Как снизить вероятность хакерской атаки в письмах

Tihon74
Оффлайн

Tihon74

Заблокирован
Регистрация
25.06.17
Сообщения
2.588
Реакции
71
Репутация
157
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
You must be registered for see images attach


Эксперт по кибербезопасности и создатель компании Errata Security Роберт Грэм опубликовал в издании The Conversation материал о том, как отказ от HTML-писем и переход на plain-text сообщения электронной почты поможет снизить вероятность хакерских атак.


В чем проблема

По мнению Грэма, современные почтовые системы спроектированы таким образом, что пользоваться ими очень удобно, но в них недостаточно внимания уделяется безопасности. Клиенты вроде Gmail, Yahoo или Outlook отображают красивые адаптивные письма с множеством интерактивных элементов, на которые так и хочется кликнуть.

Для работы с email все чаще используют браузер, а это небезопасный по своей природе инструмент. Он отображает на одной странице контент, который может быть загружен из разных источников — текст с одного сервера, реклама — с другого, видео — с третьего, а есть еще кнопки соцсетей и всевозможные «следящие пиксели». И пользователь даже заранее не может понять, куда он попадет, если кликнет на один из этих элементов.

Человек за компьютером не может предсказать последствия своих действий и понять, насколько они безопасны. Этим активно пользуются хакеры — по статистике, в 2016 - 2017 годах более 15% всех пользователей email стали жертвами фишинговых атак, в ходе которых им рассылали письма с вредоносными ссылками и вложениями.

Более того, многие почтовые клиенты и веб-версии email-сервисов по умолчанию подсвечивают ссылки и делают их активными — таким образом пользователя можно обмануть, просто создав вредоносный сайт с названием, которое похоже на официальное (например, sbebrank.ru).

При открытии загруженного файла или клике по такой ссылке компьютер пользователя может быть заражен вирусом — часто это приводит к неприятным последствиям от блокировки компьютера и требований выкупа, до его подключения к ботнету для совершения DDoS-атак.



Типичное фишинговое email-сообщение: пользователю сообщают, что он выиграл в лотерею билет на чемпионат мира по футболу в России

Количество фишинговых сообщений постоянно растет

Атакуют не только частных пользователей, но и целые компании. Этим, в частности, занимается известная кибергруппировка Cobalt, участники которой нападали на финансовые организации. Часто для проникновения в сеть компании использовались как раз фишинговые письма:



Из всего этого Грэм делает вывод — проблема здесь не в низком уровне компьютерной грамотности пользователей, а в самом инструменте. А значит, нужно использовать более безопасную версию email.


Как защититься: при чем здесь plain-text

По словам Грэма, при текущей конфигурации email-сервисов, когда письма стали, по сути, мини-сайтами с множеством мультимедийных и интерактивных элементов, единственный шанс для пользователя обезопасить себя — это получение навыков в верстке HTML, изучении принципов действия JavaScript и так далее.

Освоить такой объём знаний просто для того, чтобы вести email-переписку, мало кто готов. А значит, нужно просто вернуть email в то состояние, когда он был полностью безопасным — тогда любое письмо представляло из себя просто текст.

Эту позицию разделяют, к примеру, американские власти — госучреждениям в США рекомендовано «отключить HTML-версии писем и ссылки, все содержание email должно быть представлено в формате plain-text — это поможет снизить вероятность фишинговых атак с помощью вредоносных ссылок или исполняемого кода».

По словам Грэма, риск подобных атак на организации очень высок — по статистике, вероятность фишинговой атаки на компании с 70 и более сотрудниками превышает 50%. Каждый сотрудник — потенциальная брешь в безопасности, поэтому если с помощью plain-text писем затруднить для них возможность сделать необдуманный клик в подозрительном сообщении, это может повысить уровень защищенности бизнеса.


Почему это не сработает

Мы развиваем сервис email-маркетинга DashaMail, а до этого наша команда работала над проектом Pechkin-mail. Мы уделяли много внимания вопросам борьбы со спамом и повышению безопасности email-коммуникации. Наш опыт говорит о том, что несмотря на некоторые здравые мысли, подход Роберта Грэма на самом деле не поможет решить проблему фишинговых атак по множеству причин. Вот лишь некоторые из них:


Plain-text — это не всегда удобно

Многие гики, увлекающиеся безопасностью и недолюбливающие все, что связано с маркетингом, любят plain-text письма — чтобы это понять, достаточно почитать дискуссии на Хабре. Но при этом, для многих пользователей, да и самих компаний, удобство часто играет важную роль — первым не хочется совершать лишние движения, чтобы перейти по ссылке, вторым иногда необходимо использовать визуальные элементы, либо их в письмах используют контрагенты.

Если такие письма будут насильно конвертироваться в plain-text, могут возникать сложности в общении, что в конце концов может вести и к недополучению прибыли.


Хакеры все равно смогут обмануть пользователей

Злоумышленники всегда лучше разбираются в вопросах обмана и манипуляции, чем пользователи. И это значит, что простое отключение активных ссылок в письмах не позволит радикально повысить безопасность email.

Взломщики продумывают сложные атаки и, например, пишут сотрудникам банка письма от лица контрагентов, обслуживающих банкоматы, а обычным людям присылают поддельные уведомления о штрафах с портала Госусулуги. Надеяться на то, что такие мастера манипуляции не смогут убедить человека скопировать текст ссылки и вставить ее в браузер по меньшей мере наивно.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу