Безопасность в Telegram: как защититься от мошенников и стоит ли использовать мессенджер для обмена чувствительной информацией
Доступ к данным в Telegram может быть интересен как злоумышленникам, так и спецслужбам
Мессенджер Telegram — одно из самых популярных приложений в России. Согласно данным Mediascope в декабре 2024-го мессенджером ежедневно пользовались 53% россиян старше 12 лет, хотя бы раз в месяц заходили 72%. Хотя для личной переписки популярнее WhatsApp, пользователи проводят в телеграме больше времени, читая новости и развлекательные медиа, играя в игры и заказывая услуги.
Чтобы не пропустить новые тексты «Вёрстки», подписывайтесь на наш телеграм-канал
Средний россиянин проводит в приложении 45 минут в день, почти пятую часть от ежедневного проводимого времени в мобильном интернете. Насколько безопасно и приватно это время? Как не потерять свои данные и доступ к своему аккаунту? И что делать, если вас всё-таки взломали? В этом совместно с экспертом «Роскомсвободы» разбиралась «Вёрстка».
Насколько безопасен телеграм? Могут ли его читать спецслужбы?
На многие вопросы о безопасности Telegram честный ответ был бы «мы не знаем». Telegram неохотно раскрывает информацию о том, как устроена работа мессенджера в техническом плане, а также как компания Дурова взаимодействует с властями.
Российское законодательство требует от сервисов хранить внутри страны данные пользователей и их переписку и предоставлять её по запросу спецслужб, никому не сообщая об этом. Мессенджер утверждает, что не подчиняется этому требованию — из-за этого его даже пытались заблокировать в 2018 году.
На неохотные ответы телеграма жаловались и западные спецслужбы. Однако ситуация начала резко меняться после ареста основателя мессенджера Павла Дурова во Франции в августе 2024 года. С января по сентябрь того года мессенджер ответил на 14 запросов американских властей. За октябрь — декабрь — на 886, следует из отчётности поисковика, изученной 404 media.
Больше ответов стало и на европейские запросы, писала Figaro. Насколько чаще стали отвечать на запросы властей из России, неизвестно. Официальный бот телеграма сообщает, что с января по сентябрь 2024 года не было исполнено ни одного запроса из России. Однако в России формально запрещено раскрывать такие данные.
Как шифруется информация в телеграме? Имеет ли Дуров доступ к моей переписке?
Telegram достаточно надёжен для повседневного общения, но ряд особенностей его архитектуры вызывает обеспокоенность у экспертов в сфере защиты информации, — рассказывает «Вёрстке» эксперт «Роскомсвободы».
По умолчанию мессенджер использует базовое, так называемое транспортное, шифрование. Сообщения шифруются у отправителя, расшифровываются на сервере, вновь шифруются и отправляются получателю. Это удобно и позволяет пользователю моментально получать историю переписки сразу на всех своих устройствах. Однако в этом случае интернет-провайдер и связанные с ним структуры могут приблизительно понимать — с кем общается пользователь, хотя и не могут прочитать переписку.
Однако сам факт сохранения сообщений на серверах компании создаёт гипотетический риск того, что к переписке могут получить доступ посторонние люди. К примеру, о получению доступа к своей переписке администрацией мессенджера в 2017 году рассказывал один из бывших сотрудников Telegram Антон Розенберг. По его словам, технический директор компании мог удалить его переписку с сервера. Гипотетически это означает, что он мог иметь к ней полный доступ. (Павел Дуров тогда заявлял, что Розенберг работал не в самом Telegram, а в компании-подрядчике и искажал факты из-за финансового и юридического конфликта). Впрочем, хранящиеся на серверах мессенджера сообщения пока что не всплывали в уголовных делах.
В Telegram также предусмотрена возможность включить более надёжное сквозное шифрование, когда мессенджер сам не имеет доступа к переписке. Для этого необходимо создать «секретный чат».
Также правозащитники отмечают, что у многих мессенджеров есть общая уязвимость — сохранение копии переписок в облаке устройства, например, в iCloud или на OneDrive. Спецслужбы могут получить к информации в облачном хранилище по решению суда.
В Telegram не нужно знать телефон контакта, достаточно никнейма. Это позволяет сохранять определённую анонимность. Однако базы, хранящие данные из утечек, позволяют сопоставлять использующиеся в телеграме никнеймы с номерами телефонов. Сейчас в индустрии компьютерной безопасности принято считать, что система, желающая сохранить анонимность пользователя, не может быть привязана к номерам телефонов.
Из плюсов мессенджера стоит выделить и то, что в телеграме можно удалять сообщения у обоих участников переписки. Эта функция полезна, когда нужно удалить из переписок чувствительную информацию. Хотя, конечно же, ваш собеседник может сделать скриншот экрана или сфотографировать его на другое устройство.
Мне нечего скрывать, зачем мне думать о безопасности?
Атакой на информацию занимаются не только спецслужбы, но и скамеры, и мошенники. Они могут охотиться на платёжную информацию, либо пикантные видео и фото. Также, получив контроль над аккаунтом, они пытаются выманить деньги у родственников и друзей жертвы.
