Как защитить электронную почту от взлома — советы экспертов

Атаки на электронные ящики пользователей и компаний стали одним из излюбленных приемов кибермошенников. От взлома электронной почты никто не застрахован. Поэтому мы попросили экспертов рассказать о базовых мерах защиты «ящика». И объяснить, что делать, если его взломали.

Пару лет назад в Сети оказались базы данных, которые содержат пароли от 4,6 млн ящиков Mail.Ru, 5 млн аккаунтов GMail и более миллиона ящиков «Яндекс.Почты». Из-за этого администрация соцсети «ВКонтакте» заблокировала 226 тыс. учетных записей, привязанных к скомпрометированным почтовым ящикам. От массовой утечки паролей с бесплатных почтовых сервисов сегодня не застрахован никто. И если для обычного человека эта потеря может быть незначительной, то в случае взлома рабочей почты утечка информации нередко ведет к серьезным проблемам.

Минусы бесплатных почтовых сервисов для бизнеса

Адрес электронной почты указывается на корпоративных бланках, визитках, диктуется по телефону. По электронной почте мы принимаем документы, контракты, предложения о сотрудничестве — большое количество важной и конфиденциальной информации. И до сих пор многие компании используют в работе небезопасные бесплатные почтовые сервисы, а сотрудники для работы — личные ящики на этих бесплатных сервисах.

Люди не должны писать по рабочим вопросам с личного ящика, а компании не стоит использовать бесплатные почтовые сервисы. Объясним, почему.

1. У компании нет возможности контролировать ящик сотрудника на таком сервере в полном объеме. Если он уволился, то работодатель теряет доступ к его ящику. А работник может:

• Пользоваться им дальше
• Рассылать письма от имени вашей компании
• Получать письма для вашей компании
• «Увести» часть ваших клиентов, которые не будут знать про его увольнение

С корпоративным ящиком это сделать трудно.

2. Любые бесплатные сервисы рассчитаны на физлиц в первую очередь и только частично покрывают запросы бизнеса.

3. Бесплатные ящики не гарантируют полную конфиденциальность. Когда вы открываете почту на бесплатных почтовых сервисах, то вам показывается реклама. И формируется она на основе ваших интересов. Как сервисы узнают, что нужно вам показывать? Специальные программы анализируют контент ваших писем и решают, что вам можно предложить. И хотя все сервисы убеждают нас в том, что данные ни в коем случае не разглашаются, о полной конфиденциальности речи идти не может.

4. Бесплатные почтовые сервисы часто взламываются (особенно mail.ru, yandex.ru) и доступ к ящикам в этом случае получает кто угодно. Многие «дыры» в безопасности хорошо изучены злоумышленниками и позволяют им достаточно просто «угонять» данные нужных аккаунтов. Почтовые базы с паролями все чаще и чаще можно найти в открытом доступе в сети.

5. Бесплатные ящики — находка для спамеров. Некоторые бесплатные сервисы продают базы адресов компаниям, которые рассылают спам. Уверены — вы сталкивались с тем, что едва зарегистрировав ящик, сразу начинали получать рекламные предложения.

6. Где ваш имидж, если вы даете не корпоративный адрес, а почтовый сервис? Указывая на визитках (на сайте, в документах) свой адрес на бесплатном почтовом ящике, вы рекламируете не себя/компанию, а сервис. Электронный почтовый адрес может быть хорошим дополнением в продвижения вашего бизнеса.

Какой электронной почтой можно пользоваться:

• Купить домен и пользоваться только безопасной корпоративной почтой. Домен можно купить у регистратора доменных имен, у хостинг-провайдера. Сделать это технически помогут ИТ-специалисты. Обратите внимание на то, что многие, даже имея собственный домен, пользуются бесплатными почтовыми сервисами. Поэтому контролируйте сотрудников в этом вопросе
• Завести онлайн-почту в собственном домене. Для бизнеса Gmail.com, Mail.ru, Yandex.ru предлагают подключить корпоративный домен и завести рабочие ящики. Взамен вам обещают контроль над ящиками и отсутствие спама
• Арендовать почтовый сервер у провайдера. В отличии от варианта с купленным доменом, ваша почта будет храниться у провайдера, а не на офисном сервере

Зачем и как взламывают электронную почту

---

— Не стоит думать, что вы неинтересны взломщику: вы лично, может быть, и нет, но вот ваши данные им могут пригодиться.

