Бесплатное VPN-расширение для браузера выглядит безобидно: нажал кнопку, выбрал страну, открыл недоступный сайт. На практике такой плагин часто работает как прокси для браузера или как урезанный VPN, который маршрутизирует только веб-трафик. Цена бесплатности может прятаться в правах доступа: расширение управляет прокси-настройками, видит вкладки, читает данные на сайтах, внедряет скрипты, следит за буфером обмена и собирает поведенческую аналитику.
Главная опасность не в слове VPN, а в месте, где живёт расширение. Браузер хранит почту, банк, CMS, облачные документы, рекламные кабинеты, рабочие панели, веб-версии мессенджеров и менеджер паролей. Если пользователь добавил туда неизвестный бесплатный «разблокировщик», плагин оказался рядом с самыми ценными данными. Официальный магазин Chrome или Firefox снижает риск, но не гарантирует безопасность. Вредоносное поведение часто появляется не в первой версии, а через обновление, когда расширение уже набрало аудиторию и доверие.
Как такие расширения работают
Большинство бесплатных плагинов для доступа к недоступным сайтам используют один из трёх подходов. Первый - обычный HTTP или SOCKS-прокси. Расширение меняет настройки браузера, и запросы уходят через промежуточный сервер. Второй - VPN только внутри браузера. В описании может стоять слово VPN, но игры, Telegram Desktop, почтовые клиенты, системные обновления и другие приложения продолжают работать напрямую. Третий - гибридная схема, где плагин сам выбирает домены для проксирования, часть трафика оставляет напрямую, а поверх добавляет аналитику, рекламу или «защиту от угроз».
Системный VPN и браузерное расширение работают на разных уровнях. Системный VPN поднимает туннель на уровне операционной системы и может вести через него трафик разных приложений. Браузерное расширение живёт ближе к вкладкам, DOM, формам, localStorage, sessionStorage, URL и скриптам. Такому плагину не нужно ломать HTTPS на сетевом уровне, если пользователь уже дал право читать и менять данные на сайтах. Браузер расшифровал страницу, а расширение с широкими правами работает с содержимым уже внутри вкладки.
Разрешение «читать и изменять данные на всех сайтах» нельзя воспринимать как техническую формальность. Такой доступ может открыть содержимое веб-почты, облачных таблиц, CMS, CRM, тикетов, банковских форм и внутренних панелей. Не каждый плагин с таким правом ворует данные, но право даёт техническую возможность. Для простого прокси обычно достаточно куда более узких разрешений.
С cookie и токенами тоже есть нюанс. Расширение не всегда может прочитать любые cookie: например, HttpOnly cookie защищены от JavaScript на странице. Но широкий доступ всё равно опасен. Плагин может видеть текст страницы, поля форм, параметры URL, одноразовые коды, ссылки, данные в localStorage и sessionStorage, а при дополнительных разрешениях работать и с cookie через API браузера. Для захвата аккаунта злоумышленнику не всегда нужен пароль. Иногда хватает токена, кода подтверждения, приватной ссылки или скопированного API-ключа.
Материал предназначен для легального и ответственного использования. Читателю нужно соблюдать законы своей страны, особенно России, а также правила сервисов, работодателя и сетей, которыми он пользуется. Такие инструменты нельзя применять для несанкционированного доступа, слежки, взлома, нарушения правил платформ или незаконного обхода блокировок.
Публичные кейсы, где бесплатный VPN работал против пользователя
Теоретические риски уже стали публичными инцидентами. SecurityLab описывал несколько случаев, где бесплатные VPN, расширения и мобильные приложения собирали лишние данные, крали содержимое буфера обмена, делали скриншоты или раскрывали журналы подключений. Не каждый случай равен классическому трояну, но каждый показывает одну и ту же проблему: пользователь отдаёт доверие продукту, который обещает приватность, а получает новый канал наблюдения.
