Как мошенники обретают доступ к аккаунтам пользователей
Во-первых, следует ответить на вопрос, зачем мошенникам нужен доступ к аккаунту пользователя. Аккаунт представляет собой электронную учетную запись, позволяющую системе идентифицировать данного пользователя.
Если взять в качестве примера аккаунт на Яндексе или Майл ру, то учетная запись здесь состоит из адреса электронной почты и пароля к ней.
На некоторых сайтах в аккаунте, кроме e-mail и пароля, может присутствовать логин – то имя, которое придумает себе пользователь для входа на сайт.
Любой посетитель после регистрации (то есть, авторизации) на каком-либо сайте получает доступ к своему аккаунту.
Если к аккаунту пользователя получает доступ мошенник, он обретает все те же возможности. Как правило, интерес мошенников вызывают те ресурсы интернета, где вращаются деньги. Причем, закон прост: чем больше денег, тем выше интерес мошенника. Хотя, если честно, то они не брезгуют и копеечными счетами, делая ставку на количество взломанных аккаунтов.
Как эти «темные личности» получают доступ к аккаунтам пользователей?
Оказывается, зачастую сам пользователь принимает в этом непосредственное участие.
Начинается все с того, что на его электронный адрес приходит письмо с требованием срочной авторизации (то есть, войти на сайт под своим логином и паролем). Но для того чтобы авторизоваться, необходимо пройти на сайт при помощи приведенной в письме ссылки. Объяснение может быть самым банальным, например, в системе произошел сбой, или все аккаунты были заблокированы из-за атаки хакеров. Естественно, отправителем данного электронного сообщения будет администрация вашего любимого сервиса. Но это на самом деле совсем не так, письмо отправлено мошенниками, единственная цель которых заключается в том, чтобы узнать имя и пароль от вашего аккаунта.
Если Вы переходите по ссылке, то попадаете на фишинговый, то есть, поддельный, сайт, который находится полностью под контролем мошенников. Отличить поддельный сайт от настоящего бывает не так-то просто. Вам останется только авторизоваться здесь, чтобы вся конфиденциальная информация для доступа к вашему аккаунту попала прямо в лапы мошенников.
Для каких целей преступники будут использовать Ваш аккаунт пока неизвестно, но если это счет в какой-либо платежной системе, можете забыть о том, что у Вас там когда-то были деньги. Еще повезет, если мошенники не наберут кредитов на ваше имя, выплачивать которые придется лично Вам. Доказать свою правоту Вы вряд ли сможете, ведь преступники будут заходить на сайт под вашим именем и с вашими паролями.
Что же представляет собой фишинговый сайт и как он создается?
Фишинговый сайт должен создавать иллюзию настоящего, чтобы ни у кого не могло возникнуть никаких сомнений в подлинности.
Технически это выполняется очень легко, страница с авторизацией (там, где вводится логин, e-mail и пароль) копируется с настоящего ресурса в формате HTML и вставляется в созданный на одном из бесплатных хостингов сайт. Осталось только добавить скрипты, то есть команды, которые будут перенаправлять данные, необходимые для авторизации, на сайт преступников. Ну а для того, чтобы особых подозрений у пользователей не возникало, на этой же странице размещаются ссылки для перехода на настоящий сайт.
Кстати, не только платежные системы интересуют злоумышленников, но и другие ресурсы, например, почтовые ящики. Чужой почтовый ящик можно использовать для рассылок со спамом в Интернете, которые являются хоть и разновидностью теневого бизнеса, зато приносят немалый доход.
Как уберечь доступ к аккаунту от мошенников?
Необходимо соблюдать ряд простых правил.
Со временем компьютерные технологии станут более безопасными, потому мошенникам все сложнее будет получить доступ к чьим-то аккаунтам. А пока «на бога надейся, но и сам не плошай», внимательность – лучшая защита, будьте бдительны!
P.S. По интернет-грамотности можно еще прочитать:
Email и безопасность: Можно ли защитить почтовую переписку
В нашем блоге на Хабре мы много пишем о создании почтовых рассылок и работе с электронной почтой. Сегодня речь пойдет о нечасто затрагиваемой, но важной теме — насколько безопасны подобные коммуникации, и как защититься при использовании email? Именно этим вопросом задались пользователи ресурса Quora. Мы представляем вашему вниманию лучший ответ, который дал Билл Франклин, бывший сотрудник защищенного почтового сервиса Lavaboom (проект закрылся летом 2015 года).
Есть ли безопасные почтовые сервисы, и чем в этом плане отличаются популярные почтовики
Электронная почта по своему существу небезопасна. Она создавалась для личной переписки, но в действительности электронные письма ненамного безопаснее открытки.
Франклин говорит, что когда отправляет из Оксфорда через Gmail письмо на Yahoo! Mail другу в Сан-Франциско, сообщение может быть перехвачено минимум 7 раз: на компьютере отправителя, при передаче на сервер Gmail, на сервере Gmail, при передаче из Gmail на Yahoo!, на серверах Yahoo! Mail, при передаче на компьютер друга и, наконец, на компьютере получателя. Всем известно, что цепь крепка настолько, насколько крепко ее слабое звено, поэтому, даже если оба участника переписки сделают всё возможное, чтобы обезопасить свои компьютеры, им все равно придется полагаться на защиту сервисов Gmail и Yahoo!
