В мае 2024 года Минюст США отчитался о ликвидации ботнета 911 S5. Сеть набрала больше 19 млн уникальных IP-адресов, а вредонос раздавали под видом бесплатных VPN — среди них MaskVPN и DewVPN. Владельцы заражённых устройств не подозревали, что через их домашний IP идёт чужой трафик: регистрации фейковых аккаунтов, мошеннические заявки, обход антифрода. Историю с санкциями и арестом организатора подробно разобрал SecurityLab.
Любой бесплатный ключ или незнакомое VPN-приложение делает одну вещь: забирает контроль над трафиком у вашего провайдера и отдаёт владельцу VPN-сервера. Тот при подключении видит ваш настоящий IP, время и длительность сессии, объём данных, адреса серверов на выходе и DNS-запросы. Содержимое страниц и пароли при честном HTTPS он читать не должен — но по метаданным восстанавливается изрядная часть того, чем вы заняты в сети.
Что именно видит оператор VPN-сервера
VPN никого не анонимизирует. Он переносит точку наблюдения. Домашний провайдер или владелец Wi-Fi теперь видит лишь факт подключения к VPN-серверу и теряет конкретные адреса. Зато сам оператор туннеля встаёт в середину маршрута и спокойно фиксирует, куда уходят соединения.
Отдельный пласт — DNS. Когда VPN гонит запросы через свои резолверы, оператор знает домены, к которым обращается устройство. Если конфигурация допускает утечку, часть запросов вообще уплывает мимо туннеля к стороннему DNS. HTTPS прикрывает то, что внутри — формы входа, переписку, банковские операции, — но домен, IP, время и объём остаются как на ладони.
Пример простой. Человек вечером поднимает VPN, заходит в банк, потом на медицинский сервис, смотрит авиабилеты, открывает почту. Документы внутри сервисов оператор не прочитает. А вот последовательность обращений увидит и привяжет её к вашему реальному IP. Федеральная торговая комиссия США в своих советах напоминает банальное: VPN-приложению вы отдаёте весь сетевой трафик устройства, поэтому стоит проверять разрешения и политику передачи данных.
Почему бесплатный ключ — отдельная история
Ключ приходит строкой, QR-кодом, ссылкой для импорта или файлом конфигурации. Подключиться просто. А вот кто держит сервер, пишет ли логи, какой прописан DNS, как настроены маршруты и сколько ещё проживёт эта инфраструктура — не видно.
Конфигурация способна завернуть в туннель весь трафик, подсунуть чужой DNS, пропустить через себя только часть соединений или работать на угнанной учётке платного сервиса. Если ключ выловлен из канала, форума или публичного списка, владелец сервера вам неизвестен. Сегодня узел работает как обычный выход в интернет. Завтра хозяин включает логирование, продаёт доступ, меняет DNS или просто гасит сервер без предупреждения.
Особый жанр — «премиум-ключи», которые кто-то щедро раздаёт бесплатно. Часто это краденый, временный или специально сделанный для сбора аудитории профиль. Заблокируют учётку — отвалятся разом все, кто на ней сидел.
Как бесплатные VPN-приложения зарабатывают
Честная бесплатная модель почти всегда показывает ограничения: режут скорость, лимитируют трафик, число стран или устройств, а живут на платных тарифах. Тревожно, когда обещают безлимит без оплаты, регистрации, рекламы и хоть какой-то понятной бизнес-логики. В такой схеме платите вы — данными, рекламным профилем или своим IP как сетевым ресурсом.
| Признак | Скорее честная модель | Повод насторожиться |
|---|---|---|
| Ограничения | Видны: лимит трафика, скорость, страны | Безлимит без объяснений |
| Деньги | Платные тарифы, понятный владелец | Источник дохода не назван |
| Разрешения | Только сетевой доступ | Контакты, SMS, геолокация, список приложений |
VPN-клиенту на смартфоне система выдаёт право пропускать через себя сетевой трафик — без этого туннель не работает. А вот доступ к контактам, геопозиции, уведомлениям, SMS, списку установленных приложений или файлам базовому соединению не нужен. Часть приложений вообще не трогает туннель: данные утекают через лишние разрешения и встроенную аналитику — модель устройства, рекламный идентификатор, язык, сеть, события интерфейса.
Подмена DNS и фишинг через туннель
Владелец сервера может пустить DNS через свою инфраструктуру — и тогда он видит домены, а при желании уводит пользователя на поддельные ресурсы. Современный HTTPS грубую подмену настоящего банковского сайта ломает: браузер проверит сертификат и предупредит. Но мошенники чаще берут другим — похожими доменами, промежуточными страницами, рекламными редиректами, фальшивыми формами входа и страницами «скачать приложение».
Риск подскакивает, если вы сами поставили профиль доверия, сертификат или приложение с расширенным доступом к трафику. В корпоративной среде так контролируют устройства легально. В безымянном бесплатном VPN тот же механизм даёт оператору шанс вскрывать защищённые соединения.
Когда устройство становится прокси-узлом
В третьем квартале 2024 года, как сообщал Kaspersky, число пользователей, наткнувшихся на приложения, прикидывающиеся бесплатными VPN, выросло в 2,5 раза по сравнению со вторым кварталом — и волна продолжилась в четвёртом. Часть таких программ компания относит к вредоносной или потенциально опасной.
