05 05 2015

Проблема корпоративного веб-мейла

Проблема корпоративного веб-мейла
Погуглити і відшукати адреса веб-пошти - перше, до чого вдаються хакери, намагаючись зламати комп'ютерну систему певної компанії. У багатьох випадках такий пошук може привести до дверей сховища важливої інформації і документів. І, підібравши потрібну відмичку - у багатьох випадках це всього лише ім'я користувача та пароль - зломщик здатний завдати істотної шкоди інформаційної безпеки організації.

Така ситуація сталася, наприклад, з виданням Forbes. Атака сирійських хакерів, що відбулася минулого місяця, почалася з інфільтрації системи веб-мейл. Шахраям вдалося отримати доступ до інтерфейсу Microsoft Outlook компанії і ввести в оману її співробітників. Ті, отримавши на пошту фішингових лист і клікнувши на посилання, ввели облікові дані на підробленої сторінці веб-пошти Forbes. «Імейл - це шлях, що веде до всіх інших акаунтів», - вважає Трой Хант (Troy Hunt), аналітик Microsoft з Австралії, який створив сайт «HaveIBeenPwned?», який, як можна здогадатися з назви, інформує про інформаційні витоки.

Хант вирішив створити цей сайт після того, як три з його адрес виявилися в списку мільйонів інших зламаних імейл після атаки на систему компанії Adobe. «Як тільки вони добираються до вашої пошти, вона може надати їм доступ до всіх інших облікових записів, пов'язаних з імейл», - попереджає Хант. У випадку з Forbes зловмисники використовували імейл-адреси для доступу до платформи онлайн-публікації, що дозволила їм публікувати контент і переглядати базу даних більше мільйона користувачів, використовуючи права адміністратора одного із співробітників.

Хакери, які зламали Forbes, знали, як виглядала сторінка веб-мейла, оскільки її можна було без особливих зусиль знайти в мережі. URL-адресу видання був нехитрий і за ступенем складності нагадував такий ось електронну адресу: имя.фамилия@gmail.com. У багатьох новинних агентствах використовуються схожі URL-адреси входу в систему. Замінивши в адресі назва компанії на інше, можна за допомогою пошукача отримати доступ до сторінок веб-служб електронної пошти інших агентств. Безпечніше, звичайно, використовувати складне і не настільки очевидне назву браузерной пошти, проте і такий запобіжні заходи буде недостатньо, якщо сторінка веб-мейла індексується в Google.

«Система веб-мейл з її повсюдної доступністю - це палиця з двома кінцями», - повідомили нещодавно співробітники компанії Symantec в своєму блозі, пояснюючи це тим, що ціна, яку доводиться платити за можливість універсального доступу, - це значне розширення зони, з якою можуть здійснюватися хакерські атаки. Symantec радить компаніям приховувати сторінку веб-мейла від пошукових роботів, вибираючи для цього потрібні налаштування у файлі robots.txt кореневих серверів. Таким чином, пошукові системи - Google, Yahoo і Bing - не братимуть видавати адреса веб-мейла в результатах пошуку.

Фахівці з Symantec радять «уникати типових і легко вгадуються URL», і дозволяти користуватися веб-поштою лише тим співробітникам, яким це дійсно необхідно. Але найбільше значення для безпеки, на думку аналітиків Symantec, має двухфакторная ідентифікація. Вона передбачає, що крім логіна і пароля, користувачам доведеться вводити код, що відправляється на телефон.

Звичайно ж, це засіб, як, втім, і всі інші заходи безпеки, не є для хакерів зовсім вже непереборною перешкодою. Бували випадки, коли людей переконували передавати свій «другий фактор». «Більшість фахівців дотримується думки про те, що найбільш вразливим елементом для безпеки є людський фактор, - каже творець сайту« HaveIBeenPwned?». - Мова не йде про те, щоб досягти абсолютної безпеки. Така ситуація порівнянна з безпекою транспорту. Деякі автомобілі більш захищені, ніж інші. Але якщо врізатися на швидкості 160 км/год в цегляну стіну, не врятують ніякі подушки».

«Багато витоків даних виникають внаслідок безтурботності користувачів, - вважає аналітик Microsoft. - Але важливо розуміти, що якщо немає нагальної потреби, то і зберігати важливі дані в мережі не потрібно».
Интересные материалы читать все
В останні роки готовий комплект бездротових камер відеоспостереження став користуватися великим попитом серед компаній і..
Комплект бездротових камер відеоспостереження
08 сентября 0 комментария
Для забезпечення безпеки бажано встановити на вхідні двері квартири ефективний засіб спостереження. Кольоровий відео вічко є..
Склад кольорового відеовічка
07 сентября 0 комментария
При виборі відеореєстратора головними параметрами є дозвіл і швидкість запису, яка є не що інше, як кількість кадрів в секунду. У..
Швидкість відеореєстраторів
29 августа 0 комментария
Системи охоронного спостереження використовуються на великих підприємствах і в офісах невеликих компаній. Як правило, молоді..
Як дешево придбати відеореєстратор?
28 августа 0 комментария