21 ноября
«Создать успешное агентство — как выиграть в казино», сооснователь WakeApp Эдуард Лебедев
3 | 1 | 1 | 3 |
Атаки на электронные ящики пользователей и компаний стали одним из излюбленных приемов кибермошенников. От взлома электронной почты никто не застрахован. Поэтому мы попросили экспертов рассказать о базовых мерах защиты «ящика». И объяснить, что делать, если его взломали.
Пару лет назад в Сети оказались базы данных, которые содержат пароли от 4,6 млн ящиков Mail.Ru, 5 млн аккаунтов GMail и более миллиона ящиков «Яндекс.Почты». Из-за этого администрация соцсети «ВКонтакте» заблокировала 226 тыс. учетных записей, привязанных к скомпрометированным почтовым ящикам. От массовой утечки паролей с бесплатных почтовых сервисов сегодня не застрахован никто. И если для обычного человека эта потеря может быть незначительной, то в случае взлома рабочей почты утечка информации нередко ведет к серьезным проблемам.
Адрес электронной почты указывается на корпоративных бланках, визитках, диктуется по телефону. По электронной почте мы принимаем документы, контракты, предложения о сотрудничестве — большое количество важной и конфиденциальной информации. И до сих пор многие компании используют в работе небезопасные бесплатные почтовые сервисы, а сотрудники для работы — личные ящики на этих бесплатных сервисах.
Люди не должны писать по рабочим вопросам с личного ящика, а компании не стоит использовать бесплатные почтовые сервисы. Объясним, почему.
1. У компании нет возможности контролировать ящик сотрудника на таком сервере в полном объеме. Если он уволился, то работодатель теряет доступ к его ящику. А работник может:
С корпоративным ящиком это сделать трудно.
2. Любые бесплатные сервисы рассчитаны на физлиц в первую очередь и только частично покрывают запросы бизнеса.
3. Бесплатные ящики не гарантируют полную конфиденциальность. Когда вы открываете почту на бесплатных почтовых сервисах, то вам показывается реклама. И формируется она на основе ваших интересов. Как сервисы узнают, что нужно вам показывать? Специальные программы анализируют контент ваших писем и решают, что вам можно предложить. И хотя все сервисы убеждают нас в том, что данные ни в коем случае не разглашаются, о полной конфиденциальности речи идти не может.
4. Бесплатные почтовые сервисы часто взламываются (особенно mail.ru, yandex.ru) и доступ к ящикам в этом случае получает кто угодно. Многие «дыры» в безопасности хорошо изучены злоумышленниками и позволяют им достаточно просто «угонять» данные нужных аккаунтов. Почтовые базы с паролями все чаще и чаще можно найти в открытом доступе в сети.
5. Бесплатные ящики — находка для спамеров. Некоторые бесплатные сервисы продают базы адресов компаниям, которые рассылают спам. Уверены — вы сталкивались с тем, что едва зарегистрировав ящик, сразу начинали получать рекламные предложения.
6. Где ваш имидж, если вы даете не корпоративный адрес, а почтовый сервис? Указывая на визитках (на сайте, в документах) свой адрес на бесплатном почтовом ящике, вы рекламируете не себя/компанию, а сервис. Электронный почтовый адрес может быть хорошим дополнением в продвижения вашего бизнеса.
Какой электронной почтой можно пользоваться:
- Купить домен и пользоваться только безопасной корпоративной почтой. Домен можно купить у регистратора доменных имен, у хостинг-провайдера. Сделать это технически помогут ИТ-специалисты. Обратите внимание на то, что многие, даже имея собственный домен, пользуются бесплатными почтовыми сервисами. Поэтому контролируйте сотрудников в этом вопросе
- Завести онлайн-почту в собственном домене. Для бизнеса Gmail.com, Mail.ru, Yandex.ru предлагают подключить корпоративный домен и завести рабочие ящики. Взамен вам обещают контроль над ящиками и отсутствие спама
- Арендовать почтовый сервер у провайдера. В отличии от варианта с купленным доменом, ваша почта будет храниться у провайдера, а не на офисном сервере
— Не стоит думать, что вы неинтересны взломщику: вы лично, может быть, и нет, но вот ваши данные им могут пригодиться.
