Какой бы надежный способ передачи информации вы ни выбрали, с точки зрения безопасности лучше использовать несколько каналов связи, разрывая ее целостность. Например, если вам надо передать комбинацию логин и пароль, логин вы передаете одним путем, пароль – другим. В данном случае вам помогут сервисы одноразовых записок.
Один из самых популярных сервисов – Privnote. Privnote – сервис, позволяющий создавать одноразовые записки, удаляющиеся после прочтения. Использовать Privnote очень просто: вы создаете заметку, получаете ссылку для одноразового прочтения и передаете ее собеседнику.
Хотя это старый и авторитетный сервис, мы не будем доверять ему всю информацию, его задача лишь разорвать информационную цепочку. Таким образом, ни у Privnote не будет целостной информации, ни в переписке ее не останется.
Обратите внимание на ссылку: она представляет собой адрес сайта/идентификатор заметки#клиентский ключ. Клиентский ключ хранится в ссылке в виде anchor, или по-русски – якоря. Anchor – часть url, которая идет после # в ссылке и никогда не передается на сервер (rfc по url http://www.faqs.org/rfcs/rfc1808.html, раздел 2.4.1). Браузер эту часть ссылки не отправляет, а сервер не принимает, в итоге клиентский ключ не покидает пределы компьютера клиента без его желания. Владельцы Privnote теоретически не могут расшифровать вашу заметку.
Приведу пример практического использования сервиса Privnote. У вас есть задача передать номер телефона человека и информацию, чтобы в переписке не осталось ценных данных. Вы отправляете собеседнику следующее: «Завтра обязательно позвони https://privnote.com/9qn1wkwq#Kuz62vdzL Иван». При переходе по ссылке собеседник видит записку.
Другой пример. Вам необходимо передать конфиденциальные данные для подключения к серверу. Например, порт, IP-адрес и логин вы отправляете прямым текстом через мессенджер Телеграм, а пароль передаете в виде записки Privnote. Вы отправляете следующее: “111.11.111.111 порт 17893 логин root пароль https://privnote.com/9qn1wkwq#Kuz62vdzL".
Даже если между вами есть третье лицо, читающее ваши переписки, это станет заметно, так как получатель не сможет открыть ранее прочитанную записку сервиса одноразовых записок.
При попадании переписки в руки недоброжелателей, например при краже или взломе устройства, они не смогут восстановить ее полное содержание, потому как записка Privnote удаляется сразу после прочтения.
Privnote очень популярен у шантажистов именно из-за отсутствия доказательств после прочтения записки. Чтобы в переписке не оставалось даже ссылок на Privnote, они используют сервисы коротких ссылок вроде bit.ly. Короткая ссылка впоследствии удаляется через сервис, где она создавалась, и в итоге в переписке у жертвы остается только нерабочая ссылка сервиса коротких ссылок. С такими доказательствами в полицию не пойдешь.
Совет
Разрывайте целостность информации с помощью одноразовых заметок Privnote или аналогичных сервисов.Для большей безопасности Privnote позволяет защитить записки паролем, это можно сделать в настройках записки при ее создании. Пароль к записке следует передавать альтернативным каналом, например по телефону, если вы его отправите вместе с остальной информацией, особого толка в нем не будет. Обязательно добавьте этот инструмент в закладки своего браузера и начинайте использовать его.
Завершая статью, я хотел бы обратить внимание на один очень важный момент. Получая записку Privnote, не многие ждут подвоха, однако внимательность терять не следует. Не так давно по сети прошла фишинговая атака с использованием поддельного сайта Privnote. Оригинальный сайт Privnote - privnote.com, жертва же получала ссылку на сайт privnote.cc, специально созданный мошенниками для фишинговых атак.
Мошенник писал жертвам в мессенджере Telegram, в основном продавцам на различных форумах даркнета и сервисам обмена электронных валют и криптовалют, начинал с ними деловые переговоры, договаривался о сделке и передавал информацию об оплате через поддельный сайт Privnote.
Жертва открывала ссылку, и визуально все выглядело, как при открытии обычной ссылки Privnote.
Однако при попытке прочесть записку жертва получала информацию, что ссылка заблокирована мессенджером Telegram и для прочтения надо авторизоваться. Если жертва вводила свои авторизационные данные, они незамедлительно утекали к злоумышленнику.
Далее злоумышленник входил в Telegram аккаунт жертвы и начинал принимать средства от клиентов.
