HACKER+PLACE

Обзор анонимных браузеров для приватного серфинга

2025-10-19T13:17:05.415Z

В сегодняшней статье мы протестируем лучшие анонимные браузеры и выясним какой уровень приватности они могут обеспечить и каким из них можно доверять и использовать.

Еще по теме: Как остаться анонимным в сети?

Заранее оговоримся: под словом анонимный браузер мы будем подразумевать браузер который был разработан для приватного серфинга и который не должен оставляет следов. Если вы хотите по настоящему анонимный браузер, используйте Tor!

Тестирование анонимных браузеров

Чтобы узнать, стоит ли доверять подобным программам, я решил не изобретать сложных стендов и не заниматься постройкой специальной лаборатории. Для сравнения защищенных браузеров вполне достаточно виртуалки со свежеустановленной виндой и нескольких онлайновых тестов, специально созданных для проверки уровня безопасности подобных программ. Вот они.

Qualys Browser Check — проверяет уязвимости в браузере и тестирует настройки работы с файлами cookies. По умолчанию для прохождения теста предлагается установить специальный плагин, но можно обойтись и без него, воспользовавшись ссылкой на сайте.
Cloudflare Browsing Experience Security Check — тест от известной компании Cloudflare, проверяет используемые браузером DNS, сертификаты, настройки cookies и наличие известных уязвимостей.
Privacy Analyzer — комплексная проверка браузера на возможность утечки данных. Проверяется отслеживание по IP, отпечатку браузера, тестируются настройки приватности.
Panopticlick — тест на third-party tracking cookies и отслеживание по отпечатку браузера.
Webkay — сервис, демонстрирующий всю информацию, которую твой браузер передает веб-сайтам в интернете.

Итак, с критериями оценки разобрались. Теперь перейдем к нашим подопытным браузерам — какие результаты они нам покажут с настройками по умолчанию? Сейчас узнаем!

Браузер для приватного серфина Comodo Dragon

Разработчик: Comodo Group
Сайт: comodo.com/home/browsers-toolbars/browser.php

Comodo Dragon, пожалуй, самое раскрученное решение для безопасного серфинга в сети после Tor Browser. Dragon претендует на роль универсального решения для тех, кому неохота ждать по полчаса, пока запустится Tor.

Репутация Comodo однажды серьезно пострадала — когда в 2016 году компанию уличили в том, что ее продукты без спроса ставили на компьютеры VNC-сервер.

На самом деле чуваки из Comodo сделали целых два секьюрных браузера с одним и тем же набором функций, но на разных движках: Comodo Dragon на платформе Chromium и Ice Dragon на базе Firefox. Среди заявленных возможностей — встроенная защита от малвари, использование безопасных DNS, блокировка cookies и валидация доменов для борьбы с фишингом.

Я скачал сразу обе версии «Ящерки» и запустил их на виртуалке по очереди. Внешне Dragon выглядит как привычный Chrome и запускается примерно с той же скоростью — на моей виртуалке его загрузка заняла в среднем 4,5 секунды. От «Хрома» браузер унаследовал и любовь к оперативной памяти — с одним окном и одной открытой вкладкой Comodo Dragon с ходу запустил в системе пять процессов и отожрал 90 Мбайт.

Что ж, посмотрим, что скажут тесты.

Qualys Browser Check распознал в Comodo Dragon браузер Chrome, причем устаревшей версии, после чего предложил скачать с сайта Google версию поновее.
Cloudflare Browsing Experience Security Check определил, что Dragon не проверяет подлинность ответов DNS-серверов с помощью DNSSEC и не поддерживает шифрование имени сервера SNI при установке TLS-соединения, — теоретически это может поставить под угрозу конфиденциальность.
Тест Privacy Analyzer показал, что Dragon успешно передал удаленному узлу мой IP-адрес, локацию, версию браузера, разрядность ОС и данные об экранном разрешении.
Panopticlick продемонстрировал, что браузер имеет уникальный «отпечаток» и не посылает на сервер HTTP-флаг DNT (do not track), а это позволяет отслеживать пользователя. Все остальные тесты безопасности на этом сайте Comodo Dragon прошел успешно.
Наконец, судя по страничке Webkay, помимо версии и разрядности Windows, IP-адреса и экранного разрешения, Dragon позволяет верно распознать уровень заряда батареи моего девайса и тип процессора. Просканировать локальную сеть в поисках доступных устройств браузер не дал.

Comodo Ice Dragon внешне мало чем отличается от своего «неледяного» собрата. Firefox и Firefox, ничего особенного. Загружается и работает он довольно шустро: от щелчка мышью на значке до запуска приложения прошло три секунды.

Comodo Ice Dragon похож на обычный Firefox

Qualys Browser Check не обнаружил никаких недостатков, тест пройден со стопроцентным успехом.
Cloudflare Browsing Experience Security Check показал в точности тот же результат, что и в предыдущем случае.
По заключению Privacy Analyzer, браузер отдает наружу все те же данные, что и его родной брат, в том числе IP-адрес и версию ОС.
Panopticlick сообщил, что программа не блокирует попытки рекламного трекинга, не посылает DNT и имеет уникальный «отпечаток».
А вот Webkay преподнес сюрприз: оказалось, что браузер имеет уникальный User Agent IceDracon 65.0.2 и не отправляет на сторону вообще никаких данных о железе, кроме разрядности процессора. Зато, помимо внешнего айпишника, Webkay радостно продемонстрировал мне IP сетевого интерфейса моей локалки. С помощью специальной кнопки на сайте я попытался просканировать доступные в локальной сети девайсы, но поиск результатов не принес.

Анонимный браузер Waterfox

Разработчик: Alex Kontos
Сайт: waterfox.net

Это еще один клон Firefox с упором на безопасность, имеющий версии не только для винды, но и для macOS и Linux, причем доступна только 64-разрядная версия. В разделе «О программе» официального сайта сказано, что браузер сделал в 2011 году шестнадцатилетний школьник Алекс Контос, который занимается обновлением и поддержкой своего детища и по сей день. Автор утверждает, что его приложение не собирает телеметрию и отправляет наружу только данные о версии браузера и ОС, чтобы вовремя получать обновления. Все остальные конфиденциальные, заверяет разработчик, в полной безопасности. Внешне программа представляет собой самый обычный Firefox — настолько обычный, что даже скучно. Работает и загружается с такой же скоростью, существенных различий с обычной «Лисицей» я не заметил.

Waterfox — это тоже Firefox без особых внешних отличий

Посмотрим, как оценят поделку школьника тесты.

Qualys Browser Check — тест пройден успешно, ни одной проблемы не выявлено.
Cloudflare Browsing Experience Security Check показал, что у Waterfox есть проблемы с проверкой DDNSEC и применением Encrypted SNI. Кроме того, браузер не поддерживает TLS 1.3.
Наконец, Waterfox успешно провалил все тесты Privacy Analyzer, а по данным Panopticlick и Webkay — слил наружу мой IP-адрес, тип и разрядность процессора, а также параметры экранного разрешения, но все остальные данные благоразумно утаил.

Примечательно, что Waterfox распознается как Firefox 56.0, в то время как актуальная версия «Лисицы» на сегодняшний день 79.0. То есть клон отстает от оригинала примерно на вечность, и это может означать проблемы уже не с приватностью, а с безопасностью.

Бразуер для анонимного серфинга Iron

Разработчик: SRWare
Сайт: srware.net/iron

Iron — это не «ирония», а ~~«утюг»~~ «железо», что как бы намекает нам на брутальность и надежность данного браузера. «Железяка» собрана на основе Chromium, использует последние версии WebKit и V8, а также включает собственный компонент блокировки рекламы. Примечательно, что у сайта разработчика есть русская версия — правда, складывается ощущение, что переведена она на великий и могучий при помощи все того же Google Translate. По утверждениям создателей, Iron не отправляет в Google телеметрию, не отсылает автоматические баг-репорты и не обновляется в фоновом режиме, что позволяет экономить трафик. А еще он обладает «элегантным дизайным».

SRWare Iron похож на Chrome чуть менее, чем полностью. Программа запускается примерно за 3,5 секунды и работает с несколькими открытыми вкладками довольно-таки шустро: значительных тормозов я за ней не заметил. Мне даже показалось, что этот браузер работает побыстрее, чем Chromium в сборке Comodo.

Железный утюг SRWare Iron

Qualys Browser Check пожаловался мне на устаревшую версию Google Chrome (83.0.4250) и сообщил, что она небезопасна.
Тест Cloudflare продемонстрировал показатели, аналогичные браузерам Comodo, — включенная поддержка TLS 1.3, но претензии к DNSSEC и Encrypted SNI.
Panopticlick ругнулся на стандартный набор проблем с приватностью (все тесты оказались провалены) и между делом заметил, что если в SRWare Iron и присутствует какой-то блокировщик рекламы, то он не работает.
Privacy Analyzer и Webkay сообщили, что «Железяка» отдает наружу данные о версии браузера, версии и разрядности ОС, IP-адрес, все сведения о железе (включая модель видеокарты, экранное разрешение и состояние батареи), однако данные о локальной сети остались для Webkay тайной.

Приватный браузер Brave

Разработчик: Brave Software
Сайт: brave.com

Создатели браузера Brave утверждают, что их продукт на базе Chromium, как никакой другой, предотвращает трекинг и возможные утечки данных. Одна из фишек Brave — возможность отправлять криптовалютные платежи веб-сайтам и создателям контента в виде Basic Attention Tokens — разработанной Brave Software криптовалютной платформы на базе Etherium.

В 2017 году, кода платформа была впервые запущена, Brave Software продала токенов на сумму более 35 миллионов долларов США, а новым пользователям платформы раздали в целях привлечения в общей сложности 300 тысяч токенов. Пользователи браузера Brave могут зарабатывать токены за просмотр рекламы или платить создателям контента — либо отправляя микротранзакции, либо используя встроенную функцию Brave, когда заранее установленная сумма вознаграждения распределяется автоматически между владельцами зарегистрированных в системе сайтов в зависимости от того, сколько времени юзер провел за просмотром контента.

Существуют версии браузера для Windows, macOS, Linux, а также Android и iOS. Мы рассмотрим только первую из них, интерфейс которой, как и следовало ожидать, косплеит Chrome.

Криптовалютный браузер Brave

Qualys Browser Check показал, что текущая версия Chrome актуальна, обновления не требуется.
Тест Cloudflare не продемонстрировал ничего нового — аналогичный результат был и у браузеров Comodo, и у Iron.
А вот Panopticlick дал неожиданный результат: как оказалось, Brave успешно блокирует рекламу, автоматический трекинг, но при этом не отправляет DNT и обладает характерным «отпечатком», по которому его можно вычислить.
Privacy Analyzer и Webkay удивили еще больше: оба сайта не показали мой IP-адрес и локацию, хотя сервисы вроде WhatIsMyIP его без проблем определили. Браузер передал данные о версии и разрядности ОС, железе (включая процессор, графический адаптер, экранное разрешение и состояние батареи). В качестве User Agent программа использует Chrome 84.0.4147.125.

В целом — неплохой результат. С учетом того что приложение работает достаточно быстро (хотя по ощущениям и медленнее Iron), к нему явно стоит присмотреться.

Анонимный браузер Epic

Разработчик: Hidden Reflex
Сайт: epicbrowser.com

Этот браузер разработан компанией, базирующейся в Бангалоре (Индия) с представительством в Вашингтоне. Тут мне нестерпимо хотелось пошутить про индусский код, но Epic, как и его конкуренты, основан на Chromium, поэтому код там гугловский. Разработчик программы Алок Бхардвадж (Alok Bhardwaj) утверждает, что Epic успешно блокирует трекинг, фингерпринтинг, назойливую рекламу, криптомайнинг ~~и магию вуду~~. Помимо версии для Windows, на сайте можно скачать релиз для macOS, там же присутствуют ссылки на Google Play и App Store для скачивания мобильных версий.

Это просто Epic какой-то

Сразу после запуска приложения юзер видит грозное предупреждение о том, что некоторые функции браузера, такие как встроенный VPN, прокси и блокировщик рекламы, нужно установить отдельно в виде плагинов, доступных на специальной страничке Epic Extension Store. Чем в таком случае Epic отличается от обычного «Хрома», в котором тоже можно настроить прокси и VPN с помощью плагинов, для меня осталось загадкой. Что ж, посмотрим, что умеет этот браузер из коробки с настройками по умолчанию.

Qualys Browser Check — проблем и замечаний нет.
Cloudflare — результат, аналогичный Comodo и Iron.
Panopticlick — браузер успешно блокирует рекламу и попытки трекинга, но не посылает DNT и имеет характерный «отпечаток».
Privacy Analyzer — тест «подвис» на определении IP-адреса и геолокации, результата я так и не дождался.
Webkay — сервис успешно определил мой IP и версию ОС, но не показал решительно никаких данных о железе, кроме разрядности процессора. Браузер определяется как Chrome 84.0.4147.105.

Глядя на название продукта, я предвкушал, что можно будет написать об «эпик фейл», но на удивление браузер зарекомендовал себя совсем неплохо. Блокировка рекламы, трекинга, а также минимум передаваемых наружу данных, и все это без дополнительных плагинов — довольно серьезная заявка на успех.

Приватный браузер Dooble

Разработчик: Dooble Project Team
Сайт: textbrowser.github.io/dooble/

Разработка этого браузера с открытым исходным кодом началась двенадцать лет назад. Интерфейс Dooble основан на Qt, а само приложение кросс-платформенное: есть версии для FreeBSD, Linux, macOS, OS/2 и Windows, причем в виде портативной версии для всех платформ. Дистрибутив можно скачать с GitHub в виде ZIP-архива, в котором находится исполняемый файл и все нужные библиотеки.

С настройками по умолчанию Dooble автоматически удаляет cookies, а хранимые в программе данные шифруются (за исключением информации о пользовательских настройках). Браузер применяет сессионную модель с использованием временных ключей, при этом парольную фразу можно изменить без потери данных. Мастер-пароль нужно создать в настройках при первом запуске Dooble, иначе при завершении работы все сохраненные в браузере данные будут стерты. Эти функции позволяют условно отнести Dooble к категории безопасных браузеров.

На моей виртуалке с Windows 10 Dooble наотрез отказался запускаться, ругаясь на отсутствие какой-то библиотеки, зато на хостовой машине с Windows 7 он неожиданно заработал. Внешнее оформление программы можно охарактеризовать фразой «привет из девяностых» — у меня он даже выдавил ностальгическую слезу.

Dooble — кросс-платформенный браузер на Qt

Сравнительные тесты дали следующие результаты.

Qualys Browser Check — обозвал Dooble небезопасной версией Google Chrome — видимо, из-за используемого браузером User Agent.
Cloudflare — результат, аналогичный Comodo, Iron, Epic и Brave.
Panopticlick — полный провал теста по всем пунктам.
Privacy Analyzer и Webkay — браузер передал IP-адрес, данные об ОС и железе, геолокацию, экранное разрешение. Внешним сервисам программа представляется как Chrome 84.0.4147.163.

Пожалуй, Dooble — самый быстрый из всех браузеров, опробованных мной в этом эксперименте. С учетом того что он представлен в виде портативной версии, приложение может быть очень полезно для систем, в которых затруднена установка программ. Также, вероятно, браузер придется по вкусу пользователям BSD и Linux. Работоспособность приложения в Windows 10 вызывает определенные сомнения.

Какой анонимный браузер лучше?

Итоги эксперимента получились неоднозначные. Вопреки ожиданиям, лучшие результаты показала не продукция прославленной компании Comodo, а вполне скромные Brave и Epic. Однако неплох и Comodo Ice Dragon — он отправляет наружу меньше данных об устройстве, чем его собрат. Comodo Dragon я бы поставил на четвертое место. Владельцам устройств со слабым железом и старыми версиями ОС может прийтись по вкусу Dooble, который отличается неплохим быстродействием. А вот Waterfox и Iron утюгом нырнули на самое дно нашего скромного рейтинга — они хуже конкурентов справляются с рекламой и блокировкой трекинга.

