Как снизить вероятность хакерской атаки в письмах
В чем проблема По мнению Грэма, современные почтовые системы спроектированы таким образом, что пользоваться ими очень удобно, но в них недостаточно внимания уделяется безопасности. Клиенты вроде Gmail, Yahoo или Outlook отображают красивые адаптивные письма с множеством интерактивных элементов, на которые так и хочется кликнуть. Для работы с email все чаще используют браузер, а это небезопасный по своей природе инструмент. Он отображает на одной странице контент, который может быть загружен из разных источников — текст с одного сервера, реклама — с другого, видео — с третьего, а есть еще кнопки соцсетей и всевозможные «следящие пиксели». И пользователь даже заранее не может понять, куда он попадет, если кликнет на один из этих элементов. Человек за компьютером не может предсказать последствия своих действий и понять, насколько они безопасны. Этим активно пользуются хакеры — по статистике, в 2016 году более 15% всех пользователей email стали жертвами фишинговых атак, в ходе которых им рассылали письма с вредоносными ссылками и вложениями. Более того, многие почтовые клиенты и веб-версии email-сервисов по умолчанию подсвечивают ссылки и делают их активными — таким образом пользователя можно обмануть, просто создав вредоносный сайт с названием, которое похоже на официальное (например, sbebrank.ru). При открытии загруженного файла или клике по такой ссылке компьютер пользователя может быть заражен вирусом — часто это приводит к неприятным последствиям от блокировки компьютера и требований выкупа, до его подключения к ботнету для совершения DDoS-атак. Типичное фишинговое email-сообщение: пользователю сообщают, что он выиграл в лотерею билет на чемпионат мира по футболу в России Количество фишинговых сообщений постоянно растет Атакуют не только частных пользователей, но и целые компании. Этим, в частности, занимается известная кибергруппировка Cobalt, участники которой нападали на финансовые организации. Часто для проникновения в сеть компании использовались как раз фишинговые письма: Из всего этого Грэм делает вывод — проблема здесь не в низком уровне компьютерной грамотности пользователей, а в самом инструменте. А значит, нужно использовать более безопасную версию email. Как защититься: при чем здесь plain-text По словам Грэма, при текущей конфигурации email-сервисов, когда письма стали, по сути, мини-сайтами с множеством мультимедийных и интерактивных элементов, единственный шанс для пользователя обезопасить себя — это получение навыков в верстке HTML, изучении принципов действия JavaScript и так далее. Освоить такой объём знаний просто для того, чтобы вести email-переписку, мало кто готов. А значит, нужно просто вернуть email в то состояние, когда он был полностью безопасным — тогда любое письмо представляло из себя просто текст. Эту позицию разделяют, к примеру, американские власти — госучреждениям в США рекомендовано «отключить HTML-версии писем и ссылки, все содержание email должно быть представлено в формате plain-text — это поможет снизить вероятность фишинговых атак с помощью вредоносных ссылок или исполняемого кода». По словам Грэма, риск подобных атак на организации очень высок — по статистике, вероятность фишинговой атаки на компании с 70 и более сотрудниками превышает 50%. Каждый сотрудник — потенциальная брешь в безопасности, поэтому если с помощью plain-text писем затруднить для них возможность сделать необдуманный клик в подозрительном сообщении, это может повысить уровень защищенности бизнеса. Почему это не сработает Мы развиваем сервис email-маркетинга DashaMail, а до этого наша команда работала над проектом Pechkin-mail. Мы уделяли много внимания вопросам борьбы со спамом и повышению безопасности email-коммуникации. Наш опыт говорит о том, что несмотря на некоторые здравые мысли, подход Роберта Грэма на самом деле не поможет решить проблему фишинговых атак по множеству причин. Вот лишь некоторые из них: Plain-text — это не всегда удобно Многие гики, увлекающиеся безопасностью и недолюбливающие все, что связано с маркетингом, любят plain-text письма — чтобы это понять, достаточно почитать дискуссии на Хабре. Но при этом, для многих пользователей, да и самих компаний, удобство часто играет важную роль — первым не хочется совершать лишние движения, чтобы перейти по ссылке, вторым иногда необходимо использовать визуальные элементы, либо их в письмах используют контрагенты. Если такие письма будут насильно конвертироваться в plain-text, могут возникать сложности в общении, что в конце концов может вести и к недополучению прибыли. Хакеры все равно смогут обмануть пользователей Злоумышленники всегда лучше разбираются в вопросах обмана и манипуляции, чем пользователи. И это значит, что простое отключение активных ссылок в письмах не позволит радикально повысить безопасность email. Взломщики продумывают сложные атаки и, например, пишут сотрудникам банка письма от лица контрагентов, обслуживающих банкоматы, а обычным людям присылают поддельные уведомления о штрафах с портала Госусулуги. Надеяться на то, что такие мастера манипуляции не смогут убедить человека скопировать текст ссылки и вставить ее в браузер по меньшей мере наивно. Искусственные ограничения всегда неэффективны Пользователи, будь то обычные люди или сотрудники компаний, всегда будут предпочитать удобство безопасности. И искусственными ограничениями ситуацию не улучшить. Если компания запретит html-письма в установленном десктопном почтовом клиенте, то велика вероятность того, что сотрудники просто начнут решать рабочие вопросы в более удобных для них клиентах, где такой блокировки нет. Понятие «теневого IT» (shadow IT) никто не отменял, а в итоге такой самодеятельности, риски безопасности для бизнеса только вырастут, потому что каждый пользователь будет работать в удобном лично ему почтовом клиенте, а значит и вероятность атаки повысится. Заключение: есть ли шанс улучшить email Вопросы безопасности не решаются просто, здесь трудно предложить универсальный метод, который бы помог гарантировать невозможность атаки. На самом деле шанс на успешный взлом будет оставаться всегда, и задача бизнеса заключается не в том, чтобы свести такую вероятность к нулю, а в том, чтобы сделать проведение атаки невыгодным для злоумышленника. Для этого нужно проводить разъяснительную работу среди сотрудников, объясняя им, как отличить фишинговые письма, и почему не стоит скачивать все вложения и кликать на подозрительные ссылки. Кроме того, важно внедрение специализированных средств, которые ведут мониторить возможных попыток взлома — помимо обычных антивирусов, это и межсетевые экраны и DLP-системы. Это непросто и требует вложений ресурсов, сил и времени. Одно ясно точно — email сам по себе ни в чем не виноват, а значит его искусственные ограничения точно окажутся менее эффективной мерой. Материалы по теме: Как Кремниевая долина убивает индивидуальность Почему я считаю FaceID небезопасным «Моя жизнь превратилась в кошмар, когда злоумышленники украли мою личность» Единый реестр биометрических данных превращает жизнь индийских граждан в антиутопию У меня есть сайт — как защитить его от штрафов и блокировок?