Така ситуація сталася, наприклад, з виданням Forbes. Атака сирійських хакерів, що відбулася минулого місяця, почалася з інфільтрації системи веб-мейл. Шахраям вдалося отримати доступ до інтерфейсу Microsoft Outlook компанії і ввести в оману її співробітників. Ті, отримавши на пошту фішингових лист і клікнувши на посилання, ввели облікові дані на підробленої сторінці веб-пошти Forbes. «Імейл — це шлях, що веде до всіх інших акаунтів», — вважає Трой Хант (Troy Hunt), аналітик Microsoft з Австралії, який створив сайт «HaveIBeenPwned?», який, як можна здогадатися з назви, інформує про інформаційні витоки.
Хант вирішив створити цей сайт після того, як три з його адрес виявилися в списку мільйонів інших зламаних імейл після атаки на систему компанії Adobe. «Як тільки вони добираються до вашої пошти, вона може надати їм доступ до всіх інших облікових записів, пов’язаних з імейл», — попереджає Хант. У випадку з Forbes зловмисники використовували імейл-адреси для доступу до платформи онлайн-публікації, що дозволила їм публікувати контент і переглядати базу даних більше мільйона користувачів, використовуючи права адміністратора одного із співробітників.
Хакери, які зламали Forbes, знали, як виглядала сторінка веб-мейла, оскільки її можна було без особливих зусиль знайти в мережі. URL-адресу видання був нехитрий і за ступенем складності нагадував такий ось електронну адресу: имя.фамилия@gmail.com. У багатьох новинних агентствах використовуються схожі URL-адреси входу в систему. Замінивши в адресі назва компанії на інше, можна за допомогою пошукача отримати доступ до сторінок веб-служб електронної пошти інших агентств. Безпечніше, звичайно, використовувати складне і не настільки очевидне назву браузерной пошти, проте і такий запобіжні заходи буде недостатньо, якщо сторінка веб-мейла індексується в Google.
«Система веб-мейл з її повсюдної доступністю — це палиця з двома кінцями», — повідомили нещодавно співробітники компанії Symantec в своєму блозі, пояснюючи це тим, що ціна, яку доводиться платити за можливість універсального доступу, — це значне розширення зони, з якою можуть здійснюватися хакерські атаки. Symantec радить компаніям приховувати сторінку веб-мейла від пошукових роботів, вибираючи для цього потрібні налаштування у файлі robots.txt кореневих серверів. Таким чином, пошукові системи — Google, Yahoo і Bing — не братимуть видавати адреса веб-мейла в результатах пошуку.
Фахівці з Symantec радять «уникати типових і легко вгадуються URL», і дозволяти користуватися веб-поштою лише тим співробітникам, яким це дійсно необхідно. Але найбільше значення для безпеки, на думку аналітиків Symantec, має двухфакторная ідентифікація. Вона передбачає, що крім логіна і пароля, користувачам доведеться вводити код, що відправляється на телефон.
Звичайно ж, це засіб, як, втім, і всі інші заходи безпеки, не є для хакерів зовсім вже непереборною перешкодою. Бували випадки, коли людей переконували передавати свій «другий фактор». «Більшість фахівців дотримується думки про те, що найбільш вразливим елементом для безпеки є людський фактор, — каже творець сайту« HaveIBeenPwned?». — Мова не йде про те, щоб досягти абсолютної безпеки. Така ситуація порівнянна з безпекою транспорту. Деякі автомобілі більш захищені, ніж інші. Але якщо врізатися на швидкості 160 км/год в цегляну стіну, не врятують ніякі подушки».
«Багато витоків даних виникають внаслідок безтурботності користувачів, — вважає аналітик Microsoft. — Але важливо розуміти, що якщо немає нагальної потреби, то і зберігати важливі дані в мережі не потрібно».