Технологии
23 ноября 2016Как защитить электронную почту от взлома — советы экспертов
Атаки на электронные ящики пользователей и компаний стали одним из излюбленных приемов кибермошенников. От взлома электронной почты никто не застрахован. Поэтому мы попросили экспертов рассказать о базовых мерах защиты «ящика». И объяснить, что делать, если его взломали.
Пару лет назад в Сети оказались базы данных, которые содержат пароли от 4,6 млн ящиков Mail.Ru, 5 млн аккаунтов GMail и более миллиона ящиков «Яндекс.Почты». Из-за этого администрация соцсети «ВКонтакте» заблокировала 226 тыс. учетных записей, привязанных к скомпрометированным почтовым ящикам. От массовой утечки паролей с бесплатных почтовых сервисов сегодня не застрахован никто. И если для обычного человека эта потеря может быть незначительной, то в случае взлома рабочей почты утечка информации нередко ведет к серьезным проблемам.
Минусы бесплатных почтовых сервисов для бизнеса
Адрес электронной почты указывается на корпоративных бланках, визитках, диктуется по телефону. По электронной почте мы принимаем документы, контракты, предложения о сотрудничестве - большое количество важной и конфиденциальной информации. И до сих пор многие компании используют в работе небезопасные бесплатные почтовые сервисы, а сотрудники для работы - личные ящики на этих бесплатных сервисах.
Люди не должны писать по рабочим вопросам с личного ящика, а компании не стоит использовать бесплатные почтовые сервисы. Объясним, почему.
1. У компании нет возможности контролировать ящик сотрудника на таком сервере в полном объеме. Если он уволился, то работодатель теряет доступ к его ящику. А работник может:
- Пользоваться им дальше
- Рассылать письма от имени вашей компании
- Получать письма для вашей компании
- «Увести» часть ваших клиентов, которые не будут знать про его увольнение
С корпоративным ящиком это сделать трудно.
2. Любые бесплатные сервисы рассчитаны на физлиц в первую очередь и только частично покрывают запросы бизнеса.
3. Бесплатные ящики не гарантируют полную конфиденциальность. Когда вы открываете почту на бесплатных почтовых сервисах, то вам показывается реклама. И формируется она на основе ваших интересов. Как сервисы узнают, что нужно вам показывать? Специальные программы анализируют контент ваших писем и решают, что вам можно предложить. И хотя все сервисы убеждают нас в том, что данные ни в коем случае не разглашаются, о полной конфиденциальности речи идти не может.
4. Бесплатные почтовые сервисы часто взламываются (особенно mail.ru, yandex.ru) и доступ к ящикам в этом случае получает кто угодно. Многие «дыры» в безопасности хорошо изучены злоумышленниками и позволяют им достаточно просто «угонять» данные нужных аккаунтов. Почтовые базы с паролями все чаще и чаще можно найти в открытом доступе в сети.
5. Бесплатные ящики - находка для спамеров. Некоторые бесплатные сервисы продают базы адресов компаниям, которые рассылают спам. Уверены - вы сталкивались с тем, что едва зарегистрировав ящик, сразу начинали получать рекламные предложения.
6. Где ваш имидж, если вы даете не корпоративный адрес, а почтовый сервис? Указывая на визитках (на сайте, в документах) свой адрес на бесплатном почтовом ящике, вы рекламируете не себя/компанию, а сервис. Электронный почтовый адрес может быть хорошим дополнением в продвижения вашего бизнеса.
Какой электронной почтой можно пользоваться:
- Купить домен и пользоваться только безопасной корпоративной почтой. Домен можно купить у регистратора доменных имен, у хостинг-провайдера. Сделать это технически помогут ИТ-специалисты. Обратите внимание на то, что многие, даже имея собственный домен, пользуются бесплатными почтовыми сервисами. Поэтому контролируйте сотрудников в этом вопросе
- Завести онлайн-почту в собственном домене. Для бизнеса Gmail.com, Mail.ru, Yandex.ru предлагают подключить корпоративный домен и завести рабочие ящики. Взамен вам обещают контроль над ящиками и отсутствие спама
- Арендовать почтовый сервер у провайдера. В отличии от варианта с купленным доменом, ваша почта будет храниться у провайдера, а не на офисном сервере
Зачем и как взламывают электронную почту
- Не стоит думать, что вы неинтересны взломщику: вы лично, может быть, и нет, но вот ваши данные им могут пригодиться.