Самый тяжёлый расклад — когда телефон превращают в прокси. Чужие запросы выходят в сеть через ваш домашний или мобильный IP, и для внешних сервисов это выглядит как активность обычного пользователя. Ровно по этой схеме работал тот самый 911 S5: больше 19 млн адресов, доступ к которым продавали другим преступникам. Через подобные прокси проводят мошенничество, массовые регистрации, обход антифрода, сканирование чужих ресурсов. Для сервиса источник — нормальный residential IP. Для хозяина устройства — блокировки, проверки и попадание адреса в репутационные списки.
Платный VPN — не индульгенция
Подписка убирает мотив прятать монетизацию, но безопасность не гарантирует. Провайдер может вести логи, держать дырявую инфраструктуру, арендовать непрозрачные серверы или писать политику приватности так, что из неё ничего не понятно.
В 2024 году вышло исследование Bad Neighbors: авторы автоматически проверили, как VPN-сервисы фильтруют трафик к своим внутренним сетям, и у большинства протестированных провайдеров нашли слабую фильтрацию — вплоть до риска достучаться до внутренних сетей. Перед выбором смотрят на владельца, юрисдикцию, историю компании, политику логов, независимые аудиты и состав разрешений приложения. Формула «no logs» сама по себе не говорит, какие технические данные сервис всё-таки собирает и сколько их хранит.
Что проверить перед использованием ключа
- Владелец сервера. Ключ из безымянного канала или публичного списка — значит, правила логов и DNS вам никто не покажет.
- Конфигурация. Какие маршруты уходят в туннель, какой прописан DNS, заворачивается ли весь трафик или часть остаётся снаружи, какие протоколы и параметры.
- Разрешения. Клиенту для базовой работы не нужны контакты, SMS, микрофон, фото, уведомления и геолокация. Лишнее — это лишние данные у разработчика.
- Утечки. После подключения прогоните внешний IP, DNS и WebRTC через BrowserLeaks, IPLeak или DNSLeakTest. Аудит это не заменит, но грубые ошибки маршрутизации поймаете.
Неизвестный бесплатный VPN не стоит ставить на основной телефон, где банк, почта, рабочие аккаунты и документы: один клиент получает слишком широкое положение в системе. Для разовой задачи разумнее взять ограниченный тариф известного провайдера, отдельный профиль браузера или отдельное устройство. Банк, корпоративную почту, админ-панели, госуслуги и платёжные формы через сомнительный туннель лучше не открывать вовсе. Для постоянной работы подойдёт проверенный коммерческий сервис или собственный сервер — он тоже оставляет следы у хостера и требует обновлений, но убирает неизвестного посредника. И включайте kill switch с защитой от DNS-утечек, а автоподключение к случайным серверам отключите.
Где проходит граница возможностей VPN
VPN прячет часть активности от локальной сети и провайдера, меняет внешний IP и помогает обойти сетевые ограничения. Он не стирает cookies, отпечаток браузера, входы в аккаунты, платёжные данные, номер телефона и поведенческие признаки. Сайт всё равно видит IP выходного сервера; при входе связывает активность с профилем; при оплате получает реквизиты; в одном браузере остаются локальные идентификаторы.
В WireGuard, OpenVPN, Outline, Shadowsocks, VLESS и прочих схемах именно ключ или конфигурация задают сервер, параметры соединения, DNS и маршруты. В публичных профилях всё это выставил тот, кого вы не знаете, — и проверить его слова нечем.
Дисклаймер. Материал носит справочный характер и не призывает обходить ограничения доступа. Используйте VPN ответственно и в рамках закона — в России действуют нормы об ограничении доступа к части сервисов и об ответственности за их обход; перед применением любых инструментов оцените правовые риски в своей юрисдикции.
FAQ
Видит ли владелец бесплатного VPN мои пароли?
При честном HTTPS — нет: содержимое шифруется между приложением и сервисом. Но он видит домены, IP, время и объём трафика, а при подмене DNS или установленном вами сертификате доступа становится больше.
Бесплатный VPN = вредоносный?
Не всегда. Честная бесплатная модель имеет видимые ограничения и живёт на платных тарифах. Опасны схемы с безлимитом без оплаты и понятного источника дохода, а также ключи из неизвестных источников.
Чем опасен «премиум-ключ», который раздают даром?
Часто это краденый или временный профиль на одной учётке. Её заблокируют — доступ потеряют сразу все подключённые, плюс вы не знаете, кто и что фиксирует на сервере.
Как понять, что устройство гоняет чужой трафик?
Прямых индикаторов мало: косвенно — внезапные блокировки и капчи на сервисах, попадание IP в репутационные списки, незнакомые сетевые приложения с системным доступом к трафику. Сценарий с прокси-ботнетом 911 S5 как раз про это.
Свой сервер безопаснее?
Он убирает неизвестного посредника, но не делает вас невидимым: следы остаются у хостера, а сервер нужно обновлять и настраивать самому, иначе появятся утечки DNS и ошибки маршрутизации.
