Наприкінці квітня Telegram (як виявилось, нібито випадково) заблокував кілька офіційних українських чат-ботів, серед яких боти ГУР МО, СБУ та Мінцифри, які допомагають у боротьбі з російською агресією. Ця подія актуалізувала питання безпеки передачі інформації через такі боти для громадян України, що залишаються на тимчасово окупованих територіях. Головне управління розвідки України також попередило, що Росія створює клони офіційних ботів зі схожими назвами.
Донбас Реалії (проєкт Радіо Свобода) потестили ці боти й розібралися, що їх відрізняє від справжніх, що треба робити, щоб безпечно передавати інформацію, й чи взагалі потрібен такий канал комунікації з окупацією, як телеграм.
Під нібито помилкове блокування у квітні потрапили чат-боти, що використовуються для передачі Силам оборони даних про пересування особового складу та військової техніки РФ, воєнні злочини на тимчасово окупованих територіях та тих, хто співпрацює з російською адміністрацією. Зокрема, йдеться про «Головний бот розвідки», «STOP Russian War» та «єВорог». Менш, ніж за добу, ці боти відновили роботу. Reuters з посиланням на анонімне джерело у Telegram повідомило, що блокування відбулося випадково.
Чат-бот – це комп'ютерна програма, створена за технологією машинного навчання. Вона імітує розмову з користувачем. На основі штучного інтелекту або запрограмованих сценаріїв він може розпізнавати запити, обробляти їх, здійснювати супровід користувача по меню, відповідати на запитання або збирати інформацію.
Чат-боти зазвичай використовують служби онлайн підтримки до того, як зв'язати користувача з живим консультантом.
У стрічці пошуку Telegram чат-боти мають такий самий вигляд, як канали чи користувачі: назву та аватар. Інколи у назві фігурує слово «бот». А у інформації про бот буде позначка @ перед іменем користувача. Як, наприклад, @stop_russian_war_bot.
Правдиві боти і їхні клони
Перше, з чим ми стикаємося, намагаючись знайти боти офіційних українських інституцій, це безліч схожих назв ботів, каналів та аватарок. У них легко заплутатись.
ГУР уже попереджало, що метою фейкових акаунтів є або направити користувача по хибному шляху, або виявити тих, хто намагається допомагати українським спецслужбам.
- Чат-бот ГУР МО
Одразу знаходимо, до прикладу, два боти з однаковими назвами: «Головний Бот Розвідки», і схожими аватарками. На одному логотип, що дуже схожий на логотип ГУР МО – сова з мечем, на іншому – очі сови. В описі ботів все збігається. Лише назва користувача з позначкою @ містить різне написання слова official, з помилкою і без – @gur_oficiall_bot та @gur_official_bot.
Тестимо далі. Перше повідомлення від ботів є ідентичним. Привітання – «Слава Україні!». Однаковий текст зі смайлами і гасло української розвідки. Але помічаємо одну дрібницю. У фразі: «Це офіційний бот для збору інформації ГУР МО Україні». Тобто слово написане з помилкою.
Далі цікавіше. Один із ботів дає інструкції: попереджає, як поводитися задля безпеки, дає перелік команд та посилання на контакти, що містяться на офіційних ресурсах ГУР МО. А також пропонує переглянути відео про правила безпеки для тих, хто перебуває на тимчасово окупованих територіях. І пропонує альтернативні способи зв'язку через Signal і WhatsApp та e-mail. Та закликає користуватися VPN.
Інший бот – переходить на російську мову. Він пропонує одразу написати повідомлення, не даючи безпекових попереджень, і не пропонуючи меню навігації. Але далі, теж російською, імітує інформацію з офіційного чат-бота про інші способи зв'язку через Signal і WhatsApp (але не дає офіційний e-mail). І геть небезпечне: він підміняє офіційні телефонні номери на інші.
Помічаємо повідомлення: «Чат-бот создан на платформе BotMan.pro». Це загальнодоступний російський конструктор чат-ботів в соціальних мережах і месенджерах, зокрема, для Telegram та VK.
- Чат-бот СБУ
Знаходимо в Telegram бот СБУ – «STOP russian war» та інші канали та боти, що містять в назві словосполучення stop russian war або СБУ, SBU та Служба безпеки України, а також аватарки, схожі на офіційну символіку СБУ.
Жоден не мімікрує під STOP russian war . Тож тестимо лише офіційний.
У першому коментарі він містить посилання на офіційні сторінки Служби Безпеки України та сервіс Google Play для скачування додатка Bachu. Цей додаток, як заявлено розробниками, призначений для «поширення інформації про місцезнаходження ворожої російської техніки, солдатів та небезпечних об'єктів на території України».