Кому может быть нужно взламывать почтовый ящик
Кто может быть заинтересован в получении доступа к чьему-либо почтовому ящику? Прежде всего, это государственные организации, почтовый провайдер и киберпреступники. Разумеется, скрыть переписку от почтового сервиса не получится, обычный пользователь также вряд ли сможет противостоять хакерам. При этом, если у Gmail есть доступ к вашему аккаунту, значит он есть и у Агентства национальной безопасности США (АНБ). И если АНБ встроит бэкдор в почтовый сервис, то им смогут воспользоваться и злоумышленники. Таким образом, пользователю необходимо защитить свой аккаунт от всех трех групп «перехватчиков» потому, что если одна из них получит доступ, то его могут получить и остальные.
Причины, по которым они могут захотеть взломать электронный ящик:
Слабые места
Существует множество способов перехвата электронного письма в семи вышеперечисленных точках доступа. Франклин рассказал о том, как это можно сделать в его примере. Быстрее всего (этот способ занимает около часа) взломать базу в Кардиффе, где берет начало трансатлантический телефонный кабель, установить там узел для перехвата электронного письма и ждать, пока оно будет отправлено.
У Агентства национальной безопасности США есть возможность получить доступ к электронному ящику во всех семи точках доступа. И, согласно статьям Джейкоба Эпплбаума (Jacob Appelbaum) и Глена Гринуолда (Glen Greenwald), деятельность АНБ по сбору этим не ограничивается.
Вот, к примеру, один из слайдов презентации программы PRISM от АНБ:
Затраты на программу составляют около 20 млн долларов в год
PRISM – это программа наблюдения, запущенная Агентством национальной безопасности США (при участии центра правительственной связи Великобритании), которая используется в том числе для перехвата электронных писем. При этом крупнейшие почтовые провайдеры Microsoft, Yahoo! и Google в числе первых приняли в ней участие. И, тем не менее, электронная почта остается более популярным средством онлайн-коммуникации, чем Facebook или любой другой сервис. Поэтому ее важность для спецслужб, очевидна. А значит, отправляя почтовое сообщение, вы должны допускать, что он окажется на серверах PRISM или других подобных программ, где «сотрудники» смогут их прочитать.
Помимо технических недостатков в безопасности электронной почты, мы можем также рассмотреть законы, защищающие конфиденциальность ее пользователей. Огромное количество пользователей отправляют электронные письма с американских почтовых сервисов — например, Gmail.
Когда вы посылаете email, все метаданные отправляются вместе с ним. Когда вы отвечаете или пересылаете email, вы автоматически пересылаете все метаданные из предыдущего письма. Например, если несколько людей ведут общую переписку по электронной почте, с помощью любого вышеупомянутого способа перехвата любое заинтересованное лицо с легкостью получит доступ к данным о местонахождении всех участников переписки, а также узнает тему обсуждения, даже не читая содержание писем. Подробнее об этом можно почитать в материале под названием «О чем метаданные ваших электронных писем могут рассказать АНБ».
Стоит также упомянуть, что, отправляя email на электронный адрес Gmail, даже если вы сами не являетесь его клиентом, вы автоматически предоставляете Google всю информацию – при этом вам не нужно принимать его условия обслуживания (которые подразумевают чтение ваших электронных писем). То же самое касается и других американских почтовых сервисов.
Как обезопасить свой почтовый ящик
Итак, все вышеперечисленное, по сути, говорит о том, что электронная почта небезопасна, данные и метаданные могут многое о вас рассказать, и от вторжения в личную жизнь спастись нереально. Но все не так безнадежно. Как сказал Эдвард Сноуден: «Времена, когда защита частной жизни граждан полностью зависела от государства, остались в прошлом. Мы больше не обязаны просить у правительства неприкосновенности частной жизни, это наше право».
«Все разведывательные службы – абсолютно все – боятся простых и безопасных коммуникационных инструментов», – говорит Джейкоб Эпплбаум.
Асимметричное шифрование – самое надежное и простое решение, но можно сделать и еще кое-что. Достаточно выполнить несколько несложных шагов, чтобы значительно повысить уровень защищенности email-коммуникаций.
Шаг 1. Шифрование
Pretty Good Privacy (PGP) – программа, позволяющая превращать содержание писем в бессмыслицу для всех, кроме отправителя и получателя. Подходит для некоторых весьма простых в использовании почтовых клиентов. Более подробно о ней можно почитать тут.
Шаг 2. Не стоит пользоваться американскими почтовиками
При выборе почтового сервиса стоит учитывать и географический фактор, но не стоит всецело на него полагаться. Например, в Германии и Швейцарии законы, защищающие частную жизнь граждан, более эффективны, чем в США или Великобритании. Поэтому безопаснее использовать почтовые клиенты других стран, например, корейский Naver.
Шаг 3. Не следует доверять почтовому провайдеру
Отказ от американских почтовых сервисов – это хорошее начало, но в идеале следует использовать почтовые провайдеры с нулевым разглашением информации. Нулевое разглашение означает, что сервер не имеет доступа к исходному тексту данных. Более подробная информация об этом представлена здесь.