Взлом почты — это почти всегда попытка стать обладателем чужой информации и чужих денег:

• Доступ к вашей почте может понадобиться, к примеру, конкуренту, бывшему партнеру или обиженному сотруднику. И хотя процент таких взломов очень маленький, вероятность с ним столкнуться есть. Стоит заказной взлом от десятка до нескольких сотен долларов, и бывают ситуации, когда заказчика взлома начинают шантажировать сами хакеры, обещая все рассказать жертве
• Любые учетные записи представляют интерес для спамеров, и могут быть перепроданы оптом
• Взломщикам нужны в вашем ящике данные электронного кошелька, банков, учетных записей соцсетей, хостингов, игровых аккаунтов. Если в ящике нет данных о самих паролях, взломщик может запросить восстановление пароля на ящик и проверит, подходит ли он к вашим учетным записям на других ресурсах
• Получив доступ к вашим учетным записям, взломщик может вас шантажировать. К примеру, предложит выкупить доступ к ящику, или к вашей учетной записи в соцсети, или личную информацию из ящика (переписка, фото, сканы документов)

При взломе обычно используется социальная инженерия, реже — подбор пароля и секретного вопроса. Чаще всего взломы делаются массово и с использованием ботов, цель которых — взломать как можно больше ящиков.

Вариантов взлома много, посмотрим на те, с которыми чаще всего можно столкнуться.

Нередко боты используют для взлома троянские программы (по различным данным, до 30% компьютеров ежегодно подвергаются заражению). Заметьте, что эти программы иногда вы устанавливаете сами — к примеру, когда переходите по присланной вам незнакомой ссылке или скачиваете программы с Интернета.

Почти все троянцы могут уводить пароли от электронной почты. Некоторые специалисты советуют использовать Linux, MacOS X, считая их более надежными операционными системами, но и они не гарантируют защиту от вредоносных программ. Антивирусное ПО тоже не всегда защитит вас. От старых троянов — может быть, от новых — чаще всего нет: сначала появляется вредоносная программа, потом ею кто-то заражается, и только спустя некоторое время она попадает в антивирусные базы.

Что касается взлома пароля, то в Интернете можно найти базы популярных паролей типа qwerty, 1q2w3e, состоящих из даты рождения в любом формате, набранных русских слов в латинской раскладке и т.д. Помните о том, что в соцсетях легко увидеть дату вашего рождения, телефон и другую информацию, которую нередко используют в паролях.

Номер автомашины и данные документов тоже легко «пробиваются», если речь идет о заказном взломе.

Советую использовать сложные пароли, разные для разных аккаунтов и учетных записей, лучше похожие на случайную последовательность. Крылатые выражения, русские слова в английской раскладке не используйте. Регулярно меняйте пароли (не ленитесь каждый раз придумывать сложный), особенно при имеющемся для этого поводе: развод, увольнение, потеря телефона (записной книжки), обнаружение троянца. Все, что было сказано о паролях, также касается и ответов на секретные вопросы.

Социальная инженерия и фишинг. Изначально фишингом называли попытки получить банковский счет и пароль по электронной почте. Теперь термин означает любые атаки по электронной почте.

Распространен метод, при котором пользователь вводит пароль на чужом сайте, замаскированном под дизайн страницы авторизации. В качестве можно привести примера фишинговый сайт, который «маскировался» под сайт компании Wargaming. Используя базу электронных адресов игроков этот сайт рассылал фишинговые сообщения с информацией о том, что проводиться акция и нужно ввести бонусный код. Если вам пришло письмо от no-reply@worldoftanks.ru, то ни в коем случае не вводите свои учетные данные по указанному адресу — таким образом злоумышленники пытаются получить доступ к аккаунтам игроков. Всегда проверяйте адреса таких рассылок.

Нередко кибермошенники рассылают письма от имени того, кого вы знаете или чему доверяете, например, друзей, вашего банка или интернет-магазина. В этих сообщениях вас просят перейти по ссылке, открыть вложения или ответить на ряд вопросов.

Распространен метод, при котором пользователь вводит пароль на чужом сайте, замаскированном под дизайн страницы авторизации.

К примеру, вам присылают письмо, в котором просят по ссылке пройти опрос для клиентов банка или подтвердить ваши данные. Такие письма выглядят очень правдоподобно, мошенники рассылают их миллионам людей по всему миру. У преступников нет определенной цели обмануть конкретного человека. Просто чем больше таких писем они отправят, тем выше вероятность найти жертву.

