Saturday 16.10.2021|

    Партнёры

    Партнёры

    Партнёры

    Загрузка...
    Фото: Томер Аппельбаум
    Фото: Томер Аппельбаум

    Мошенники вокруг нас: пособие для наивных

    В прошлом году израильтяне почувствовали на себе, что такое фишинг: вид интернет-мошенничества с целью получения доступа к конфиденциальным данным пользователей — логинам и паролям, чтобы заставить нас расстаться с деньгами или невзначай поделиться важной информацией вроде номера кредитной карты.


    Однако, невзирая на то, что речь идет о преступной деятельности в прямом смысле слова, полиция не стала главным адресом, по которому обращаются эксперты, разработчики и даже обычные жертвы.

    Как следует из отчета госконтролера за 2017 год, всего 9 процентов жертв киберпреступлений обращаются в полицию, и этот показатель безусловно обратил на себя внимание: полиция пообещала принять надлежащие меры. В частности, с начала нынешней недели была развернута рекламная кампания, обращенная к жертвам кибермошенничества и поощряющая их обращаться в полицию за помощью. Благородная цель, но кампания стартовала, допустив серьезную ошибку, которая вполне могла привести к противоположным результатам. После того, как «ХаАрец» связалась с полицией, и из-за резкой критики этой ошибки в соцсетях, полиция исправила допущенную оплошность.

    В чем ошибка? В электронной почте!


    Итак, полиция начала кампанию с просьбой сообщать о фишинговых атаках на адрес электронной почты, который выглядит в точности, как стандартный адрес для фишинга: [email protected], а не на официальный адрес полиции. После того, как было указано на ошибку, полиция опубликовала измененный адрес электронной почты под своим доменным именем: [email protected]

    Почему это – проблема?

    Любые организации, будь то коммерческие компании или правительственные учреждения, должны использовать только свое доменное имя в официальной переписке. Если бы сообщение не было опубликовано в официальных соцсетях полиции, автор этих строк побился бы об заклад, что налицо откровенное мошенничество. Так называемые «корпоративные» электронные письма, отправленные с Gmail или другого поставщика услуг электронной почты в интернете, моментально сигнализируют об опасности для всех, кто привык к работе в сети.

    Всего лишь несколько причин, по которым стоит пользоваться доменным именем:

    1. Предотвращение возможности выдать себя за другое лицо – когда я отправляю электронное письмо на сайт police.gov.il, я знаю, что отправляю его на адрес государственной организации.

    2. Предотвращение возможности похищения данных из-за низкого уровня безопасности.


    3. Адрес электронной почты организации обеспечивает лучший контроль над управлением учетной записи электронной почты.

    4. Возможность передавать адреса или электронную почту, если сотрудник, занимающийся жалобами на фишинг, увольняется или оставляет данное место работы. Это также позволяет предотвратить отправку материалов тем, кто уже не работает в указанной организации.

    5. Управление почтовым сервером и возможность предотвратить спам.


    6. Использование адреса с police.gov.il снижает риск того, что случайная ошибка заявителей при написании адреса приведет к отправке их электронных писем на аналогичные адреса в gmail.com.

    И последняя изюминка: израильский гуру соцсетей Евгений Зарубинский (о котором «Детали» уже писали) обнаружил, что номер телефона для обращений по поводу фишинга, который полиция приводит в объявлении, использован для регистрации электронной почты, поэтому можно попробовать несколько раз восстановить пароль и, таким образом, в результате заблокировать учетную запись электронной почты. И это – тоже серьезная проблема.

    Впрочем, следует отметить, что проблема отнюдь не в Google или Gmail – Google предлагает организациям или компаниям корпоративные почтовые службы, но эти почтовые службы работают под доменным именем организации.

    Казалось бы, мелочь. Но мы говорим о необходимых стандартах работы каждой серьезной организации. И тот факт, что полиция предпочла открыть почтовый ящик в Gmail и допустила ряд прочих проколов в кампании, направленной на борьбу с фишингом, вызывает серьезные опасения. Проблема в том, что это – не разовая ошибка, и нечто подобное характерно для многих государственных организаций.

    Гай Зомер из НКО «Движение за свободу информации» утверждает, что «использование государственными организациями ящиков электронной почты коммерческих компаний, особенно коммерческих доменов, таких как Gmail, Yahoo, Walla, Netvision и т.п., весьма распространены – сотни учетных записей. То есть тех записей, что изначально предполагают слабую защищенность и указывают на низкий уровень осведомленности о потенциальных рисках в интернете. Здесь и передача личной и конфиденциальной информации через третьи стороны, действия которых никто не отслеживает, и действия самих отрудников, использующих эти системы, и, во многих случаях, благодатная почва для кибермошенничества и возможность выдать себя за другое лицо».

    Ран Бар-Зик, «ХаАрец».  М.К. Автор – разработчик в Verizon Media, а также блогер на веб-сайте internet-israel.com.
    Фото: Томер Аппельбаум

    ЧИТАЙТЕ ТАКЖЕ
    ЧИТАЙТЕ ТАКЖЕ
    МНЕНИЯ
    ПОПУЛЯРНОЕ
    Размер шрифта
    Send this to a friend