Як захистити електронну пошту від злому - поради експертів

Фото з сайту diariodigital.gt

Атаки на електронні скриньки користувачів і компаній стали одним з улюблених прийомів кібершахраїв. Від злому електронної пошти ніхто не застрахований. Тому ми попросили експертів розповісти про базові заходи захисту «ящика». І пояснити, що робити, якщо його зламали.

Пару років тому в Мережі виявилися бази даних, які містять паролі від 4,6 млн ящиків Mail.Ru, 5 млн акаунтів GMail і більше мільйона ящиків «Яндекс.Пошти». Через це адміністрація соцмережі «ВКонтакте» заблокувала 226 тис. Облікових записів, прив'язаних до скомпрометованим поштових скриньках. Від масового витоку паролів з безкоштовних поштових сервісів сьогодні не застрахований ніхто. І якщо для звичайної людини ця втрата може бути незначною, то в разі злому робочої пошти витік інформації нерідко веде до серйозних проблем.

Мінуси безкоштовних поштових сервісів для бізнесу

Адреса електронної пошти вказується на корпоративних бланках, візитках, диктується по телефону. По електронній пошті ми приймаємо документи, контракти, пропозиції про співробітництво - велика кількість важливої ​​і конфіденційної інформації. І до сих пір багато компаній використовують в роботі небезпечні безкоштовні поштові сервіси, а співробітники для роботи - особисті ящики на цих безкоштовних сервісах.

Люди не повинні писати по робочих питаннях з особистого ящика, а компанії не варто використовувати безкоштовні поштові сервіси. Пояснимо, чому.

1. У компанії немає можливості контролювати ящик співробітника на такому сервері в повному обсязі. Якщо він звільнився, то роботодавець втрачає доступ до його скриньки. А працівник може:

• Користуватися ним далі
• Розсилати листи від імені вашої компанії
• Отримувати листи для вашої компанії
• «Увести» частина ваших клієнтів, які не знатимуть про його звільнення

З корпоративним ящиком це зробити важко.

2. Будь-які безкоштовні сервіси розраховані на фізосіб в першу чергу і тільки частково покривають запити бізнесу.

3. Безкоштовні ящики не гарантують повну конфіденційність. Коли ви відкриваєте пошту на безкоштовних поштових сервісах, то вам показується реклама. І формується вона на основі ваших інтересів. Як сервіси дізнаються, що потрібно вам показувати? Спеціальні програми аналізують контент ваших листів і вирішують, що вам можна запропонувати. І хоча всі сервіси переконують нас в тому, що дані ні в якому разі не розголошуються, про повної конфіденційності мови йти не може.

4. Безкоштовні поштові сервіси часто зламуються (особливо mail.ru, yandex.ru) і доступ до ящиків в цьому випадку отримує хто завгодно. Багато «дірки» в безпеці добре вивчені зловмисниками і дозволяють їм досить просто «викрадати» дані потрібних акаунтів. Поштові бази з паролями все частіше і частіше можна знайти у відкритому доступі в мережі.

5. Безкоштовні ящики - знахідка для спамерів. Деякі безкоштовні сервіси продають бази адрес компаніям, які розсилають спам. Впевнені - ви стикалися з тим, що ледь зареєструвавши ящик, відразу починали отримувати рекламні пропозиції.

6. Де ваш імідж, якщо ви даєте НЕ корпоративну адресу, а поштовий сервіс? Вказуючи на візитках (на сайті, в документах) свою адресу на безкоштовному поштовому ящику, ви рекламуєте не себе / компанію, а сервіс. Електронна поштова адреса може бути хорошим доповненням в просування вашого бізнесу.

Який електронною поштою можна користуватися:

• Купити домен і користуватися тільки безпечної корпоративною поштою. Домен можна купити у реєстратора доменних імен, у хостинг-провайдера. Зробити це технічно допоможуть ІТ-фахівці. Зверніть увагу на те, що багато хто, навіть маючи власний домен, користуються безкоштовними поштовими сервісами. Тому контролюйте співробітників в цьому питанні
• Завести онлайн-пошту у власному домені. Для бізнесу Gmail.com, Mail.ru, Yandex.ru пропонують підключити корпоративний домен і завести робочі ящики. Натомість вам обіцяють контроль над ящиками і відсутність спаму
• Орендувати поштовий сервер у провайдера. На відміну від варіанту з купленим доменом, ваша пошта буде зберігатися у провайдера, а не на офісному сервері

Навіщо і як зламують електронну пошту

- Не варто думати, що ви не цікаві зломщику: ви особисто, може бути, і немає, але ось ваші дані їм можуть стати в нагоді.