Взлом почты - это почти всегда попытка стать обладателем чужой информации и чужих денег:
- Доступ к вашей почте может понадобиться, к примеру, конкуренту, бывшему партнеру или обиженному сотруднику. И хотя процент таких взломов очень маленький, вероятность с ним столкнуться есть. Стоит заказной взлом от десятка до нескольких сотен долларов, и бывают ситуации, когда заказчика взлома начинают шантажировать сами хакеры, обещая все рассказать жертве
- Любые учетные записи представляют интерес для спамеров, и могут быть перепроданы оптом
- Взломщикам нужны в вашем ящике данные электронного кошелька, банков, учетных записей соцсетей, хостингов, игровых аккаунтов. Если в ящике нет данных о самих паролях, взломщик может запросить восстановление пароля на ящик и проверит, подходит ли он к вашим учетным записям на других ресурсах
- Получив доступ к вашим учетным записям, взломщик может вас шантажировать. К примеру, предложит выкупить доступ к ящику, или к вашей учетной записи в соцсети, или личную информацию из ящика (переписка, фото, сканы документов)
При взломе обычно используется социальная инженерия, реже - подбор пароля и секретного вопроса. Чаще всего взломы делаются массово и с использованием ботов, цель которых - взломать как можно больше ящиков.
Вариантов взлома много, посмотрим на те, с которыми чаще всего можно столкнуться.
Нередко боты используют для взлома троянские программы (по различным данным, до 30% компьютеров ежегодно подвергаются заражению). Заметьте, что эти программы иногда вы устанавливаете сами - к примеру, когда переходите по присланной вам незнакомой ссылке или скачиваете программы с Интернета.
Почти все троянцы могут уводить пароли от электронной почты. Некоторые специалисты советуют использовать Linux, MacOS X, считая их более надежными операционными системами, но и они не гарантируют защиту от вредоносных программ. Антивирусное ПО тоже не всегда защитит вас. От старых троянов - может быть, от новых - чаще всего нет: сначала появляется вредоносная программа, потом ею кто-то заражается, и только спустя некоторое время она попадает в антивирусные базы.
Что касается взлома пароля, то в Интернете можно найти базы популярных паролей типа qwerty, 1q2w3e, состоящих из даты рождения в любом формате, набранных русских слов в латинской раскладке и т.д. Помните о том, что в соцсетях легко увидеть дату вашего рождения, телефон и другую информацию, которую нередко используют в паролях.
Номер автомашины и данные документов тоже легко «пробиваются», если речь идет о заказном взломе.
Советую использовать сложные пароли, разные для разных аккаунтов и учетных записей, лучше похожие на случайную последовательность. Крылатые выражения, русские слова в английской раскладке не используйте. Регулярно меняйте пароли (не ленитесь каждый раз придумывать сложный), особенно при имеющемся для этого поводе: развод, увольнение, потеря телефона (записной книжки), обнаружение троянца. Все, что было сказано о паролях, также касается и ответов на секретные вопросы.
Социальная инженерия и фишинг. Изначально фишингом называли попытки получить банковский счет и пароль по электронной почте. Теперь термин означает любые атаки по электронной почте.
Распространен метод, при котором пользователь вводит пароль на чужом сайте, замаскированном под дизайн страницы авторизации. В качестве можно привести примера фишинговый сайт, который «маскировался» под сайт компании Wargaming. Используя базу электронных адресов игроков этот сайт рассылал фишинговые сообщения с информацией о том, что проводиться акция и нужно ввести бонусный код. Если вам пришло письмо от no-reply@worldoftanks.ru, то ни в коем случае не вводите свои учетные данные по указанному адресу - таким образом злоумышленники пытаются получить доступ к аккаунтам игроков. Всегда проверяйте адреса таких рассылок.
Нередко кибермошенники рассылают письма от имени того, кого вы знаете или чему доверяете, например, друзей, вашего банка или интернет-магазина. В этих сообщениях вас просят перейти по ссылке, открыть вложения или ответить на ряд вопросов.
Распространен метод, при котором пользователь вводит пароль на чужом сайте, замаскированном под дизайн страницы авторизации.
