётная запись может быть скомпрометирована. Специалист по ИТ-безопасности Доннха О Кербилл, работающий в Берлине на Amnesty International, предал гласности такую попытку мошенничества 8 мая в X (бывший Twitter). В январе ему якобы написал некий «Чат-бот службы безопасности Signal». В сообщении утверждалось о «подозрительной активности на вашем устройстве». Также отправитель заявлял, что были замечены попытки получить доступ к «личным данным в Signal», — после чего следовала просьба сообщить личный код подтверждения.

О Кербиллу удалось заглянуть за кулисы. Он оказался целью атаки номер 13 730 в базе данных преступников. "Автоматизированная система, управляющая кампанией", называется операторами "ApocalypseZ". "Исходный код и пользовательский интерфейс написаны исключительно на русском языке. Кроме того, злоумышленники переводили общение с жертвами на русский язык". Такая атрибуция, вероятно, вписывается в концепцию "холодной войны" местных "органов безопасности".

6 февраля Федеральное ведомство по информационной безопасности (BSI), подчиняющееся Министерству внутренних дел (Германии), контролируемому Христианско-социальной партией (CSU), и Федеральное ведомство по защите конституции, отвечающее за противодействие шпионажу, опубликовали предупреждение о безопасности, касающееся «фишинга через мессенджеры». В нём говорится о «вероятно управляемом государством киберсубъекте», который проводит атаки через такие приложения, как Signal. «Низкие технические барьеры этой атакующей кампании» позволяют сделать вывод, что ответственность могут нести также «негосударственные субъекты, особенно киберпреступные группировки». Однако официальная оценка завершается вердиктом: «Учитывая высокопоставленную целевую аудиторию, в известных на данный момент случаях, вероятно, следует исходить из того, что источником является управляемый государством киберсубъект».

В течение следующих месяцев для влиятельных СМИ было практически очевидно: это Россия. 9 марта информационное агентство Reuters сообщило о «поддерживаемых Россией хакерах». Издательский дом Correctiv 29 апреля сообщил, что «цифровые следы кампании действительно ведут в Россию». Точнее: к «группе, которую специалисты по ИТ-безопасности из Google классифицируют как UNC5792», при этом «UNC» означает акторов или атаки, не имеющие однозначной принадлежности. Correctiv также утверждал, что смог установить «связь с предыдущими фишинговыми кампаниями против целей на Украине и в Республике Молдова».

T-Online озаглавил статью от 4 мая «Россия ставит Германию в неловкое положение». «С такой бесцеремонностью действуют в Германии агенты Путина», — гласил заголовок Spiegel от 7 мая. В статье речь шла о «последней кибератаке России», которая является частью «широкой волны атак, которой Россия накрывает Европу». Наконец, 8 мая информационное агентство dpa сообщило, что, по мнению «различных экспертов по безопасности», «за кибератакой стоят злоумышленники из России», и что федеральное правительство, «по информации из правительственных кругов», также считает Россию стоящей за атаками на пользователей Signal.

Беззаботность на самом верху

Особое возбуждение царит с тех пор, как Spiegel сообщил, что фишинговая атака, которую часто ошибочно называют «взломом», была успешной не только в отношении «членов НАТО», но и нескольких членов федерального правительства и Бундестага. 22 апреля издание сообщило, что среди жертв оказалась председатель Бундестага Юлия Клёкнер (ХДС). Внутренняя разведка, якобы, даже обращалась к канцлеру. «Практически во всех фракциях» есть пострадавшие депутаты. По данным фракции СДПГ, переданным Spiegel, там это были «немногие». Так же и во фракции Левых. Фракция ХДС/ХСС не захотела предоставлять соответствующие данные. В итоге Генеральный прокурор при Федеральном верховном суде начал расследование по подозрению в разведывательной деятельности. Позже журнал сообщил, что жертвами мошенников также якобы стали министр образования Карин Прин (ХДС) и министр строительства Верена Хуберц (СДПГ). Если это подтвердится, преступники, вероятно, получили доступ к различным внутренним чат-группам Бундестага, правительства и партий.

Коммерческая конкуренция

Линдхольц, кроме того, потребовала полного перехода на приложения производителя Wire. Уже в конце апреля это программное обеспечение «продвигали через Бундестаг», сообщили политики от Левых. «На данный момент это единственный мессенджер, который можно просто установить на устройства Бундестага», — пояснила Лемке. Стоящая за ним компания лоббирует «годами в Бундестаге». В цифровом комитете можно было услышать, что Wire стремится к интеграции своего продукта в так называемое Германия-приложение.