Шаг 4. Почта на своем сервере (это не так уж сложно)
Запустить свой собственный почтовый сервер не так трудно, как кажется. Таким образом, можно снизить риск взлома email-аккаунта. Это значит, что сам пользователь будет администрировать свой почтовый ящик, и если кому-то понадобится получить его содержимое, то им придется создавать бэкдор для этого конкретного сервера. Вероятность того, что кому-то понадобитесь именно вы, не особенно велика.
В заключение, несколько решений для повышения уровня защищенности электронной почты:
Адрес электронной почты — не для всех. Как спрятать свой email и что делать, если он попал в базы хакеров
Многие люди смело оставляют адрес своей электронной почты на разных сайтах — и очень зря. Даже такие безобидные данные могут превратить жизнь пользователей в ад. Поэтому в Сети есть свои правила, как спрятать свой email и не облажаться.
Почему адрес электронной почты лучше не показывать всем подряд?
Любой человек рано или поздно сталкивается с необходимостью оставить где-то свой email. Его нужно вводить в любых онлайн-играх, при покупках в интернет-магазине или при регистрации на форумах. Да и в реальной жизни для получения скидочной карты просят вписать номер телефона и адрес почты в анкету.
Некоторые пользователи не заморачиваются с этим и даже указывают свою почту в социальных сетях, выставляя её на всеобщее обозрение. Но делать так не стоит. В XXI веке в Сети продаются и покупаются личные данные людей, и среди них не только паспортная и банковская информация.
За адресом вашего почтового ящика охотятся рекламщики всех мастей. Ни для кого не секрет, что крупные сайты и магазины торгуют телефонами и адресами своих клиентов (а вы думали, откуда спамеры знают ваш номер?). В 2016 году стало известно, что платформа Change.org продаёт электронные адреса всех, кто подписывает петиции на этом сайте. Расценки — около евро за каждый адрес.
Хакеры часто взламывают почтовые сервера крупных интернет-провайдеров и продают целые базы адресов и паролей пользователей. Украденная информация впоследствии гуляет по интернету, становясь отправной точкой для незаконных действий.
Даже без пароля ваш email — находка для спамеров, злоумышленников и троллей. Так, один правый активист ругал сериал про темнокожих и случайно показал свой электронный адрес: беднягу завалили тысячами писем, записали к врачам, парикмахерам и на маникюр. А ещё базы с адресами электронной почты всегда можно свести со слитыми данными с других сайтов.
В безопасности ли ваш почтовый ящик?
Проверить, не были ли когда-то проданы или украдены данные о вашей электронной почте, можно на специальных сервисах. Одна из организаций, занимающихся сбором информации, которой торгуют хакеры со всего мира, — Институт технологий программных систем Хассо Платнера в Потсдаме (Германия).
База данных, собранная университетом, содержит больше 10 миллиардов адресов (для сравнения: в 2015 году их было меньше 200 миллионов). В результате утечек разного рода в руках злоумышленников оказывается больше миллиона чужих аккаунтов в день.
Чтобы проверить, не попали ли ваши данные в хакерские базы, достаточно перейти на страницу Института и ввести свой электронный адрес. Ответ придёт вам на почту: в нём будет таблица, показывающая, в каких утечках данных и когда засветились ваши данные.
Так, автору материала пришло письмо о том, что за его данными не уследили ЗОЖ-приложение MyFitnessPal, сайт для поиска предков MyHeritage, соцсети Tumblr и VK. Причём из последней хакеры получили ещё ФИО и телефон.
Кроме того, Институт Хассо Платнера обещает выслать новое письмо с предупреждением, если в будущем в интернете появится информация о взломе аккаунта.
В 2019 году эксперт по интернет-безопасности Трой Хант сообщил о самой крупной утечке личной информации в мировой истории. Тогда в сеть попали почти 800 миллионов почтовых адресов и 22 миллиона паролей. Украденную информацию называли кодовым словом «Коллекция № 1» — возможно, это намёк на существование второй и даже третьей коллекции.
Хант создал свой сервис Have I Been Pwned, на котором люди могут проверить, не попали ли они в «Коллекцию № 1». На нём также можно вбить свой адрес и оформить рассылку для новых уведомлений об утечках.
Что делать, если ваш адрес попал в хакерскую базу?
Базы данных Троя Ханта и Института Хассо Платнера в основном собирались по известным утечкам. Соответствующие сервисы скорее всего уведомляли вас о проблеме и предлагали заменить пароль. Если вы такого не припоминаете, обязательно поменяйте пароли на сайтах из этих списков.
Часто на обнаружение подобных инцидентов требуется много времени, поэтому стоит подстраховаться и всегда выполнять следующие правила.
1. Периодически менять пароли
Некоторые сайты сами предлагают пользователю вовремя менять устаревший пароль. По мнению экспертов, этим нужно заниматься примерно раз в три месяца — если речь идёт об обычных соцсетях и приложениях.
Но для электронной почты и других важных сервисов оптимальная частота смены пароля — около месяца.