Віталій Немченко

Комерційний директор проекту « КП Британіка »

Злом пошти - це майже завжди спроба стати володарем чужої інформації і чужих грошей:

• Доступ до вашої пошти може знадобитися, наприклад, конкуренту, колишньому партнеру або скривдженому співробітнику. І хоча відсоток таких зломів дуже маленький, ймовірність з ним зіткнутися є. Варто замовний злом від десятка до декількох сотень доларів, і бувають ситуації, коли замовника злому починають шантажувати самі хакери, обіцяючи все розповісти жертві
• Будь-які облікові записи представляють інтерес для спамерів, і можуть бути перепродані оптом
• Зломщикам потрібні в поштову скриньку дані електронного гаманця, банків, облікових записів соцмереж, хостингів, ігрових акаунтів. Якщо в ящику немає даних про самих паролі, зломщик може запросити відновлення пароля на ящик і перевірить, чи підходить він до ваших облікових записів на інших ресурсах
• Отримавши доступ до ваших облікових записів, зломщик може вас шантажувати. Наприклад, запропонує викупити доступ до скриньки, або до вашого профілю в соцмережі, або особисту інформацію з ящика (листування, фото, скани документів)

При зломі зазвичай використовується соціальна інженерія, рідше - підбір пароля і секретного питання. Найчастіше зломи робляться масово і з використанням ботів, мета яких - зламати якомога більше ящиків.

Варіантів злому багато, подивимося на ті, з якими найчастіше можна зіткнутися.

Нерідко боти використовують для злому троянські програми (за різними даними, до 30% комп'ютерів щорічно піддаються зараженню). Зауважте, що ці програми іноді ви встановлюєте самі - наприклад, коли переходите по надісланій вам незнайомій посиланням або завантажуєте програми з Інтернету.

Майже всі троянці можуть відводити паролі від електронної пошти. Деякі фахівці радять використовувати Linux, MacOS X, вважаючи їх більш надійними операційними системами, але і вони не гарантують захист від шкідливих програм. Антивірусне ПЗ теж не завжди захистить вас. Від старих троянів - може бути, від нових - найчастіше немає: спочатку з'являється шкідлива програма, потім нею хтось заражається, і тільки через деякий час вона потрапляє в антивірусні бази.

Що стосується злому пароля, то в Інтернеті можна знайти бази популярних паролів типу qwerty, 1q2w3e, що складаються з дати народження в будь-якому форматі, набраних російських слів в латинській розкладці і т.д. Пам'ятайте про те, що в соціальних мережах легко побачити дату вашого народження, телефон і іншу інформацію, яку нерідко використовують в паролі.

Номер автомашини і дані документів теж легко «пробиваються», якщо мова йде про замовне зломі.

Раджу використовувати складні паролі, різні для різних акаунтів і облікових записів, краще схожі на випадкову послідовність. Крилаті вислови, російські слова в англійській розкладці не використовуйте. Регулярно міняйте паролі (не лінуйтеся щоразу придумувати складний), особливо при наявному для цього привід: розлучення, звільнення, втрата телефону (записної книжки), виявлення троянця. Все, що було сказано про паролі, також стосується і відповідей на секретні питання.

Соціальна інженерія і фішинг. Спочатку фішингом називали спроби отримати банківський рахунок і пароль по електронній пошті. Тепер термін означає будь-які атаки по електронній пошті.

Поширений метод, при якому користувач вводить пароль на чужому сайті, замаскованому під дизайн сторінки авторизації. Як можна привести приклад фішингових сайтів, який «маскувався» під сайт компанії Wargaming. Використовуючи базу електронних адрес гравців цей сайт розсилав фішингові повідомлення з інформацією про те, що проводитиметься акція і потрібно ввести бонусний код. Якщо вам прийшов лист від [email protected], то ні в якому разі не вводьте свої облікові дані за вказаною адресою - таким чином зловмисники намагаються отримати доступ до акаунтів гравців. Завжди перевіряйте адреси таких розсилок.

Нерідко кіберзлодії розсилають листи від імені того, кого ви знаєте або чому довіряєте, наприклад, друзів, вашого банку або інтернет-магазину. У цих повідомленнях вас просять перейти по посиланню, відкрити вкладення або відповісти на ряд питань.

Поширений метод, при якому користувач вводить пароль на чужому сайті, замаскованому під дизайн сторінки авторизації.

Наприклад, вам надсилають лист, в якому просять за посиланням пройти опитування для клієнтів банку або підтвердити ваші дані. Такі листи виглядають дуже правдоподібно, шахраї розсилають їх мільйонам людей по всьому світу. У злочинців немає певної мети обдурити конкретної людини. Просто чим більше таких листів вони відправлять, тим вище ймовірність знайти жертву.

