Часть первая
Эта статья ориентирована на пользователей обычных коммерческих VPN-сервисов и нацелена на освещение дезинформации и уловок, которые используют VPN-провайдеры. Перед началом прочтения советуем пройти короткий тест в Телеграме, который покажет на сколько сильно VPN-маркетологи повлияли на вас.
В погоне за ростом и прибылью алчные VPN-компании дают ложные обещания: «Мы защитим ваши данные, пароли и спасём вас от хакеров!» Играя на человеческом страхе, они предлагают свой продукт как панацею безопасности.
Разберём примеры таких обещаний, которые либо не работают, мало эффективны или работают только в связке с другими программами.
1) Защита паролей, переписок, аккаунтов и кредитных карт
Защита переписок — это самый бредовый пример, который мы встретили. VPN-провайдеры играют дурачков и говорят, что «публичный WiFi» небезопасен. Они частично правы: если вы посещаете сайты без сертификата (http://), то подключение не является безопасным и трафик может быть прослушан/перехвачен. Если сайт доступен по протоколу (https://), такой проблемы нет.
Самое плохое в данной ситуации — это то, что некоторые провайдеры даже не упоминают об этом. Они не говорят, что это относится только к «открытым WiFi-сетям» и незашифрованному трафику (http).
Теперь главный вопрос: когда вы в последний раз открывали сайт без https://? Ваш браузер предупредит вас об этом и по умолчанию не даст доступ к такому сайту. W3techs подсчитал, что в 2020 91.3% из топ-1000 сайтов используют безопасный протокол https по умолчанию.
2) Защита от хакеров
Единственное, в чем VPN помогает - это сокрытие вашего настоящего IP-адреса от хакера. Но поверьте, есть сотня других способов навредить вам. Второй, более редкий юзкейс — это защита своей сети от DDoS-атак.
3) Полная анонимность
Никакой VPN-провайдер не может гарантировать стопроцентную анонимность. Увидели такое утверждение — бегите покупать. Особенно забавно наблюдать за провайдерами, которые говорят это, но даже не принимают платежи в криптовалюте.
Если вы нуждаетесь в максимальной анонимности, то советуем купить б/у ноутбук, подключиться к WiFi соседа, загрузиться с Tails и использовать TOR. Не идеальный вариант, но для начала хватит.
4) Экономия на авиабилетах и аренде машин
Мы всегда скептически относились к этому варианту. Перед написанием поста мы проверили 15 сайтов, которые предоставляют билеты и аренду машин. Получилось только увеличить сумму на билеты из-за местной валюты и конвертации. Допустим, у вас получилось найти билеты или аренду по более выгодной цене. Тогда возможно, что как только сервис узнает к какой стране принадлежит ваша карта или ваши паспортные данные, цена обновится. Это может сработать для покупки цифровых продуктов (например, игр) по цене для более «дешёвых» стран — но тут уже возникает риск в том, что сервис вас заблокирует за нарушение его условий и соглашений.
5) "Military Grade Encryption", "256-bit bank-level encryption"
"Military grade" означает AES-256 — то есть, просто зашифрованное соединение. Статья, которую вы сейчас читаете, была “military grade encrypted”, потому что Хабр использует https. HTTPS не позволяет пассивному обозревателю сетевого соединения видеть, что именно вы читаете, а активному сетевому посреднику — измененять содержимое данных по мере их поступления к вам. Но это ничего не говорит о том:
-
Какие средства контроля доступа используются для защиты данных, а также кто и как их можно обойти (например, администратор базы данных).
-
Является ли шифрование прозрачным или непрозрачным: во многих случаях прозрачное шифрование также прозрачно для злоумышленников.
-
При использовании AES ключ дешифрования используется всеми сторонами, которым необходим доступ. Напрашивается вопрос: кто может видеть ключ(и)? У кого был доступ? Как ключи защищены?
-
У AES существует довольно много режимов, каждый со своими компромиссами. Какой режим (GCM, CBC, CTR и т. д.) используется и подходит ли он в вашем случае?
-
Ротируются ли ключи шифрования? Правильно ли используются векторы инициализации (IV)? А как насчет источника генерации случайных чисел? Если генерация не по-настоящему рандомная, шифрование может быть скомпрометировано.
6) И так далее
Решение всех проблем с приватностью, защита от утечек личной информации в интернете. VPN - это только один маленький шаг на пути к приватности. Он не отменяет и не заменяет другие необходимые меры цифровой гигиены, включая смену браузера и поисковой системы, очистку куков после завершения сессии итд. Более продвинутые пользователи меняют операционную систему, частично или полностью отказываются от популярных сервисов вроде Google/Microsoft/Facebook, увлекаются селфхостингом и используют кастомные ROM на смартфонах.
Скрытие GPS-локации на мобильных устройствах. Локация мобильного устройства определяется не только по IP-адресу, скрыть её нельзя — но можно подменить. Для этого нужны специализированные приложения — сам VPN это не делает.