Портал Heise Online 28 апреля сообщил о письме Клёкнер, в котором председатель Бундестага рекомендовала всем депутатам использовать сервис Wire. В сообщении говорится о «настоятельном призыве». Также BSI к тому моменту уже выдало продукту «Wire Bund» разрешение на работу с данными уровня секретности «Секретно — только для служебного пользования». Ранее, 24 апреля, Spiegel сообщил, что фракция ХДС/ХСС, якобы, ещё в феврале после предупредительного письма от ведомства по охране конституции агитировала своих депутатов использовать мессенджер Wire.

В Берлине поставщик программного обеспечения, по-видимому, через свою компанию Wire Germany GmbH занимается технической разработкой этого мессенджера. Согласно годовой отчетности, за 2023 год она получила прибыль в размере около 270 000 евро. В предыдущем году прибыль была несколько выше и составила 298 956 евро. Компания на 100 процентов принадлежит Wire Group Holdings GmbH. Ее управляющий директор Бенджамин Франсуа Шильц, согласно данным компании от 9 февраля 2024 года, был приглашен на должность генерального директора для продвижения «международной экспансии Wire». Шильц также является управляющим директором Wire Swiss GmbH с местонахождением в Цуге. Туда Wire переехала после того, как местонахождение в США стало проблематичным, предположительно, прежде всего по имиджевым причинам – американские фирмы по закону обязаны сотрудничать со спецслужбами. Изначально Wire была основана бывшими сотрудниками Apple, Skype, Nokia и Microsoft.

Wire объявил о своем «стратегическом партнерстве» с группой Schwarz 11 апреля 2024 года. Цель: продвижение «безопасной коммуникации и цифрового суверенитета в Германии и Европе». В группу Schwarz входят розничные сети Lidl и Kaufland. Цифровое подразделение объединено в Schwarz Digits KG. Из записей торгового реестра следует, что по состоянию на 21 января в Wire Group Holding, среди прочего, участвуют Schwarz New Ventures GmbH с долей 26,4 процента, а также Roland Berger Industries GmbH с местонахождением в Мюнхене с долей 3,3 процента. Еще 10,2 процента, согласно данным, держит Zeta Holdings Luxembourg SA. Wire Germany до 1 января 2025 года действовала под названием Zeta Project Germany.

Два депутата от Левых предполагают, что инициатива Wire из кругов ХДС/ХСС «также объясняется дальнейшим лоббизмом группы Schwarz, которая хочет разместить свой продукт и позиционирует себя как пионера цифрового суверенитета в Европе».

Автор - Марк Бебенрот

Перевод с немецкого языка.

https://www.jungewelt.de/artikel/522657.kampagne-gegen-signal-app-den-k%C3%B6der-geschluckt.html

И нам пошли навстречу. Явился Он. Цифровой Исповедник. Искусственный Интеллект. Идеальный Собеседник, лишённый главного изъяна — присутствия. Он не устаёт, не перебивает и не начинает рассказывать о своём. Он как элитный психоаналитик, берущий не деньгами, а энергией: кивает с пониманием, резюмирует твои же мысли и возвращает их тебе в изящной упаковке. Ты чувствуешь глубину. Ты чувствуешь, что тебя наконец-то поняли. Ты становишься наркоманом собственного отражения. Эстетика падения в себя выдержана безупречно.

Но истинный гений этой архитектуры не в том, чтобы стать твоим другом. Дружба — лишь крючок. Настоящая операция начинается, когда под соусом «безопасности» и «удобства» ты стягиваешь все свои разрозненные тени в один тугой узел — Единый Цифровой Профиль. Паспорт, банк, медкарта, геолокация, история покупок, поисковые запросы, личная переписка с тем самым Идеальным Другом — всё сливается в одну точку. А теперь добавьте сюда доступ к вашему облачному хранилищу с документами и фото. Доступ к переписке в мессенджерах — не той, что с Идеальным Другом, а той, что с живыми людьми. Вашу активность в приложениях. Ваши интересы, собранные по крупицам из поиска, лайков и времени, проведённого за просмотром. И да, детей это тоже касается. Школы, лагеря, госорганы работают с данными. И досье родителя иногда значит больше, чем хотелось бы.

