- Отсутствие сквозного шифрования. Три основных протокола, которые используются в работе с почтой (SMTP, IMAP и POP3) не поддерживают сквозное шифрование сами по себе. Данные по ним передаются неизменными, в виде обычного текста — в том числе ваши пароли и содержимое всех ваших писем.Большинство крупных email-сервисов решают эту проблему при помощи протокола TLS. Когда вы подключаетесь к почтовому сервису через TLS, трафик между ним и вашим устройством шифруется. Проблема в том, что такое шифрование не является сквозным от отправителя до адресата – вашу переписку все еще может просматривать ваш почтовый сервис и сервис вашего собеседника.
- Утечки адресов. Email-адреса регулярно утекают в сеть, поскольку ими пользуются для регистрации учетных записей в сервисах, которые не всегда ответственно относятся к безопасности, а некоторые и вовсе продают данные пользователей.
- Фишинг. Простота и доступность, благодаря которым почта всегда завалена спамом, делают ее привлекательной для фишинговых атак. Это тип атаки, при котором человека обманом вынуждают раскрыть конфиденциальную информацию.Например, вам может прийти письмо со ссылкой на облачные документы или хранилище, но вместо настоящего Google Drive или Proton Drive по ссылке находится фишинговый ресурс, ворующий логины и пароли. Другой распространенный вариант – ссылки на поддельные сайты банков.Чаще всего фишинговые письма рассылают массово, в надежде что один из тысяч получателей по невнимательности на них попадется – но вас могут атаковать и прицельно. В этом случае злоумышленники, скорее всего, попытаются выдать себя за вашего знакомого, коллегу или какого-то другого человека, которому у вас нет причин не доверять.
- Не открывайте ссылки в почте без необходимости. Даже если вам кажется, что адрес правильный и ведет на подлинный сервис, вы можете не заметить пары измененных букв и оказаться на фишинговом ресурсе.
- Если ссылку по какой-либо причине все же нужно открыть, сначала скопируйте ее в блокнот и внимательно рассмотрите адрес на предмет опечаток. Убедитесь, что доменное имя подлинное, например docs.google.com для Google Документов или drive.proton.me для Proton Drive. Если домен выглядит странно – ссылку лучше не открывать.
- Если знакомый присылает ссылку без всяких пояснений, ее тоже лучше не открывать сразу. Возможно, его аккаунт взломали — убедитесь, что вам действительно написал знакомый человек, а не мошенник. Для этого лучше всего не написать, а позвонить – на случай если мессенджер тоже взломан.
- Не открывайте и не загружайте на свое устройство вложенные файлы, если не ждете их заранее. Во-первых, в файле может содержаться вредоносный код. Во-вторых, приложенные документы тоже могут быть частью многоступенчатой фишинговой атаки.
Хакеры COLDRIVER присылали своим жертвам PDF-документы, которые делали вид, что зашифрованы: показывали размытый текст и предложение перейти на Proton Drive, Google-диск или какой-то другой ресурс, который якобы может их расшифровать. Но вместо подлинных сервисов, ссылка внутри файла вела на фишинговые ресурсы.
Помните: если файл зашифрован, размытый текст он вам точно не покажет и вообще не откроется без пароля.
- Если вас просят установить какой-то особый софт, чтобы открыть или расшифровать прикрепленный файл — это тоже красный флаг. Для шифрования нужно пользоваться общепринятыми программами, например VeraCrypt, а устанавливать их только с официального сайта разработчика.
Включите многофакторную аутентификацию
Если вы находитесь в России, мы не советуем выбирать СМС-сообщения в качестве второго фактора — очень легко перехватить силовикам. Лучше использовать Google Authenticator, или одноразовые коды, которые будут храниться в отдельном от пароля месте.
Используйте одноразовые почтовые адреса
Если вам нужно получить или отправить одно письмо, не показывая свой настоящий адрес, стоит воспользоваться сервисом одноразовой почты. Их можно найти по запросу «disposable mail».
Такие сервисы нельзя использовать для конфиденциальной переписки. А вот для регистрации анонимного аккаунта-однодневки, которым вы не планируете пользоваться больше одного раза – можно.
Меняйте пароли и храните их в безопасном месте
Менять пароли нужно регулярно — как минимум раз в три месяца. Если ваша почта скомпрометирована, своевременная смена пароля уменьшит время, на которое у злоумышленника будет к ней доступ.
Многие пользователи используют один и тот же пароль для нескольких учетных записей, но это опасно, поскольку одна утечка может скомпрометировать сразу все аккаунты. Другая опасная привычка — записывать пароли в текстовые файлы, в сохраненки в Телеграме или на листочке возле компьютера.
Вместо всего этого стоит использовать менеджер паролей. С его помощью можно создать уникальный и надежный пароль для каждого сервиса, и сохранить в зашифрованном виде. Мы рекомендуем менеджер KeePassXC — он бесплатный, с открытым исходным кодом и работает на Windows, Linux и Маках.
Для мобильных устройств Apple можно использовать KeePassium, а для устройств на базе Android — KeePassDX.
Не пользуйтесь российскими сервисами
Если у вас есть аккаунт на Яндексе или Mail.ru, его нужно немедленно заменить на что-то более надежное. Как минимум, привяжите свои учетные записи к Gmail.
Eще лучше завести почту на сервисе Proton Mail и привязать учетные записи к ней. Proton поддерживает сквозное шифрование, а в комплекте с почтой идет VPN и облачное хранилище. По ссылке — инструкция по оплате подписки из России, но вы можете пользоваться и бесплатной версией.
Заведите несколько почтовых ящиков под разные цели
Одна из проблем почты заключается в том, что на нее завязана и переписка, и учетные записи для регистрации в различных сервисах. Если разграничить потоки информации, и не привязывать к одной почте сразу все, это существенно уменьшит ущерб в случае утечки.
Поэтому не стоит регистрировать учетные записи на почту, которую вы даете людям для обратной связи. Пусть один адрес будет для общения, а второй, непубличный, для всего остального.
Проверяйте утечки
Советуем время от времени заходить на сайт haveibeenpwned.com и проверять, не засветился ли ваш адрес в каком-нибудь крупном сливе данные. Если засветился, пароль необходимо сменить сразу же, и заодно завершить все незнакомые вам сессии — их можно найти в настройках, в списке подключенных устройств.