Если вы отвечаете за информационную безопасность в компании, где сотрудники активно используют мессенджеры для рабочих задач, у меня для вас не самые приятные новости. Совсем недавно в сообществе CTI-аналитиков активно заговорили об инструменте, который ставит под угрозу конфиденциальность переписки в принципе. Речь не о взломе шифрования, а о чем-то более простом и оттого более коварном — возможности отслеживать онлайн-статус и активность пользователя по номеру телефона. Да, даже в Signal. И это не теоретическая уязвимость, а вполне рабочий метод, основанный на особенностях протоколов доставки сообщений.
В этой статье я разберу, как работает этот механизм слежки, почему классические средства защиты бессильны, и что можно сделать уже сейчас, чтобы снизить риски для вашего бизнеса. Мы поговорим не только о технической стороне, но и о практических шагах по соответствию 152-ФЗ и реальным кейсам из моей практики аудита. Это та ситуация, когда понимание вектора атаки важнее, чем паника.
Как работает слежка через «тихие пинги»: разбираем механизм
Чтобы было понятнее, представьте старую телефонную станцию. Вы звоните на номер, трубку снимают, но молчат. Сам факт снятия трубки — сигнал. Вы кладете трубку и через минуту звоните снова. По тому, как быстро ее снимут, можно понять, находится ли человек рядом с аппаратом. Грубая аналогия, но суть передает точно.
В основе метода, подробно описанного исследователями из Венского университета, лежит анализ времени прохождения сигнала (RTT). Злоумышленник отправляет на устройство жертвы специальные служебные пакеты — те самые «пинги». Приложение, будь то WhatsApp или Signal, настроено подтверждать получение таких пакетов на сетевом уровне, еще до того, как пользователь (или сама программа) поймет, что это не настоящее сообщение. Уведомления не всплывает, в чате ничего не появляется. Но отклик уходит.
И вот здесь начинается самое интересное. Время этого отклика — величина непостоянная. Оно меняется в зависимости от состояния устройства. Смартфон на Wi-Fi ответит быстрее, чем на мобильной сети 4G. Устройство с активным экраном обработает запрос иначе, чем в спящем режиме. Если отправить серию таких запросов с высокой частотой, можно построить точный поведенческий профиль: когда человек спит (долгие отклики или их отсутствие), когда активно пользуется телефоном, когда перемещается между сетями.
На практике в SOC мы видели подобные аномалии в трафике корпоративных устройств, но списывали их на сбои синхронизации. Пока не столкнулись с целевым инцидентом у одного из клиентов из сферы ритейла. Оператор ИБ заметил подозрительную активность исходящего трафика с телефона топ-менеджера в нерабочее время — микро-сессии каждые несколько секунд. Оказалось, через этот канал выцеживали график его встреч и перемещений. Честно говоря, тогда мы потратили неделю на поиски сложного шпионского ПО, а причина была в «дырявом» протоколе мессенджера, который использовался для рабочих переговоров.
Почему это опасно для бизнеса: не только слежка за графиком
Казалось бы, ну и что? Узнали, когда сотрудник ложится спать. Но в корпоративном контексте риски куда серьезнее. Представьте, что злоумышленник, будь то конкурент или злоумышленник, хочет провести целевую фишинговую атаку. Знание точного времени, когда сотрудник активно пользуется телефоном (скажем, утром в поездке на работу), увеличивает шансы на успех фишинговой SMS или сообщения в том же мессенджере. Вы же с большей вероятностью откроете ссылку, когда устройство в руках, а не лежит на столе.
Есть и прямая техническая угроза. Постоянный поток фоновых запросов ведет к повышенному расходу батареи и трафика. Для компаний, которые выдают корпоративные мобильные устройства с лимитированными тарифами, это может вылиться в незапланированные расходы. Но куда важнее другой аспект — выполнение требований регуляторов.
Если через корпоративный мессенджер, который считается защищенным каналом связи, происходит утечка метаданных о активности сотрудника, это напрямую бьет по соблюдению 152-ФЗ в части защиты персональных данных. Фактически, без ведома субъекта ПДн собирается информация о его режиме работы и, возможно, передвижениях. С точки зрения ФСТЭК, особенно в свете требований к системам защиты информации, это является уязвимостью. И если ваша компания относится к КИИ или работает с гостайной, такие риски необходимо парировать в первую очередь.
Типичная ошибка многих SOC — фокусироваться только на содержании сообщений (DLP, анализ трафика на ключевые слова), полностью игнорируя метаданные. А ведь именно они часто становятся отправной точкой для сложных многоэтапных атак.
Что могут сделать разработчики и почему они молчат?
По правде говоря, ситуация с реакцией вендоров довольно показательна. На момент подготовки этого материала официальных патчей или заявлений от Meta (WhatsApp) и Signal Foundation не было. И этому есть объяснение. Проблема лежит глубоко в архитектуре протоколов доставки сообщений, которые ищут компромисс между скоростью, надежностью и конфиденциальностью.
