Библия почтовой безопасности

Антон Орлов (Москва)

Как ни прискорбно сознавать, но в настоящее время среди населения Земли встречается немало тех, для кого нанесение вреда ближнему является видом развлечения, а то и средством обогащения. Поэтому система электронной почты, как и весь Интернет, стала источником разного рода опасностей. При всем разнообразии суть их сводится к одному: попадание в почтовый ящик того, чего там быть не должно.

В почтовый ящик помимо нужных и важных писем погут попадать:

  • Письма с рекламой, на получение которых вы не давали согласия.
  • Письма-обманки (так называемый фишинг)
  • Письма с компьютерными вирусами
  • Письма от недоброжелателей, цель которых — захламить ваш почтовый ящик.

Наконец, возможен прямой «взлом» вашего почтового ящика, то есть получение доступа к нему помимо вашего желания.

Книга первая. Общие правила гигиены

Один из главных методов защиты почти от всех «почтовых угроз» — контроль пришедших писем без их загрузки на компьютер, прямо в почтовом ящике. Так можно удалить ненужные и опасные письма. Это первейшее правило гигиены, все равно что мытье рук перед едой.

Первый способ такого удаления — через веб-интерфейс почтового сервиса, на котором расположен ящик. Для этого необходимо зайти на главную страницу почтового сервиса, ввести в специальные поля логин и пароль, а затем, ориентируясь на содержание тем и на адреса отправителей, удалить ненужные и потенциально опасные письма. Можно сначала просмотреть тексты писем и потом решить, нужно ли данное письмо загружать.

Однако веб-интерфейсами снабжены не все почтовые сервисы, да и работать с ними не всегда удобно. Поэтому созданы специальные программы для просмотра писем в почтовом ящике (без их загрузки на компьютер) и удаления «мусора». Например, такое делает программа Magic Mail Monitor (она служит еще и оповещателем о приходе писем в ящик), доступная с адреса http://www.geeba.org/magic. В последних версиях программы есть русский интерфейс.

Magic Mail Monitor способна одновременно проверять сразу несколько почтовых ящиков. Программу можно настроить так, что при появлении новых писем в разных ящиках будут проигрываться разные звуки. Кроме того, вы можете приказать ей при приходе новых сообщений автоматически развертывать свое основное окно. Команда «Просмотреть» позволяет загрузить письмо на компьютер, отобразить его в текстовом файле и ознакомиться с его содержанием.

Удобной особенностью программы является то, что с ее помощью можно загрузить с почтового сервера для просмотра лишь часть сообщения, а не все целиком, сэкономив тем самым время и трафик. Для этого следует воспользоваться командой «Еще» > «По(д)смотреть как текст» из контекстного меню сообщения. В диалоговом окне «Файл» > «Настройки» можно указать, насколько большой должна быть загружаемая часть.

Есть еще один универсальный способ защиты, правда, с одним «но». Он дает почти стопроцентную гарантию от вирусов и спама и довольно значительную — от умышленных пакостей, однако несколько неудобен вашим респондентам. Суть его сводится к настройке фильтров на почтовом сервере.

1. Придумайте некую кодовую последовательность, которую относительно легко запомнить, но которая никогда не может случайно встретиться в теме письма. Например, какая-нибудь группа цифр или бессмысленное слово.

2. Создайте фильтр, согласно которому на все сообщения без такой последовательности в теме письма будет отправляться автоматический ответ с текстом вроде «Извините, я был вынужден поставить систему защиты от спама и вирусов. Пожалуйста, отправьте Ваше письмо мне снова, но обязательно укажите в его теме … (ваша кодовая последовательность)». Если допускают настройки фильтров, прикажите сервису включать в конец этого текста исходное письмо отправителя.

3. Создайте фильтр, согласно которому все сообщения без такого кода в теме письма будут автоматически удаляться. В результате тот, кто отправит вам письмо, вышлет его повторно, указав в теме код. Спамерская программа или вирус, рассылающий сам себя по адресной книге, понять, что вы написали, не смогут, и на этом их общение с вашим ящиком закончится.

Для обороны от спама и вирусов схема вполне эффективна. С другой стороны, отправлять письмо еще раз, модифицировав тему, многим респондентам может показаться излишне хлопотно. А некоторые могут вообще отказаться с вами общаться, посчитав ситуацию для себя оскорбительной. Наконец, возможна «патовая» ситуация, если такая система установлена на двух ящиках, и владелец одного из них отправит письмо другому. В ответ будет послан запрос о подтверждении… который будет расценен как «несанкционированное» письмо и вернется отправителю с просьбой подтвердить отправку. А там схема зеркально повторится, ведь в «перекидываемом» между ящиками запросе нет секретного кода! В итоге — почтовый пинг-понг, последствия которого для почтовых серверов могут быть сравнимы с хакерской атакой. Так что стоит ли использовать данный способ — решать вам.

Вот небольшая памятка с кратким перечислением мер безопасности при работе с электронной почтой:

1. Выбирая почтовый сервис для ящика, обращайте внимание на наличие на нем средств защиты от вирусов и спама, фильтров и возможности SSL-доступа. Чем больше средств защиты, тем лучше. Поищите в Интернете и печати отзывы о безопасности разных сервисов и на основе полученных данных принимайте решение.