2. Не использовать один и тот же пароль для разных платформ и сервисов.
Бюджеты на информационную безопасность у компаний разного размера очевидно различаются. Например, магазин по продаже одежды явно тратит на защиту от хакеров куда меньше средств, чем Gmail.
Но если вы всюду используете одинаковые пароли, хакеры, зная ваш электронный адрес, легко получат доступ к вашей почте и всему, что к ней привязано, украв данные у компании поменьше.
3. Пароль должен быть сложным
Звучит очевидно, но некоторые люди до сих пор используют в качестве пароля слова и даты. Для наглядности: если ваш адрес почты уже знаком взломщикам, на подбор пароля из букв и цифр у них уйдёт несколько месяцев, а на пароль из слов — несколько дней.
К счастью, в наши дни многие крупные компании сами напоминают пользователям о том, что пароль должен быть надёжным.
А ещё важно помнить, что многие угрозы, связанные с утечкой данных, можно предотвратить. Для этого нужно перестать размещать свой электронный адрес в общем доступе, а на сайтах использовать анонимные и изменённые адреса.
Как спрятать свою почту?
Многие почтовые службы предлагают своим клиентам услуги, позволяющие не использовать свой электронный адрес на подозрительных сайтах — но и не создавать новую почту только ради регистрации. Речь идёт о запасных и временных адресах. Такой способ не сработает с солидными сайтами, но подойдёт для форумов и интернет-магазинов.
Gmail
Gmail позволяет заменять и сокращать адреса: в результате у вас получается целый ряд псевдонимов для одного и того же почтового ящика.
Это позволяет регистрировать с одного email несколько аккаунтов и помогает бороться со спамерами: рекламная рассылка будет приходить с указанием изменённого адреса, и её можно будет фильтровать и блокировать.
Изменять свой email можно по трём правилам:
1. Для любого ящика можно использовать два домена – gmail и googlemail
Если ваш адрес — medialeaks@gmail.com, на сайтах можно использовать medialeaks@googlemail.com.
2. До @ можно добавлять в адрес точку или точки
Так, можно сделать новый адрес — media.leaks@googlemail.com. Или media.leak.s@googlemail.com. На каждый из них можно регистрировать новую учётную запись, а почтовый ящик останется один и тот же.
3. До @ можно добавлять слова со знаком +
Например, из medialeaks@gmail.com можно сделать medialeaks+love@gmail.com. Выглядит совсем по-другому, но письма будут приходить всё на тот же ящик.
Mail.ru
У самой популярной русскоязычной почтовой службы Mail.ru тоже есть опция, скрывающая основной email. Если не хочется светить свой адрес на форумах, в играх и магазинах, можно зайти в настройки аккаунта и увидеть вкладку «Анонимайзер».
Почта Mail.Ru сама предложит временный адрес и заведёт одноимённую папку. Именно туда, а не в общую папку «Входящие» будут поступать письма с сайтов, где вы используете анонимный адрес. Если форум, на котором вы зарегистрировались, сольёт свою базу, ваш основной аккаунт не пострадает. А временный адрес удаляется буквально в два клика.
Впрочем, можно обойтись и вовсе без адресов, связанных с вашим основным почтовым ящиком. Для этого нужно воспользоваться одноразовыми почтовыми адресами.
Как получить одноразовые почтовые адреса?
Для тех, кто не хочет создавать запасные адреса для своей почты, существует множество служб и приложений, которые позволяют создать одноразовый электронный адрес. Выглядит это почти как общественная электронная почта — и относиться к ней нужно соответственно, не используя ни для чего важного.
MailDrop
Служба Maildrop предоставляет пользователям возможность создать временный адрес электронной почты. Этот адрес можно использовать для регистрации на сайтах и в приложениях, а письма, которые на него придут, можно посмотреть открыто, без пароля, на сайте maildrop.cc.
Кроме того, Maildrop создаёт к нему алиас, адрес-псевдоним. Сообщения, пришедшие на него, можно будет увидеть в том же ящике, но другие люди не смогут просмотреть их, не зная первый адрес.
Например, создав адрес leaks@maildrop.cc, мы получаем алиас D-30wfut@maildrop.cc. Именно его нужно указывать на сайтах: письма придут на первый адрес, но никто, кроме создателя, не будет знать его и не сможет их просмотреть.
Mailinator
Как и предыдущая служба, Mailinator позволяет создать учётную запись, не защищённую паролем. Вы всегда можете указать адрес с этого сервиса на форумах и сразу же просмотреть письмо о регистрации. В течение нескольких часов все электронные письма удаляются из системы, но адрес остаётся неизменным.
Есть и совсем простые опции: 10minutemail и 20minutemail — почта на 10 и на 20 минут. Оба сайта создают для вас почтовый ящик с автоматически сгенерированным адресом. Срок действия первого истечёт через 10 минут, а второго — через 20.
Кроме того, существуют расширения браузера, помогающие создать одноразовый адрес электронной почты: например, TrashMail для Mozilla Firefox и Crazymailing для Google Chrome.