К примеру, вам присылают письмо, в котором просят по ссылке пройти опрос для клиентов банка или подтвердить ваши данные. Такие письма выглядят очень правдоподобно, мошенники рассылают их миллионам людей по всему миру. У преступников нет определенной цели обмануть конкретного человека. Просто чем больше таких писем они отправят, тем выше вероятность найти жертву.
Так взломщик получает доступ к вашему компьютеру и почте. Сами фишеры приводят такие данные: приемы социальной инженерии чаще всего действуют на 80% женщин и 60% мужчин.
Не стоит указывать и личные данные, якобы необходимые для восстановления пароля или доступа к ящику. Фишинговое письмо может сообщать о блокировке ящика и требовать отправки SMS на короткий номер, который будет платным. Паспортные данные пытаются запросить под видом получения выигрыша в лотерею.
Что делать если вас взломали:
1. Не меняйте пароли в соцсетях: уведомление об этом придет на взломанный ящик, что может привести к взлому аккаунта в соцсети.
2. Не поддавайтесь на шантаж, не шлите SMS, не переходите ни по каким ссылкам, не вступайте в переговоры со взломщиком.
3. Проверьте компьютер на вирусы и троянские программы, потому что пока он заражен вредоносной программой, нет смысла восстанавливать доступ и менять пароль.
4. Попробуйте восстановить доступ к ящику, обратившись в службу поддержки.
5. Поменяйте пароль от службы поддержки, как только вам удалось восстановить его и получить доступ к почте. И измените секретный вопрос (и ответ на него).
Как защитить свои данные
- Нельзя пользоваться всеми российскими сервисами, включая Mail.ru, Yandex.ru. Рекомендую использовать Gmail.com - пока неизвестны факты передачи компанией Google частной переписки правоохранительным органам.
Сейчас популярна двухэтапная аутентификация Google при помощи SMS или звонка - барьер, который усложняет злоумышленникам доступ к вашим данным (не только к почте) и в какой-то степени нивелирует недостатки классической парольной защиты. Говоря проще, это систему доступа на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).
Вход выполняется в два этапа - например, сначала вы вводите пароль к учетной записи, а потом код из SMS. Чтобы было еще понятнее, как работает система, приведу пример с банковской картой и PIN - они тоже формируют систему двухфакторной аутентификации: карточка это «ключ», которым вы владеете, PIN к ней это «ключ», который вы запоминаете.Интернет-банкинг, аккаунты в соцсетях, учетная запись в iCloud, почтовые ящики, служебные учетные записи - все это стоит защитить двухфакторной аутентификацией.
Настройка двухэтапной аутентификации в Google не вызовет сложностей, т.к. проводится пошагово с помощью мастера-настройщика. Настройки на каждом браузере будут свои, советую вам просто пошагово руководствоваться этапами. Учитывайте, что к этой системе привязывается ваш номер телефона. И если ваша персона стала мишенью профессиональных мошенников, то двухэтапная аутентификация по SMS опасна, привязанный телефон может сыграть роковую роль.
Объясняется это тем, что чаще всего телефонный номер, к которому привязан аккаунт, не является секретом - обычно это основной контактный номер. Почти все сервисы сообщают его первые или последние цифры любому желающему, если попытаться восстановить доступ к аккаунту. Поэтому выяснить номер, связанный с аккаунтом, несложно.
Коды подтверждения для двухэтапной аутентификации можно получать не только через SMS и голосовые вызовы, но и с помощью приложения Google Authenticator - советую использовать его. Оно поддерживается Android, iPhone и BlackBerry и работает даже без подключения к Интернету или сотовой сети.
Физический токен Yubico - хороший вариант для защиты ваших данных. К примеру, Google предлагает умные токены, сделанные стартапом силиконовой долины YubiKey (отсюда и название). Они похожи на маленькие устройства, похожие на те, которые нередко используются для входа в систему «Интернет-банк». Только вместо ввода PIN и набора кода в браузере, вы просто подключаете токен в USB-порт компьютера без введения паролей. Установка этого устройства будет подробно расписана в инструкции, которая прилагается при его покупке.
Обязательно реагируйте на все предупреждения о несоответствии сертификатов, особенно если пользуетесь беспроводной сетью или из незнакомого места - это говорит о том, что вы в зоне риска. И помните, что не существует 100% защиты. Если вас захотят взломать - это сделают, вопрос времени, денег и ресурсов. Вы должны задумываться от этом заранее и сделать так, чтобы стоимость взлома превышала стоимость информации.