Защита при работе из дома. Обычно VPN-провайдеры позиционируют это как “providing better security when working from home”. Если говорить о безопасности работы (то есть, видимо, речь о защите рабочей информации, корпоративных данных и так далее), то для этого существует корпоративный VPN и специальный софт. Если же удалённый сотрудник использует обычный «гражданский» VPN, то никакой дополнительной защиты он не получает.
Неэтичный VPN-маркетинг формирует у людей в корне неправильное понятие о VPN, которое разносится, размножается и мутирует как вирус. Тем самым пользователи вредят самим себе и окружающим. А потом уже новые VPN-провайдеры начинают копировать конкурентов и использует аналогичные подходы: если VasyaVPN так делает — значит, и нам нужно!
Зачем вам нужен VPN на самом деле?
Данная критика не относится к использованию корпоративных VPN-сетей организациями — там совершенно другая ситуация, и «безопасники» компаний гораздо лучше понимают, зачем и почему они используют VPN. Также VPN необходим для людей в ситуации повышенного риска: журналистам, активистам в стране с репрессивным режимом или под наблюдением. В данном случае стоит использовать VPN для дополнительной защиты и приватности. И, конечно, VPN необходим для обхода блокировок как популярных, так и профессиональных ресурсов: будь то «Инстаграм» или «Линкедин», или заблокированные в России медиа.
Чтобы понимать, где возможности VPN заканчиваются, надо иметь более строгое представление, что они в себя включают:
-
Сокрытие вашего реального IP-адреса от ресурсов, которые вы посещаете. Дополнительный слой приватности.
-
Возможность выбрать страну для обхода блокировок и региональных ограничений со стороны ресурса.
-
Обход блокировок со стороны интернет-провайдера.
-
Сокрытие трафика, посещаемых сайтов от своего интернет-провайдера.
-
Скачивать торренты и не получать письма от правообладателей.
-
Защита при посещении сайтов без https, когда вы подключены к публичным WiFI-сетям.
Часть вторая
Поговорим теперь о ценовой политике и партнерских программах.
Трёхлетние тарифы под видом невероятной скидки
При выборе подписки вы наверное часто замечали, что большинство VPN-провайдеров не хотят, чтобы вы покупали подписку меньше чем на 2-3 года. Они делают сильный акцент на тарифы (+2 года), противопоставляя их с месячным тарифам. Однако это не значит, что они делают скидку за приобретение длительного тарифа. Это не имело бы смысла, потому что аренда и содержание серверов магическим образом в три раза дешевле от того, что клиент оплатил сразу три года, не становится. Всё как раз наоборот: средняя цена за длительный период — это реальная, рыночно оправданная цена VPN, и составляет она порядка 3-4 долларов или евро в месяц. Это цена за месяц специально завышена втрое.
Теперь берём красный цвет, рисуем кружки и лепим огромным текстом «экономия/скидка/акция 80%».
Естественно посетителю будет тяжело отказаться от такого заманчивого предложения. Маркетологи успешно подчеркнули невероятную экономию, и посетитель уже в поисках банковской карты. Но на самом деле за завышенной (для многих — запретительно высокой) ценой месячной подписки стоит не просто желание нарисовать скидку побольше — это напрямую связано с тем, как работают партнёрские программы VPN (об этом ниже).
Вечные скидки и акции
Существует прослойка VPN-провайдеров, которые просто не продают свой VPN без скидки. У них постоянно акции, скидки, эксклюзивные предложения, всплывающие окна, ограниченный тираж и обнуляющиеся таймеры. Мы даже создали отдельную галерею с одним из лучших примеров среди всех VPN-провайдеров.
На самом деле скидка уже заложена в стоимость продукта. Это его обычная цена. Предложения, действующие ограниченное время, кажутся более привлекательными из-за ограничения. Так же как и дефицит: осознание, того, что предложение не вечно, повышает его субъективную ценность.
Указали свою почту при оплате, но не оплатили?
Обычно если вы указали свою почту, но не купили подписку, то VPN может вам прислать на почту письмо в стиле "Эй, ты там подписку забыл купить, все хорошо?". Это стандартная практика, но есть примеры и получше.
В 2018 году мы анализировали как VPN-провайдеры хранят, собирают и используют вашу почту. Например нам было интересно какие письма присылают и на сколько они назойливые. Для этого мы создали отдельный почтовый ящик, все проверили и забыли. Перед созданием этой статьи решили зайти и проверить почту.
На удивление большая часть сервисов не мучила нас письмами, кроме одного...
Почему долгосрочные подписки это плохо
У долгосрочных подписок (+2 года) намного больше подводных камней, чем у месячных или годовых подписок.
-
Вы уверены, что вам нужна подписка на такой долгий срок? Как часто вы будете использовать VPN?
-
Ухудшение качества сервиса. Стабильность/скорость/техническая поддержка. Особенно если провайдер оверселлит VPN и забивает сервера под максимум.
-
Утечка данных или взлом сервиса.
-
Блокировки VPN — с прошлого года актуальная проблема для России: пользователи, оплатившие трёхлетние тарифы, например, ExpressVPN или NordVPN с конца 2022 года имеют дело с перебоями в работе или неработоспособностью сервисов.