Очевидно, что ни одна из перечисленных в сегодняшней статье программ не может обеспечить полную анонимность и безопасность в интернете. Для настоящей конфиденциальности нужно использовать VPN, отключать в настройках браузера обработку скриптов, использовать шифрованные контейнеры для хранения данных форм и паролей. Кроме того, существует широкий ассортимент плагинов, ориентированных на повышение уровня безопасности при работе в сети. Но о них мы подробно поговорим в другой раз.

Что такое Анонимайзеры

2025-10-19T12:36:15.950Z

Анонимайзер — это специальное средство, которое помогает пользователю скрыть информацию о себе или о своем компьютере от удаленного сервера. Оно может иметь вид специального сайта или отдельной программы, требующей установки на жесткий диск.

Принцип работы анонимайзера достаточно прост: при загрузке необходимой пользователю страницы он работает посредником, закачивая искомый сайт на свой сервер, с которого и осуществляется просмотр. При этом он подменяет данные о реально используемых браузере и IР-адресе, за счет чего и достигается анонимность.

Технически все это можно сделать и без подобной утилиты, если быть достаточно хорошо подкованным в понимании того, как работает Интернет, однако анонимайзер позволяет существенно упростить этот путь, что в первую очередь экономит время.

Более корректное название анонимайзера — анонимный прокси-сервер. Принцип его работы заключается в том, что через него проходит вся информация, которой пользователь обменивается с веб-сайтами.

Принцип работы веб-прокси

Иными словами, это посредник между сайтом и пользователем, при этом, что важно, провайдер не видит, какая именно страница просматривается, а фиксирует лишь те данные, которые предоставляет прокси-сервер. Конечно, сам факт использования такого посредника уже даст попять, что вы что-то скрываете, однако что именно — останется только между вами и прокси. Если провайдер закроет и анонимайзер, то всегда можно найти другой подобный, благо таковых очень много в Сети.

Виды прокси-серверов

НТТР-ргоху — наиболее распространенный. Он может использоваться любыми программами, браузерами, почтовыми клиентами и т. д., если это предусматривается настройками. По умолчанию, если не указан тип прокси-сервера, то это всегда НТТР. Для поиска доступных НТТР-ргоху стоит воспользоваться бесплатной программой Ргоху Checker, которая проверяет списки прокси-серверов на доступность и анонимность.

SOCKS-ргоху — специальный тип сервера, который предусматривает не только поддержку браузеров, но и определенных программ, настроенных на него напрямую (например, всеми когда-то любимая аська). Отличие от предыдущего универсального типа в том, что серверов SOCKS-ргоху намного меньше и настраиваться на них необходимо напрямую, указывая конкретную версию (SOCKS 4 или SOCKS 5), что в итоге дает свой собственный выделенный анонимный сервер. В Сети можно как отыскать бесплатные SOCKS-сервера, так и настроить свой собственный, если есть в наличии удаленный компьютер (для особых умельцев), либо купить на сайтах, которые предоставляют подобные услуги.

Анонимные серверы CGI-ргоху — наиболее популярные и удобные для использования, так как не требуют никаких особых настроек браузера и использования специальных программ. Они имеют вид обычной веб-страницы с полем для ввода адреса требуемого сайта. При этом открывшаяся в вашем браузере страница будет иметь не оригинальный, а сгенерированный CGI-адрес.

Анонимность CGI-прокси

Пользуясь CGI ргоху, следует учитывать и его тип анонимности.

Прозрачные — не являются анонимными, показывают реальный IР пользователя, но при этом указывают, что он используется сервером-посредником для просмотра сайтов.
Анонимные — подтверждают использование сервера-посредника, однако же IР клиента скрывают.
Искажающие — совершенно закрытые CGI-ргоху, которые удаленному веб-серверу предоставляют неправильные IР-адреса, сгенерированные ими самими или «стянутые» у другого клиента.
Полностью анонимные — удаленный вебсервер не получает никакой информации по поводу использования CGI-ргоху, как и IР клиента, но при этом «считает», что работает с ним напрямую.

Такое внимание именно к CGI-ргоху с моей стороны обусловлено тем, что они обладают лучшими возможностями с точки зрения фильтрования информации. Они могут запрещать cookie-файлы или оставлять их у себя, запрещать выполнение активных скриптов на странице (что спасает в том числе и от контекстной рекламы), шифровать адрес URL, к которому обращается пользователь, не давая возможности определить, какой сайт посещался, а также то, что это происходило посредством прокси-сервера. Таким образом, можно констатировать, что CGI-ргоху выполняют и своего рода защитные функции.

Как выбрать онлайн анонимайзер

При выборе онлайн анонимайзера нужно учесть много факторов. Главными параметрами, влияющими на выбор анонимайзера, являются скорость работы сервиса и поддержка нужных пользователю интернет сайтов. При нестабильной работе и плохой скорости использование анонимайзера перестает быть комфортным, что противоречит основному принципу – удобство.

Кроме удобства и скорости не нужно забывать и о факторе доверия сервиса. Все онлайн сервисы могут располагать личным данным пользователя: логины, пароли, IP-адреса и т.д., поэтому в выборе веб-прокси в первую очередь советую учитывать репутацию и возраст сервиса.

Некоторые сайты могут блокировать трафик с анонимайзеров. Для противодействия анонимайзерам используются такие утилиты как: Snort и Suricata.

Лучшие бесплатные анонимайзеры

На просторах Интернета можно отыскать бесчисленное множество различных сайтов CGI-анонимайзеров, многие из которых работают лишь некоторое время, а после становятся недоступны. Поэтому рекомендованный список окажется коротким.

Однако вы можете быть уверены в нем. Хотя на самом деле, если вам есть что скрывать, стоит пользоваться специальными утилитами, лучше платными, — так вы точно будете спокойны за свою конфиденциальность.

Кстати, если хотите стать частью хакерского сообщества, рекомендую подписаться на наш Телеграм-канал. https://t.me/HACKERVPLACEORIGINAL
VPN/Прокси от HACKER + PLACE - https://t.me/HACKERPLACEMARKET

Все перечисленные анонимайзеры предоставляют возможность перейти на любой заблокированный сайт либо предлагают значительные дополнительные настройки, которые становятся доступны после регистрации или покупки самой программы.

Ввиду того, что русские провайдеры часто закрывают доступ к самим CGI прокси, то советуем обратить больше внимания на зарубежные анонимайзеры.

Anonymouse

Anonymouse — старейший анонимайзер (существуете 1997 года) с простейшим интерфейсом.

Бесплатный онлайн анонимайзер Anonymouse

Кроме посещения сайтов позволяет заходить анонимно на почту и просматривать новости.

Kproxy

Kproxy — существует с 2005 года. Доступен для любого пользователя в абсолютно бесплатной версии программы-клиента, которая может быть установлена на ПК.

Бесплатный онлайн анонимайзер Kproxy

KProxy предлагает браузерное расширения для Chrome и Firefox. Расширение позволяет маршрутизировать трафик через один из 10 серверов компании.

Также существует про версия KProxy (10 долларов США в месяц), которая обеспечивает большую пропускную способность и удаляет рекламу.

New IP Now

New IP Now — удобный сайт, который предлагает самостоятельно выбрать подложный IР адрес, а также указывает пользователю его собственный.

Oнлайн анонимайзер New IP Now

Платная версия, как и в любом другом случае, обещает намного больше различных возможностей.

BlewPass

BlewPass — тоже простой по дизайну и в использовании анонимайзер, предоставляющий помимо поиска минимальный выбор настроек прокси по желанию клиента.

Aнонимайзер BlewPass

BlewPass предлагает пользователям выбор из четырех серверов: США (Феникс), Канада (Квебек), Франция (Рубе) и Польша (Варшава).

Hide Me

Hide Me — известный поставщик VPN, но компания также предлагает бесплатный анонимайзер. Доступны сервера в США, Нидерландах и Германии.

Дополнительные настройки позволяют блокировать файлы cookie, шифровать URL-адреса, шифровать страницы, удалять скрипты и удалять объекты.

11proxy

11proxy на данный момент располагает только одним сервером в США. Дополнительные настройки дают возможность шифровать страницы, блокировать файлы cookie и блокировать скрипты.

11proxy доступен по разным адресам: Dacd.win, ProxyEuro и 789proxy.

VPNBook

Существует не так много бесплатных VPN-сервисов, но VPNBook определенно является одним из лучших. Его бесплатный анонимайзер тоже неплохой и прекрасно справляется со своей работой.

Имеются сервера в США, Канаде, Великобритании и Франции.

Hide My Ass

Другой известный VPN-провайдер Hide My Ass также предлагает бесплатный анонимайзер. Он имеет два сервера в США (Нью-Йорк и Сиэтл), а также по одному серверу в Великобритании, Германии, Нидерландах и Чехии.

Доступны три дополнительных параметра: шифрование URL, запрет куки-файлов и блокировка скриптов.

Boom Proxy

Домашняя страница онлайн-анонимайзера Boom Proxy не может похвастаться красивым дизайном, но при этом сайт работает не плохо, страницы открываются быстро.

На данный момент доступен только один сервер, но есть ряд дополнительных опций. Вы можете зашифровать адрес, зашифровать страницу, запретить куки-файлы и удалить скрипты и объекты.

Dontfilter

Dontfilter — анонимайзер без излишеств. Есть только один сервер и несколько дополнительных опций, которые можно видеть на скрине и стандартны для большинства бесплатных онлайн-анонимайзеров.

Разумеется, подход без излишеств также означает, что сайт-анонимайзер прост в использовании; просто введите URL-адрес и нажмите «Go».

FilterBypass

FilterBypass предлагает обычный выбор настроек. Вы можете зашифровать адрес, запретить сохранение куки-файлов и скриптов.

Прокси использует 128-битное SSL-соединение.

ProxySite

ProxySite размещается в гигабитной сети, поэтому вам гарантируется высокая скорость. Он предлагает 11 серверов в США и 10 в Европе. Все сервера ProxySite используют SSL-соединения.

Компания также предлагает премиальный VPN-сервис.

SnoopBlocker

SnoopBlocker — предоставляет расширенные настройки поиска, которые пользователь может выбирать сам. Позволяет разрешать/блокировать JavaScript и ActiveX.

Aнонимайзер SnoopBlocker

php-proxy

PHP-proxy — зарубежный бесплатный онлайн анонимайзер, сервер которого находится в Болгарии . У сервиса есть 2 вкладки и несколько настроек.

Бесплатный анонимайзер PHP-proxy

Заходим на сайт. Вводи в адресной строке адрес сайта на которой не можете или не хотите зайти с обычного браузера. Нажимаем на кнопку [highlight]Go[/highlight]

Так же работают все остальные онлайн анонимайзеры.

Ninja Cloak

Ninja Cloak — обычный CGI ргоху, предлагающий почувствовать себя ниндзя-невидимкой.

Бесплатный CGI прокси Ninja Cloak

Альтернатива анонимайзеру

Tor — это не сайт-анонимайзер, но всегда имеет смысл упомянуть его в таких статьях. Тор использует луковичную маршрутизацию трафика и не смотря на то, что его главное предназначение анонимность он также может быть использован в качестве анонимайзера для доступа на заблокированные сайты. Но имейте ввиду, что некоторые сайты блокируют трафик, выходящий из Tor.

Цепочка анонимайзеров

Все перечисленные и неупомянутые (а их сотни и сотни) CGI ргоху-серверы можно использовать и для построения прокси-цепочек, что позволит лучше замести следы. Вряд ли вам это будет необходимо (вы же не террорист, верно?), но в случае чего проделайте такие манипуляции: введите в окошко для УРЛ не искомый адрес, а адрес другого анонимайзера, проделайте это действие несколько раз, используя различные другие веб-страницы, и только после всего этого вводите необходимую вам ссылку. Созданная таким образом цепочка искаженных IР и разнородных данных заметно затруднит слежку за вашими интернет-похождениями.

Как придумывать и запоминать пароли для разных сервисов

2025-07-12T05:58:44.230Z

HACKER +PLACE

«За безопасность необходимо платить, а за её отсутствие — расплачиваться» — Уинстон Черчилль.

В этой статье я поделюсь своим опытом в создании паролей для разных сайтов, а также некоторыми методиками, которые я использую, для повышения безопасности и снижения рисков подбора/кражи пароля. Сразу говорю, что я не претендую на абсолютную истину и не гарантирую, что мои методы будут оптимальны. Это лишь то, что делаю я сам. Возможно, какой-нибудь эксперт в области инфобезопасности раскритикует мою статью – и в таком случае в самом конце статьи я добавлю раздел "Upd.", куда помещу выявленные проблемы или интересные замечания.

Приятного чтения!

Придумываем базовый пароль

Начнём с того, что попытаемся придумать пароль для одного‑единственного сайта — hackerxplace.com В таком случае сделать это довольно просто — достаточно сгенерировать любой относительно сложный пароль, используя любой онлайн-генератор паролей, например этот.

Немного отредактируем этот пароль, например, убрав знаки ß и § — так как не на каждой клавиатуре их можно набрать ‑, и в итоге получим готовый пароль:

Y%.&_h/jqBAK$aZ´_boM?<-a?

Если же мы не хотим генерировать пароль, а хотим придумать его сами, то я рекомендую использовать для этого следующий сервис. Он на каждом этапе указывает какие проблемы есть у нашего пароля, а также предлагает способы их исправления.

Хотя, на мой взгляд, нет сильной разницы между тем, чтобы придумывать пароль самому или генерировать его с помощью сторонних инструментов. Тут уже дело вкуса, кто какой способ предпочитает.

Фух, кажется на этом всё. Пароль создан. Однако внимательный читатель сразу же задаст вопрос: «А как же мне его запомнить?» Спокойно. Предположим, что хабр — единственный сайт, который мы используем, и значит, мы готовы потратить немного усилий на запоминание — кто‑то возможно просто запомнит, кто‑то — создаст с ним документ или же запишет на бумажке и приклеит к компьютеру, а самые отчаянные даже набьют татуировку с этим паролем у себя на руке — настолько они любят хабр (хотя, конечно, вопрос насколько это надёжно, но опустим). Короче, пароль мы не забудем. Для одного сайта проблем с запоминанием всё‑таки не возникает.

Примечание: Прямо сейчас я не буду затрагивать проблему утечки базы данных и предположу, что, если вы сохранили где‑то пароли, то у злоумышленника не будет к ним доступа — только возможность их подобрать.

Итак, мы создали пароль. Такой сгенерированный пароль действительно тяжело подобрать, и он кажется надежным. Но что делать, если мы захотим зарегистрироваться на ещё одном сайте? И ладно бы мы ограничились двумя-тремя сайтами, но лично я за последние полгода зарегистрировался на примерно 50 сайтах и запоминать каждый пароль (так ещё и вспомнить через время) уже не так просто.

Расширяем базу паролей

Ладно, я готов запомнить пароли для действительно важных для меня сервисов, вроде github, gmail, vk, youtube и прочих. Но есть и такие сайты, куда я больше никогда в жизни не зайду. Или же сайты вроде chess.com — с одной стороны там у меня личной информации особо нет, но с другой я бы всё равно не очень хотел, чтобы кто‑то получал к ним доступ. Идея использовать везде одинаковый пароль крайне опасна, ведь даже крупные компании регулярно испытывают утечки и кражи данных, а некоторые сайты компаний, с куда более простыми системами защиты, прямо кричат, что пароль оттуда скоро сбежит. Тогда, использовав одинаковый пароль для нескольких сайтов, если он утечёт, его могут использовать, чтобы получить доступ к уже куда более важным нашим аккаунтам. Это проблема.