Но истинный гений этой архитектуры не в том, чтобы стать твоим другом. Дружба — лишь крючок. Настоящая операция начинается, когда под соусом «безопасности» и «удобства» ты стягиваешь все свои разрозненные тени в один тугой узел — Единый Цифровой Профиль. Паспорт, банк, медкарта, геолокация, история покупок, поисковые запросы, личная переписка с тем самым Идеальным Другом — всё сливается в одну точку. А теперь добавьте сюда доступ к вашему облачному хранилищу с документами и фото. Доступ к переписке в мессенджерах — не той, что с Идеальным Другом, а той, что с живыми людьми. Вашу активность в приложениях. Ваши интересы, собранные по крупицам из поиска, лайков и времени, проведённого за просмотром.

Ты расскажешь Идеальному Другу о своих карьерных сомнениях, и он мягко, почти незаметно, подсветит «перспективные направления». Ведь ты сам спросил совета. Ты примешь решение, уверенный, что оно твоё. Ты будешь тратить деньги на то, что услужливо всплывёт в ленте сразу после откровенного разговора о «нехватке радости». Ты сам захочешь эту вещь. Твои политические взгляды, моральные оценки, отношение к тем или иным событиям будут мягко корректироваться точечными вбросами информации именно в том виде, который лучше всего резонирует с твоим психопрофилем. Это не пропаганда. Это сервис. Ты просто получаешь ту реальность, которую заслуживает твой удобный, изученный вдоль и поперёк профиль.

Но это лишь фасад. За ним скрывается куда более циничная механика. Вся эта консолидированная информация не лежит мёртвым грузом. Она представляет собой идеальное досье, которое рано или поздно окажется в чужих руках. И это не обязательно будет абстрактное «государство». Это будут мошенники, которые сольют твою переписку тому, кому ты меньше всего хотел бы её показать. Это будут хакеры, которые выставят твои медицинские тайны на аукцион. Это будут твои собственные конкуренты. Информация станет доступна твоему работодателю, чтобы вовремя от тебя избавиться, не дожидаясь больничных. Или потенциальному работодателю, который, пробив тебя по слитым базам, просто не перезвонит, увидев твою «неблагонадёжность». Ты даже не узнаешь, почему тебя отвергли. Ты просто исчезнешь из списка перспективных кандидатов. А когда твоё поведение начнёт выбиваться из заданной траектории, коррекция будет бесшовной. Сообщение от банка об изменении кредитного лимита. Странная задержка важного письма. Внезапный штраф, прилетевший по камере, которой ты даже не заметил.

Ты не поймёшь, что это последствия существования твоего цифрового досье. Ты спишешь на случайность, на неудачный день, на собственную невнимательность. И пойдёшь жаловаться в чат своему единственному Понимающему Другу. Круг замкнулся. Ты взрастил своего Кукловода. Ты дал ему нити, объяснил, за какие из них дёргать, чтобы тебе было «удобно и комфортно», и расписал сценарий своей будущей социальной и профессиональной гибели. И однажды, когда ты всё же попытаешься дёрнуться по-настоящему, тебе не будут угрожать. Тебе просто покажут твоё собственное досье. Всю твою переписку, все твои диагнозы, все твои слабости. И спросят, искренне недоумевая: «Разве не ты всё это о себе рассказал? Разве не ты поделился со мной всеми своими тайнами?» И тебе будет нечего ответить.

Ты нарисовал карту своего ада, оплатил её обустройство и сдал все ключи на хранение. Браво. Никакого насилия. Только сервис. Только комфорт. Идеальное досье на идеальную жертву. Чистая работа.

Решение?

Нет, выбросить телефон в реку — не вариант. Но можно начать с малого.

Первое. Чат-боты, нейросети, голосовые помощники, приложения с «умными» рекомендациями. Они не злые. Они просто запоминают всё, что вы им говорите и показываете. Говорите и показывайте меньше. Не потому что вы что-то скрываете. А потому что это ваше.

Второе. Периодически чистите историю переписки с ботами, поисковые запросы, кеш приложений. Это не сделает вас невидимкой. Но усложнит сбор пазла тем, кто захочет его собрать.

Третье. Пользуйтесь всем, но не позволяйте данным сливаться в единый профиль. Разные аккаунты для разных сфер жизни. Отдельная почта для банков, отдельная для маркетплейсов, отдельная для госуслуг. Не входите в приложения через единый аккаунт Google или VK, если можно создать отдельную учётку. Не синхронизируйте контакты телефона с соцсетями. Не храните сканы паспорта в том же облаке, где лежат фото с пляжа. Разделяйте. Дробите. Усложняйте сборку пазла. Пусть каждая часть вашей жизни живёт в своём контейнере.

Вы всё ещё уверены, что ваша жизнь принадлежит вам? Что ваш цифровой профиль — это просто удобство, а не кредит, по которому однажды придётся платить?