Взлом почты — это почти всегда попытка стать обладателем чужой информации и чужих денег:
При взломе обычно используется социальная инженерия, реже — подбор пароля и секретного вопроса. Чаще всего взломы делаются массово и с использованием ботов, цель которых — взломать как можно больше ящиков.
Вариантов взлома много, посмотрим на те, с которыми чаще всего можно столкнуться.
Нередко боты используют для взлома троянские программы (по различным данным, до 30% компьютеров ежегодно подвергаются заражению). Заметьте, что эти программы иногда вы устанавливаете сами — к примеру, когда переходите по присланной вам незнакомой ссылке или скачиваете программы с Интернета.
Почти все троянцы могут уводить пароли от электронной почты. Некоторые специалисты советуют использовать Linux, MacOS X, считая их более надежными операционными системами, но и они не гарантируют защиту от вредоносных программ. Антивирусное ПО тоже не всегда защитит вас. От старых троянов — может быть, от новых — чаще всего нет: сначала появляется вредоносная программа, потом ею кто-то заражается, и только спустя некоторое время она попадает в антивирусные базы.
Что касается взлома пароля, то в Интернете можно найти базы популярных паролей типа qwerty, 1q2w3e, состоящих из даты рождения в любом формате, набранных русских слов в латинской раскладке и т.д. Помните о том, что в соцсетях легко увидеть дату вашего рождения, телефон и другую информацию, которую нередко используют в паролях.
Номер автомашины и данные документов тоже легко «пробиваются», если речь идет о заказном взломе.
Советую использовать сложные пароли, разные для разных аккаунтов и учетных записей, лучше похожие на случайную последовательность. Крылатые выражения, русские слова в английской раскладке не используйте. Регулярно меняйте пароли (не ленитесь каждый раз придумывать сложный), особенно при имеющемся для этого поводе: развод, увольнение, потеря телефона (записной книжки), обнаружение троянца. Все, что было сказано о паролях, также касается и ответов на секретные вопросы.
Социальная инженерия и фишинг. Изначально фишингом называли попытки получить банковский счет и пароль по электронной почте. Теперь термин означает любые атаки по электронной почте.
Распространен метод, при котором пользователь вводит пароль на чужом сайте, замаскированном под дизайн страницы авторизации. В качестве можно привести примера фишинговый сайт, который «маскировался» под сайт компании Wargaming. Используя базу электронных адресов игроков этот сайт рассылал фишинговые сообщения с информацией о том, что проводиться акция и нужно ввести бонусный код. Если вам пришло письмо от no-reply@worldoftanks.ru, то ни в коем случае не вводите свои учетные данные по указанному адресу — таким образом злоумышленники пытаются получить доступ к аккаунтам игроков. Всегда проверяйте адреса таких рассылок.
Нередко кибермошенники рассылают письма от имени того, кого вы знаете или чему доверяете, например, друзей, вашего банка или интернет-магазина. В этих сообщениях вас просят перейти по ссылке, открыть вложения или ответить на ряд вопросов.
Распространен метод, при котором пользователь вводит пароль на чужом сайте, замаскированном под дизайн страницы авторизации.
К примеру, вам присылают письмо, в котором просят по ссылке пройти опрос для клиентов банка или подтвердить ваши данные. Такие письма выглядят очень правдоподобно, мошенники рассылают их миллионам людей по всему миру. У преступников нет определенной цели обмануть конкретного человека. Просто чем больше таких писем они отправят, тем выше вероятность найти жертву.
Так взломщик получает доступ к вашему компьютеру и почте. Сами фишеры приводят такие данные: приемы социальной инженерии чаще всего действуют на 80% женщин и 60% мужчин.
Не стоит указывать и личные данные, якобы необходимые для восстановления пароля или доступа к ящику. Фишинговое письмо может сообщать о блокировке ящика и требовать отправки SMS на короткий номер, который будет платным. Паспортные данные пытаются запросить под видом получения выигрыша в лотерею.
Что делать если вас взломали:
1. Не меняйте пароли в соцсетях: уведомление об этом придет на взломанный ящик, что может привести к взлому аккаунта в соцсети.
2. Не поддавайтесь на шантаж, не шлите SMS, не переходите ни по каким ссылкам, не вступайте в переговоры со взломщиком.