Возможно, на ум придёт использовать для важных данных индивидуальные сложные пароли, а для маловажных — один единственный. Такой подход действительно возможен, но готовы ли вы к возможным утечкам даже таких маловажных данных? Не указана ли нигде на таких сайтах, например, ваша платежная информация или же персональные данные? Тут каждому решать самому. Всё очень сильно зависит от целей, осторожности и профессии человека. Простому человеку возможно, но вот людям на важных должностях, от которых зависят другие люди, раскрывать даже небольшую информацию о себе может быть небезопасно. Для решения таких проблем я в своё время использовал следующие методики:

Псевдо уникальный пароль (или же алгоритм)

Зачастую люди используют один и тот же пароль практически для всех сервисов. Или же какое-то ограниченное количество паролей, похожих друг на друга.

Допустим, Пользователь 1 использует пароль October233 почти для всех своих сервисов. Однако на некоторых сайтах ему сказали добавить в пароль какой‑нибудь специальный символ, вроде или #. И часто, вместо того чтобы придумывать новый пароль, человек сделает что‑то вроде такого: October#233. А ещё хуже просто — October233*#. Очевидно, что такой пароль легко подобрать. Более того, такой подход обычно вытекает в то, что человек спустя время забывает, какие символы он добавил в привычный пароль, а поэтому ему приходится его сбрасывать. А затем, спустя пару таких сбросов, в которых он, скорее всего, попытается использовать уже существующий пароль, ему скажут, что такой пароль вы уже использовали и, мол, пожалуйста, придумайте другой. Но что хуже, так это если один наш пароль был украден, то можно использовать атаку с подстановкой учётных данных (credential stuffing), и, значит, злоумышленники могут легко войти и во все остальные сервисы, где мы используем тот же пароль и те же почту / никнейм / телефонный номер и т. д.

В итоге получаем, что среднестатистический человек имеет какое‑то множество паролей вроде {October233, October234, Octo*ber#233, October233*#}, которые он по кругу использует практически во всех своих сервисах. Мы уже обговорили, почему это плохо и что, очевидно, лучшим решением будет использовать всегда новый уникальный сложный пароль. Однако я хочу предложить методику, когда нам достаточно запомнить один пароль, а потом просто его модифицировать.

Допустим, имеем базовый пароль: October233. Чтобы снизить риск потери доступа к остальным своим аккаунтам, можем модифицировать его для каждого сайта, например, так:

Сайт: habr.com

Пароль: Ohcatborb.ecro2m33

Сайт: github.com

Пароль: Ogcittohbuebr.2c3o3m

(Обратите внимание на то, как составлен пароль: в изначальный October233 через букву было вставлено название сайта:Ohcatborb.ecro2m33)

То есть просто вшиваем в наш пароль название сайта. Обратите внимание, что такие пароли часто проходят тест надёжности, так как содержат точку и разрушают структуру пароля.

Это может показаться сложным, но мы просто сначала пишем наш пароль, а потом его модифицируем. Нам не нужно ничего запоминать — только знать базовый пароль и алгоритм. Как это выглядит наглядно:

Можно пойти ещё дальше и брать, например, длину сайта и по этому индексу добавлять специальный символ: Ohcatborb.ecro2m33, длина названия habr — 4, поэтому вставим на 4-ю позицию #: Ohca#tborb.ecro2m33. Или можно вставлять каждые 4 символа специальный символ, а чтобы всегда получать одинаковый результат и не путаться, берём их из множества на клавиатуре слева направо:

Пароль превращается в: Ohca!tbor@b.ec#ro2m$33

Теперь давайте ещё сместим шифром Цезаря на 4 (длина названия сайта habr) и получим: Slge!xfsv@f.ig#vs2q$33 (Примечание: я сдвигал только буквы, специальные символы и цифры оставил как есть)

В общем, способов тьма. То есть суть этого пункта — это просто придумать алгоритм, по которому мы будем для каждого нового сайта модифицировать существующий базовый пароль. Главное, чтобы алгоритм всегда для одинаковых паролей выдавал одинаковый результат — то есть был детерминированным. Иначе мы просто не сможем войти позже.

Из минусов такого подхода — то, что если на пароль посмотрит злоумышленник или же продвинутая нейросеть / алгоритм, то с достаточной базой наших паролей не так сложно определить изначальный базовый пароль. Зная его и зная алгоритм (знание алгоритма можно получить в ходе реверсии паролей), можно без труда входить в любые сервисы, где мы такое используем.

Я предпочитаю всё‑таки запомнить несколько сложных паролей для важных сервисов, а для неважных использовать именно такой подход. Кроме того, рекомендую выучить несколько разных алгоритмов и использовать их по настроению. Тогда, если не сможете войти, то просто попробуете другой алгоритм, зная, что хотя бы один подойдёт. (Но не слишком много алгоритмов, иначе велик шанс просто не войти на сайт из‑за блока попыток.) Это ещё больше усложнит подбор паролей, ведь теперь база для реверсивной инженерии должна быть сильно больше.

Также можно сохранять названия всех сервисов, где мы регистрировались (именно названия сервисов, а не сами пароли) и раз в год или раз в пару лет менять все пароли, используя новый алгоритм. Так сказать, сделать рехешинг, используя другую хеш‑функцию. В общем, идея есть, а как её развивать — это уже ваше дело. Исходите из своих задач и возможностей.

Более простые пароли

Тут ничего нового. Попробуйте вместо почти криптографически стойких паролей, которые трудно запоминать, придумывать что‑то более простое. Возможно, используя идею предыдущего пункта, делайте ассоциацию или зависимость от названия сайта. Так пароли потом будет легче вспомнить. Тогда мы можем для каждого сервиса использовать свой уникальный пароль.

Из плюсов — нельзя подобрать закономерность при подборе пароля. Разве что, хорошо зная ваш психологический портрет, и, если вы будете придумывать уж очень слабые пароли счрезмерно очевидными и повторяющимися ассоциациями.

Из минусов — очевидно, такие пароли легче подобрать (поэтому рекомендую всё‑таки для важных сервисов их не использовать), также вы будете тратить больше времени на запоминание, и есть риск забыть некоторые пароли.

В сочетании с предыдущим пунктом получим довольно неплохой инструмент.

Двухфакторная аутентификация

Суть этого пункта — использовать дополнительный этап для проверки вашей личности, например, код из СМС или стороннее приложение. Лично я использую Microsoft Authenticator — вход в само приложение осуществляется по Face ID, а затем у нас будет 30 секунд, чтобы ввести сгенерированный код, после чего он изменится и придётся вводить следующий.

Вещь удобная, и к ней довольно быстро привыкаешь. Я, в целом, раньше с сомнением относился к двухфакторной аутентификации, думая, что это какая‑то ерунда. Считал, что это излишне. Но на самом деле довольно быстро привыкаешь и, спустя время, уже используешь это везде, так как теперь это кажется само собой разумеющимся.

Тут опять‑таки — это просто способ дополнительно себя обезопасить. Рекомендую им воспользоваться, так как это довольно просто и в сочетании с предыдущими пунктами даёт довольно высокую гарантию защиты. Можно использовать разные приложения и разные генераторы — всё зависит от вас. Я лишь даю идею.

Трехфакторная аутентификация с физическим генератором

Когда моя сестра в первый раз устраивалась на работу в ВК, то ей выдали примерно такой генератор одноразового пароля:

В целом, это довольно распространённая практика в крупных компаниях. Мы также можем дополнительно настроить его для работы с чем‑то вроде Microsoft Authenticator — теперь приложению для генерации одноразовых паролей самому понадобиться одноразовый код.

Теперь мы уже зависим от чего‑то физического, и для обычного злоумышленника получить доступ к нашему аккаунту становится практически невозможно. Если только лично мы не станем целью целенаправленного взлома, то с точки зрения массового взлома мы просто не будем стоить тех усилий, которые имеет смысл на нас тратить. Мы просто один из миллионов аккаунтов, который попытались взломать, но не взломали. Разумеется, думать, что и это — 100-процентная гарантия, не стоит, но для рядового человека такой метод избыточен, а те, для кого жизненно необходимо — будь то по сильному желанию или роду деятельности — чтобы их не взломали, явно будут использовать куда более продвинутые и надёжные способы. Но это материал для отдельной статьи (всё‑таки цифровой след — вещь довольно опасная, и даже из мизерного количества информации порой можно сделать большие выводы. Никогда нельзя быть уверенным в абсолютной безопасности от взлома в интернете. Да и в конце концов, человеческий фактор и физическое участие никто не отменял).

Из минусов — теперь мы начинаем заботиться уже не о безопасности данных, а о безопасности физического генератора. Не дай бог, мы его потеряем или забудем перед уездом — будет неприятно. Можно завести запасной или же создать резервные одноразовые коды для входа — это поможет в крайнем случае получить доступ.

Однако, как сохранить физический генератор — невероятно сложная тема, выходящая далеко за рамки текущей статьи, и останавливаться на ней мы сейчас не будем. Хм. Нужно ли для неё писать отдельную статью на Хабре?

(Хотя п‑с-с, даю подсказку, только тихо! Повесьте брелок на ключи.И будьте внимательней, всё таки вещь важная. Ну, и вот ещё одна подсказка, на случай, если потеряете ключи, но это прям совсем секрет)

Ну и в завершении текущего пункта: можно, конечно, пойти дальше и сделать четырёхфакторную аутентификацию, можно и пятифакторную, и так далее. А‑ка, соберите 4 ключа, слетайте на Марс, станцуйте танец Солнца и помолитесь Шиве — вопрос лишь в ваших целях и необходимостях. Лично мне хватает для 90 процентов вещей двухфакторной аутентификации. Опять‑таки я лишь предлагаю идеи, но не готовое решение. Это всё оптимизируется и подстраивается индивидуально под каждого. Вам стоит самим выработать свою систему, заточенную конкретно под вас.

Мнемотехники и картинки для запоминания пароля

В этом пункте я лишь вкратце объясню, что такое мнемотехники. Так что если вы уже знаете, что это, то, прочитав пункт по диагонали или же полностью пропустив его, мало что потеряете.

Наш мозг очень любит ассоциации. Более того, наш мозг буквально работает на основе ассоциациями. К тому же мы любим картинки и визуальную информацию. Сравните:

«Чтобы дойти от станции метро Чернышевская до доходного дома Тернова, поверните от метро налево, затем идите по Кировской улице в сторону Таврического сада, пока не дойдёте до музея Суворова. После этого поверните налево и идите по Таврической улице вдоль парка — он будет слева от вашей руки — пока не дойдёте до перекрёстка. Ориентир — здание с зелёным купоросным куполом. Вы пришли»

Наверное, это не самый наглядный пример, но всё равно. Мы куда лучше запоминаем визуальную информацию, чем голый текст. Даже небольшая поясняющая картинка существенно помогает улучшить процесс запоминания и разобраться в материале. Не менее сильно мы любим шутки, стишки и ассоциации — и неважно, глупые они или некультурные: важнее, что мы запомним материал.

Например, как запомнить «договоры» или «договора»?

«Ответ: мы не жулики, не воры — подписали договОры.»

Ну и так далее. Одна из идей мнемотехник — это заставить различными способами, а зачастую невероятно абсурдными и пошлыми ассоциациями, запомнить информацию. Так сказать, работать на контрасте. Конечно, есть и другие ответвления данной «науки», о которых многие не знают. Но обычно именно с этим ассоциируются мнемотехники у большинства людей при начальном изучении.

Я не буду углубляться в какие‑то техники, ведь на эту тему написано огромное количество литературы — от «Риторики для Геренния» ещё времён Древнего Рима до современного «Эйнштейн гуляет по Луне», в которых вдоль и поперёк эта тема описана. Однако рекомендую, для ознакомления, посмотреть: Как запомнить число Пи за 2,5 минуты? (до 20го знака). А для тех, у кого нет VPN и кто живёт в России — то же видео, но в Рутубе;) Клик.

В общем, если достаточно развиться в этой стезе, то довольно скоро можно научиться запоминать сложные пароли. Да и в целом, навык безусловно полезный. Если достичь определённого мастерства, то не будет стоять ребром вопрос о том, как запомнить и не забыть сложный пароль. Можно будет просто использовать уникальные сложные пароли и двухфакторную (или более) аутентификацию.

Лично я мнемотехниками для запоминания паролей практически не пользуюсь, однако у меня есть как минимум одни очень важные данные, которые я в силу их важности нигде никогда не писал, не сохранял и не произносил вслух. Они есть только в моей голове. И запомнил я их пару лет назад именно благодаря мнемотехникам. Благодаря им же эти данные я и расширяю.

Кроме того, я до сих пор помню некоторые ассоциации и вещи, которые учил ещё лет 5 назад при помощи мнемотехник. Так что способ, на мой взгляд, работает. Но, опять‑таки, исходите из ваших потребностей и оценивайте, подойдёт он вам или нет. Ну или просто попробуйте — и если не подойдёт, то выберите другой способ.

Просто запомнить

Классическое «зазубрить пароль». Наш мозг всё‑таки не самая бесполезная вещь поэтому можно просто заучивать все наши пароли — даже сложные. Это существенно повысит временные затраты и сложность, однако результат будет вполне неплохой.

Я скептически отношусь к запоминанию вообще всех паролей, тем более — тьфу‑тьфу‑тьфу — что будет, если мы ударимся головой… и всё. Да и вообще, нельзя хранить все яйца в одной корзине. К тому же, из минусов — наш, в таком контексте, мозг — это как база данных, в которой данные со временем мутируют и исчезают, если их не повторять. И чем больше база данных, тем больше времени нам нужно на просмотр её целиком. Да и ответственность с ростом размера таблицы увеличивается.

Из рекомендаций — советую прочитать про так называемую кривую забывания Эббингауза.

Лично я существование этой кривой держу в голове постоянно и все какие‑то материалы разучиваю только так. (Конечно, правильное изучение самого материала — дело куда более сложное.)

Менеджер паролей

Чтобы не забыть пароли, используйте так называемые менеджеры паролей. Сейчас они есть практически на любом устройстве и в любом браузере. Это приложение, которое за вас будет хранить все ваши пароли, а чтобы войти в само приложение, нужно знать лишь один так называемый мастер‑пароль. То есть вы просто запомнили один сложный и надёжный пароль, а затем при помощи него получаете доступ ко всем остальным — это как пароль на телефоне: чтобы получить доступ к функциям, нужно знать пароль.

Я, например, использую Yandex Browser на компьютере и храню почти все пароли во встроенном менеджере. При переходе на какой‑то сайт мне достаточно ввести один мастер‑пароль, после чего Яндекс сам за меня подставит мои данные. На мой взгляд, это очень удобно, и я активно этим пользуюсь. Больше не нужно запоминать и держать в уме десятки паролей — достаточно помнить лишь один. Теперь можно генерировать уникальные пароли любой сложности для каждого сайта и не волноваться о том, что забудем их.

Хотя лично из моих предпочтений: я не люблю автоматически сгенерированные пароли, которые генерировал не я. Я предпочитаю свои, так мне их легче запоминать. Привожу пример: у меня iPhone, и когда я регистрируюсь на сайте, мне предлагают «Использовать надёжный пароль». Эта, по моему мнению назойливая функция автоматически, без спроса, подставляет в форму пароль вида YHSmd-NEWIO-oWasm — просто какой‑то сложный для подбора набор символов. Причём, чтобы ввести вместо него свой пароль, нужно выполнить какой‑то, на мой взгляд, бесполезный мини‑квест. Такая система рассчитана исключительно на использование менеджера паролей, потому что пользователю почти не дают посмотреть пароль. Возможно, если вы полностью живёте в экосистеме Apple, это оправдано: вы переходите от iPhone к MacBook или iMac, или iPad в рамках одной учётной записи, и пароли синхронизируются. Однако когда техника от разных компаний, синхронизации добиться не так просто.

Можно дублировать пароли в нескольких менеджерах (например, в Яндекс.Браузере и в Keychain Apple), но это, по‑моему, не всегда неудобно.