| Кейс | Что обещал продукт | Что пошло не так | Главный риск |
|---|---|---|---|
| VPN Go | Бесплатный VPN для Chrome и Firefox | Расширения после обновлений добавили чтение буфера обмена и отправку скопированного текста на серверы злоумышленников | Пароли, MFA-коды, API-ключи, токены, seed-фразы, приватные ссылки |
| FreeVPN.One | Бесплатный VPN для Chrome с функцией AI Threat Detection | Расширение делало скрытые скриншоты страниц и отправляло их вместе с данными о посещённых сайтах | Почта, банки, документы, фото, переписка, рабочие панели |
| Airplane Accelerates | Бесплатный VPN-сервис | В открытом доступе нашли 626 ГБ журналов VPN-подключений с 5,7 млн записей, а приложение запрашивало избыточные разрешения | Деанонимизация пользователей, история подключений, IP-адреса, домены, временные метки |
| SuperVPN, GeckoVPN, ChatVPN | Бесплатные VPN-приложения | В сеть утекли данные 21 млн пользователей, включая email, платёжные данные и сведения о премиум-аккаунтах | Фишинг, подбор атак по стране, связка личности с VPN-аккаунтом |
| Hola | Бесплатный VPN и доступ к сайтам через сеть пользователей | Бесплатная модель опиралась на перепродажу пропускной способности через связанную сеть | Чужой трафик мог идти через IP-адрес пользователя |
VPN Go хорошо показывает, почему обновления расширений опасны. Первая версия могла выглядеть как обычный прокси-инструмент, а вредоносная логика появилась позже. Расширение регулярно читало буфер обмена и отправляло новые фрагменты текста наружу. Пользователь сам копирует пароль из менеджера, код многофакторной аутентификации, API-токен, seed-фразу или адрес криптокошелька, а плагин забирает данные почти без видимых признаков атаки.
FreeVPN.One показывает другой сценарий. Расширение не ограничилось маршрутизацией трафика. По данным исследователей, плагин делал скриншоты страниц и отправлял их на удалённый сервер. Скриншот опаснее обычного списка доменов, потому что захватывает уже расшифрованное содержимое страницы: письма, таблицы, банковские формы, фотографии, внутренние документы и интерфейсы рабочих сервисов. Пользователь мог видеть привычную иконку VPN и не понимать, что каждая открытая вкладка превращается в снимок для чужого сервера.
Airplane Accelerates показывает риск со стороны самого VPN-сервиса. В открытом ElasticSearch нашли 626 ГБ журналов с 5,7 млн записей. В таких логах были идентификаторы пользователей, IP-адреса, адреса назначения, доменные имена и временные метки. Для сервиса, который обещает скрывать активность, такой набор выглядит разрушительно: журналы можно использовать для деанонимизации, построения профиля и проверки, кто, когда и куда подключался.
Истории SuperVPN, GeckoVPN и ChatVPN не доказывают, что сами приложения изначально создавались как шпионское ПО, но хорошо показывают другой класс риска. Даже если VPN не ворует данные намеренно, слабая инфраструктура и плохая защита базы превращают сервис в источник утечки. Пользователь ставит приложение ради приватности, а через год его email, платёжные данные и сведения об аккаунте лежат в Telegram или на теневом форуме.
Hola добавляет ещё один неудобный слой. Бесплатность может опираться не на рекламу и не на продажу аналитики, а на использование канала связи пользователя. Если устройство становится узлом сети, чужие запросы могут выглядеть как активность с домашнего IP-адреса. Для обычного человека это капчи, блокировки и подозрительная репутация адреса. Для корпоративного ноутбука такой сценарий уже похож на инцидент внутри периметра.
Какие данные может увидеть плагин
Браузерное VPN-расширение с широкими правами может увидеть гораздо больше, чем внешний IP. В зоне риска оказываются URL с параметрами, названия вкладок, формы входа, текст писем, сообщения в веб-мессенджерах, содержимое облачных документов, данные CRM, тикеты, внутренние ссылки, токены в веб-хранилищах и скопированные секреты. Даже без чтения пароля напрямую плагин может получить достаточно информации для атаки на аккаунт.
Отдельно опасен буфер обмена. Пользователи часто копируют туда пароли, одноразовые коды, приватные ссылки, SSH-ключи, API-токены, seed-фразы и адреса кошельков. Буфер обмена кажется временным, но для вредоносного расширения временности хватает. Плагин может проверять буфер несколько раз в секунду и отправлять наружу только новые фрагменты.