Так взломщик получает доступ к вашему компьютеру и почте. Сами фишеры приводят такие данные: приемы социальной инженерии чаще всего действуют на 80% женщин и 60% мужчин.

Не стоит указывать и личные данные, якобы необходимые для восстановления пароля или доступа к ящику. Фишинговое письмо может сообщать о блокировке ящика и требовать отправки SMS на короткий номер, который будет платным. Паспортные данные пытаются запросить под видом получения выигрыша в лотерею.

Что делать если вас взломали:

1. Не меняйте пароли в соцсетях: уведомление об этом придет на взломанный ящик, что может привести к взлому аккаунта в соцсети.

2. Не поддавайтесь на шантаж, не шлите SMS, не переходите ни по каким ссылкам, не вступайте в переговоры со взломщиком.

3. Проверьте компьютер на вирусы и троянские программы, потому что пока он заражен вредоносной программой, нет смысла восстанавливать доступ и менять пароль.

4. Попробуйте восстановить доступ к ящику, обратившись в службу поддержки.

5. Поменяйте пароль от службы поддержки, как только вам удалось восстановить его и получить доступ к почте. И измените секретный вопрос (и ответ на него).

Как защитить свои данные

— Нельзя пользоваться всеми российскими сервисами, включая Mail.ru, Yandex.ru. Рекомендую использовать Gmail.com — пока неизвестны факты передачи компанией Google частной переписки правоохранительным органам.

---

Сейчас популярна двухэтапная аутентификация Google при помощи SMS или звонка — барьер, который усложняет злоумышленникам доступ к вашим данным (не только к почте) и в какой-то степени нивелирует недостатки классической парольной защиты. Говоря проще, это систему доступа на двух «ключах»: одним вы владеете (телефон, на который приходит SMS с кодом), другой запоминаете (обычные логин и пароль).

Вход выполняется в два этапа — например, сначала вы вводите пароль к учетной записи, а потом код из SMS. Чтобы было еще понятнее, как работает система, приведу пример с банковской картой и PIN — они тоже формируют систему двухфакторной аутентификации: карточка это «ключ», которым вы владеете, PIN к ней это «ключ», который вы запоминаете.Интернет-банкинг, аккаунты в соцсетях, учетная запись в iCloud, почтовые ящики, служебные учетные записи — все это стоит защитить двухфакторной аутентификацией.

Настройка двухэтапной аутентификации в Google не вызовет сложностей, т.к. проводится пошагово с помощью мастера-настройщика. Настройки на каждом браузере будут свои, советую вам просто пошагово руководствоваться этапами. Учитывайте, что к этой системе привязывается ваш номер телефона. И если ваша персона стала мишенью профессиональных мошенников, то двухэтапная аутентификация по SMS опасна, привязанный телефон может сыграть роковую роль.

Объясняется это тем, что чаще всего телефонный номер, к которому привязан аккаунт, не является секретом — обычно это основной контактный номер. Почти все сервисы сообщают его первые или последние цифры любому желающему, если попытаться восстановить доступ к аккаунту. Поэтому выяснить номер, связанный с аккаунтом, несложно.

Коды подтверждения для двухэтапной аутентификации можно получать не только через SMS и голосовые вызовы, но и с помощью приложения Google Authenticator — советую использовать его. Оно поддерживается Android, iPhone и BlackBerry и работает даже без подключения к Интернету или сотовой сети.

Физический токен Yubico — хороший вариант для защиты ваших данных. К примеру, Google предлагает умные токены, сделанные стартапом силиконовой долины YubiKey (отсюда и название). Они похожи на маленькие устройства, похожие на те, которые нередко используются для входа в систему «Интернет-банк». Только вместо ввода PIN и набора кода в браузере, вы просто подключаете токен в USB-порт компьютера без введения паролей. Установка этого устройства будет подробно расписана в инструкции, которая прилагается при его покупке.

Обязательно реагируйте на все предупреждения о несоответствии сертификатов, особенно если пользуетесь беспроводной сетью или из незнакомого места — это говорит о том, что вы в зоне риска. И помните, что не существует 100% защиты. Если вас захотят взломать — это сделают, вопрос времени, денег и ресурсов. Вы должны задумываться от этом заранее и сделать так, чтобы стоимость взлома превышала стоимость информации.