Лично мне нравится хотя бы примерно понимать, что у меня за пароль, чтобы в случае чего можно было положиться на память, а не на сервер. Но, опять‑таки, это лишь мои предпочтения. Если вам такой подход удобен, это ваше право.

Существует огромное множество менеджеров паролей: некоторые поддерживают двухфакторную аутентификацию или физические токены, другие генерируют пароли по заданным алгоритмам. Я не буду останавливаться на конкретных решениях — при симпатии к такому подходу всё легко найти в интернете.

В общем, способ хороший, и его используют многие люди, но и у него есть минусы:

Теперь уже вместо проблемы запоминания пароля ключевым становится вопрос доверия к используемому сервису. В новостях постоянно говорят о взломах и утечках баз данных Facebook, Яндекса, Apple и других — это снижает доверие к сторонним сервисам. Готовы ли вы полностью довериться менеджеру и скинуть на него свою ответственность?
Не храните все яйца в одной корзине. Развивая предыдущий пункт, я рекомендую не хранить все пароли в одном месте. Можно использовать несколько менеджеров или внутри одного создавать разделы (например «Развлечения», «Работа», «Финансы»), каждый из которых защищён отдельным мастер‑паролем. Ещё я рекомендую важные пароли держать отдельно и периодически менять. Так, при утечки базы паролей мы потеряем хотя бы не всё, а только часть. Тут можно провести аналогию с consistent hashing, когда мы хешируем данные на несколько серверов
Риск потери или кражи мастер‑пароля. К примеру, злоумышленник заглянул вам через плечо, когда вы его вводили и запомнил его (к слову некоторые люди, при помощи мнемотехник или других методов могут на ходу так сделать). И всё, теперь у него есть доступ ко всем вашим паролям. Чтобы такого избежать я рекомендую использовать двухфакторную аутентификацию, а также периодически обновлять мастер‑пароль. Если вы используете одинаковый пароль больше года, то это явно плохой знак. Что уж говорить о двух и более годах.

Из прочих советов к этому пункту, в некоторых менеджерах можно добавить к обычному мастер‑паролю ещё и бланк персональных вопросов, которые будут выдаваться произвольно. Например, мы создали в менеджере паролей форму из 50 вопросов вида «Какой ваш любимый баскетбольный клуб?», «Какой вам любимый писатель?», «Какой ваш любимый фрукт?», «Как звали вашего первого кота?», и так далее. Ответы на такие вопросы будем знать только мы или близкие нам люди, но не злоумышленник (Только если он, к сожалению, не близкий нам человек). Тогда помимо того, что нужно будет ввести пароль, надо будет всегда отвечать на 2–3 персональных вопроса, причём поскольку они будут случайными образом выбраны из большого списка, то даже узнав мастер‑пароль, злоумышленник не сможет войти без ответа на персональные вопросы.

А вообще я рекомендую всегда указывать либо резервную почту, либо создавать одноразовые коды для входа или сброса пароля, а сами такие коды либо записывать в блокнот, либо хранить в настолько случайном и неочевидном месте на компьютере, чтобы никто кроме нас этого не узнал. Ведь по такому коду мы сразу напрямую сможем получить доступ к сервису. Хотя ещё лучше создать коды двух степеней важности: одни будут позволять войти, но потребуется двухфакторная аутентификация, а вторые будут позволять войти вообще напрямую. Но вторые точно лучше либо только запоминать (хотя бы один), либо записывать только на физический носитель.

Ещё можно создать коды, при вводе которых совершенно у всех теряется доступ к вашему аккаунта и никак кроме, например, ввода резервного кода, войти больше мы не сможем. Это нужно, чтобы, если мы обнаружили фактор взлома и злоумышленники изменили пароли, то мы могли выгнать их и восстановить доступ. Но тут опять‑таки вопрос безопасности самих кодов.

В общем, мне менеджеры паролей нравятся и я их использую. Мне также они нравятся и тем, что мы снимаем нагрузку с нашей памяти и можем, в случае чего, не волноваться о том, как нам войти в аккаунт.

Примечание 1: Менеджеры паролей часто занимаются шифрованием «на стороне клиента», но их безопасность зависит от алгоритма, реализации и надёжности мастер‑пароля. Взламывать облачный сервис не обязательно — можно атаковать вашу машину или браузерное расширение.

Примечание 2: Дублирование паролей в нескольких менеджерах усложняет администрирование и повышает риск рассинхронизации. Лучше выбрать один надёжный сервис с 2FA и резервными кодами.

Физический носитель

Здесь нет сложных рекомендаций — сохраняйте пароли на физический носитель: в личный дневник, в записную книжку, в тетради или куда‑угодно. Важно не потерять и не дать украсть эти записи — например, хранить их в сейфе. Ещё как вариант — сохранять зашифрованный файл с паролями на флеш‑накопителе, храня его отдельно от компьютера.

Вариантов масса. Главное — не храните всё в одном месте.

Можно поручить хранение копии паролей надёжному человеку — другу, члену семьи или секретарю: при необходимости вы звоните ему и просите подсказать нужную запись.

В более экзотическом варианте можно нанять доверенное лицо где‑то в сибири — оно знает лишь, что у него есть тетрадь, и по вашей команде вписывает или называет пароль, не зная ни вас, ни контекста.

Но подобные меры актуальны, если вы — потенциальная цель целенаправленной атаки.

Также напоминаю не хранить все пароли у одного человека — и он может их потерять или передать кому‑то ещё.

В общем, способов хранения на физическом носителе множество — выбирайте то, что подходит именно вам. Простора для творчества здесь много

Псевдоспрятанные пароли

Под «Псевдоспрятанными паролями» я имею в виду создать документ, в котором вы будете хранить ваши пароли, а затем поместить его в случайное место на вашем компьютере. Например: создать картинку с паролями и поместить его в папку с изображениями, и при необходимости заходить туда и смотреть пароли.

Или же:

Или создать текстовый файл с названием My_program_02.cpp и поместить его в папку с кодом.
Или назвать файл essay.fb2 и положить в папку с учёбой.
Или Безымянный документ (2).txt оставить в папке «Загрузки».

Опять‑таки, способов много, и не нужно хранить все пароли в одном файле. Это просто идея, как можно организовать быстрый доступ к нужным паролям. Я, например, именно так храню некоторые пароли — это удобно, когда нужно просто скопировать или подглядеть пароль без лишних сложностей.

Как точно НЕ стоит выбирать пароли

Не используйте один пароль везде
Не берите за основу для пароля персональные данные (дата рождения, имя, фамилия)
Не храните все пароли в одном месте
Не используйте простые пароли
Не используйте простые пароли
Не используйте простые пароли
Не храните все пароли в одном месте
Не используйте один пароль везде
Используйте двухфакторную аутентификацию
Не берите за основу для пароля персональные данные (дата рождения, имя, фамилия)
Нет, я серьезно, не используйте один пароль везде

Эти 5 11 пунктов помогут вас существенно повысить свою безопасность и возвыситься над простыми пользователями интернета. Знаете, я более‑менее связан с айти сферой и до сих пор многие мои знакомые айтишники не соблюдают ни одного из этих пунктов. От слова совсем — один пароль для всего, ну и иногда добавим туда звездочку или восклицательный знак, как в госуслугах. Что уж говорить о простых смертных...

Заключение

В заключении хочется сказать, что не нужно слепо следовать приведённым советам и пытаться применить всё и сразу. Перечисленное выше — это лишь инструменты, а у каждого инструмента есть свои границы применения. Всегда нужно исходить из своих задач и обязанностей. Одно дело, если мы будем тратить 10 минут в начале рабочего дня на то, чтобы получить доступ ко всем своим сервисам, а вечером точно также тратить время на то, чтобы из всех аккаунтов выйти, и совершенно другое тратить по 10 минут вообще на каждый вход. Вот стоит ли, например, вход в онлайн кинотеатр потраченных усилий? Наверное нет. А вход на госуслуги? Наверное да.

Я специально не перечислял какие‑то конкретные инструменты вроде менеджеров паролей, которые я использую или алгоритмов, потому что, на мой взгляд, идея важнее реализации. Я также практически не затрагивал темы вроде радужных таблиц, соления хеша и прочего, чтобы статья оставалась доступной менее подготовленному читателю.

Существует бесчисленное множество различных сервисов под любые задачи — просто поэкспериментируйте и выберите удобные вам. Представьте, что вы работаете в мастерской. У любого хорошего мастера будут десятки, а то сотни различных хороших инструментов, но активно он будет использовать всего несколько. Однако раз‑на‑раз пригодиться любой из этих сотен. И в нужный момент нужно знать, что такой инструмент у вас есть и уметь им пользоваться.

Например, я в основном использую менеджеры паролей, а также двухфакторную аутентификацию. Но для хабра, я создал пароль, использовав именно что алгоритм псевдо уникальных паролей, а для, например, госуслуг запомнил сложный. На GitHub вхожу через GitHub mobile, а в ВК через Microsoft Authenticator. А пароль от аккаунта для майнкрафта я храню у себя на компьютере в какой‑то — не скажу в какой — папке. В общем простору для творчества — быть! (Ну а некоторые методики из своей же статьи я либо не использую, либо использую, но не в тех масштабах, в которых хотелось бы, просто потому что руки никак не доходят этим всем заняться ахах)

От себя повторю: я ни на что не претендую, и представленные методики — не догма. Я просто предложил несколько идей в надежде, что какой‑нибудь человек найдёт для себя что‑то полезное

Пишите свои замечания, предложения и критику в комментариях, а также делитесь тем, что используете вы. Данная статья всегда открыта к редактированию и я буду рад указаниям на мои недочёты.

На этом всё, спасибо за прочтение!

Что такое SIM-банк и как он работает

2025-06-14T09:10:09.091Z

Такие устройства, как VoIP GSM шлюзы пользуются растущей популярностью среди российских компаний и предпринимателей. Сфера их применения достаточно широка – начиная с экономии средств компании на звонках по мобильным номерам, заканчивая различными SMS-рассылками. Потребности многих компаний не ограничиваются одним, даже самым мощным, шлюзом. При использовании же нескольких подобных устройств, особенно распределенных территориально, трудозатраты по их поддержке и администрированию возрастают значительно. Устройства под названием SIM-банки позволяют не только упростить работу с несколькими VoIP GSM шлюзами, но и добавить последним множество интересных возможностей. Сегодня, на примере SIM-банков SMB32 и SMB128 мы познакомимся и научимся работать с данным классом устройств.

Что такое SIM-банк

SIM банк — это устройство агрегации SIM карт в одном месте. Проще говоря, это устройство, в которое физически подключаются SIM карты, а связь SIM карты с GSM шлюзом осуществляется через IP сеть. Это значит, что GSM-шлюзы могут быть установлены где угодно – даже в разных городах и странах, в то время как сами SIM-карты будут всегда у вас под рукой. При этом, для оператора связи точкой регистрации SIM карты будет расположение того шлюза, с которым она сейчас работает, а не действительное её месторасположение.

Агрегация множества SIM-карт в одном устройстве – это основная функция SIM-банка. Но также он может выполнять и другие функции, например:

централизованное управление SIM картами;
горячая замена / установка SIM карт;
автоматическое распределение SIM карт между GSM шлюзами по временным правилам;
автоматическая замена SIM карт на GSM шлюзах при наступлении определенных событий или по временным критериям.

Благодаря SIM банку можно в любой момент поменять местами SIM карты в шлюзах, расположенных в разных частях города или запрограммировать сценарий, по которому SIM-карты будут автоматически привязываться к другому GSM шлюзу и, тем самым, создать иллюзию передвижения SIM карты для оператора связи.

Какими SIM-банки бывают

Пожалуй, самыми популярными на сегодняшний день устройствами класса SIM-банк являются те, что выпускаются под названием GoIP. Есть модель SMB32 на 32 SIM-карты, а есть модель SMB128, соответственно, на 128 SIM-карт. У нас под рукой оказалась старшая модель и пара четырехканальных VoIP GSM шлюзов GoIP 4. Описанные в статье настройки будут также применимы и к младшей модели SMB32 и к другим моделям VoIP GSM шлюзов GoIP (на один канал, на восемь, на шестнадцать).

Слева — SIM-банк SMB32, справа — SIM-банк SMB128

А вот на что следует обратить внимание, так это на производителя устройств. По славной китайской традиции VoIP GSM шлюзы под названием GoIP выпускают как минимум две компании — Hybertone и DBL. Несмотря на то, что на аппаратном уровне эти устройства идентичны, они могут иметь различия в ПО. Все описанное в этой статье применимо к GSM шлюзам и SIP-банкам производства компании DBL. Гарантировать применимость данных настроек к устройствам Hybertone, я, к сожалению, не могу.

Для полноты картины стоит отметить, что также SIM-банки выпускает и другой производитель VoIP GSM шлюзов – компания Dinstar. У них есть модели на 64 и 128 SIM-карт, однако поработать с ними пока, к сожалению, не доводилось.

Режимы работы SIM-банка

SIM-банки GoIP могут работать в двух режимах: выступать в качестве сервера для GSM-шлюзов или работать совместно с бесплатным ПО SMB Scheduler Server. Первый вариант более простой, но имеет некоторые ограничения. Он подходит для тех компаний, которые используют один SIM-банк и не планируют передавать SIM-карты в нем между различными шлюзами. Работа с SMB Scheduler Server лишена этих ограничений – по заявлению разработчиков, поддерживается до 10000 SIM-карт, а также возможности их распределения как между каналами одного шлюза, так и между самими шлюзами.

Мы рассмотрим оба этих варианта работы – от простого к сложному. Но сначала необходимо зарегистрировать наши GSM-шлюзы на IP-АТС, в нашем случае это будет – Asterisk. Те, кто хорошо знаком и с VoIP GSM-шлюзами GoIP, и с Asterisk, могут просто пропустить следующий раздел.

Подключение шлюза GoIP к SIP серверу Астериск

Вначале совсем немного теории. GSM-шлюзы GoIP могут регистрироваться на SIP-сервере четырьмя различными способами:

Single Server Mode — в этом режиме шлюз GoIP регистрируется на удаленном SIP сервере с помощью всего одной учетной записи. Все входящие и исходящие вызовы для всех линий на шлюзе будут проходить через одно SIP соединение. Маршрутизация при этом осуществляется за счет подстановки префикса к вызываемому номеру в соответствии с используемой GSM линией на шлюзе.
Config By Line — в данном режиме для каждой GSM линии на шлюзе производятся свои независимые настройки. Соответственно, для каждой линии на SIP сервере заводится отдельная учетная запись. В таком режиме каждую линию на GSM шлюзе можно зарегистрировать на своем SIP-сервере.
Config By Group — это режим есть объединение Single Server Mode и Config By Line — все линии на шлюзе объединяются в группы, а для каждой группы назначаются свои SIP настройки. Соответственно, линии объединенные в одну группу, используют SIP соединение соответствующее этой группе.
Trunk Gateway Mode — главная особенность этого режима — возможность подключение к SIP серверу без регистрации. Маршрутизация вызовов, как и в первом режиме, осуществляется на базе префиксов, которые устанавливаются для каждой линии.

Для базовой настройки связки GoIP – Asterisk мы будем использовать четвертый вариант, но в режиме с регистрацией. Все входящие на SIM-карты вызовы мы будем отправлять на некоторый внутренний номер на АТС. Исходящие вызовы будем маршрутизировать на основе префиксов: в зависимости от того, через какую SIM-карту требуется направить вызов, Asterisk будет подставлять в вызываемый номер определенный префикс. Шлюз будет анализировать префикс, после чего отбросит его и направит вызов через нужную SIM-карту (канал).

