■ В сообщении есть ссылка (кнопка), которая ведет на сомнительный сайт (рис. 3.1). При наведении указателя мыши на ссылку видно, что адрес, на который она ведет, отличается от ее мнимого адреса, видимого при открытии письма.
Вовсе необязательно, что каждое спам-письмо содержит все перечисленные признаки. Достаточно одного, чтобы насторожиться. Хотя многие почтовые серверы (в том числе и бесплатные) имеют встроенные спам-фильтры и складывают подозрительные письма в специальные папки, такие как «Спам», некоторым сообщениям удается прорвать оборону и попасть на устройство пользователя (в папку «Входящие»).
Трекеры в электронных рассылках
Отправители электронных писем могут следить за тем, когда, кто и на каких устройствах их открывает. Это достигается с помощью различных инструментов для слежения, называемых трекерами, например трекинговыми пикселями, изображениями и прочими фрагментами контента, снабженными ссылками, при загрузке которых почтовый клиент отправляет запрос на связанный с трекером сервер.
Примечание. Трекинговый пиксель – крохотное изображение размером 1×1 пиксель, которое отправители встраивают в веб-страницы и сообщения электронной почты, чтобы собирать персональные данные посетителей или получателей писем. В последнем случае, когда письмо открывается пользователем, почтовый клиент обращается к этому изображению, передавая отправителю информацию о том, что письмо открыли, а также IP-адрес устройства получателя, время открытия письма и сведения о программе, в которой письмо было открыто. Таким образом маркетинговые компании собирают информацию об успешности их рекламных кампаний (встроенный в почтовые программы инструмент уведомления о прочтении неэффективен, так как пользователь сам должен дать согласие на отправку такого уведомления)
[137].
Этот процесс в разумных пределах, со сбором минимальных, обезличенных данных оправдан: отправителю нужно знать, насколько успешна его кампания (рассылка) и прочитано ли письмо адресатом. Но в некоторых случаях как компании, так и злоумышленники могут злоупотреблять этой возможностью и собирать больше информации, чем требуется, а также передавать ее третьим лицам. Согласно исследованию
[138], проведенному в 2017 г., 70 % писем в рассылках содержат инструменты для слежки, при этом около 30 % писем из этого числа передают ваш адрес электронной почты сторонним трекерам, когда вы открываете такие письма. Что еще хуже, примерно в 80 % случаях эти данные передаются по протоколу HTTP, не шифрующему трафик, что увеличивает опасность утечки данных.
Кроме того, технологии слежки позволяют сопоставлять ваш адрес электронной почты в разных письмах, которые вы открываете, и даже на разных веб-сайтах, которые вы посещаете, создавая ваш невидимый онлайн-профиль. А если вы читаете электронную почту с разных устройств, то трекеры смогут связать ваш профиль с этими девайсами и дополнять его с помощью данных, хранящихся на них
[139].
Получая с помощью трекеров информацию о потенциальной жертве, злоумышленники могут усложнять технику атак, планируемых против нее. Например, узнав, что отправленное ими письмо открыто на устройстве с IP-адресом другой страны, злоумышленники могут выяснить, что атакуемый находится вне дома, и, к примеру, организовать кражу. Либо, определив с помощью трекеров время открытия писем на тех или иных устройствах (с определенными IP-адресами), выяснить график работы жертвы и спланировать дальнейшие атаки
[140].
Автоответчики
Почтовые автоответчики – широкий канал утечки персональных данных, и допускают утечку сами потенциальные жертвы. Пользователи настраивают автоответчики, как правило, на рабочей почте, чтобы в момент их отсутствия на работе сервер автоматически реагировал на входящие сообщения. Обычно в автоматически отправляемых письмах указывается имя и фамилия владельца адреса электронной почты, а также сроки отсутствия на работе. В некоторых случаях такие сообщения могут содержать контактные данные другого лица, замещающего отсутствующего сотрудника, а также сведения о текущих проектах.
На первый взгляд безопасные, автоматически отправляемые письма могут тем не менее подвергать риску как владельца, так и компанию, в которой тот работает. Особенно это актуально, если пользователь не настроил фильтрацию адресов получателей и робот отсылает автоматические ответы всем без разбора. Что может узнать злоумышленник:
■ Имя и фамилию владельца адреса электронной почты. Так он убедится в том, что адрес действительно принадлежит этому человеку.
■ Должность владельца адреса электронной почты.
■ Дополнительный телефон (рабочий, мобильный или даже домашний), по которому с владельцем можно связаться во время его командировки/отпуска/болезни.
■ Имя, фамилию, должность, телефон, адрес и другие данные сотрудника, исполняющего обязанности владельца адреса электронной почты, пока тот находится вне офиса.
Ссылаясь на отсутствующего сотрудника и опыт работы с ним (или даже выдав себя за него), злоумышленник может получить у его коллеги конфиденциальную информацию, внутренние документы и пр. Притупив бдительность коллеги отсутствующего сотрудника, злоумышленники могут подсунуть ему под видом счета-фактуры или проекта вредоносное программное обеспечение или фишинговую ссылку. Кроме того, выяснив персональные данные отсутствующего сотрудника, такие как домашний адрес или личный номер телефона, злоумышленники могут атаковать и его, к примеру с целью похитить деньги со счета или даже ограбить.
Чтобы свести к минимуму риск похищения данных таким способом, необходимо предпринять следующее:
■ Использовать автоответ только в крайних случаях. Если клиентов немного, их можно предварительно уведомить об отъезде. Если автоответ нужен, указывать в нем лишь необходимый минимум информации.
■ Использовать два варианта ответа: для внутренних адресов (коллег) с подробными инструкциями и для внешних – с краткими. Если сотрудник общается исключительно с коллегами, автоответ на внешние адреса можно вообще отключить.
■ Как вариант, можно использовать переадресацию, перенаправляя письма замещающему сотруднику
[141].
Взлом электронной почты
Если спам-сообщения вы можете попросту отфильтровывать и удалять не открывая, то от взлома почтовых сервисов не застрахован никто. В этом случае надежный пароль не поможет: все данные клиентов данного провайдера электронной почты, в том числе ваши, злоумышленники похитят и впоследствии выставят на продажу на соответствующих торговых площадках или используют для фишинговых атак. Даже если вы пользуетесь корпоративной почтой или собственным почтовым доменом, надежно защищая доступ к нему с помощью систем обнаружения вторжений, всегда существует риск утечки информации – например, через 0-day-уязвимости. Также надо учитывать человеческий фактор. Сотрудник компании – провайдера электронной почты, не знающий основ кибербезопасности, может допустить утечку данных. Недобросовестный сотрудник может быть подкуплен злоумышленником.
