Проблема корпоративного веб-мейла

Погуглить и отыскать адрес веб-почты - первое, к чему прибегают хакеры, пытаясь взломать компьютерную систему определенной компании. Во многих случаях такой поиск может привести к дверям хранилища важной информации и документов. И, подобрав нужную отмычку - во многих случаях это всего лишь имя пользователя и пароль - взломщик способен нанести существенный ущерб информационной безопасности организации.

Такая ситуация произошла, например, с изданием Forbes. Атака сирийских хакеров, произошедшая в прошлом месяце, началась с инфильтрации системы веб-мейл. Мошенникам удалось получить доступ к интерфейсу Microsoft Outlook компании и ввести в заблуждение ее сотрудников. Те, получив на почту фишинговое письмо и кликнув на ссылку, ввели учетные данные на поддельной странице веб-почты Forbes. «Имэйл - это путь, ведущий ко всем остальным аккаунтам», -  считает Трой Хант (Troy Hunt), аналитик Microsoft из Австралии, создавший сайт «HaveIBeenPwned?», который, как можно догадаться по названию, информирует об информационных утечках. Хант решил создать этот сайт после того, как три из его адресов оказались в списке миллионов других взломанных имэйлов после атаки на систему компании Adobe.  «Как только они добираются до вашей почты, она может предоставить им доступ ко всем прочим учетным записям, связанным с имэйлом», - предупреждает Хант. В случае с Forbes злоумышленники использовали имэйл-адреса для доступа к платформе онлайн-публикации, позволившей им публиковать контент и просматривать базу данных более миллиона пользователей, используя права администратора одного из сотрудников.

Хакеры, взломавшие Forbes, знали, как выглядела страница веб-мейла, поскольку ее можно было без особых усилий найти в сети. URL-адрес издания был незамысловат и по степени сложности напоминал такой вот электронный адрес: имя.фамилия@gmail.com. Во многих новостных агентствах используются похожие URL-адреса входа в систему. Заменив в адресе название компании на другое, можно с помощью  поисковика получить доступ к страницам веб-служб электронной почты других агентств. Безопаснее, конечно, использовать сложное и не столь очевидное название браузерной почты, однако и такой меры предосторожности будет недостаточно, если страница веб-мейла индексируется в Google.

«Система веб-мейл с ее повсеместной доступностью - это палка о двух концах», - сообщили недавно сотрудники компании Symantec в своем блоге, объясняя это тем, что цена, которую приходится платить за возможность универсального доступа, - это значительное расширение зоны, с которой могут осуществляться хакерские атаки. Symantec советует компаниям скрывать страницу веб-мейла от поисковых роботов, выбирая для этого нужные настройки в файле robots.txt корневых серверов. Таким образом, поисковые системы - Google, Yahoo и Bing - не будут выдавать адрес веб-мейла в результатах поиска.

Специалисты из Symantec советуют «избегать типичных и легко угадываемых URL», и разрешать пользоваться веб-почтой лишь тем сотрудникам, которым это действительно необходимо. Но наибольшее значение для безопасности, по мнению аналитиков Symantec, имеет двухфакторная идентификация. Она предусматривает, что помимо логина и пароля, пользователям придется вводить код, отправляемый на телефон.

Конечно же, это средство, как, впрочем, и все остальные меры безопасности, не является для хакеров совсем уж непреодолимым препятствием. Бывали случаи, когда людей убеждали передавать свой «второй фактор». «Большинство специалистов придерживается мнения о том, что наиболее уязвимым элементом для безопасности является человеческий фактор, - говорит создатель сайта «HaveIBeenPwned?». - Речь не идет о том, чтобы добиться абсолютной безопасности. Такая ситуация сравнима с безопасностью транспорта. Некоторые автомобили более защищены, чем другие. Но если врезаться на скорости 160 км/ч в кирпичную стену, не спасут никакие подушки».

«Многие утечки данных возникают вследствие беспечности пользователей, - считает аналитик Microsoft. - Но важно понимать, что если нет насущной необходимости, то и хранить важные данные в сети не нужно».