В Астериске создаем SIP пир для нашего шлюза с параметром Line ID – 70064 (это последние пять цифр серийного номера шлюза, для удобства):

[goip70064]type=friendhost=dynamicdefaultuser=goip70064secret=pass70064qualify=yesdtmfmode=rfc2833context=from-trunk-sip-goip70064

Файл /etc/asterisk/sip.conf

Как я уже говорил, GSM шлюз в нашем примере будет распределять исходящие вызовы по своим линиям, основываясь на префиксе номера. Но для этого нам надо, чтобы Asterisk добавлял эти префиксы к номерам, руководствуясь какой-то логикой. В нашем случае особой логики не будет – Asterisk будет по очереди добавлять префиксы 011, 012, 013 и 014 (которые соответствуют 1-4 линиям шлюза) пока не найдет свободную линию и вызов не пройдет. Играясь с маской номера, можно построить более гибкую логику выбора исходящей линии, основанную, к примеру, на том, какому оператору связи принадлежит вызываемый номер.

[from-phones]exten => _8XXXXXXXXXX,1,Dial(SIP/goip70064/011${EXTEN}) ; Звонок через первую GSM линиюexten => _8XXXXXXXXXX,n,Dial(SIP/goip70064/012${EXTEN}) ; Звонок через вторую GSM линиюexten => _8XXXXXXXXXX,n,Dial(SIP/goip70064/013${EXTEN}) ; Звонок через третью GSM линиюexten => _8XXXXXXXXXX,n,Dial(SIP/goip70064/014${EXTEN}) ; Звонок через четвертую GSM линиюexten => _8XXXXXXXXXX,n,Hangup()

Файл /etc/asterisk/sip.conf

Теперь в web-интерфейсе GoIP переходим в раздел Configurations — Basic VoIP. Для опции Config Mode выбираем вариант Trunk Gateway Mode — ниже отобразятся соответствующие настройки для этого режима. В опции SIP Trunk Gateway1 указываем IP адрес нашего SIP сервера или его доменное имя. В опции Phone Number указывается имя пира, созданного на стороне SIP сервера, в нашем случае — это goip70064. Re-register Period(s) — указывается интервал времени в секундах для повторной регистрации на SIP сервере; мы указали 60 секунд, если указать 0 — то регистрация осуществляться не будет. Далее идёт опция Authentication ID, где указывается имя для аутентификации шлюза на SIP сервере и часто совпадает с именем SIP пира, в нашем случае — это опять же goip70064. Затем указывается пароль в опции Password, мы указали — pass70064. В последней опции, Routing Prefix — указывается префикс, по которому будут распределяться исходящие вызовы между GSM линиями. В файле extensions.conf в Asterisk мы использовали префиксы 011 – 014, поэтому именно их и следует указать здесь:

Line1: 011
Line2: 012
Line3: 013
Line4: 014

После основных настроек подключения, добавим настройки входящей и исходящей маршрутизации. Настройка входящей маршрутизации доступна в разделе Configuration — Call In. Здесь достаточно указать для каждой линии в опции Forwarding to VoIP Number — номер, который будет вызываться на IP-АТС. В нашем случае я указал просто 5555 для всех линий. Для того, чтобы просто проверить, что вызовы действительно приходят с наших GSM линий на SIP сервер, этого будет вполне достаточно.

Настройка исходящей маршрутизации осуществляется в разделе Configuration — Call out. Для каждой линии настраивается параметр Dial Plan, в котором нужно прописать правило, которое будет удалять префикс (тот самый префикс, который мы задали в разделе Configurations — Basic VoIP) в начале вызываемого номера:

для CH1: 011:-011|
для CH2: 012:-012|
для CH3: 013:-013|
для CH4: 014:-014|

Для нашего примера данных настроек будет вполне достаточно: мы сможем совершать звонки через линии шлюза GoIP, добавляя к вызываемым номерам соответствующий префикс, а так же принимать звонки с любой GSM линии, направляя их всех на внутренний номер 5555, заведенный на Asterisk. Аналогичные настройки мы произвели и для второго шлюза GoIP, который также будет работать с нашим SIM-банком.

SIM-банк в роли сервера

Подключение шлюза GoIP к SIM-банку

Теперь подключим наши GSM-шлюзы GoIP 4 к SIM-банку SMB128, работающему в режиме сервера. Для этого необходимо перевести SIM-банк в режим работы сервера и добавить учетные записи для каждого GoIP шлюза. В Web-интерфейсе SMB128 переходим в раздел Configurations — SIM Bank Settings и в опции Operation Mode выбираем вариант Use Buil-in SIM Server. В разделе GoIP Clients, добавляем необходимое количество учетных записей для каждого шлюза GoIP. Потребуется заполнить следующие поля:

GoIP Type — модель шлюза GoIP, выбираем из выпадающего списка
Login ID — идентификационный номер шлюза, используется как логин для подключения к SIM банку. Должен состоять только из цифр. Для удобства можно использовать несколько последних цифр серийного номера или MAC адреса шлюза
Password — пароль для подключения к SIM банку

В нашем примере получились такие настройки (другие опции остались в значении по умолчанию):

Operation Mode: Use Built-in SIM Server
GoIP Type: GoIPx4 Login ID: 70064 Password: pass70064
GoIP Type: GoIPx4 Login ID: 70061 Password: pass70061

Далее, подключаем шлюзы GoIP к SIM банку. В Web-интерфейсе шлюза GoIP переходим в раздел Configurations — Preferences. Переводим опцию Remote Server в состояние Enable, после чего появятся дополнительные опции. Remote SIM переключаем в состояние Enable — тем самым, указывая шлюзу использовать режим работы с удаленным SIM сервером. В опции Server указываем IP адрес SIM-банка или его доменное имя, в опции ID указывается идентификационный номер шлюза — тот самый Login ID, который мы использовали при заведении учетной записи в SIM банке. В опции Password указываем соответствующий пароль.

Правила распределения SIM-карт

Как уже было сказано, режим работы SIM-банка в качестве сервера имеет некоторые ограничения. Самое главное из них заключается в том, что каждому каналу каждого GSM-шлюза выделяется собственный диапазон SIM-карт, который не может использоваться другими каналами. То есть, весь диапазон SIM-карт разбивается на несколько непересекающихся множеств, каждое из которых назначается определенному GSM-каналу.

Выглядит это следующим образом: в разделе Configurations — SIM Bank Settings Web-интерфейса SIM-банка есть опция # of SIM slots reserved per line, в которой указывается количество SIM-карт, которое может быть использовано каждым из каналов. В нашем примере у нас есть два четырехпортовых шлюза GoIP4, итого – 8 каналов. Если в этой опции мы укажем, например, значение «3», то первому каналу первого шлюза будут доступны SIM-карты №1, №2 и №3, второму каналу первого шлюза — №4, №5 и №6, а первому каналу второго шлюза — №13, №14 и №15.

После того, как мы выделили каждому каналу его множество SIM-карт, требуется дать ответы на два вопроса: во-первых, какое событие должно произойти, чтобы SIM-банк заменил для GSM-канала текущую SIM-карту на другую, из назначенного каналу множества. Во-вторых, на какую именно SIM-карту при наступлении этого события следует произвести замену? Ответ на первый вопрос мы дадим в следующем разделе, а вот на второй вопрос отвечает опция SIM Schedule Mode. Доступны следующие методы выбора рабочей SIM-карты:

In sequence — последовательное распределение — выбирается первая по списку SIM карта
At random — случайный выбор рабочей SIM карты
Idle the longest — выбирается SIM карта, которая дольше всего находится в сотоянии ожидания
The fewest amount of outgoing calls — выбирается SIM карта, которая имеет наименьшее количество исходящих вызовов
The least amount of accumulative talk time — выбирается SIM карта с наименьшим количеством суммарного времени разговора

Условия переключения между SIM-картами

Теперь самое время настроить события, наступление которых влечет за собой переключение на другую SIM-карту или выполнение SIM-банков еще каких либо действий. Для этого в разделе Configurations есть два подраздела:

Current Allocation Session — настраиваются события, которые могут наступить прямо во время текущей сессии работы SIM-карты и даже прямо во время разговора. Например, это может быть достижение определенной длительности работы SIM-карты в активном режиме, длительности текущего разговора, количества успешных вызовов, количества неудачных вызовов подряд, первая успешная регистрация SIM-карты после назначения и другие (полный список событий – на скриншоте).

SIM Card History — события, которые проверяются на основе накопленной статистики работы SIM-карты и проверяются после каждого законченного вызова через SIM карту, удачного или неудачного. Например, это может быть достижение определенной суммарной длительности разговоров, количества всех вызовов, количества неудачных вызовов, снижение баланса до определенного уровня и другие (опять же – на скриншоте).

На наступление каждого из событий можно назначить следующие действия:

Null — действие не назначено, ничего не произойдет
Re-allocate another SIM — назначить другую SIM карту для этой GSM линии, текущая SIM карта будет переведена в режим ожидания
Disable the SIM and re-allocate another SIM — назначить другую SIM-карту для этой GSM линии, текущая SIM карта будет отключена, то есть исключена из множества SIM-карт, назначенных линии.
Re-assign a new IMEI — назначить новое значение IMEI для этой линии GSM
Disable the SIM and Re-assign a new IMEI and re-allocate another SIM — отключить текущую SIM карту, затем назначить новое значение IMEI и назначить другую SIM карту для этой GSM линии
Check Balance — произвести проверку баланса на счете текущей SIM карты. Для работы данного пункта нужно произвести настройки в разделе Configurations — Get Balance
Display Warning — отобразить предупреждение, которое появится в разделе мониторинга состояния SIM слотов — раздел SIM Slot Status

В принципе, это все основные настройки при работе SIM-банка в режиме сервера. Единственное, на что еще следует обратить внимание – это на правильную установку и удаление SIM-карт. Для того чтобы делать это безопасно, требуется предварительно отключить питание необходимого слота. Именно для этого и предназначены клавиши на корпусе SIM-банка, однако намного проще делать это с помощью Web-интерфейса. Заходим в раздел Install / Remove SIM Cards и кликаем по заголовку нужных слотов. Серый цвет означает, что питание на слот подается, красный цвет – нет. Нажимаем Submit для подтверждения действия, устанавливаем или удаляем SIM-карту, включаем питание слота и снова подтверждаем действие клавишей Submit.

Мониторинг SIM-карт

Для мониторинга установленный в SIM-банке SIM-карт предназначен раздел SIM Slot Status. Данные в этом разделе представлены в виде таблицы, где каждая ячейка соответствует одной SIM-карте и содержит следующую информацию:

Название ячейки — это номер слота (SIM 1, SIM 2 и т.д). В зависимости от состояния слота меняется цвет названия:

серый — слот не активен или SIM карта не установлена
зеленый — установлена SIM карта и данный слот включен в работу, то есть привязан к одной из линий GSM шлюза
синий — SIM карта установлена, но находится в состоянии ожидания, другими словами, не привязана в настоящий момент к GSM шлюзу
красный — питание отключено

S — (Status) отображает текущее состояние:

RUNNING — SIM-карта находится в работе, те подключена к GSM шлюзу
SLEEP – SIM карта установлена, но находится в состоянии ожидания, другими словами, не привязана в настоящий момент к GSM шлюзу
DISCNT — SIM-карта была удалена из слота или питание отключено

B (Bind Line) — номер GSM линии, в связке с которой работает данная SIM карта; состоит из <идентификационный номер шлюза> + <номер GSM линии> — например, для нашего шлюза с ID 70064 первая линия будет иметь вид — 7006401, вторая — 7006402 и так далее.
G — (GSM Register) указывает, зарегистрирована ли SIM карта или нет: Y — зарегистрирована, N — не зарегистрирована.
T — (Call Time) общее время звонков, в минутах
C — (Call Count) общее количество вызовов

Также, при наведении курсора мыши на ячейку, появится всплывающая подсказка с расширенными параметрами состояния и статистикой для данной SIM-карты.

SIM-банк в роли клиента

Работа SIM-банка в качестве клиента возможна при использовании бесплатного ПО Scheduler Server. Scheduler Server — это программный сервер, который позволяет управлять сразу несколькими шлюзами GoIP и SIM банками SMB. На момент написания статьи актуальная релизная версия ПО 1.7.2 и доступна для скачивания по ссылке.

При использовании Scheduler Server становятся доступны следующие возможности:

централизованное управление несколькими устройствами SIM-банк SMB и шлюзами GoIP
статическая привязка SIM-карты к линии GSM шлюза
динамическое распределение SIM-карт между GSM шлюзами
автоматическая замена SIM-карт на GSM шлюзах при наступлении определенного события
автоматическое переключение SIM-карты с одного GSM шлюза на другой

Забегая вперед, отмечу, что у Scheduler Server есть и свои ограничения по сравнению с использованием SIM-банка в качестве сервера. В первую очередь это касается того, что переключение между SIM-картами возможно только по времени, в по событиям – нет.

Установка Scheduler Server

Требования к системе:

рекомендуется использовать в качестве ОС — Linux Centos 32-bit
в качестве HTTP сервера рекомендуется использовать Apache 2 или выше
PHP 5 или выше
сервер MySQL версии 5 или выше

Требования к сети:

потери пакетов не должны превышать 5%
задержка передачи пакетов не должна превышать 300 мс
один SIM канал может занимать полосу до 11 Кбит/сек

После разархивирования полученного пакета, нужно запустить скрипт smb_scheduler_install.sh, который задаст несколько уточняющих вопросов и всё установит, включая БД. Далее, вся настройка производится в веб интерфейсе.

Как работает Scheduler Server

Главная роль сервера — связать SIM-карту в SIM-банке с линией GoIP шлюза. Работает это следующим образом:

GSM-шлюз и SIM-банк регистрируются на Scheduler сервере
Scheduler сервер связывает SIM-карту в SIM-банке с линией GSM-шлюза в соответствии с заданными правилами
GSM-шлюз регистрирует соответствующую SIM карту у оператора связи

Есть два способа распределения SIM карт: в фиксированном режиме и в режиме группового назначения. Фиксированный режим — это установление связи GSM-линия — SIM слот вручную, данная связь не изменится, пока пользователь сам не внесет какие либо изменения. Режим группового назначения — это динамический режим создания связей GSM-линия — SIM слот.

Режим группового назначения

В отличии от режима работы SIM-банка в качестве сервера, где каждая группа SIM-карт может быть привязана только к определенному GSM-каналу, использование Scheduler Server дает намного больше возможностей по распределению SIM-карт. Работает это следующим образом: создаются группы, к которым можно привязать как любые слоты в SIM-банке, так и любые GSM-линии любого GSM-шлюза. Соответственно, распределение SIM-карт по GSM-линиям осуществляется внутри этих групп.

Однако есть еще одна особенность – каждый GSM-шлюз (именно шлюз, не линия) привязывается к зоне. Зоны создаются самим пользователем и по задумке разработчиков должны характеризовать реальное территориальное расположение шлюза. Нужно для реализации функции эмуляции передвижения SIM-карты: Scheduler Server настроен по умолчанию таким образом, чтобы постоянно переключать SIM-карты между шлюзами из различных зон.

В каких случаях происходит переключение SIM-карты? Увы, в случае с Scheduler Server работают только временные условия. Для каждой группы могут быть заданы следующие временные правила распределения SIM-карт:

циклический интервал — перераспределение выполняется через равные промежутки времени, например каждый час
по дневному расписанию — на каждый день выделяется до 9 временных интервалов, в каждый из которых работает одна SIM-карта. По истечении этого временного интервала, SIM-карта переходит в режим ожидания. При наступлении нового интервала – GSM-линии назначается следующая SIM-карта.
по недельному расписанию — аналогично предыдущему пункту, но расписание назначается сразу на всю неделю.

