Бесплатный VPN оказался платным, просто платите вы не деньгами

Около 65% клиентов корпоративной защиты Infoblox Threat Defense Cloud в 2026 году отправляли DNS-запросы к доменам, связанным с управлением резидентными прокси-сетями, а суммарный объём такого трафика перевалил за 500 млрд обращений ежемесячно. За цифрами стоит простая механика — миллионы людей ставят бесплатные VPN, видеоплееры и браузерные расширения, не догадываясь, что их домашний канал начинает прокачивать чужой трафик.

Резидентный прокси отличается от классического VPN или Tor тем, что в нём нет специально арендованных серверов или добровольных узлов. Под раздачу попадает живое оборудование обычных людей — роутер в прихожей, рабочий ноутбук, смартфон в кармане, смарт-ТВ, какая-нибудь умная розетка. После установки нужного приложения это устройство начинает работать как точка выхода для посторонних, и весь чужой трафик внешне выглядит как обычная активность владельца подключения.

Покупателю такой схемы она кажется почти идеальным инструментом. Запросы уходят не с серого IP дата-центра, который мгновенно палится антифрод-системами, а с живого домашнего адреса где-нибудь в Воронеже, Кёльне или Чикаго. Это упрощает обход региональных блокировок, парсинг защищённых сайтов и любую активность, где нужно прикинуться рядовым пользователем.

Стоит обратить внимание, что среди клиентов подобных сетей хватает и тех, кому терять нечего — кардеров, операторов ботнетов, продавцов украденных учёток. Их трафик растворяется в общем потоке домашних подключений и почти не выделяется на фоне обычных пользователей.

Аналитики Infoblox Threat Intel перечислили категории софта, где монетизация через прокси встречается чаще всего:

• бесплатные VPN-приложения для мобильных и десктопов;
• дешёвые устройства интернета вещей от безымянных производителей;
• программы для просмотра спортивных трансляций и сериалов;
• браузерные расширения для скидок, купонов и автозаполнения;
• утилиты для ускорения интернета и оптимизации трафика.

Согласие на использование канала спрятано в пользовательских соглашениях среди десятков страниц юридического текста, который никто никогда не читает. Формально владелец устройства разрешил, фактически — не имеет понятия, что через его роутер идут запросы от незнакомцев в другой стране. Андрей Колесников из Infoblox указал в интервью изданию BleepingComputer, что отдельные SDK встроены сразу в сотни приложений и устройства попадают в прокси-пул прямо с момента первого запуска.

Дальше начинаются неприятности с репутацией. Корпоративные платформы и антифрод-сервисы давно научились оценивать историю IP-адресов, и если через домашний канал регулярно идёт мусорный или мошеннический трафик, репутация ползёт вниз. Последствия для рядового владельца выглядят так:

• банк просит пройти дополнительную верификацию при каждом входе;
• маркетплейсы блокируют оформление заказа без объяснения причин;
• почтовые сервисы отправляют письма в спам;
• стриминговые платформы перестают пускать к контенту;
• капчи начинают появляться буквально на каждом шагу.

Уточняется, что репутацию IP-адреса восстановить заметно сложнее, чем испортить — даже после удаления вредоносного приложения подключение может месяцами числиться в чёрных списках различных мониторинговых систем.

Технический эффект тоже ощутимый — канал связи проседает, пинг растёт, часть оплаченного трафика уходит на обслуживание чужих задач. Особенно болезненно это для тарифов с лимитом или мобильного интернета, где каждый гигабайт на счету. Владелец платит провайдеру за скорость, а половину этой скорости тихо забирают перепродавцы прокси-доступа.

Совсем плохой расклад возникает, когда через подключение проходит что-то незаконное. Если с домашнего IP пойдут попытки взлома, рассылка фишинга или операции с украденными картами, доказывать непричастность придётся именно владельцу канала. Подобные разбирательства тянутся месяцами и съедают нервы, время, а иногда и деньги на юристов.

Снизить риски реально, хотя гарантий стопроцентной защиты тут не существует. Что советуют специалисты Infoblox и независимые исследователи:

• провести инвентаризацию установленных приложений на всех устройствах в сети;
• удалить бесплатные VPN от непонятных разработчиков;
• проверить браузерные расширения и убрать всё лишнее;
• настроить на роутере мониторинг исходящего трафика;
• использовать Protective DNS для блокировки обращений к прокси-узлам;
• регулярно проверять свой IP по базам репутационных сервисов вроде AbuseIPDB или Spamhaus.

Отдельная тема — устройства интернета вещей. Дешёвые камеры, лампочки и розетки с AliExpress часто содержат прошивки сомнительного происхождения, и проверить, чем они занимаются в свободное от основной работы время, обычному пользователю практически невозможно.

Ранее мы писали о том, что большинство россиян не готовы отказываться от использования VPN-сервисов несмотря на ограничения, блокировки и сложности с доступностью таких приложений. Согласно исследованию MAR Consult, VPN продолжают использовать 52% жителей страны, а ещё 11% сообщили, что регулярно сталкиваются с использованием подобных сервисов в своём окружении. Таким образом, инструменты обхода ограничений так или иначе присутствуют в жизни 63% участников опроса. При этом лишь около 10% респондентов заявили о намерении отказаться от VPN из-за возникающих ограничений и проблем с работой сервисов.

Эксперты редакции CISOCLUB заявили, что тема резидентных прокси будет только набирать остроту в ближайшие два-три года. Производители бесплатного софта продолжат искать способы монетизации, а пользователи продолжат соглашаться с километровыми лицензиями не глядя. Регуляторам стоило бы давно обязать разработчиков выносить пункт о передаче трафика в отдельное окно с явным согласием, но пока этого не происходит — ответственность ложится на самого человека.

Защита здесь начинается не с антивируса, а с критического взгляда на каждое скачиваемое приложение, особенно если оно бесплатное и обещает слишком много. Простое правило — если непонятно, на чём зарабатывает разработчик, скорее всего, продуктом являетесь вы сами.