-
Ограниченные сроки возврата денег. Рефанд в большинстве VPN-провайдеров обычно возможен только в первые 30 дней, поэтому при возникновении любой из вышеперечисленных проблем не по вине пользователя, скажем, спустя год эксплуатации, уже не выйдет сменить VPN без потери денег за неиспользованный период.
-
Автоматическое продление подписки, но уже по новой цене — точнее, по номинальной цене, которая без «супер-скидки».
Что может быть хуже долгосрочной подписки? Вечная подписка
Вы не поверите, но продаются и вечные подписки на VPN. Это самое глупое, что можно придумать — это просто не будет работать, потому что в принципе не может работать, учитывая финансовую модель VPN.
Полбеды, если бы такие подписки предлагались как какие-то разовые, ограниченные акции, но некоторые провайдеры продают их на постоянной основе. Поэтому возникает вопрос, почему они так делают?
-
Компания чистой воды скам и после всех продаж полностью закрывается и уходит в закат с вашими деньгами.
-
Приняли решение продать компанию и хотят поднять количество активных клиентов перед продажей, чтобы набить себе цену. После успешной продажи, новый владелец имеет право изменить договор и попросить вас перейти на стандартную подписку или закрыть ваш аккаунт.
-
В договоре уже все предусмотрено и маленьким текстом написано, что компания может отказать в предоставлении вам услуг или изменить цену на продукт.
Почему продают долгосрочные подписки?
Может показаться, что все просто и логично: увеличивается LTV (сколько клиент приносит денег за все время) и уменьшается CAC (стоимость привлечения одного клиента). Но это ещё не все. Главная причина — это партнерские программы (Affiliate Programs). Не путаем реферальную программу с партнерской:
-
Реферальная программа не предлагает возможности вывода денег из системы и ориентирована на обычных пользователей.
-
Партнёрки же предлагают любым желающим (или избранным партнёрам в некоторых случаях) выступать в роли полноценного продажника за комиссию.
Какой рецепт у любой успешной партнерской программы? Долгосрочные тарифы + высокие комиссии с продаж. С продаж помесячно большую комиссию не получить по определению. Партнёрам это просто невыгодно: они приводят клиента, но получают комиссию только с первого месяца пользования, а дальше компания забирает себе 100% продаж. Тогда как при продаже трехлетней подписки партнёр получает свою долю со всех трёх лет. Звучит отлично — до того момента как партнер включает все способы добычи трафика и повышает продажи любой ценой.
Проблема с партнёрскими программами
Важно отметить, что это проблема также затрагивает другие индустрии. Везде, где есть партнерские программы, возникают одинаковые проблемы.
Когда мы говорим о партнерской программе, мы подразумеваем отдельную систему, в которой любой желающий может зарегистрироваться, получить уникальную ссылку/промокод, рекламный материал и начать зарабатывать.
Фундаментальная проблема заключается в том, что партнеры не следуют правилам партнерской программы или у компании так таковых правил нет. Обычно правила есть, но компания закрывает глаза на нарушения.
Встречали в поисковой выдаче сайты типа «Топ 10 лучших VPN»? Сайты похожи друг на друга и единственная разница — это рейтинг провайдеров. На самом деле, это работа горе-партнёров, которые создают такие сайты и закупают рекламу в поисковых системах.
Такие партнеры часто обманывают посетителей и вводят их в заблуждение:
-
На таких сайтах пишут что это "независимый рейтинг" и все обзоры "честные". На деле единственная метрика, которая влияет на рейтинг и позицию в списке, это "у кого больше комиссия".
-
На сайте не раскрывают информацию о том, что аффилированы с провайдерами и получают комиссию с продаж. В лучшем случае такой текст можно найти светло-серым цветом на белом фоне в самом низу сайта.
-
Обзоры не отражают реальности. Результаты тестов могут быть завышены и используются приёмы запугивания пользователя из нашей прошлой статьи.
-
Чаще всего каждый желающий может стать партнером. Требования минимальные и заявки принимают автоматически, не проверяя каналы, которые партнеры используют для продажи.
-
Продолжают рекомендовать провайдеров, у которых находили уязвимости или которые делились информацией о своих клиентам третьем лицам. Скрывают сам факт таких факапов.
Но партнера заблокируют без уведомления если он будет нарушать следующие правила:
-
Cookie stuffing. Суть метода в том, что партнерские cookie привязывают к пользователю вне зависимости от канала, по которому он пришёл на сайт. Благодаря этому партнёр получает вознаграждение даже за посетителей, пришедших на сайт VPN провайдера самостоятельно. То есть достаточно того, что вы открыли тот самый сайт «Топ 10 лучших VPN».
-
Создание сайтов с «промокодами», но вместо настоящих промокодов стоят партнерские, у которых, бывает, даже нет скидки.
-
Когда у партнера очень высокий процент рефандов.
VPN-компании вмешиваются, когда это начинает уменьшать их прибыль. На все остальное они закрывают глаза, пока ситуация не выйдет из-под контроля, и фейковые рейтинги VPN становятся предметом журналистских расследований.
Автор текста: Xeovo, @EgorKotkin
Иллюстрации: Антон Дмитриев