Security Tips. Безопасная работа с почтой (Email)

Что хакеры чаще всего используют для атаки на пользователей? Почту (Email)! Несмотря на то, что уже 2018 год, email до сих пор остается самым популярным инструментом для кибератак и распространения вредоносного ПО. Такая статистика сохраняется уже более 20 лет и нет предпосылок для ее изменения. Более того, в 2017 году процент spam-трафика в среднем составил более 60% от общего email-трафика. Именно поэтому защите почты уделяется столько внимания при проектировании защищенной корпоративной сети.

Для защиты почты традиционно используются такие решения, как анти-спам и почтовый антивирус. Есть и более современные решения, например песочница Check Point SandBlast, которая позволяет осуществлять более глубокий анализ содержимого почты и очищать вложения от вирусного кода. Но это уже специализированные средства защиты. Что же делать обычным пользователям или компаниям, в которых отсутствует бюджет на установку средств защиты? Неужели они обречены? Конечно нет. Соблюдая некоторые правила хорошего тона, можно обезопасить себя даже без специализированных средств защиты. Прежде чем обсуждать эти правила, давайте разберемся, какие опасности может в себе нести письмо от злоумышленника. Как правило, это три основных риска:

1. Передача злоумышленнику конфиденциальных данных;
2. Переход по вредоносной ссылке;
3. Получить вредоносное вложение.

Теперь рассмотрим каждый вариант чуть подробнее.

Классический пример — хакер представляется сотрудником банка и под различными предлогами получает от вас реквизиты карты, которые позволяют ему снять ваши деньги. Для этого он подменяет почтовый домен, чтобы он был похож на оригинальный (пример для домена sberbank: sberbenk, sberbauk и т.д.) и использует подпись, вызывающую ваше доверие (например представляется директором филиала с указанием своей почты, номер телефона, логотип). Т.е. используются классические методы фишинга.

О том, что такое фишинг и как от него защищаться мы поговорим более детально в следующей статье. Если же коротко — нужно быть внимательным. Тщательно проверяйте доменное имя почтового ящика и ни в коем случае не передавайте по почте конфиденциальные данные (пароли, ip-адреса, номера счетов), даже если об этом просит доверенное лицо.

Здесь тоже все довольно просто. Хакер либо кем-то притворяется и пытается направить вас на нужный ему ресурс (например поддельный личный кабинет онлайн-банка), либо размещает предположительно интересную для вас информацию (пример: "Самые большие зарплаты IT-специалистов по ссылке"). Т.е. здесь уже включаются и фишинг и социальная инженерия. Чем опасен переход по вредоносной ссылке?

1. Вы можете попасть на фишинговый сайт и ввести учетные данные, которые будут украдены. Очень часто таким образом крадут учетные записи социальных сетей и онлайн банкинга. Частично спасает двухфакторная аутентификация, где вторым фактором является SMS. Однако и это не панацея, SMS могут быть перехвачены вирусным ПО на вашем смартфоне.
2. Попав на зараженный сайт может быть использована одна из уязвимостей вашего браузера. В результате, хакер может получить полный контроль над вашим PC. Кроме того, с сайта может быть скачан вирусный файл под видом легитимного файла (пример: отчет за май, пример заявления, таблица зарплат и т.д.).

Как быть? Можно проверить ссылку до нажатия на нее! Для этого есть несколько бесплатных онлайн ресурсов. Яркий представитель — VirusTotal. На данном сайте чаще всего проверяют файлы на предмет вирусности. Файлы проверяются различными антивирусами и выдают заключение о его безвредности. Но и здесь же можно проверить URL-ссылку:

В результате будет что-то в этом роде:

Безусловно есть и другие сайты для подобной проверки (www.urlvoid.com, www.phishtank.com, UnShorten.it) и даже расширения для браузера (Dr.Web Anti-Virus Link Checker). Но, как правило, VirusTotal более чем достаточно. Всегда проверяйте ссылки при малейшем подозрении на фишинг!

Вложения в спам-сообщениях уже давно обычное дело. Docx, pdf, excel, zip, rar, pptx и т.д. Но, как я уже писал выше, бывают случаи когда довольно трудно распознать спам. Особенно если хакер использует элементы социальной инженерии и отправляет письма с уже взломанного корпоративного ящика вашего начальника. Здесь уже отличить спам/фишинг от легитимного письма довольно трудно. Без специализированных средств защиты подобная задача сводится к интуиции. Однако, если есть хоть малейшее подозрение в безопасности вложенного файла не спешите его открывать!

1. Вложение можно проверить даже без скачивания. Поможет в этом все тот же VirusTotal. Мало кто знает, но данный сервис позволяет проверять вложения в письмах. Для этого достаточно переслать письмо на адрес scan@virustotal.com. Через некоторое время, после проверки вы получите ответ

2. Как вы понимаете, этот способ также не гарантирует 100% защиты, особенно если злоумышленник использовал 0-day вирус, который пока не детектится антивирусами. Для еще большей безопасности можно выгрузить файл вложения в облачное хранилище типа google drive или yandex диск и открыть его встроенным просмотрщиком файлов:

В данном случае мы не открываем файл на своем компьютере, что исключает возможность его заражения.

Мы рассмотрели несколько хитростей при работе с почтой, которые позволят вам повысить безопасность компьютера без использования специализированных средств. Также хотелось бы добавить, что категорически запрещается использовать корпоративную почту для регистрации в различных соц. сетях, торрент трекерах и т. д. Подобные ресурсы регулярно взламываются. Результат — в сеть утекают данные пользователей, в том числе email-адреса, которые впоследствии используются в фишинговых атаках. Ситуация усугубляется, если пользователь использовал не только корпоративную почту, но и корпоративный пароль (довольно частая практика). Здесь уже без специализированных средств защиты не обойтись. К примеру, Check Point Sandblast Agent позволяет перехватывать попытки использования корпоративного пароля на сторонних ресурсах.

Если вы являетесь ответственным за Информационную безопасность в вашей организации, то вы обязаны оповестить своих пользователей о существующих угрозах и проводить регулярное обучение персонала. Простейшие ИБ тренинги пользователей повышают защищенность сети в несколько раз. Не пренебрегайте этим!

Безусловно, что для полноценной защиты всех этих мер недостаточно! Для тех, кто озабочен комплексной защитой корпоративной сети, рекомендуем обратить свое внимание на UTM-решения (Check Point, Fortinet), в том числе на использование их десктопных агентов. Пример можно посмотреть здесь.

Тестирование на проникновение

Экспресс-тесты безопасности

Защита от шифровальщиков