Кстати, если вы заботитесь о сохранности своих личных данных, важно обращать внимание и на то, кому вы пишете. Недавно люди увидели почтовый ящик с триллионом писем и поняли, что писали не на тестовый адрес, а существующему человеку. И их информация теперь в его руках.
А один парень с «Пикабу» недавно рассказал о самом глупом лайфхаке, позволяющем взломать чужую электронную почту. Его знакомая сама отдала ему пароль — и на её ошибке нужно учиться всем.
Просто о безопасности почты
У этого поста две цели. Первая: слегка приоткрыть завесу над правилами игры, которых придерживается крупная почтовая служба в вопросах безопасности. Мы хотим, чтобы меры, которые мы принимаем для защиты пользователей, стали понятней сообществу. Пост написан на основе опыта Почты Mail.Ru, но рекомендации универсальны и применимы к любому почтовому сервису.
Вторая цель — рассказать о том, как защитить ящик. Мы пройдемся по базовым моментам и напомним те пункты в «плане безопасности», о которых редко задумываются. Может быть, сведения из этой статьи пригодятся вам, а возможно — вашему беспечному другу, родителям или коллеге. Возможно, нам даже удастся сделать так, чтобы звонков «У меня, кажется, ящик взломали, ты же программист, сделай что-нибудь. 11» стало чуть меньше.
В любом случае, если по прочтении кто-то сделает пару изменений в настройках своего ящика электронной почты — это и будет лучшим результатом, на который могут рассчитывать авторы. А если вы все это уже знаете, то мы можем только порадоваться.
Мы расскажем о том, как взламывают ящики, кому и зачем это может понадобиться, и опишем, как предотвратить взлом (а также что делать и куды бечь, если все плохое уже случилось).
Зачем взламывают электронную почту
Почему именно ваш почтовый ящик может представлять для кого-то ценность? Очень часто пользователи пренебрегают элементарными мерами предосторожности просто потому, что не могут ответить на этот вопрос. Разумеется, обычно конечная цель взлома — получить какую-либо финансовую прибыль. Но от кого взломщик может получить деньги? Существует несколько вариантов развития событий.
Учетные записи могут быть перепроданы оптом
Чаще всего скупкой почтовых ящиков в больших объемах занимаются спамеры. Взломанные ящики используют для массовых рассылок сообщений вроде «Элитные копии швейцарских часов». Большинство взломов совершается именно с этой целью.
Деньги можно извлечь из самого ящика.
Даже если основной целью взломщика является перепродажа ящика, сразу после получения доступа он все равно просматривает содержащуюся в ящике информацию на предмет чего-то более-менее ценного. Это могут быть, например, учетные записи соцсетей, хостингов, банков, электронных денег, игровые аккаунты. Если в ящике нет данных о самих паролях, атакующий может запросить восстановление пароля на ящик. Также атакующий обязательно проверит, не подходит ли ваш почтовый пароль к учетным записям на других ресурсах.
…или получить от владельца аккаунта
Вы можете стать жертвой шантажа — вам предложат выкупить доступ к ящику или к вашей учетной записи в соцсети. Предметом шантажа может быть также личная информация (переписка, фото, сканы документов), которая содержится в ящике. Иногда для сбора денег владельцев взломанных аккаунтов используются сервисы приема платных sms. К сожалению, не все sms-агрегаторы достаточно щепетильны в этом вопросе.
… или от другого заинтересованного лица
Взлом может быть заказным. Доступ может понадобиться вашему конкуренту или бывшему партнеру, сотруднику, ревнивому супругу. Сразу заметим, что взломы по заказу составляют очень маленькую долю от общего объема.
Из этого можно сделать простой вывод — любой почтовый ящик имеет ценность для взломщика.
Как взламывают почту
В интернете можно найти объявления о взломе почтовых ящиков по заказу. Цены варьируются от десятка до нескольких сотен долларов. В большинстве случаев жертвой становится сам заказчик, которого обманывают тем или иным способом или шантажируют обещанием рассказать жертве о попытке взлома. Если все-таки дело доходит до взлома, то обычно в бой идет социальная инженерия и, реже, подбор пароля и секретного вопроса.
Но обычно взломы делаются массово и с использованием ботнетов. У атакующего нет цели взломать конкретный ящик; у него есть задача взломать как можно больше ящиков — например, имеющих определенный простой пароль. Ситуаций по-настоящему серьезного взлома, когда против жертвы использовались бы, например, 0-day-уязвимости безопасности в каком-либо браузере, нам пока не встречалось.
Ниже собраны основные методы получения доступа к чужому ящику и способы защиты от них.
Проблема #1: троянская программа на компьютере
Практически любой троянец среди прочей информации уводит и пароли от электронной почты. По различным данным, до 30% компьютеров ежегодно подвергаются заражению. Использование Linux, MacOS X, любых других операционных систем или различных телефонных и планшетных платформ не гарантирует отсутствия вредоносных программ.
Решение: используйте антивирусное ПО
При этом помните, что сначала появляется вредоносная программа, потом ею кто-то заражается, и только спустя некоторое время она попадает в антивирусные базы. Таким образом, антивирус не гарантирует 100% защиты. Однако это не означает, что антивирусными программами не надо пользоваться. Достаточно не мешать антивирусу регулярно обновлять базу, и большинство угроз он не пропустит.