Далі чат-бот дає інструкцію та просить надіслати контакт, натиснувши кнопку, що з'явилася у нижній частині чату.
Лише після надсилання контакту він пропонує меню для навігації, через яке можна вибрати і описати, що ви бачили.
- Чат-бот Мінцифри
Наступним шукаємо бот Мінцифри – «єВорог». Знаходимо кілька з такою ж або схожою назвою та однаковими аватарками. Але імена користувачів різні. Наприклад, @evorog_robot та @evorog_bot
Перші повідомлення в обох ботів ідентичні.
Далі один із них закликає повідомляти адресу пересування військової техніки та військ РФ, щоб допомогти ЗСУ. І дає можливість ввести цю інформацію.
Інший – містить ідентичний заклик, але просить для підтвердження особи пройти авторизацію через застосунок «Дія». Для цього є спеціальна кнопка і 30 секунд часу. Якщо не вкладетесь, то треба буде згенерувати нове посилання.
Лише після авторизації справжній «єВорог» пропонує меню, через яке можна повідомити про техніку, живу силу противника тощо.
Чи безпечно ділитися контактами з чат-ботом?
Чат- бот СБУ попереджає, що контакт потрібен для зв'язку у разі термінової необхідності. Дані, як стверджують у спецслужбі, не зберігаються та не передаються третім особам.
Якщо бот належить державним органам, роз'яснюють у Центрі стратегічних комунікацій та інформаційної безпеки, вони гарантують, що нікому не передаватимуть ваші персональні дані. Усі державні органи дотримуються Закону України «Про захист персональних даних».
У разі, якщо ви повідомили номер телефону фейковому чи неперевіреному боту, у налаштуваннях конфіденційності всіх месенджерів слід обмежити можливості абонентів, яких ви не маєте в телефонній книзі, бачити ваш номер, писати та телефонувати вам, радять фахівці Центру страткомунікацій.
Під час авторизації в чат-боті «єВорог» через «Дію» особисті дані нікому не передаються, пояснюють у Мінцифрі. Коли користувач підтверджує запит у «Дії» – чат-бот отримує лише відповідь у форматі «Так» або «Ні» на запитання, чи авторизована ця людина в «Дії». Тому чат-бот не знає, хто саме авторизувався.
«Але якщо немає додатка «Дія», то ви нічого не зможете нам передати. Така ідентифікація важлива, щоб відрізати можливість росіянам подавати будь-яку інформацію, закидати фейки, спамити, взагалі відвертати увагу. Запити приймаються тільки від верифікованих користувачів», – каже в інтерв'ю Донбас Реалії керівник із розвитку електронних послуг у Міністерстві цифрової трансформації України Мстислав Банік.
Помилки в словах й інші нестиковки не гарантують, що ви його впізнаєте
Відрізнити офіційний український бот від дуже схожої на нього російської підробки може бути складно або майже неможливо, каже експерт з кібербезпеки, колишній заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ Костянтин Корсун. Фейкові чат-боти не завжди містять помилки і можуть досить точно копіювати оригінал.
«По технічних ознаках, якщо це класно і професійно зроблено, ніяк ви не зможете відрізнити. Якщо це на коліні зроблена підробка, її можна відрізнити. Але знов-таки, для пересічного громадянина, як правило, ні. Тому що там використовується українська символіка, українські контексти, а насправді збирається інформація про громадян, що якимось чином допомагають нашій країні», – пояснює експерт.
Найкраще, каже Костянтин Корсун, взяти посилання на чат-бот з офіційного сайту. Але перед тим переконатися, що сам сайт не підробний.
«Заходите на офіційний сайт СБУ, наприклад, SSU.gov.ua, або гуглите сайт СБУ. На ньому буде замочок у рядку браузера, де ім'я, там буде HTTPS написано. Тобто переконайтеся, що то офіційний сайт. І на офіційному сайті СБУ є усі канали комунікації з ними: номер телефону, е-mail, можна ним користуватися для передачі інформації. Ну, і, наскільки я знаю, там і Telegram ще поки є, але й інші месенджери можна знайти», – розповідає експерт з кібербезпеки.
На сайті Головного управління розвідки МО України ми знайшли посилання на офіційний чат-бот ГУР, який тестили. А також інші способи зв'язку.
На офіційному сайті СБУ серед інших способів зв'язку ми чат-боту не побачили. Він знайшовся у повідомленнях на офіційному каналі СБУ в Telegram, що позначений галочкою верифікації, та на офіційній сторінці Служби в Facebook.
У застосунку «Дія» на головній сторінці є кнопка «єВорог». Вона автоматично переводить вас в офіційний чат-бот Мінцифри в Telegram. Також посилання з інструкцією є на сайті Міністерства цифрової трансформації України.
Тобто в кожному конкретному випадку треба зупинитися і замислитися: де ви взяли це посилання?
Є ще один спосіб перевірити
На сайті проекту dovidka.info від Центру стратегічних комунікацій та інформаційної безпеки ми знайшли ботчекер. Як кажуть розробники – це база перевірених державних і волонтерських українських чат-ботів. Вона допоможе визначити – чи справжній бот, яким ви користуєтесь. Треба ввести в поле пошуку лінк або назву.
Ми перевірили по цій базі чат-боти, які тестили. Офіційні – підтверджуються, інші – визначені, як фейкові.
Але слід зважати, що не всі фейкові боти, які ви хочете перевірити, можуть бути у базі ботчекера. Наприклад, у важливого бота «єВорог» існує щонайменше 7 копій. І, поки одні блокує кібервійсько, інші зʼявляються. Але у базі є найпопулярніші державні чат-боти, а також перевірені волонтерські.
Проте, експерти, з яким ми поговорили, вважають сам месенджер Telegram, у якому працюють офіційні чат-боти українських державних установ, – небезпечний.
Це популярний, але небезпечний месенджер. Чи треба його забороняти?
Популярність телеграма різко зросла в Україні після повномасштабного вторгнення. Він простий, швидкий, багато хто використовує його як новинну стрічку.
Експертка з інформаційної гігієни, засновниця ініціативи «Як не стати овочем» Оксана Мороз каже, що месенджер Telegram через свою доступність є найбільш поширеним джерелом отримання та обміну інформацією в Україні. Особливо, коли мова йде про комунікацію з тимчасово окупованими територіями.
«Telegram залишається чи не єдиним ефективним джерелом і донесення інформації, і, власне, передачі інформації. Тому ми побачили хвилю людей, військових, в першу чергу, які безпосередньо працюють з цими даними, і в них був такий своєрідний шок від того, що, власне, вони залишаться без цих джерел інформації через блокування», – пояснює вона.
Telegram – російський месенджер. Він розроблений російськими фахівцями та належить власнику з Росії Павлу Дурову. У 2018 році Роскомнадзор – орган, що в Росії здійснює нагляд над зв'язком, інформаційними технологіями та ЗМІ – подав на месенджер до суду через відмову надати ключі для декодування повідомлень користувачів. Але за два роки раптово відізвав вимогу заблокувати месенджер.
Багато хто з кіберфахівців розцінив це як згоду на передачу даних ФСБ.
За інформацією деяких незалежних російських ЗМІ, Telegram знайшов компроміс із російською владою і ймовірно може ділитися даними зі спецслужбами.
Заборонити Телеграм в Україні технічно неможливо, каже Костянтин Корсун, і не потрібно. Але слід зважати, що він російський, у ньому немає чітко визначених правил – що дозволено, а що ні, і він не використовує наскрізне шифрування повідомлень (крім спеціального анонімного чату). Тому вони можуть бути перехоплені. Корсун переконаний, що українським органам державної влади слід відмовилися від використання Telegram. Але як їм тоді комунікувати з окупованими територіями?
«Це повністю російський продукт і дуже вірогідно, що з частковим контролем ФСБ. Під час війни використовувати його аморально, несправедливо і нерозумно. Тому я виступаю за те, щоб українські органи державної влади відмовилися від його використання як офіційного засобу комунікації і не пропагували його таким чином», – роз'яснює експерт з кібербезпеки.
Саме через своє російське походження наявність застосунку Telegram у телефонах людей в окупації не викликає підозри в силовиків РФ. А от наявність Signal при обшуку може бути небезпечна сама по собі.
Захист акаунту в Telegram
Якщо ви живете в окупації й змушені комунікувати через телеграм, експерти радять зробити низку налаштувань:
- Встановити двофакторну аутентифікацію. Це використання одразу двох різних способів підтвердження входу в акаунт (пароль і смс, наприклад)?
- В акаунті Telegram приховати своє ім'я під ніком, прибрати реальне фото.
- Змінити налаштування приватності. Відкрийте в Telegram меню «Налаштування» та перейдіть у розділ «Конфіденційність та безпека». Виберіть у ньому такі пункти:
- Хто може бачити номер телефону – Ніхто.
- Хто може знайти за номером – Мої контакти
- Хто може бачити час моєї останньої активності – Ніхто
- Хто може бачити фото та відео мого профілю – Мої контакти
- Хто може додавати посилання на мій обліковий запис під час надсилання моїх повідомлень – Мої контакти
- Хто може мені телефонувати – Мої контакти або Ніхто
- У розділі «Виклики» для Peer-to-peer слід також встановити значення Мої контакти (це параметр, що дозволяє отримувати або не отримувати вашу IP-адресу користувачам, які вам телефонують).