Последний вопрос, на который стоит ответить – это как происходит выбор следующей для назначения SIM-карты. Алгоритм работы тут довольно простой:

В первый раз SIM карта и GSM-линия из одной группы связываются случайным образом и запускаются в работу
Когда рабочее время заканчивается, SIM карта и GSM-линия разрывают связь и переходят в состояние ожидания
При наступлении нового рабочего интервала, собирается новая связь с учетом следующих правил:

SIM карта не будет связана с GSM-линией, с которой она была связана в последний раз
SIM карта не будет связана с линией GSM-шлюза, имеющего тот же номер зоны, что был в последний раз

Подключение устройств к Scheduler Server

Для начала с помощью Web-интерфейса Scheduler Server требуется завести учетные записи для всех GSM-шлюзов и SIM-банков, которые будут к нему подключены. Учетные записи для GSM-шлюзов заводятся в разделе GoIP. Нажимаем Add и заполняем следующие поля:

GoIP ID(number): ID номер (будет использоваться как логин при подключении)
GoIP Name: произвольное название подключаемого шлюза
Password: пароль
Type: модель шлюза GoIP — выбирается из выпадающего списка
Group: группа, в которую будет включен GoIP (если уже создана)
Zone ID: номер территориальной зоны
Zone Name: произвольное название территориальной зоны

Учетные записи для SIM-банков создаются, соответственно, в разделе SIM-Bank. Для добавления нового устройства, требуется заполнить следующие поля:

SIM Bank ID(Number): ID номер (будет использоваться как логин при подключении)
SIM Bank Name: произвольное название подключаемого SIM-банка
Password: пароль
Type: тип — модель SIM-банка — выбирается из выпадающего списка
Group: группа, в которую будет включен SIM банк (если уже создана)
Остальные параметры относятся уже к тонкой настройке работы Scheduler Server, в рамках этой статьи мы их рассматривать не будем.

Переходим к Web-интерфейсам наших устройств. Начнем с GSM-шлюза GoIP. В разделе Configurations — Preferences переводим опции Remote Server и Remote SIM в состояние Enable. В опции Server указываем IP адрес Scheduler Server или его доменное имя, в опции ID указывается идентификационный номер шлюза — тот самый GoIP ID, который мы использовали при заведении учетной записи в Scheduler Server, в поле Password указываем соответствующий пароль. Переключатель Net protocol переводим в состояние UDP.

Теперь зарегистрируем на Scheduler Server наш SIM-банк. В Web-интерфейсе SMB128 переходим в раздел Configurations — SIM Bank Setting и в опции Operation Mode выбираем Use External SIM Server, а в опции SIM Data Communications with выбираем SIM Server. Все остальные настройки аналогичны настройкам GSM-шлюза.

Настройка режима группового назначения

Проще всего осуществлять настройку группового назначения SIM-карт в разделе Web-интерфейса Configuration – Group. После того, как необходимое количество групп создано, к ним можно привязывать слоты SIM-банка – для этого необходимо кликнуть по ссылке SIM справа от названия группы. Для того чтобы управлять привязанными к группе GSM-каналами есть ссылка GoIP, а для управления расписанием – Scheduler.

Настройка режима фиксированного назначения

Если требуется одну или несколько SIM-карт «намертво» привязать к определенной GSM-линии определенного GSM-шлюза, то проще всего это сделать в разделе Monitor — GoIP Channel.

В строке с линией, к которой требуется привязать SIM-слот, в столбце Operation нажимаем Modify
В опции Group выбираем None (for fixed bind mode)
В опции Plan to bind Sim выбираем SIM-слот, если он уже доступен и нажимаем Save.
Теперь переходим в раздел просмотра SIM слотов Monitor — SIM Slot
В строке со слотом, который требуется привязать к GSM-линии, в столбце Operation нажимаем на ссылку Modify
В опции Group следует выбрать None (for fixed bind mode)
В опции Plan to bind GoIP Channel выбираем GSM-линию и нажимаем Save.

На этом мы заканчиваем наше краткое знакомство с основными функциями SIM-банков GoIP SMB и ПО Scheduler Server. Обладая этими базовыми знаниями, разобраться со всеми дополнительными возможностями будет уже значительно проще, чем делая это «с нуля». Для тех, кто хочет изучить вопрос еще глубже и/или получить больше функционала, я бы советовал обратить внимание на интерфейс GoAntiFraud. Это ПО сторонней компании, разработанное специально для управления и мониторинга устройствами GoIP и SMB. Распространяется оно по подписке и стоит, в общем-то, довольно прилично. Однако, имеется 7-дневный пробный период, который позволяет ознакомиться со всеми возможностями и принять решение о покупке.

О нас - https://hacker-place.ru
Форум - https://hackerxplace.com

Лучшие сайты для пробива и поиска человека

2025-05-24T09:45:55.548Z

Тема сегодняшней статьи «Сайты для пробива и поиска человека». В статье будут представлены онлайн-сервисы для поиска человека по email, никнейму, номеру телефона, ФИО, паспорту и т.д.. Также рассмотрим инструменты для поиска юрлиц, автомобилей. Ну и в конце несколько слов о компьютерной разведеке.

Лучшие сайты для пробива и поиска человека

SpravkaRU.Net — большой телефонный справочник, который может искать также по фамилии имени и отчеству.

В наше время обычными телефонами уже мало кто пользуется, а телефонные справочники по большей части ориентированы именно домашние телефоны. Поэтому информацию они предоставляют немного.

Microsoft дает возможность проверить привязку номера к аккаунту на сайте account.live.com. Этим можно пользоваться!

Email2phonenumber собирает данные со страниц восстановления аккаунта во множестве сервисов и находит номер телефона.

Помимо этого, утилита может генерировать список номеров и перебирать сервисы на наличие номера телефона (где он указан в профиле).

Бот last4mailbot найдет последние четыре цифры номера телефона клиента Сбербанка.

Поиск производится исключительно по email. Проверка нескольких почт, заведомо привязанных к Сбербанку, показала, что бот действительно выдает верные данные.

Поиск по ФИО

Vk-express умеет следить присматривать за аккаунтом ВК. После добавления в базу сайта ссылки на профиль тот будет отслеживать доступные аватарки, лайки, комментарии, друзей, группы и прочее.

Также ищет скрытых друзей и комментарии пользователя.

Vk-photo.xyz должен искать частные фото аккаунта, но база сайта весьма мала, хоть там порой и попадаются интересные материалы, вроде фоток с другими личностями или в местах, информация о которых представляет интерес. Вдруг штатный сотрудник ФСБ спалит фотку с места работы?

Vk5.city4me — немного подозрительный, но вполне рабочий сборщик статистики активности пользователя VK. Интерфейс подозрительно похож на vk-express. Показывает статистику входов, с какого устройства заходили, друзей, комментарии, а под настроение может показать и группы пользователя. Бонусом вывалит скрытых друзей искомого анонимуса.

https://220vk.com/ — сервис чисто аналитический. По заверениям автора (и моему небольшому опыту), он определит средний возраст друзей, некоторых скрытых друзей, их города, дату регистрации профиля и прочие интересные, но обычно бесполезные показатели.

Еще он показывает друзей, которые скрыли искомый профиль у себя, то есть по каким‑то причинам скрывают свою связь с заданным аккаунтом.

Сервис может искать лайки и комментарии пользователя, что помогает искать связь между аккаунтами и реальными людьми. А после установления такой связи человека можно найти физически.

«Тут найдут», бывает, выдает информацию профиля несколько лет назад. Иногда полезно.

Плавно переходим к поиску по зарубежным сервисам: если нужно найти профиль человека в Facebook, Instagram и Twitter по имени и фамилии, то подойдет peekyou.com. Он успешно ищет по объемному списку разных сервисов. Сразу предлагает возможные почтовые адреса по никнейму и проверяет их тоже. Дополнительно выдает людей с похожим именем и их адреса.

IDCrawl — сайт для поиска людей, который собирает информацию из социальных сетей, даркнета, телефонных справочников, баз данных электронной почты и криминальных записей.

Анализ аккаунтов в зарубежных сервисах

Reddit-user-analyser, как понятно из названия, анализирует публичные данные аккаунта на Reddit. Показывает дату регистрации, количество комментов, карму, сабреддиты, а также строит графики активности и показывает лучший и худший коммент.

Сервис redditinvestigator.com соберет полное досье на аккаунт Reddit. В него входят сабреддиты, в которых активничал юзер, его время регистрации, график активности (позволяет определить местоположение), куча графиков и предположения на основе информации, собранной в аккаунте.

Twint — это продвинутый инструмент для анализа аккаунтов Twitter, который обходится без использования официального API. В отличие от перечисленных веб‑сервисов, работает локально и требует установки. Он собирает общую информацию аккаунта, твиты, относящиеся к определенным темам, хештеги; находит конфиденциальную информацию из твитов, такую как электронная почта и номера телефонов.

Whopostedwhat.com просто находит посты в Facebook. Позволяет быстро найти публичное творчество заданной личности.

На сайте есть форма для получения ID юзера по ссылке на его профиль, а потом по этому ID можно искать в комментариях (глобально) и его собственным постам. Сервис может искать по конкретной дате или диапазону дат, умеет и по ключевым фразам. Позволяет даже поиск по местам, но как им пользоваться — я не разобрался.

Поиск по паспорту

У Главного управления по вопросам миграции МВД есть сервис, на котором можно проверить, действительный ли перед тобой паспорт. База обновляется каждый день и будет крайне полезна всевозможным кадровикам.

Поиск юрлиц

Сюда входят сервисы проверки юридических лиц на задолженности, регистрацию компании и прочего.

Telegram-бот https://t.,me/egrul_bot в найдет все доступное в ЕГРЮЛ (Единый государственный реестр юридических лиц) о российских компаниях и индивидуальных предпринимателях.

Telegram-бот https://t.me/vKarmane_bot ищет по УНП и названию организации. Выдает статус, УНП, даты регистрации и адрес.

Поиск автомобилей

Сюда входят сервисы, при помощи которых можно узнать информацию о регистрации авто, расшифровку номера VIN, страхование, историю ДТП, пробег и прочее. Будет полезно при покупке автомобиля, а еще поможет выяснить, что за козел чуть не сбил тебя вчера на пешеходном переходе.

Сайт vin01.ru ищет по госномеру или VIN и показывает историю регистраций, ДТП, пробег, ОСАГО и многое другое.

Сайт informer.su делает проверку ПТС и тот же поиск по VIN.

Компьютерная разведка

Сервисы и утилиты, созданные для анализа таких данных, как IP, SSID, метаданные файлов, DNS-записи, и всего, где объектом анализа выступает элемент IT-структуры, будь то сайт или IP-адрес.

Интересный вариант — это комбайн под названием xinit.ru. Вот неполный список его возможностей:

проверка домена или IP-адреса по whois;
получение снимков из Google-кеша и данных из веб‑архива;
сервисы и протоколы на сервере;
HTTP-заголовки ответа;
ссылки со страниц сайта на хосте;
email-адреса домена;
проверка сайта на virustotal.com;
показ реального IP-адреса за Cloudflare;
DNS-инфраструктура сайта.

Urlscan.io проверяет, кому выдан TLS-сертификат и какие IP-адреса связаны с сайтом, а также определяет стек технологий на сайте.

Wigle.net может показать SSID и BSSID хотспотов Wi-Fi на карте, также позволяет искать по ним.

Publicwww.com отличается тем, что ищет по исходному коду страниц. Находит никнеймы, упоминания в коде, сопоставляет значки сайтов, что позволяет искать двойники; находит любые схожие упоминания идентификаторов или фраз, кошельков, токенов, позволяет также находить поставщиков рекламных виджетов и многое другое в таком духе.

PDFCandy дает возможность извлекать и изменять метаданные PDF — например, название, авторов и дату создания.

HostHunter ищет доменные имена для набора IP-адресов. Это полезно, когда нужно быстро провести разведку в целевой подсети. На The Standoff 2021 это очень пригождалось моей команде!

Сервис весьма удобен при обработке больших списков IP-адресов. Есть возможность экспорта результатов в CSV или обычный текстовый файл.

Knock Subdomain Scan при помощи брутфорса перебирает субдомены на целевом домене и может генерировать выходной файл с результатами.

Заключение

«Ищите, и обрящете», — гласит древняя мудрость. Если что‑то хоть раз попало в интернет — оно останется там навсегда. Вопрос только в том, какими усилиями получится это найти.

Сегодня мы рассмотрели полезные сервисы в первую очередь с упором на доступность (читай: бесплатность). Конечно, мы могли незаслуженно упустить что‑то важное, но не суди строго — комментарии находятся внизу, и там можно дополнить эту статью чем‑нибудь полезным.

О нас - hacker-place.ru

Как замаскировать исполняемый файл под PDF-файл

2025-05-07T19:22:38.212Z

Представьте, что вы пентестер, нанятый для проверки безопасности внутренней сети компании. Вам нужно выяснить, могут ли сотрудники попасться на удочку и открыть вредоносные файлы. Замаскировав вредоносное ПО под безобидный PDF, вы его отправляете фишинговой рассылкой или размещаете в общем доступе. Если сотрудник кликнет по файлу, вы получите доступ к его системе, демонстрируя уязвимость безопасности компании. Далее покажу, как создать такой поддельный PDF-файл и использовать в пентесте.

Подмена иконки PDF файла для запуска исполняемого файла

Вот код на C++ для создания ярлыка и иконки PDF. Программа создает ярлык Windows (.lnk файл) на рабочем столе. Ярлык указывает на исполняемый файл (в данном случае, calc.exe) и использует пользовательскую иконку.

Методы описанный в статье, предназначен для обучения пентестеров (этичных хакеров). Использование данных техник для атак на частные лица или организации без их предварительного письменного согласия является незаконным. Ни редакция hacker x place, ни автор не несут ответственности за ваши незаконные действия.

Инструмент включает необходимые функции Windows API, Shell API, классы ATL и стандартные библиотеки C++. Функция CreateShortcut принимает три параметра: targetPath, shortcutPath и iconPath. Она создает ярлык, который указывает на targetPath и сохраняет его как shortcutPath с указанным iconPath.

Программа инициализирует библиотеку COM для использования COM-объектов, создает объект ShellLink (IShellLink), который используется для установки свойств ярлыка, задает путь к целевому файлу и местоположение иконки, а затем сохраняет ярлык на диск с помощью интерфейса IPersistFile. После завершения операций программа деинициализирует библиотеку COM.

Для использования этого инструмента необходимо изменить две строки и перекомпилировать приложение на C++.

Так ярлык и иконка будет выглядеть на рабочем столе:

Так ярлык и иконка будет выглядеть в проводнике Windows:

Свойства файла:

Заключение

В статье рассмотрели технику маскировки файлов под иконку PDF — метод, используемый для обмана пользователей и запуска вирусов или других вредоносных файлов. Манипулируя внешним видом файла, мы значительно увеличиваем шансы на то, что ничего не подозревающий пользователь кликнет на него, тем самым скомпрометировав свою систему. Этот метод может быть эффективен для пентестеров.

Маскировка вредоносного файла под PDF и его распространение через фишинговые письма или общие папки может помочь выявить слабые места безопасности в сети организации.

🥷 Мошенники в крипто арбитраже

2025-05-10T14:51:28.859Z

Мошенники не дремлют и стремительно развиваются вместе с рынком! В этой статье будут затронуты самые популярные способы, которые против нас, питупишников, они могут успешно применить и в итоге заскамить на круглую сумму! Приятного прочтения!

1. Подарочные карты на бирже Binance

Первый мошеннический способ, который мы сегодня рассмотрим, связан с покупкой подарочных карт на Binance.

Более подробно с разделом подарочных карт можно ознакомиться на самой бирже. Но если кратко, то в данном разделе у вас есть возможность покупать карты с различной криптовалютой и учавствовать в промоакциях.

Об этом разделе мало, кто знает, а, наверное, никто из арбитражников им не пользуется. Зато пользуются мошенники. А сама схема скама выглядит следующим образом:

◉ Мошенник пишет вам в ЛС, например, в телеграме и предлагает интересную, а главное, бесплатную связку с биржей Binance.

Скамер не продаёт связку, а лишь просит небольшой процент с заработанных денег, тем самым располагает к себе и вызывает большее доверие.

◉ Далее он предлагает созвониться и просит включить вас трансляцию экрана на своём компьютере или телефоне, аргументируя это тем, что хочет вам помочь во всём разобраться. Доступ к вашему ПК не нужен, он просит лишь включить обычную трансляцию и из-за этого большинство новичков не видят опасности.