Проблема #2: подбор пароля
Речь идет не только о коротких паролях или паролях из одних цифр. В интернете можно найти базы популярных паролей, куда входят практически все пароли, состоящие из идущих подряд на клавиатуре (qwerty) или легко чередующихся символов (1q2w3e). То же можно сказать и о паролях, состоящих из даты рождения в любом формате, даже если она дополнена каким-либо символом или инициалами. Разумеется, наиболее распространенные словарные пароли тоже известны – их подбирают буквально по словарю. Набор русского словарного слова в латинской раскладке — тоже не гарантия неуязвимости. Такие пароли тоже легко подбираются по словарю. Не забывайте, что если вы зарегистрированы в соцсетях, то вашу дату рождения или телефон может узнать практически любой желающий. Номер автомашины и данные различных документов тоже достаточно легко «пробиваются», если речь идет о заказном взломе.
Решение: избегайте простых паролей
К выбору пароля необходимо отнестись со всей серьезностью, от него зависит степень защищенности вашего ящика. Выберите достаточно длинный пароль, состоящий из больших и маленьких букв, цифр и символов. Чем больше пароль похож на случайную последовательность, тем лучше. Но русские слова в английской раскладке — это не то, что надо.
Сейчас модно использовать вместо пароля ключевую фразу из нескольких слов. Это неплохая практика, но избегайте известных крылатых выражений. Ключевая фраза не должна быть на слуху, лучше, если она будет уникальной, а еще лучше — бессмысленной.
Рекомендуем регулярно менять пароли. Это эффективно, потому что если вы где-то уже использовали «почтовый» пароль на другом сайте (чего мы делать категорически не советуем), и у незащищенного сайта утекла база, ваш почтовый аккаунт оказывается под угрозой.
Кроме того, это затруднит подбор (брутфорс) пароля в том случае, если на ящик идет целенаправленная атака, и поможет защититься от случайных утечек пароля — например, когда пароль использовался с чужого зараженного компьютера.
Смену паролей логично проводить в связи с такими жизненными событиями как развод, увольнение, потеря телефона или записной книжки, поимка и устранение троянца.
Однако частая смена паролей может приводить к их ослаблению: пользователь либо начинает выбирать легкие пароли, либо записывает их в легкодоступном месте, либо делает следующий пароль похожим на предыдущий. Не поддавайтесь соблазну и не ленитесь при выдумывании пароля — пароль к почте должен оставаться сложным.
Почта Mail.Ru, со своей стороны, реализует защиту паролей в виде антибрутфорса — многофакторной системы, которая отсеивает попытки автоматического входа в ящик.
Проблема #3: подбор ответа на секретный вопрос
Использование ответов на секретный вопрос — не очень хорошая, с точки зрения безопасности, практика. Но часто это единственный способ восстановить доступ к ящику для пользователя, который заходит в почту очень редко и не указал о себе какой-либо реальной информации. Поэтому мы и другие бесплатные почтовые службы не отказываются от этого.
Если ваше любимое блюдо — пельмени, любимая книга — «Гарри Поттер», фамилию бабушки можно узнать из списка родственников в соцсети, а имя любимого котика подписано в верхнем посте под его фотографией, вы находитесь буквально в полушаге от того, чтобы совершить большую ошибку.
Решение: избегайте простых ответов
Все, что было сказано о паролях, касается и ответов на секретные вопросы.
Единственное отличие секретного вопроса заключается в том, что вместе с ответом, как правило, запрашивается CAPTCHA (проверочный код, который надо распознать и ввести), и есть более строгое ограничение на число попыток ввода. Это несколько затрудняет брутфорс (подбор) машинными методами. В остальном ответ на секретный вопрос равнозначен паролю, и выбирать его стоит так же тщательно.
Проблема #4: социальная инженерия, фишинг
Социальная инженерия — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств, эксплуатирующая человеческий фактор. Одна из разновидностей социнженерии — фишинг. Типичный пример — заставить пользователя ввести пароль на чужом сайте, замаскированном под дизайн страницы авторизации, например:
Это не единственный вариант. Также достаточно часто мы сталкиваемся с социальной инженерией, направленной на то, чтобы «извлечь» из пользователя данные, необходимые для восстановления пароля или доступа к ящику. Например, паспортные данные пытаются запросить под видом получения выигрыша в лотерею. Ответ на секретный вопрос могут выпытать в обычной беседе в соцсетях («У тебя есть кот? Какой симпатяга! А как его зовут?»). Все объясняет классическая шутка с Баша:
Коннект: Слушай, мож мы родственники?
ALEXA: думаешь.
Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
ALEXA: *енко
Коннект: О, у тебя 8 новых писем )
ALEXA: в смысле.
Фишинг может быть направлен не только на получение доступа к учетной записи. Фишинговое письмо может сообщать о блокировке аккаунта и требовать отправки SMS на короткий номер, который, разумеется, окажется платным.
По утверждению самих фишеров, на атаки с помощью социальной инженерии клюет порядка 80% женщин и 60% мужчин.