Так зломщик отримує доступ до вашого комп'ютера і поштою. Самі фішери призводять такі дані: прийоми соціальної інженерії найчастіше діють на 80% жінок і 60% чоловіків.

Не варто вказувати і особисті дані, нібито необхідні для відновлення пароля або доступу до ящика. Фішингових лист може повідомляти про блокування ящика і вимагати відправки SMS на короткий номер, який буде платним. Паспортні дані намагаються запросити під виглядом отримання виграшу в лотерею.

Що робити якщо вас зламали:

1. Не міняйте паролі в соціальних мережах: повідомлення про це прийде на зламаний ящик, що може привести до злому аккаунта в соцмережі.

2. Не піддавайтеся на шантаж, чи не шліть SMS, не переходьте ні по яких посиланнях, не вступайте в переговори з хакером.

3. Перевірте комп'ютер на віруси і троянські програми, тому що поки він заражений шкідливою програмою, немає сенсу відновлювати доступ і змінювати пароль.

4. Спробуйте відновити доступ до ящика, звернувшись в службу підтримки.

5. Поміняйте пароль від служби підтримки, як тільки вам вдалося відновити його і отримати доступ до пошти. І змініть секретне питання (і відповідь на нього).

Як захистити свої дані

- Не можна користуватися всіма російськими сервісами, включаючи Mail.ru, Yandex.ru. Рекомендую використовувати Gmail.com - поки невідомі факти передачі компанією Google приватного листування правоохоронним органам.

Артем Торчинський

Фінансист, експерт з безпеки (Москва)

Зараз популярна двоетапна аутентифікація Google за допомогою SMS або дзвінка - бар'єр, який ускладнює зловмисникам доступ до ваших даних (не тільки до пошти) і в якійсь мірі нівелює недоліки класичної пральний захисту. Говорячи простіше, це систему доступу на двох «ключах»: одним ви володієте (телефон, на який приходить SMS з кодом), інший запам'ятовуєте (звичайні логін і пароль).

Вхід виконується в два етапи - наприклад, спочатку ви вводите пароль до облікового запису, а потім код з SMS. Щоб було ще зрозуміліше, як працює система, наведу приклад з банківською картою і PIN - вони теж формують систему двофакторної аутентифікації: картка це «ключ», яким ви володієте, PIN до неї це «ключ», який ви запомінаете.Інтернет-банкінг, акаунти в соцмережах, обліковий запис в iCloud, поштові ящики, службові облікові записи - все це коштує захистити двухфакторной аутентификацией.

Налаштування двоетапної аутентифікації в Google не викличе складнощів, тому що проводиться покроково за допомогою майстра-налагоджувальника . Налаштування на кожному браузері будуть свої, раджу вам просто покроково керуватися етапами. Враховуйте, що до цієї системи прив'язується ваш номер телефону. І якщо ваша персона стала мішенню професійних шахраїв, то двоетапна аутентифікація по SMS небезпечна, прив'язаний телефон може зіграти фатальну роль.

Фото з сайту keddr.com

Пояснюється це тим, що найчастіше телефонний номер, до якого прив'язаний аккаунт, не є секретом - зазвичай це основний контактний номер. Майже всі сервіси повідомляють його перші або останні цифри будь-якому охочому, якщо спробувати відновити доступ до аккаунту. Тому з'ясувати номер, пов'язаний з аккаунтом, нескладно.

Коди підтвердження для двоетапної аутентифікації можна отримувати не тільки через SMS і голосові виклики, але і за допомогою додатки Google Authenticator - раджу використовувати його. Воно підтримується Android, iPhone і BlackBerry і працює навіть без підключення до Інтернету і стільникових мереж.

Фізичний токен Yubico - хороший варіант для захисту ваших даних. Наприклад, Google пропонує розумні токени, зроблені стартапом силіконової долини YubiKey (звідси і назва). Вони схожі на маленькі пристрої, схожі на ті, які нерідко використовуються для входу в систему «Інтернет-банк». Тільки замість введення PIN і набору коду в браузері, ви просто підключаєте токен в USB-порт комп'ютера без введення паролів. Встановлення цього пристрою буде детально розписана в інструкції, що додається при його покупці.

Фото з сайту helpdesk.lastpass.com

Обов'язково звертайте увагу на всі попередження про невідповідність сертифікатів, особливо якщо користуєтеся бездротовою мережею або з незнайомого місця - це говорить про те, що ви в зоні ризику. І пам'ятайте, що не існує 100% захисту. Якщо вас захочуть зламати - це зроблять, питання часу, грошей і ресурсів. Ви повинні замислюватися від це заздалегідь і зробити так, щоб вартість злому перевищувала вартість інформації.

Читайте також