Расширение также может вредить без прямой кражи паролей. Плагин способен подменять поисковую выдачу, вставлять рекламу, менять партнёрские ссылки, открывать фишинговые страницы, ломать сайты, менять прокси-настройки и вызывать ошибки соединения. Пользователь видит странный редирект, капчу или сбой, но не связывает проблему с давно установленным VPN-плагином.
Есть риск репутации IP. Бесплатные VPN часто используют перегруженные адреса дата-центров, через которые одновременно ходят тысячи людей. Банки, маркетплейсы, рекламные кабинеты, соцсети и криптобиржи могут считать такие входы подозрительными. Результат: дополнительные проверки, заморозка аккаунта, запрет регистрации, капчи и письма о подозрительной активности.
В корпоративной среде бесплатный VPN-плагин нельзя считать личной мелочью. В одном браузере могут быть GitHub, GitLab, Jira, Confluence, Bitrix, CRM, CMS, почта, рекламный кабинет и панель хостинга. Расширение с доступом ко всем сайтам становится неконтролируемым агентом внутри рабочего периметра. DLP, SIEM и корпоративный прокси могут не увидеть содержимое, если сбор идёт внутри браузера и уходит как обычный HTTPS-запрос.
Как пользоваться безопаснее, если без плагина не обойтись
Лучший вариант - не ставить неизвестные бесплатные VPN-расширения в основной профиль браузера. Если легальный сценарий требует разового доступа к сайту, стоит отделить такой доступ от основной работы. Создайте отдельный профиль без синхронизации, сохранённых паролей, платёжных данных, почты и рабочих аккаунтов. Поставьте расширение только туда, решите задачу и удалите плагин сразу после использования.
- Проверяйте разработчика. Пустой сайт, анонимная почта и отсутствие нормальной политики обработки данных повышают риск.
- Смотрите на бизнес-модель. Безлимитный бесплатный VPN от неизвестной команды должен вызывать вопросы.
- Читайте разрешения. Для простого прокси подозрительны доступ ко всем сайтам, вкладкам, скриптам, истории, буферу обмена и геолокации.
- Не входите через неизвестный бесплатный VPN в банк, криптобиржу, почту, госуслуги, CMS, CRM и корпоративные панели.
- Не доверяйте только рейтингу. Отзывы можно накрутить, а вредоносный код часто приходит через обновление.
- Проверяйте список расширений хотя бы раз в месяц и удаляйте всё лишнее.
Где проверить расширения
Chrome
chrome://extensions
Firefox
about:addons
Что искать
доступ ко всем сайтам
доступ к вкладкам
clipboardRead или похожие права
управление proxy-настройками
недавнее обновление с новыми разрешениями
неизвестный разработчик
резкая смена названия или владельца
После подозрительного расширения нужно проверить не только список плагинов. Посмотрите поисковик по умолчанию, стартовую страницу, настройки прокси, DNS и активные сессии в важных аккаунтах. Если через тот же браузер открывались почта, банк, CMS, криптобиржа или рабочая система, лучше сменить пароли, завершить все сессии и проверить журналы входов. Для рабочих аккаунтов стоит сообщить ИБ-команде, потому что расширение могло видеть внутренние документы и токены.
Надёжный freemium-сервис с публичной компанией, понятной юрисдикцией, ограниченным бесплатным тарифом, аудитами и прозрачной политикой выглядит лучше, чем неизвестный безлимитный VPN-плагин. Но даже хороший VPN не заменяет базовую гигиену. Разделяйте профили, не смешивайте обходной сценарий с банком и работой, проверяйте права расширений и удаляйте лишнее.
Итог простой. Бесплатный плагин для обхода блокировок может решить разовую задачу, но в основном профиле браузера он стоит слишком близко к деньгам, переписке, работе и личным данным. Для неважной страницы можно использовать отдельный пустой профиль и сразу удалить расширение. Для банков, криптовалют, почты, CMS, медицинских сервисов, госуслуг и корпоративных систем неизвестный бесплатный VPN-плагин несёт больше риска, чем пользы.