Решение: не разговаривайте с незнакомцами
Будьте очень критичны к той информации, которую вам сообщают незнакомые люди, и еще более критичны к той информации, которую вы сообщаете им. Особенно если вас торопят.
Если нам стало известно, что ваш аккаунт взломали, он несанкционированно используется, и мы захотим вам об этом сообщить, мы не будем просить сотрудника какой-либо службы написать вам письмо. Мы сделаем примерно так:
Не переходите по ссылкам от незнакомцев, будьте внимательны к тому, от кого пришла ссылка и куда она вас привела. Не поленитесь посмотреть в адресную строку браузера, прежде чем вводить какие-либо данные. Неожиданные эффекты, такие как запрос логина/пароля при открытии письма от незнакомого отправителя, также должны насторожить.
Атаки проводятся не только на владельца ящика: сотрудники службы поддержки также постоянно находятся под прессингом. Атакующий пытается «восстановить» якобы утерянный доступ к чужому ящику. Иногда можно прочитать очень интересные и затейливые истории, достойные латиноамериканских сериалов, с описанием любовных многоугольников и детективных ситуаций, поясняющие, почему необходимо отдать автору пароль от чужого ящика.
У сотрудников поддержки есть строгие инструкции по восстановлению паролей, поэтому, если такая необходимость возникла, не старайтесь их разжалобить; лучше предоставьте как можно больше объективной информации, которая подтвердит, что именно вы являетесь владельцем ящика.
Проблема #5: взлом других сайтов
Это одна из самых серьезных проблем. Часто при регистрации на каком-либо форуме, торрент-трекеров или сайте пользователь указывает адрес электронной почты и пароль, идентичный паролю к почтовому ящику или мало отличающийся от него. Уровень защиты форумов и торрент-трекеров, как правило, невысок. Кроме того, многие из них строятся на одних и тех же популярных движках. При обнаружении какой-либо уязвимости безопасности в таком движке одновременно могут быть взломаны тысячи сайтов.
Решение: не используйте один пароль для нескольких аккаунтов
Это первое, что проверит злоумышленник. Например, при нашумевшем взломе LinkedIn пострадал ряд пользователей, использовавших тот же пароль на других сайтах. Поэтому для разных сайтов – разные пароли. Всегда. Если изобретать уникальный пароль для каждого сайта кажется вам невыполнимой миссией, придумайте отдельный хотя бы для почты — ведь она является «ключом» ко многим из ваших аккаунтов на различных сервисах.
Проблема #6: спорная ситуация вокруг аккаунта
Часто одним ящиком пользуются несколько человек. Иногда друзей просят проверить почту — например, если у самого пользователя в этот момент нет доступа к интернету.
Однако стоит помнить, что человек, который пользовался ящиком некоторое время, почти всегда может восстановить к нему доступ впоследствии. Если отношения испортятся, вокруг ящика может возникнуть спор.
Решение: не пользуйтесь чужим ящиком и никого не пускайте в свой!
По этой же причине избегайте покупать у кого-либо ящики с красивыми именами. Если возникает спор о принадлежности ящика, предпочтение отдается тому, кто его регистрировал. Именно поэтому почтовые сервисы просят регистрировать ящик на себя или на компанию, а не на родственников, не на сотрудников и не на персонажей комиксов.
Проблема #7: сниффинг
Сниффинг — это прослушивание сетевого трафика. Достаточно легко «сниффится» трафик, идущий по беспроводным сетям — как через Wi-Fi, так и через спутниковый канал. Когда вы подключаетесь к интернету по Wi-Fi, злоумышленник может через свой девайс прослушивать весь трафик, поскольку физически данные передаются посредством радиоволн.
Решение: используйте криптографию
Многие сервисы сейчас поддерживают протокол HTTPS, пользуйтесь этим. Например, авторизация и работа внутри Почты Mail.Ru всегда происходит по этому протоколу.
В почтовых программах обязательно включайте SSL/TLS при работе по протоколам SMTP, POP и IMAP. При этом в Почте Mail.Ru работа по протоколу IMAP возможна только по протоколу SSL/TLS. Обязательно реагируйте на все предупреждения о несоответствии сертификатов, особенно если пользуетесь беспроводной сетью или из незнакомого места — иначе вся криптография не имеет смысла.
Самым слабым звеном в безопасности любого массового сервиса, как правило, является пользователь. Но, разумеется, проблемы бывают и со стороны сервиса. Громкие взломы последних месяцев, когда в сеть попадали базы учетных записей крупнейших служб (вспомним тот же LinkedIn), об этом напоминают. Ни один сервис не избавлен от ошибок в программном обеспечении.
Меры, которые предпринимает почтовая служба или социальная сеть — это всегда баланс между функциональностью, комфортом и безопасностью. Можно запретить любые способы восстановления пароля: это будет безопасней, но тогда пользователь не сможет восстановить доступ к собственному ящику. Можно путем ограничений требовать очень стойких паролей — но в этом случае пользователи будут их забывать. Можно блокировать IP-адрес при первой попытке неудачного входа или восстановления пароля; это защитит от подбора паролей и секретных ответов, но абоненты провайдеров, применяющих динамические адреса или технологию NAT, не смогут войти в почту. Можно запретить все потенциально опасные HTML-теги в письмах при доступе через web-интерфейс, но это означает, что часть писем будет отображаться некорректно.
