Почему госслужащему стоит быть бдительным, работая с бесплатной почтой

Если вы следите за новостями, то конечно слышали: на минувшей неделе объявлено о крупнейшем в истории интернета похищении данных. Неизвестные украли у Yahoo! сведения о миллиарде аккаунтов! Формально нас это не касается: вряд ли сегодня найдётся много украинцев, пользующихся сервисами этой американской компании. Но у случившегося есть изнанка, которую безусловно стоит рассмотреть, даже если с Yahoo! у вас нет и не было никаких дел.

 Потому что и на нашем рынке много компаний, подобных Yahoo!, а закон предполагает ответственность за разглашение государственной тайны даже по неосторожности…

Так что же случилось? Оказывается ещё три года назад некие взломщики, пробравшись на серверы Y., смогли унести оттуда информацию о значительной части её пользователей: имена, телефоны, адреса проживания, ответы на секретные вопросы (помните, с помощью которых модно было страховать от забытого пароля: назовите имя своей кошки и новый пароль вышлют в письме), адреса электронной почты и, конечно, пароли. Пароли, правда, хранились в зашифрованном виде, но применялся устаревший алгоритм шифрования, поэтому разумно исходить из того, что взломщики, либо те, кому они продали украденное, смогли шифр снять.

Миллиард аккаунтов — это ещё не миллиард человек. Наверняка многие пользователи регистрировались не по одному разу, были среди них спамеры (разославшие рекламу и потом никогда в свой ящик больше не заходившие) и тому подобная публика. Но речь всё равно идёт о крупнейшем взломе всех времён и народов, в результате которого потенциально пострадавшими оказались сотни миллионов. Ведь Yahoo! — пионер интернета, она начинала в середине 90-х и ей по сей день принадлежит огромный веб-сайт, входящий в пятёрку самых посещаемых сайтов вообще. 

Так что шум, поднявшийся после объявления, логичен: компанию ругают за то, что оказалась совершенно беззащитной перед взломщиками, за то, что три года не могла об этом узнать или решиться поставить в известность общественность, и делает это только теперь, когда украденное уже продаётся на чёрном рынке. 

Но есть в этом потоке эмоций и рациональное зерно, которое будет полезно рассмотреть нам. Его можно свести к нескольким конкретным советам — и запомнить их, повторюсь, стоит, даже если услугами самой Yahoo! вы не пользовались. Однажды эти советы могут сослужить вам добрую службу, защитив от утечки служебных данных. Итак…

1

Знайте, что никакая компания или организация не бывает слишком большой, чтобы стать жертвой кибернападения. У американцев в ходу поговорка: too big to fail — слишком большой, чтобы провалиться. В ней выражена наивная вера в то, что чем крупнее предприятие, тем лучше оно защищено от трагических случайностей. И к интернет-сервисам это тоже относится. Yahoo! — наглядное подтверждение.

Что ж, в России Yahoo! непопулярна, но достоверно известно, что среди российских госслужащих (украинских кстати тоже – прим. УК) больше чем трое из четырёх по работе пользуются бесплатной электронной почтой от других частных компаний: Mail.ru, Яндекс, Рамблер и им подобных. Так вот не обольщайтесь: ни тот факт, что это отечественные компании, ни тот факт, что они огромные, не делает их более защищёнными. 

Работая с почтой от любого стороннего оператора, ведите себя как профессионал: надейтесь на лучшее, но готовьтесь к худшему. Иначе говоря, будьте готовы, что однажды базу данных, с записями в том числе вашего аккаунта, могут умыкнуть и продать, и виноваты будете именно вы (потому что доверили служебные сведения этой компании). Этот шаг психологически самый сложный, но сделав его, вы облегчите себе последующие.

Не копите старые письма. Да, «почтовики» давно уже фактически не ограничивают размер электронного почтового ящика, что позволяет собирать корреспонденцию чуть ли не за десятилетия. И это в самом деле удобно: можно моментально отыскать что-то в переписке прошлых лет.

Но взгляните на ситуацию и глазами злоумышленника, который подобрал к вашему ящику ключ. Он узнает с кем и о чём вы когда-либо общались, узнает, какими другими сервисами вы пользуетесь (ведь они обычно «привязаны» к почтовому ящику), вероятно, попытается перехватить управление ими, затребовав на почту новый пароль или даже применив пароль от вашего ящика. Поэтому, если уж у вас скопился архив за много лет, то:

Никогда не используйте один пароль для нескольких сервисов! Увы, хоть правила цифровой гигиены гласят, что пароль должен быть качественным и всегда уникальным, слишком многие простые пользователи этим пренебрегают. И это сходит им с рук — до поры до времени, пока не случается такая вот крупномасштабная утечка. После чего, чтобы обезопасить себя, необходимы дополнительные усилия.

Снимите розовые очки, если вы знаете, что в сайтах или программах вашего почтового оператора находили уязвимости, а тем более, если у него была украдена даже часть конфиденциальных сведений. Исходите из предположения, что ваш пароль не просто похищен и расшифрован, но и уже использован против вас. То есть злоумышленники заходили в ваш почтовый ящик, читали вашу переписку и наверняка попытались как-то полученные знания применить. 

Обычно компьютерные взломщики преследуют собственную выгоду. Например они могли отыскать в письмах сведения о ваших банковских картах — и применить их для покупок или снятия денег. Могли представиться вами вашим друзьям/коллегам и попросить дать денег в долг («Лена, займи тысячу до получки, переведи на телефон!»).

Вариантов на самом деле тысячи и важно понимать, что для чтения вашей почты преступникам не обязательно даже заходить в ваш ящик каждый день (тем более, что «почтовики» научились предупреждать пользователей о визитах с подозрительных адресов): они могли настроить автоматическую пересылку почты на свой адрес. Поэтому проверьте настройки почтового ящика и смените пароль. А лучше:

Настройте двухфакторную авторизацию. Подобная опция сегодня есть почти у каждого большого «почтовика». Идея очень простая: идентифицировать пользователя с помощью по крайней мере ещё одного устройства, которое ему принадлежит, помимо компьютера. То есть, например, заставить присылать вам на телефон одноразовый код, который и послужит для доступа к ящику. 

Это резко усложняет задачу несанкционированного доступа. Ведь злоумышленнику теперь недостаточно украсть пароль, ему придётся украсть ваш телефон или хотя бы кратковременно получить его в руки. Впрочем, от последствий утечки других конфиденциальных сведений (имена, адреса и пр.) двухфакторная авторизация не излечивает. Поэтому:

Если случилась утечка, будьте бдительны! Как уже говорилось, получив некоторые данные о человеке, злоумышленники станут пытаться их использовать — в том числе методами социальной инженерии, втираясь в доверие. Они будут писать «официальные» письма и мгновенные сообщения/SMS якобы от имени вашего банка, работодателя, интернет-провайдера. Могут даже звонить, вам или от вас, используя имена и контакты, у вас же и полученные.

Поэтому с удвоенным вниманием относитесь к просьбам о смене пароля, предложениям пройти по ссылке, открыть документ, тем более скачать программу. Впрочем, имея дело с ценной информацией, бдительным лучше быть всегда. Не повредит.

Автор: Евгений Золотов, Госвопрос

You may also like...