- Хто може додавати мене до чатів – Мої контакти
Якщо існує ризик, що телефон перевірять, після передавання інформації слід видалити листування з ботом і заблокувати його, щоб вам більше не приходили сповіщення. Чат-бот можна розблокувати, коли буде потреба знову ним скористатися.
Якщо ви надсилали в бот фото чи відео, не забувайте видалити їх із телефону (і кошика також).
Ще одне місце, де може осісти небезпечна інформація, це кеш. Для видалення кешу в телеграмі потрібно перейти в розділ Налаштування – Дані та сховище – Використання сховища – Очистити весь кеш. В останньому розділі потрібно налаштувати автоматичне видалення медіа з кешу в особистих чатах.
Потрібно видалити з рядка пошуку та «нещодавніх контактів» у телеграмі згадку про чат-бот. (Якщо натиснути на рядок пошуку, можна побачити перелік усіх каналів та ботів, у які ви переходили).
Кеш є у кожної програми телефоні, його модна почистити вручну у налаштуваннях гаджету.
Яка є альтернатива Telegram?
Наприклад, Signal та WhatsApp. Вони використовують наскрізне шифрування. Це означає, що дані залишаються зашифрованими протягом усього часу передачі, навіть коли вони проходять через проміжні вузли, такі як сервери або роутери.
Signal надійний, каже Костянтин Корсун, але саме його існування на телефоні людини, що перебуває на окупованих теренах, викликає підозру. Цей месенджер часто використовують військові та спецслужби. WhatsApp підозр не викликає, але деякі його функції в окупації блокуються (зараз це дзвінки).
«Для розповсюдження інформації є WhatsApp, наприклад, який дуже популярний в Росії. І якщо ви знаходитеся на окупованій території, у вас є WhatsApp, то його існування на телефоні не викликає якихось там серйозних підозр», – роз'яснює Костянтин Корсун.
Також можна скористатись електронною поштою.
Скільки зусиль готові витратити російські спецслужби, щоб відшукати видалену інформацію?
Доступ до сайтів українських офіційних установ часто блокується на тимчасово окупованих територіях. Тож експерти радять використовувати VPN-сервіси.
Вони не дають відстежувати локацію та активність у мережі й дозволяють відвідувати ті сайти та соцмережі, роботі яких перешкоджає Росія. Зараз окупанти блокують і VPN, тому потрібно шукати ті, які все ще працюють. Але в жодному разі не використовуйте російські, пояснюють у Центрі стратегічних комунікацій.
Ось список тих застосунків, які рекомендує Держспецзв’язку:
Якщо є фінансова можливість, краще користуватися платними VPN-сервісами. Обов’язково завантажуйте додатки VPN з офіційних сайтів.
Також слід зважати, що наявність VPN на пристрої може викликати підозру. Якщо є загроза, що телефон перевірять, краще видалити такий застосунок після користування.
Тим, хто перебуває на тимчасово окупованих територіях, слід завжди пам'ятати про безпеку, каже Оксана Мороз.
«Будь-яка інформація, яка передається через месенджер, може бути зламана. І далі вже питання, наскільки той, хто зламує, буде мати достатньо часу і бажання зламувати вас. Чим більш чутливу інформацію ви передаєте, тим більша ймовірність, що хтось буде докладати більших зусиль для того, щоб її отримати», – пояснює експертка з інформаційної безпеки.
Усі способи захисту, про які йшла мова у цьому тексті, захищають від віддаленого втручання у листування з чат-ботами та несанкціонованих входів у акаунт. Також, вони захистять при огляді месенджерів, якщо телефон взяли для перевірки, приміром, на блокпості, або він випадково потрапив до чужих рук.
Але не можуть захистити від професійного втручання, якщо через підозру вилучать пристрій.
«Якщо вас схоплять і подивляться ваш телефон, то навіть якщо ви видалили якісь канали, видалили чати, повідомлення, це все можна відновити, якщо є хоч найменша підозра в тому, що ви проукраїнськи налаштований житель чи шпигун, грубо кажучи, то з вашого телефону дістануть все, що б там не було встановлено», – застерігає кіберекспертка.
ОСТАННІЙ ВИПУСК РАДІО ДОНБАС.РЕАЛІЇ:
Ми працюємо по обидва боки лінії розмежування. Пишіть нам на пошту Donbas_Radio@rferl.org, у фейсбук, телеграм або вайбер за номером +380951519505. Якщо ви пишете з окупованих територій, ваше ім'я не буде розкрите.
Форум