◉ Как только вы включили запись, он просит вас зайти в раздел подарочных карт и купить подарочную карту на какую-то сумму, например, на 500 USDT, обещая, что потом вы сможете её продать дороже. Но сразу после покупки и появления подарочного купона мошенник обналичивает его (так как видит его через трансляцию), а вы остаётесь без подарочной карты и без 500 USDT.

2. Скам-обменники

Эта схема обмана в последнее время приобрела очень большую популярность среди скамеров.

Суть схемы заключается в том, что вам предлагают за % от прибыли попробовать прибыльную связку. А сама связка выглядит следующим образом:

◉ Вы покупаете, например, USDT через Binance или любую другую биржу.

◉ Продаёте USDT через специальный обменник, который скинул вам мошенник. Там курс значительно выше, из-за этого выходит жирный спред.

Но, на самом деле, это обменник мошенников, отправив им криптовалюту, обратно вы её не получите, также как и рубли на свою карту.

В некоторых случаях скам-обменник может отправить вам рубли взамен на криптовалюту, чтобы вы зафиксировали профит и на радостях пошли проделывать точно такой же круг, только уже с большим капиталом. После этого и случится скам!

3. Кошелёк с деньгами

В этой мошеннической схеме вам присылают доступ к кошельку Trust Wallet (либо любой другой кошелек), на котором есть баланс USDT (1 000 USDT, например) в сети TRC 20, но нет самих TRX, которые необходимы для оплаты комиссии сети TRC 20 и без которых проведение транзакции невозможно.

В надежде вывести баланс USDT вы покупаете TRX, переводите на этот кошелёк, а мошенник мгновенно при помощи специальной программы выводит монеты.

Бесплатный сыр только в мышеловке! Не ведитесь на подобное, питупишники!

4. Перепродажа NFT

На очереди у нас относительно новая мошенническая схема, связанная с арбитражем не взаимозаменяемых токенов или, другими словами, перепродажей NFT. Перейдём к описанию схемы:

◉ Мошенник покупает какую-то NFT из низколиквидных и очень дешёвых коллекций на бирже Binance за 1$. Сразу после покупки он выставляет её на продажу по цене, например, 200$.

◉ Далее мошенник начинает поиск жертв, а после нахождения вступает в разговор и пытается войти в доверие.

◉ В ходе разговора мошенник показывает различные скриншоты, подтверждающие, что на других биржах подобные NFT можно продать по очень выгодной цене, намного выше той, по которой можно купить его NFT (конечно же, он не говорит, что это его NFT).

◉ После того, как жертва приобретает NFT, мошенник уходит в закат, а жертва остаётся с NFT, которую невозможно будет продать, скорее всего, даже за 1$.

5. Фейк-аккаунты

Следующий вид мошенничества зачастую можно встретить в более-менее больших чатах на тему арбитража криптовалюты.

◉ Мошенник создаёт аккаунт в телеграме практически идентичный аккаунтам модераторов или администраторов чата. То есть он копирует описание профиля, аватарку и имя. Единственное, что он не может скопировать, — это имя пользователя (@линк), именно поэтому он делает небольшую ошибку, которую не все могут заметить. Например: @Tvoi_Sr4ferosed62 — оригинальный юзернейм Никиты Соседа в телеграме, а @Tvol_Sofrsed62, @Tvoy_Sodcsed62, Tvoi_Sergosed66 и так далее — это фейки.

◉ Далее мошенник начинает писать пользователям чата с различного рода предложениями от лица «сворованной» им личности администратора. Например, с предложением выслать деньги через приёмку и заработать деньги или с предложением войти в приватный клуб и т.д.

◉ Жертва соглашается, так как не замечает подвоха, а после чего теряет свои средства, так как это был фейк, который под разными предлогами выманивал деньги у жертвы.

6. Скам приёмки (международный арбитраж)

Последнее время этот способ скама стал очень популярным, и мы даже делали пост о самом крупном скаме приёмки в Грузии. Сумма скама по некоторым данным достигает 1 000 000$.

Концепция международного арбитража заключается в том, что из-за разницы курсов USD/RUB и USDT/RUB мы можем покупать USD по курсу, который значительно меньше курса покупки USDT, затем менять купленные USD на USDT по курсу, близкому 1к1, и продавать USDT с прибылью.

Для работы по «международке» нужны дропы или карты в других странах. И зачастую поиском дропов и карт занимается приёмка, которая за % предоставляет услуги людям, которые находятся в РФ и не имеют возможности найти зарубежных дропов.

Большое количество людей создают такие приёмки, зарабатывая на протяжении большого промежутка времени репутацию порядочных и ответственных людей. За это время они ищут всё больше и больше новых партнеров, с которыми можно сотрудничать, предлагая свои услуги приёма их денег за границей.

Работа кипит, жертвы стабильно и без проблем зарабатывают деньги, не ждут никакого подвоха, а потом, как только скам-приёмка выходит на большие объёмы, всё схлопывается и деньги не возвращаются ни одному из партнёров.

7. Треугольник

Треугольник — это один из самых популярных способов обмана в мире P2P-торговли, которым пользуются мошенники. Данная схема довольно простая, но, попав в неё, выкрутиться довольно сложно.

При подобном виде скама в сделке участвуют три человека: P2P-трейдер, потерпевшая сторона и, конечно же, мошенник. Мошенник ищет жертву за пределами биржи, мы возьмём для примера всеми известную доску объявлений Авито.

◉ Мошенник публикует объявления о продаже своего новенького айфона по заниженной стоимости и указывает, что готов отправить телефон по почте после оплаты.

◉ Далее на Авито находится человек, готовый купить телефон на таких условиях. Мошенник указывает ему реквизиты для оплаты, после оплаты на которые телефон должен быть отправлен покупателю.

◉ В этот самый момент мошенник подключает третью сторону: нас, питупишников, сидящих на P2P-платформе! Он открывает сделку на криптобирже на покупку криптовалюты за рубли, мы принимаем сделку мошенника, не подозревая ничего опасного, скидываем ему реквизиты нашей карты для перевода рублей.

◉ Жертва с Авито, получив номер карты, отправляет денежные средства НАМ, а мы, получив деньги на карту, отравляем криптовалюту мошенникам и «успешно» закрываем сделку на бирже.

◉ Далее мошенник пропадает, а жертва не получает по почте никакого телефона.

Как вы думаете, на кого жертва будет писать заявление в полиции? Разумеется, на нас, ведь именно на реквизиты нашей карты она выслала деньги.

Как не попасться на подобное?

• Всегда проверяем пользователя перед тем, как согласиться на P2P-обмен на бирже. Минимальное количество ордеров человека, с которым мы хотим совершить обмен, должно быть не менее 100, а зарегистрирован на бирже пользователь должен быть не менее 30 дней назад;

На бирже Binance есть фильтр во время создания объявления, который позволяет убрать всех трейдеров с регистрацией до 30 дней.

• Совершайте сделку с людьми, которые используют личные карты, а также всегда указывайте в специальном поле свои условия «оплату от 3-их лиц не принимаю»;

• Если человек всё-таки перевёл деньги с карты 3 лица, то обязательно запросите фотографию карты на фоне вашей сделки. Также можно прибегнуть к другому способу и попросить в этой ситуации, чтобы человек вам отправил 1 рубль и прикрепил следующий комментарий «Прошлый перевод - это возврат долга, претензий не имею». После подобного мошенник просто-напросто «сольётся».

Если описанные выше пункты не выполнены со стороны пользователя, начинайте апелляционный процесс.

ВАЖНО! Переводить деньги обратно обманутому пользователю можно только тогда, когда вам об этом скажет служба поддержки, не ранее!

8. Скам с заявками близнецами

◉ В этой схеме скама мошенник использует два разных аккаунта, открывая с вами сделку на покупку криптовалюты с обоих аккаунтов на одну и ту же сумму, например, на 50 000 рублей.

◉ Далее он переводит с первого своего аккаунта вам рубли на банковскую карту, которую вы указали, а со второго аккаунта, с которого он перевод не делал, просит подтвердить вас оплату.

◉ Вы, не посмотрев, кто именно вам отравлял деньги (ФИО отправителя), подтверждаете сделку со вторым аккаунтом мошенника, с которого он не делал перевод. Мошенник полученные USDT со второго аккаунта благополучно выводит.

Вы же попадаете в ситуацию, когда никак вернуть деньги не выйдет. Поддержка Binance не встанет на вашу сторону, так как мошенник со своего первого аккаунта действительно перевел вам деньги и вы обязаны подтвердить сделку либо вернуть эти 50 000 рублей ему.

А вот на второй аккаунт мошенник получил незаслуженно криптовалюту на сумму 50 000 рублей, так как перевода не было, а вы по невнимательности отпустили ему криптовалюту.

9. Сложная схема скама с доплатой после сделки

◉ Не так давно на рабочий Р2Р-аккаунт нашей команды прилетел запрос с просьбой проводить сделки на Binance с доплатой 2% в нашу сторону.

◉ Вроде бы всё просто: мы должны заходить в сделку к определённым аккаунтам на Binance на определённую сумму, далее делать перевод, получая USDT, а сверху к этой сумме нам накинут 2%.

◉ Изначально кажется, что всё чисто и вариантов потерять деньги нет. Но загвоздка в том, что платить 2% к сумме обмена нам предложено очень необычным путём. А именно, мы должны открыть ордер на Binance на сумму, например, 100 000 рублей, а перевести контрагенту только 98 000 рублей (на 2% меньше), после чего ордер с нами будет успешно закрыт.

◉ Кого-то такой вариант заключения сделок может не насторожить, так как всё происходит в рамках биржи Binance и в случае чего всегда можно будет доплатить 2 000 рублей, условно (даже если это обман), тем самым выйдя сухим из воды.

Но не всё так просто, как кажется на первый взгляд

Нашу команду, конечно же, смутил такой вариант заключения сделок, мы предложили безопасный алгоритм работы, на что нам был дан отказ, и мы распрощались с подобными офферами.

Но потом нам написало более 10 человек и сообщили, что они попались на эту схему, и рассказали, что происходит дальше...

• Шаг первый. Вы согласились работать с этими ребятами (мошенниками, на самом деле), они просят вас провести первую сделку на Binance пока что без какой-либо доплаты с их стороны. Вы делаете перевод ровно на ту сумму, которую указали в ордере, а также обязательно скидываете скриншот перевода в личные сообщения человеку в телеграме, который вам предложил всю эту схему (они просят вас это сделать). Первая сделка проходит успешно, вы получили взамен на рубли USDT, всё вроде бы максимально чётко.

• Шаг второй. После первой успешной тестовой сделки вам уже предложат получить свои 2% прибыли со следующей. Вы открываете ордер у определённого трейдера на Binance, которого вам называют, на определённую сумму, но перевести необходимо на 2% меньше, тем самым якобы фиксируя доход. После отправки снова попросят выслать скриншот перевода в телеграме.

* И, как окажется потом, человек, с которым вы открыли сделку на Binance, не имеет никакого отношения к тому человеку, с которым вы общались в телеграме.

** Вы делаете перевод по указанным реквизитам в ордере на 2% меньше нужной суммы, скидываете скрин перевода в телеграме вашему «куратору», предложившему такую работу. И на этом моменте вы можете полностью попрощаться с отправленными деньгами.

Вы успешно заскамлены. Не поняли как? Давайте разбираться

— Перед тем, как вы отправили перевод на 2% меньше указанной суммы в ордере, человек, с которым вы общались в телеграме, открыл с тем же просто левым, ни к чему не причастным трейдером на Binance сделку на ту сумму, которую вы будете отправлять, то есть на сумму вашего ордера с вычетом 2%.

— И когда вы скидываете скриншот перевода в телеграме своему «работодателю», он пересылает его трейдеру на Binance. Трейдер видит, что деньги пришли, скриншот приложен, сумма верная, то есть «полный порядок», далее он смело отпускает криптовалюту.

— Вы, в свою очередь, уже никак не сможете получить полагающуюся вам крипту, так как её уже получил человек, предложивший «жирно заработать».

Можно ли выбраться из такой ситуации?

Доказать, что это не вы получили криптовалюту с другого аккаунта, никак не получится, ведь в глазах поддержки Binance и самого трейдера вы будете выглядеть скамером, который при помощи «заявок-близнецов» хотел заскамить контрагента.

По итогу вас будут считать скамером все, а заскамлены будете только вы. Именно такой исход будет вас ждать, если решитесь поработать по этой схеме в погоне за быстрыми и лёгкими деньгами.

Будьте аккуратны и не ведитесь на подобное!

10. Скам на отмене транзакции BTC

◉ На этот раз вам пишет клиент с P2P-платформ и рассказывает историю о том, что он или его команда отмывают BTC либо просто в больших объёмах продают какую-то крипту. В ходе диалога он предлагает вам хорошую доплату, как правило, целых 2-10% к каждой сделки.

◉ Вы соглашаетесь, а потом он просит вас принимать BTC на определённые кошельки и скидывает список таких кошельков. Все эти кошельки не являются мошенническими, но их объединяет то, что они отображают транзакции BTC до момента полного проведения.

◉ Таким образом, вы скачиваете с официальных источников один из этих кошельков и скидываете BTC клиенту. Он делает перевод, этот перевод отображается у вас в кошельке, вы думаете, что деньги уже в пути и вот-вот придут к вам.

Вы делаете перевод USDT в обмен на как бы отправленные вам USDT, а мошенник отменяет перевод при помощи особенностей сети BTC. Вы успешно заскамлены.

11. Скам на привязке вашего кошелька

◉ В этой схеме мошенник рассказывает вам о какой-то арбитражной чудо-связке без использования банковских карт, далее просит скачать вас один из реальных проверенных криптокошельков (MetaMask, SolFlare, Exodus и т.п.), мол, это нужно для работы по связке.

◉ Вы скачиваете кошелёк с официального сайта и чувствуете себя в безопасности. Далее мошенник пытается под разными предлогами заполучить доступ к вашему кошельку при помощи привязки к своему кошельку.

◉ Зачастую это происходит при помощи сообщений на вашу почту с фейковых почт, похожих на почту поддержки кошелька, либо через написание сообщение вам в телеграме или других соц. сетях от лица представителя кошелька.

Мошенник также может просить созвониться вас с ним по видеосвязи для демонстрации связки, и, видя ваш личный кабинет и манипулируя вами, он заведёт вас в раздел, в котором сможет подключиться к вашему кошельку. После подключения все деньги он быстро выводит.

Как не стать жертвой питупи-мошенников? (тезисно)

• Проводите P2P-сделки только с пользователями, которые зарегистрировались на криптобирже более 30-ти дней назад и имеют более 100 успешно завершённых сделок.

• Совершайте сделку с людьми, которые используют личные карты.

• Всегда указывайте в специальном поле «оплату от 3-их лиц не принимаю».

• Если человек всё-таки перевёл с карты 3 лица, то обязательно запрашивайте фотографию карты на фоне вашей сделки.

• Будьте внимательны и никогда не совершайте сделку, пока не убедитесь, что деньги от второй стороны пришли к вам на счёт.

• Не проводите сделки за пределами криптобирж.

• Сверяйте имена пользователей (линки) администраторов и модераторов чатов, в которых вы сидите, если они напишут вам сами. В крайнем случае просите записать голосовое или видео сообщение, которое подтвердит серьёзность намерений.

• Забудьте про арбитраж NFT и подарочные карты Binance. Из нашего опыта всё, где они фигурируют, является скамом!

• Не переходите по ссылкам из непроверенных источников и всегда проверяйте домен сайта, на который вы заходите.

• Не скачивайте ничего на непроверенных сайтах.

• Перепроверяйте номер крипто кошелька при отправке криптоактивов.

• Не используйте приёмки для работы по международному арбитражу, если не доверяете их владельцам на 100% и не знаете их лично.