3. Проверьте компьютер на вирусы и троянские программы, потому что пока он заражен вредоносной программой, нет смысла восстанавливать доступ и менять пароль.
4. Попробуйте восстановить доступ к ящику, обратившись в службу поддержки.
5. Поменяйте пароль от службы поддержки, как только вам удалось восстановить его и получить доступ к почте. И измените секретный вопрос (и ответ на него).
— Нельзя пользоваться всеми российскими сервисами, включая Mail.ru, Yandex.ru. Рекомендую использовать Gmail.com — пока неизвестны факты передачи компанией Google частной переписки правоохранительным органам.
Сейчас популярна двухэтапная аутентификация Google при помощи SMS или звонка — барьер, который усложняет злоумышленникам доступ к вашим данным (не только к почте) и в какой-то степени нивелирует недостатки классической парольной защиты. Говоря проще, это систему доступа на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).
Вход выполняется в два этапа — например, сначала вы вводите пароль к учетной записи, а потом код из SMS. Чтобы было еще понятнее, как работает система, приведу пример с банковской картой и PIN — они тоже формируют систему двухфакторной аутентификации: карточка это «ключ», которым вы владеете, PIN к ней это «ключ», который вы запоминаете.Интернет-банкинг, аккаунты в соцсетях, учетная запись в iCloud, почтовые ящики, служебные учетные записи — все это стоит защитить двухфакторной аутентификацией.
Настройка двухэтапной аутентификации в Google не вызовет сложностей, т.к. проводится пошагово с помощью мастера-настройщика. Настройки на каждом браузере будут свои, советую вам просто пошагово руководствоваться этапами. Учитывайте, что к этой системе привязывается ваш номер телефона. И если ваша персона стала мишенью профессиональных мошенников, то двухэтапная аутентификация по SMS опасна, привязанный телефон может сыграть роковую роль.
Объясняется это тем, что чаще всего телефонный номер, к которому привязан аккаунт, не является секретом — обычно это основной контактный номер. Почти все сервисы сообщают его первые или последние цифры любому желающему, если попытаться восстановить доступ к аккаунту. Поэтому выяснить номер, связанный с аккаунтом, несложно.
Коды подтверждения для двухэтапной аутентификации можно получать не только через SMS и голосовые вызовы, но и с помощью приложения Google Authenticator — советую использовать его. Оно поддерживается Android, iPhone и BlackBerry и работает даже без подключения к Интернету или сотовой сети.
Физический токен Yubico — хороший вариант для защиты ваших данных. К примеру, Google предлагает умные токены, сделанные стартапом силиконовой долины YubiKey (отсюда и название). Они похожи на маленькие устройства, похожие на те, которые нередко используются для входа в систему «Интернет-банк». Только вместо ввода PIN и набора кода в браузере, вы просто подключаете токен в USB-порт компьютера без введения паролей. Установка этого устройства будет подробно расписана в инструкции, которая прилагается при его покупке.
Обязательно реагируйте на все предупреждения о несоответствии сертификатов, особенно если пользуетесь беспроводной сетью или из незнакомого места — это говорит о том, что вы в зоне риска. И помните, что не существует 100% защиты. Если вас захотят взломать — это сделают, вопрос времени, денег и ресурсов. Вы должны задумываться от этом заранее и сделать так, чтобы стоимость взлома превышала стоимость информации.
21 ноября
«Создать успешное агентство — как выиграть в казино», сооснователь WakeApp Эдуард Лебедев
19 ноября
Особое признание: Betera с двумя наградами престижной премии ADMA
19 ноября
Республиканский DemoDay – победители «Стартап-марафона» определятся в ближайшее время
19 ноября
3Х-кратный рост мясоперерабатывающего предприятия благодаря внедрению «1С:ERP Управление предприятием 2» компанией Академ и К
19 ноября
Бесплатные БелВЭБ-Кассы от Банка БелВЭБ!
18 ноября
Специальная партия SERES | AITO M5 уже в Минске: ваш рациональный выбор здесь и сейчас!
18 ноября
Международный форум ЭДО в Москве 2024: Взгляд на будущее электронного документооборота
18 ноября
Вторая жизнь рекламных баннеров: компания МТС презентовала уникальный мерч