Четыре базовых правила цифровой гигиены, которые пригодятся и в Telegram
— Введите в поисковик запрос «как выглядит фишинг в телеграме» и прочитайте истории о нём, насмотренность позволяет насторожиться, когда вы встречаете похожие схемы. Просто прочитайте 10 таких историй. Время от времени читайте снова.
— Отключите возможность звонков для пользователей, которых нет в вашем контакт-листе («Настройки» — «Конфиденциальность» — «Звонки» — «Кто может мне звонить»). Одновременно лучше установить на телефон блокировщик спам-звонков.
— Не верьте странным сообщениям друзей и знакомых. Посмотрите рилсы или тиктоки с дипфейками, помните, что мошенник может выдать себя не только за Бреда Питта, но и за вашего начальника или близкого человека.
— Не регистрируйтесь на сомнительных сервисах с основной электронной почты, меняйте пароли, используйте в мессенджерах псевдоним, отличный от того, что обычно используете в сети.
Что можно сделать, чтобы обезопасить себя от взлома?
Прежде всего установить двухфакторную авторизацию, облачный пароль. Это делается в настройках, раздел «Конфиденциальность». Пароль не должен быть слишком простым и не должен использоваться в других местах. В то же время лучше не делать его незапоминаемым, так можно потерять доступ к своему же аккаунту. Идеальный вариант — хранить пароль от мессенджера в специальных программах для хранения паролей: например, 1Password, Bitwarden, либо встроенную в операционную систему программу, например, «Пароли» на технике Apple (Аналогичные сервисы имеют и Google и Microsoft, однако эксперты считают их менее надёжными).
Кроме того, необходимо периодически проверять список подключённых устройств. («Настройки» — «Устройства»). Там должны находиться только те устройства, которыми вы регулярно пользуетесь. Лишние удаляйте.
Не показывайте свой номер посторонним людям («Настройки» — «Конфиденциальность» — «Номер телефона». Ограничьте список проверенными контактами и время от времени очищайте его. Не забывайте удалять людей, которые по какой-то причине сменили номер телефона, потеряли его, уехали из страны или умерли.
Передавать важную информацию лучше в секретных чатах. Выберите контакт в списке, перейдите на него и нажмите на кнопку «начать секретный чат». Этот чат сохраняется только на устройствах, с которого вы ведёте беседу, и у ваших собеседников. Он не хранится на сервере телеграма. По завершении разговора его можно удалить.
Можно установить таймер автоматического удаления чатов («Настройки» — «Конфиденциальность» — «Автоудаление сообщений»). «Ставить таймер в пять минут — это ужасно неудобно, — отмечает эксперт „Роскомсвободы“ в беседе с „Вёрсткой“. — Я даже не знаю людей, которые живут с пятью минутами. Но я знаю многих, кто устанавливает таймер в неделю или в 48 часов».
Удаляйте время от времени старую переписку. Правилом хорошего тона будет заранее предупредить об этом собеседника: в истории сообщений может быть что-то, ценное и для него тоже.
Если я удалил сообщение из чата, значит его нельзя восстановить?
Это значит, что его сложнее восстановить, говорит эксперт «Роскомсвободы». Если телефон с удалённым сообщением возьмёт в руки ребёнок, для него этого сообщения не будет существовать. А вот специалисты по кибербезопасности потенциально могут его извлечь.
Дело в том, что сообщение может храниться сразу в нескольких местах: на сервере Telegram, на ваших устройствах, как подключённых к сети, так и нет, а также на всех устройствах вашего собеседника. Данные могут работать с разными клиентами мессенджера, на разных операционных системах, в разных часовых зонах. Это даёт шанс восстановить удалённые сообщения.
Что делать, если Telegram всё же взломали?
Прежде всего, не паникуйте. Задача человека, который столкнулся со взломом, спокойно и быстро отреагировать на угрозу.
Если вы сохраняете доступ к аккаунту, посмотрите список подключённых устройств. Сохраните снимок экрана, где будет видно незнакомое устройство, — это поможет позднее разобраться, что произошло.
Удалите все неизвестные устройства или все, кроме того, которым вы пользуетесь сейчас. Некоторое время после получения доступа к системе злоумышленник не имеет возможности менять ключевые настройки.
Обратитесь к технически подкованному знакомому. В том числе показав ему сделанные скриншоты.
Предупредите знакомых, они должны знать, что от вашего имени теперь может разговаривать интернет-преступник.
28 января «Роскомсвобода» продолжит разговор о безопасности телеграма на конференции Privacy Day 2025. Эксперты в сфере информационной безопасности, правозащитники и журналисты обсудят, как пользоваться преимуществами мессенджера, может ли читать ваши сообщения администрация сервиса или спецслужбы, как уберечься в нём от атак и есть ли альтернативные сервисы, подходящие для бизнеса, СМИ и активизма.
Ранее «Вёрстка» рассказывала, как обойти блокировки Роскомнадзора и получить доступ к запрещённым в России ресурсам, как выбрать VPN для безопасного общения в сети и как обойти блокировку YouTube.
Обложка: Дмитрий Осинников
Поддержать «Вёрстку» можно из любой страны мира — это всё ещё безопасно и очень важно. Нам очень нужна ваша поддержка сейчас. Как нам помочь →