Поэтому мы используем компромиссные решения и комплексные алгоритмы, учитывающие совокупность факторов. Конечно же, мы не будем раскрывать детали реализации, поэтому и выдумали такую хитрую фразу. Все механизмы постоянно совершенствуются и это не отдельные изменения, а планомерный процесс. Например, опубликованная на Хабре статья, сравнивающая системы фильтрации HTML-тегов разных почтовых служб, на момент ее публикации уже была устаревшей — мы поменяли систему фильтрации буквально за день до выхода статьи и делали это уже неоднократно после ее выхода. Мы также проделали большую работу, чтобы HTTPS в Почте работал по умолчанию для всех пользователей.
Большое внимание мы уделяем и борьбе с автоматическим подбором паролей, реализуя и постоянно совершенствуя алгоритмы антибрутфорса.
У нас есть специальный департамент в службе поддержки, который ведет целенаправленную работу для обеспечения безопасности пользователей: ищет мошеннические и фишинговые сайты, сообщает о них хостинг-провайдерам и регистраторам доменов, информирует поисковые системы о поддельных ресурсах в результатах поиска и контекстной рекламе, борется с SMS-мошенниками, обменивается информацией с CERT-командами и антивирусными вендорами.
Разумеется, мы защищаем свою информационную систему не только снаружи, но и изнутри. Работа службы поддержки построена таким образом, что если кто-то из сотрудников захочет «помочь» восстановить доступ к чужому ящику, он ни при каких условиях не сможет этого сделать в одиночку. У нас нет «ядерного чемоданчика»: даже руководитель высокого ранга не сможет потерять ноутбук, с которого будут доступны персональные данные пользователя. Мы не держим пароли в открытом тексте, а храним их в виде соленых хэшей, из которых невозможно восстановить пароль.
Инструкция по применению на случай взлома: до и после
Подумайте о том, что вам, возможно, когда-нибудь понадобится восстановить ваш аккаунт, и потратьте немного времени на то, чтобы его обезопасить.
На данный момент самым эффективным является привязка мобильного телефона к ящику. Мы используем номера пользователей только для восстановления доступа к ящику и уведомления об изменении регистрационных данных, и не рассылаем на них рекламу ни в каком виде.
Чем быстрее вы узнаете о взломе — тем лучше. Мы отправим SMS в случае смены пароля или информации для его восстановления — это еще одна причина привязать телефон к почтовому ящику.
Если вы категорически не хотите вводить телефон, хотя бы убедитесь, что у вас в аккаунте есть актуальный секретный вопрос, и ответ на него действительно известен только вам.
Если вам стало известно о взломе — не паникуйте. Оцените возможные последствия. В первую очередь постарайтесь не допустить дальнейшего развития ситуации по негативному сценарию — такому, как взлом учетных записей, завязанных на этот ящик. При этом помните, что, пока взломщик сохраняет контроль над вашим ящиком, непродуманные действия могут причинить больше вреда, чем пользы. Например, при смене пароля в социальной сети уведомление об этом придет на взломанный ящик электронной почты, что может привести к взлому аккаунта в соцсети.
Ни в коем случае не поддавайтесь на шантаж, не шлите платных SMS (даже если написано, что они бесплатные), не переходите ни по каким ссылкам, не вступайте в переговоры со взломщиком. Любые переговоры не гарантируют восстановления доступа к ящику, и тем более не гарантируют того, что взлом не будет проведен повторно. А тот, кто заплатил один раз, может заплатить второй. Не становитесь дойной коровой для шантажиста!
Проверьте компьютер на вирусы, потому что пока он заражен вредоносной программой, нет никакого смысла восстанавливать доступ и менять пароль.
Попробуйте восстановить доступ к ящику
Если к ящику был привязан номер телефона, то, скорее всего, это не составит труда. Обычно взломщики не рискуют удалять привязанные телефоны, т.к. сообщение об этом приходит владельцу ящика. Кстати, в Почте Mail.Ru номер телефона невозможно удалить мгновенно без ввода подтверждающего кода из SMS.
Восстановить доступ можно также по секретному вопросу или на дополнительный ящик электронной почты, если они указаны.
Обратитесь в службу поддержки
Если телефон вы все-таки так и не привязали, а ответ на секретный вопрос внезапно улетучился из вашей памяти, обратитесь в службу поддержки. При обращении в службу поддержки обычно требуется заполнить анкету, которая должна подтвердить принадлежность ящика. Имейте в виду, что любая служба поддержки находится под постоянным прессингом атак социальной инженерии, поэтому вам придется доказывать, что именно вы являетесь владельцем ящика. Но вы почти наверняка восстановите доступ в течение нескольких минут, если сообщите как можно больше сведений, которые никто другой знать не может.
После бала
Как только вам удалось восстановить пароль и получить доступ к аккаунту, первым делом поменяйте регистрационную информацию, в первую очередь пароль, который пришел вам от службы поддержки. Измените секретный вопрос и ответ на него. И, наконец, привяжите телефон, если не был привязан.