• Игнорируйте, а даже лучше блокируйте всех, кто вам пишет с предложениями озолотиться в ЛС, предлагая бесплатные связки.

• Будьте внимательными и проверяйте каждую мелочь во время рабочей сессии. Концентрация на работе прежде всего!

• Никому не давайте доступ к вашим кошелькам, не ведитесь на личные сообщения от каких-то «помощников», готовых вам просто так помочь или чем-то поделиться.

📕 Словарик крипто арбитражника!

2025-05-10T14:17:34.250Z

В сфере арбитража криптовалют есть ряд базовых понятий и терминов, знать которые просто необходимо каждому, кто хочет в ней разбираться, зарабатывать и поглощать море нового контента!

1. «Питупишники»

Питупишники — это люди, которые занимаются «Питупи».

2. «Питупи»

Питупи — способ заработка на разнице цен на те или иные криптоактивы, где покупка/продажа активов осуществляются на P2P рынке.

3. «Арбитраж криптовалют»

Арбитраж криптовалют — это уже более широкое понятие, нежели P2P, обозначающее способ заработка на разнице цен на те или иные криптоактивы, частью которого как раз-таки и является P2P арбитраж. Работая в арбитраже криптовалют, необязательно использовать P2P платформы для обменов, можно использовать всё, что угодно. Например, сервис Золотая Корона.

4. «Внутрибиржевой арбитраж»

Внутрибиржевой арбитраж — это торговля криптовалютой, которая осуществляется внутри одной биржи.

5. «Межбиржевой арбитраж»

Межбиржевой арбитраж — вид арбитража, отличающийся от внутрибиржевого тем, что для торговли используется не одна, а сразу несколько криптобирж.

6. «Международный арбитраж»

Международный арбитраж — это арбитраж криптовалюты между двумя странами. Этот вид арбитража похож на межбиржевой, за одним исключением: в межбиржевом мы используем от двух криптобирж, а в этом — ресурсы двух страны, например, России и Турции.

7. «P2P связка»

P2P связка (арбитражная связка)— это последовательность действий, позволяющая получить прибыль с одного полного "прокрута" средств в арбитраже криптовалют.

8. «P2P круг»

P2P круг — это полный перевод денег из точки А в точку Б по P2P связкам. Данное понятие называется «кругом», так как средства ходят «по кругу», а за одним кругом следует такой же второй, затем третий и т.д.

9. «Апелляция»

Апелляция — при P2P обменах апелляционный процесс служит для того, чтобы разобраться в ситуации, если возникло недопонимание между двумя пользователями во время сделки.

10. «Спред»

Спред — это доходность в % с одного круга по той или иной арбитражной связке в данный момент времени. Спред в 1% обозначает, что, сделав один круг в размере 100 000 рублей по той или иной связке, в финале мы получим 101 000 рублей, зафиксировав 1 000 рублей прибыли, он же 1% от нашего капитала.

11. «Фиат»

Фиат (фиатная валюта) — это денежные средства, выпускаемые государством. Пример: рубль, евро, доллар и т.д.

12. «Платёжка»

Платёжка — платежное средство, которое используется для покупки или продажи криптовалюты. Пример: Сбербанк, Тинькофф, QIWI, Золотая Корона и другие.

13. «Приёмка»

Приёмка — человек или группа лиц, которые принимают ваши деньги и называются "приёмкой". Допустим, вы отправляете доллары доверенным лицам в Казахстан, а они, в свою очередь, переводят их в USDT и отправляют на ваш кошелек для дальнейшей продажи.

14. «Дропы»

Дропы — в арбитраже криптовалют дропами зачастую называют тех людей, на которых оформляются банковские карты для масштабирования ваших оборотов.

15. «Дроповоды»

Дроповоды — люди, которые занимаются поиском и продажей дропов под те или иные нужды.

16. «115 ФЗ»

115 ФЗ — это федеральный закон 115, который применяется к тем пользователям банка, которые были замечены в отмывании денежных средств. Зачастую 115 ФЗ явялется основной причиной для блокировки карт со стороны банков.

17. «Объявление»

Объявление (ордер) — заявка на покупку или продажу криптовалюты. Также объявлениями называют уже опубликованные заявки, которые вы можете увидеть, если перейдете в раздел P2P-торговли.
18. «Стакан»

Стакан — в P2P обменах стаканом называют список ордеров, выставленных пользователями как на покупку, так и на продажу.

19. «Мейкер»

Мейкер (от англ. «make») — это тот человек, который сам создает объявления (ордера) на продажу и покупку криптовалюты.

20. «Тейкер»

Тейкер (от англ. «take») — это тот человек, который покупает с уже готового объявления, а не создаёт его сам.

21. «Блокировка T+1»

Блокировка T+1 — данная блокировка включается, когда вы приобретаете криптовалюту через создание собственного объявления на бирже Binance. Например, вы решили приобрести 1000 USDT, создали объявление и купили необходимое количество криптовалютных долларов за рубли. Именно в этот момент включится блокировка и ваши купленные USDT заморозятся на 24 часа. Спустя сутки активы разморозятся и они станут доступны для вывода, перевода или продажи. Соответственно, чтобы избежать этой блокировки, вам нужно покупать криптовалюту с уже готового объявления или держать на своем счету равнозначную сумму той, которую вы приобретаете, чтобы одна 1000 usdt заморозилась, а вторая была доступна.

22. «Мерчант»

Мерчант — это статус на бирже Binance, другими словами, галочка возле никнейма P2P трейдера, которая означает то, что пользователь Binance прошёл специальную проверку и получил статус "Проверенного мерчанта". Основное преимущество этого статуса заключается в том, что пользователю разрешено создавать объявления на покупку и при этом не попадать под блокировку Т+1, о которой речь шла выше.

23. «Фиксированная цена»

Фиксированная цена — неизменная цена, которая не будет зависеть от ситуации на рынке. Если вы выбрали фиксированную цену, то можете не переживать за то, что цена в вашем объявлении упадет или наоборот станет выше. Изменить её можете только вы.

24. «Плавающая цена»

Плавающая цена — цена, которая двигается вслед за рынком. Если вы поставили цену на уровне 64 рублей, а рынок начал падать и опустился до 60 рублей, то цена в вашем объявление тоже изменится.

На этом заканчивается наш словарик крипто арбитражника с самыми важными для работы понятиями! Конечно же, мы будем его дополнять и видоизменять с течением времени.

Лучшие сервисы для поиска человека по фотографии

2025-04-09T05:38:59.962Z

hacker-place.ru

Поиск по фотографии

Поиск по фото можно условно разделить на две категории:

Поиск одинаковых фотографий — это когда берется фотография и осуществляется поиск идентичных фото.
Использование искусственного интеллекта, которое распознает лицо человека и ищет его на фотографиях в сети Интернет.

Если вас интересует где использовался определенная фотография, тогда вам поможет первый способ. Если необходимо найти человека по фотографии, тогда второй. Некоторые сайты позицируют себя, как универсальные ресурсы для поиска по фотографии, но по факту их алгоритмы плохо распознают лица, что в конечном итоге влияет на поиск и выдачу. Мы рассмотрим оба способа поиска человека по фото.

Лучшие сервисы для поиска одинаковых фотографии

Большинство людей знакомы с возможностями поисковиков, но не все знает, что поисковая система позволяет искать одинаковые фотографии. Начнем с поисковика Google.

Поиск по фото с помощью Google

С помощью поисковой системы Google можно найти одинаковые или похожие фотографии, система распознавания лиц, работает слабо и может быть полезна только в случаях, когда речь идет о поиске знаменитостей и известный публичных личностей.

Попробуем найти актера Джеймса Франко по кадру из кинофильма «Баллада о Бастере Скраггс».

Итак, заходим на сайт Google и нажимаем на значок «Поиск по картинке».

Результаты поиска по фото в Google.

Как видите Google не смог распознать лицо актера. Сайт больше подойдет для поиска одинаковых фотографий и даже в этом он показал плохой результат.

Поиск по фотографии Яндексом

Теперь попробуем использовать поиск по фотографии Yandex. Перейдите на страницу поиска и загрузите фото.

И вот, что смог найти Яндекс.

В целом, результаты лучше чем поиск по фотографии Google, он нашел больше упоминаний этого изображения на сайтах, но результат не идеальный.

Есть искусственный интеллект распознающий лицо человека, но его эффективность, только, когда речь идет о публичной личности.

Сервис для поиска по фото TinEye

TinEye — еще одна поисковая машина для поиска по фото. Разработчики утверждают, что смогли проиндексировать 40 миллиардов изображений из сети Интернет.

Переходим на страницу загрузки фотографии и нажимаем на кнопку Upload (Загрузить) или просто перетаскиваем в окно изображение.

Вот какой результат мы получили

TinEye нашла 381 изображения и указала даты появления на каждом сайте. Сайт подходит для поиска одинаковых фотографий. Не подходит для распознавания лица и поиска человека.

Поисковик Bing для поиска по фотографии

Bing — это поисковая система Microsoft и часто является объектом насмешек. Посмотрим, как сможет справится Bing с поиском по фото..

Переходим на сайт Bing и загружаем фотографию.

Обратите внимание, что Bing не только нашел совпадения, но и идентифицировал человека как Джеймса Франко.

После нажатия на «Похожие изображения», Bing отобразил множество изображений Франко из этого фильма.

На удивление Bing справился лучше Google, Яндекс и TinEye. Хороший инструмент для поиска одинаковых и похожих фотографий с неплохим механизмом распознавания лиц.

Поиск по фотографии с помощью PimEyes

PimEyes — это сайт для поиска по фото, а если точнее для распознавания лица человека на фотографии. На мой взгляд — это самый лучший способ найти человека по фото. В отличие от других поисковиков, PimEyes не ищет одинаковые фотографии, а пытается, с помощью искусственного интеллекта, распознать лицо человека и найти его на других фотографиях, выложенных в сети интернет.

Другие сервисы для поиска по фото

Помимо протестированных выше сайтов, существуют другие поисковые системы для поиска по фотографии:

Baidu (китайский)
FindFace (русский)
Image Identity (Wolfram)
Berify
Image Raider
Facial Recognition (Microsoft Azure)

Заключение

Не все сервисы поиска по фотографии одинаково хороши. Google разочаровал, и в целом я не рекомендую его использовать. Bing превзошел Google и TinEye. Но Bing больше подойдет для западного сегмента. Для поиска изображений пользователей из России и стран СНГ лучше подходит Яндекс.

Все эти сервисы больше подходят для поиска одинаковых фотографий, а вот для распознавания лица человека по фотографии, лучшим можно смело назвать сайт PimEyes.

Element мессенджер. Мануал по регистрации

2025-03-20T09:36:43.426Z

Друзья! Вас приветствует команда HACKER+PLACE

В настоящее время роль коммуникации между сотрудниками магазинов очень важна, т.к. функционал общения на различных альтернативных площадках во многом скудный и имеет свои недостатки. Наш магазин в качестве средства коммуникации выбрал Element (бывший RIOT) и по сей день не жалеет об этом

Element.io — свободный кроссплатформенный мессенджер, работающий по протоколу Matrix и распространяемый по лицензии Apache. Благодаря использованию федеративного протокола пользователь может подключиться к любому серверу Matrix и общаться с пользователями других серверов общей сети

Помимо мгновенного обмена текстовыми сообщениями и организации чатов, Element может использоваться для передачи файлов, отправки уведомлений, организации телеконференций, совершения голосовых и видеозвонков (на платформе Jitsi Meet). Мессенджер поддерживает использование сквозного шифрования, которое используется по умолчанию для всех приватных чатов

Благодаря открытости подключения как к официальному серверу, так и к частному мессенджер часто рекомендуется специалистами по компьютерной безопасности и приватности в Интернете

Данный мессенджер свободно используется через TOR браузер, также есть приложение на Android и на IOS, что делает его максимально практичным вариантом, т.к. любой из ваших сотрудников всегда будет на связи. Функционал приложения достаточно широкий, очень приятный глазу дизайн

Наша команда расписала подробную иснтрукцию, как зарегистрировать аккаунт в данном мессенджере, может быть кому-нибудь из коллег будет полезно. Вашему вниманию предоставим ее на примере IOS (регистрация на Android и интернет версию практически идентичная)

Инструкция по подключению к мессенджеру Element (бывший RIOT) на IOS (рекомендуется использовать в связке с VPN)

Предварительно рекомендую вам создать почту на Protonmail.com – очень защищенный, шифрованный почтовый ящик(регистрировать через можно через любой браузер, но лучше через Tor Browser). Выбирайте русский язык для удобства.

Почта нам понадобится для регистрации в Element.
Заходим в App Store, прописываем в поиске название приложения, а именно (Element). Нам нужно первое приложение (Element Messenger), с зеленой иконкой. Скачиваем себе на телефон;

Заходим в приложение, нажимаем «Create account» (если аккаунт не был зарегистрирован через интернет версию). После чего вас перебросит на опрос, для чего вы хотите использовать данный сервис. В нашем случае ни один вариант не подходит, и мы нажимаем «skip this question», данная кнопка будет исполнена внизу, мелким шрифтом, зелеными буквами;

Далее мы переходим непосредственно к созданию аккаунта, нужно ввести имя пользователя и придумать пароль. Нажимаем кнопку «Зарегистрироваться».

Далее нужно ввести email адрес(протон), на который придет подтверждение.

После чего вам на почту придет письмо от сервиса с подтверждением, там будет прикреплена ссылка, на которую нужно будет нажать (из приложения на данном этапе не выходить, оно будет ждать, пока вы верифицируете свою почту на протоне)

Далее в приложении нужно пройти капчу. После чего вам будет предложено ознакомиться и подтвердить согласие с политикой этого сервиса, нужно отметить галочку в соответствующем кружочке и нажать «принять».

Далее вам предложат разрешить уведомления от сервиса, тут уже по желанию (лучше отключить). В следующем окне нужно будет нажать «Not now», насколько я понял, речь в этом окне идет о том, что согласны ли вы делиться с сервисом для улучшения качества работы. Нам это не нужно.
Готово. Наш аккаунт создан. Чтобы начать чат и добавить собеседника, вам нужно нажать на «+», выделен зеленым цветом, начать чат, и ввести идентификатор пользователя либо его имя.

Нажимаем "Начать чат" (как мы видим на скрине, можно создать команту для добовления всех сотрудников)

Вводим идентификатор сотрудника

Нажимаем "Начать"

Пишем сотруднику, например по работе

Так же обязательно нужно сделать следующее. Зайти в "Настройки", через меню в левом верхнем углу.

Далее найти там «Безопасность»

Нас интересует «Безопасное резервное копирование». Нажимаем «Настроить».

Далее вам нужно будет выбрать, использовать ключ безопасности или использовать секретную фразу. В первом варианте вам будет выдан уникальный ключ безопасности, который нужно будет вводить каждый раз, когда вы будете заходить в приложение с нового устройства. Это нужно для расшифровки сообщений. Если его не сохранить, то доступа к предыдущим сообщениям на новых устройствах у вас не будет, они будут зашифрованы, и старую переписку видно не будет. Соответственно, каждый раз, когда вы будете заходить в приложение с нового, его нужно будет вводить. Ключ нужно сохранить в удобное для себя место. Второй вариант – секретная фраза. Рекомендую выбрать его, после того как придумали секретную фразу, вам так же будет выдан уникальный ключ, который нужно будет сохранить, также у вас будет секретная фраза

В настройках безопасности не забудьте поставить пароль на приложение чтобы никто не получил доступ к вашей переписке, а также отключите содержимое уведомлений в настройках, чтобы не отображалось содержимое входящих всплывающих сообщений.
Готово! Ваш аккаунт готов к работе! UPD
Для полной картины размещаем скриншоты с инструкциями для TOR и Android Инструкция по подключению к мессенджеру Element (бывший RIOT) на TOR

Инструкция по подключению к мессенджеру Element (бывший RIOT) на Android.