05 05 2015

Проблема корпоративного веб-мейла

Проблема корпоративного веб-мейла
Погуглити і відшукати адреса веб-пошти - перше, до чого вдаються хакери, намагаючись зламати комп'ютерну систему певної компанії. У багатьох випадках такий пошук може привести до дверей сховища важливої інформації і документів. І, підібравши потрібну відмичку - у багатьох випадках це всього лише ім'я користувача та пароль - зломщик здатний завдати істотної шкоди інформаційної безпеки організації.

Така ситуація сталася, наприклад, з виданням Forbes. Атака сирійських хакерів, що відбулася минулого місяця, почалася з інфільтрації системи веб-мейл. Шахраям вдалося отримати доступ до інтерфейсу Microsoft Outlook компанії і ввести в оману її співробітників. Ті, отримавши на пошту фішингових лист і клікнувши на посилання, ввели облікові дані на підробленої сторінці веб-пошти Forbes. «Імейл - це шлях, що веде до всіх інших акаунтів», - вважає Трой Хант (Troy Hunt), аналітик Microsoft з Австралії, який створив сайт «HaveIBeenPwned?», який, як можна здогадатися з назви, інформує про інформаційні витоки.

Хант вирішив створити цей сайт після того, як три з його адрес виявилися в списку мільйонів інших зламаних імейл після атаки на систему компанії Adobe. «Як тільки вони добираються до вашої пошти, вона може надати їм доступ до всіх інших облікових записів, пов'язаних з імейл», - попереджає Хант. У випадку з Forbes зловмисники використовували імейл-адреси для доступу до платформи онлайн-публікації, що дозволила їм публікувати контент і переглядати базу даних більше мільйона користувачів, використовуючи права адміністратора одного із співробітників.

Хакери, які зламали Forbes, знали, як виглядала сторінка веб-мейла, оскільки її можна було без особливих зусиль знайти в мережі. URL-адресу видання був нехитрий і за ступенем складності нагадував такий ось електронну адресу: имя.фамилия@gmail.com. У багатьох новинних агентствах використовуються схожі URL-адреси входу в систему. Замінивши в адресі назва компанії на інше, можна за допомогою пошукача отримати доступ до сторінок веб-служб електронної пошти інших агентств. Безпечніше, звичайно, використовувати складне і не настільки очевидне назву браузерной пошти, проте і такий запобіжні заходи буде недостатньо, якщо сторінка веб-мейла індексується в Google.

«Система веб-мейл з її повсюдної доступністю - це палиця з двома кінцями», - повідомили нещодавно співробітники компанії Symantec в своєму блозі, пояснюючи це тим, що ціна, яку доводиться платити за можливість універсального доступу, - це значне розширення зони, з якою можуть здійснюватися хакерські атаки. Symantec радить компаніям приховувати сторінку веб-мейла від пошукових роботів, вибираючи для цього потрібні налаштування у файлі robots.txt кореневих серверів. Таким чином, пошукові системи - Google, Yahoo і Bing - не братимуть видавати адреса веб-мейла в результатах пошуку.

Фахівці з Symantec радять «уникати типових і легко вгадуються URL», і дозволяти користуватися веб-поштою лише тим співробітникам, яким це дійсно необхідно. Але найбільше значення для безпеки, на думку аналітиків Symantec, має двухфакторная ідентифікація. Вона передбачає, що крім логіна і пароля, користувачам доведеться вводити код, що відправляється на телефон.

Звичайно ж, це засіб, як, втім, і всі інші заходи безпеки, не є для хакерів зовсім вже непереборною перешкодою. Бували випадки, коли людей переконували передавати свій «другий фактор». «Більшість фахівців дотримується думки про те, що найбільш вразливим елементом для безпеки є людський фактор, - каже творець сайту« HaveIBeenPwned?». - Мова не йде про те, щоб досягти абсолютної безпеки. Така ситуація порівнянна з безпекою транспорту. Деякі автомобілі більш захищені, ніж інші. Але якщо врізатися на швидкості 160 км/год в цегляну стіну, не врятують ніякі подушки».

«Багато витоків даних виникають внаслідок безтурботності користувачів, - вважає аналітик Microsoft. - Але важливо розуміти, що якщо немає нагальної потреби, то і зберігати важливі дані в мережі не потрібно».
Интересные материалы читать все
Повальная домофонизация с использованием видеодомофонов сподвигла производителей улучшать функционал устройств, да и потребитель..
15 февраля 0 комментария
Домен - більше, ніж просто адресу сайту. Це ідея бізнесу, унікальний знак і ідентифікатор компанії. Домен є потужним..
Як вибрати домен для сайту
10 февраля 0 комментария
Кредит під заставу нерухомості стає все більш популярний сьогодні, в першу чергу через його доступності та меншою ставкою в..
Особливості кредиту під заставу нерухомості
10 февраля 0 комментария
Если вы думаете, что покупка кабеля iPhone не может сделать более удобной вашу жизнь, то ошибаетесь. Особенно, если речь идет о..
10 февраля 0 комментария