Чтобы гарантировать, что сообщение дойдет даже при нестабильном соединении, клиент должен быстро подтверждать получение пакетов. Изменить эту логику — значит перепроектировать ядро мессенджера, что может повлиять на пользовательский опыт миллионов людей. Это дорого и сложно. Однако в сообществе специалистов по кибербезопасности уже предлагаются обходные пути: например, введение случайных задержек в отправке служебных подтверждений или их пакетная отправка, что смазывает временной профиль и делает RTT-анализ неточным.
Но полагаться только на добрую волю разработчиков — стратегия проигрышная. На практике мы должны исходить из текущего положения дел: уязвимость есть, эксплойты в дикой природе, значит, нужны контрмеры на нашей стороне.
Практические шаги защиты: от простого к сложному
Итак, что делать, если вы CISO или руководитель направления ИБ? Выбрасывать смартфоны и переходить на курьерские голуби — не вариант. Нужен системный подход.
- Осознать и классифицировать риск. Внесите эту уязвимость в реестр рисков вашей компании. Оцените, для каких ролей (топ-менеджмент, сотрудники R&D, финансового блока) она наиболее критична. Это поможет сфокусировать ресурсы.
- Сегментировать трафик. Корпоративные устройства, особенно выданные сотрудникам с доступом к критической информации, не должны использовать мессенджеры в публичных сетях Wi-Fi без защищенного VPN. Причем VPN должен туннелировать весь трафик устройства, а не только отдельные приложения. Это затруднит точное определение сетевых параметров для атакующего.
- Рассмотреть альтернативы. Для внутренней коммуникации оцените возможность перехода на корпоративные мессенджеры, которые позволяют администратору контролировать и настраивать параметры сетевого взаимодействия. Есть российские и зарубежные решения, где протоколы доставки можно модифицировать под политики безопасности компании.
- Мониторить аномалии. Настройте в своей SIEM правила, отслеживающие подозрительную исходящую активность с мобильных устройств: периодические микро-подключения к одним и тем же внешним адресам (серверам мессенджеров) в нерабочее время, необъяснимый рост фонового трафика. Это сложно, но возможно.
- Обновлять политики. Внесите в политики безопасности раздел, регламентирующий использование мессенджеров для рабочих коммуникаций. Ограничьте круг лиц, которые могут использовать WhatsApp или Signal для обсуждения чувствительных вопросов, даже с клиентами. Информируйте сотрудников об угрозе — часто само знание о такой возможности слежки меняет поведение.
Из практики наших проектов: для одного из банков мы внедрили решение по фильтрации трафика на уровне сетевого шлюза, которое детектирует и блокирует слишком частые служебные запросы к известным адресам мессенджеров, выходящие за рамки нормального поведения. Это не панацея, но серьезно повысило порог входа для злоумышленника.
Законодательный контекст и ваша ответственность
В России защита персональных данных и критической информационной инфраструктуры регулируется строго. 152-ФЗ обязывает оператора принимать меры, соответствующие актуальным угрозам. Игнорирование публично известной уязвимости, которая может привести к утечке ПДн (а график активности — это персональные данные), может быть расценено как невыполнение этих обязанностей.
Для объектов КИИ требования еще жестче — приказ ФСТЭК № 239 диктует необходимость защиты от утечки по техническим каналам. Постоянный фоновый обмен метаданными с внешними серверами — такой канал. Специалисты по кибербезопасности в таких организациях обязаны прорабатывать и такие сценарии.
Это как с проводкой в старом доме: пока не искрит, все думают, что она безопасна. Но один перегруз — и пожар. Постоянный мониторинг угроз, даже тех, что кажутся малозначительными, это и есть работа SOC и CTI-подразделений.
Выводы
Угроза слежки через мессенджеры — это не страшилка, а реальный инструмент, который уже используется. Он обходит стандартные средства шифрования и фокусируется на фундаментальных принципах работы сети.
Главный вывод для специалиста: безопасность — это протокол. Не только криптографический, а весь стек взаимодействия. Нужно смотреть глубже красивого интерфейса с замком. Защита информации в 2025 году требует понимания, что даже метаданные — это уязвимость, которая может быть использована в цепочке сложной атаки.
Рекомендация простая: действуйте на опережение. Не ждите, пока в вашем инциденте появится строчка «использована уязвимость протокола Signal». Оцените риски, обновите политики, настройте мониторинг. И, конечно, продолжайте следить за исследованиями — мир киберугроз не стоит на месте.
Нужна помощь?
Если вам требуется оценить риски такого вектора атаки для вашей компании, разработать дорожную карту по защите или провести аудит мобильных устройств, оставьте заявку на бесплатную консультацию на нашем сайте: [Перейти на сайт]
Мы подготовим чек-лист, дорожную карту и коммерческое предложение. Для первых пяти заявок в месяц — расширенный аудит мобильной безопасности в подарок. Работаем с банками, ОКИИ и госкорпорациями.