2. Регистрируя ящик, придумывайте сложные пароли и контрольные вопросы.

3. При выборе почтового клиента ориентируйтесь в том числе и на его безопасность: невосприимчивость к вирусам, троянам, наличие средств борьбы со спамом.

4. Перед загрузкой писем из ящика просматривайте их список через веб-интерфейс почтового сервиса или специальной программой вроде Magic Mail Monitor.

5. Проверяйте антивирусными программами все вложения в присылаемых вам письмах.

6. Регулярно устанавливайте «заплатки» на ПО или его новые версии, если в старых обнаружены уязвимости. Регулярно обновляйте антивирусные программы.

7. Установите файервол и правильно его настройте. При выборе файервола обращайте внимание на наличие модулей «защиты почты» или других подобных.

8. Зарегистрируйте несколько почтовых ящиков, используя один для переписки с друзьями и коллегами, а другие — со всеми остальными. При атаке «почтовыми бомбами», вирусами или спамом на один из «других» зарегистрируйте новый.

9. При работе с почтовым ящиком с чужого компьютера не используйте почтовые программы — довольствуйтесь веб-интерфейсом.

10. Работая с почтовым ящиком с чужого компьютера через веб-интерфейс, отказывайтесь от всех предложений сохранить пароль, а после работы очистите «Историю», кэш и «Автозаполнение» браузера, после чего закройте все его окна.

Книга вторая. Вирусы

Вирусом называют программу, без ведома и желания пользователей размножающуюся путем включения своего кода в исполняемые файлы и в файлы, способные хранить программный код. Электронная почта в настоящее время стала одним из основных каналов распространения вирусов. Письмо, зараженное вирусом, содержит в себе его исполняемый файл с собственно вирусным кодом. При запуске такой файл:

  • сканирует адресную книгу в почтовом клиенте пользователя или уже пришедшие письма (если почтовый клиент это позволяет);
  • рассылает свои копии по всем адресам, найденным в адресной книге или в этих письмах.

Если кроме такой рассылки вирус больше ничего не делает, то его называют «червем», но чаще вирусная программа копируется также в папку с файлами операционной системы и помещает в системный реестр команду своего автоматического запуска при старте ОС. Запущенная программа может регулярно повторять свои рассылки, а также выполнять те или иные разрушительные действия, например, стирать нужные файлы, похищать пароли, секретные сведения, личную информацию.

Чтобы компьютер был заражен вирусом, вирусная программа должна быть на нем запущена. Это может произойти двумя способами:

  • из-за глупости самого пользователя, запустившего вложенный в письмо исполняемый файл;
  • из-за уязвимости в почтовом клиенте, допускающей автоматический запуск вложенных программ.

Методы защиты от вирусов, скоро, наверное, будут писать большим фломастером на большом листе ватмана и вывешивать в каждом офисе. Но все же считаю нужным их перечислить — хотя бы для того, чтобы было откуда списывать их на лист ватмана…

Некоторые сервисы бесплатных почтовых ящиков (например, http://www.mail.ru, http://www.360.ru) предоставляют своим пользователям такую услугу, как проверка всей приходящей почты на наличие вирусов. Поэтому обязательный ежедневный ритуал -посещение веб-интерфейса почтового ящика и просмотр писем с вложениями на предмет зараженности перед загрузкой почты на свой компьютер.

Особое внимание уделяйте вложениям с расширениями .exe, .com, .pif, .scr и невразумительным текстом самого письма. Такие письма лучше сразу удалить. Порядочные респонденты никогда не будут пересылать по почте программы в формате .exe или .com, во всяком случае, без предварительного согласования с вами.

Конечно, вследствие несовершенства системы отсева вирусов на почтовом сервисе или ваших ошибок при просмотре информации о пришедших письмах некоторые зараженные письма могут все же проникать сквозь этот первый уровень защиты. Следующий уровень — это использование антивирусных программ.

К настоящему времени наиболее популярными являются такие, как Antiviral Toolkit Pro от Лаборатории Евгения Касперского (http://www.avp.ru или http://www.kaspersky.ru), Doctor Web от Лаборатории Игоря Данилова (http://www.drweb.ru), Norton Antivirus от компании Symantec (http://www.symantec.com). По эффективности они вполне сравнимы: на периодически проводящихся конкурсах пальмой первенства они по очереди меняются между собой. Цены на легальные версии антивирусных программ колеблются в пределах $40-70 для российских разработок и порядка $100 долларов для западных.

Принцип работы антивирусных программ основан на том, что каждый вирус имеет код, характерный только для него, и, кроме того, может располагаться лишь во вполне определенных местах зараженного файла (тех, с которых операционная система считывает исполняемый код). Поэтому антивирус может просмотреть файл, определить, есть ли в нем код того или иного вируса, и затем выдать пользователю информацию об этом или даже сразу удалить вирусный код — «вылечить» файл. Соответственно, в каждом антивирусе есть встроенные библиотеки вирусов (базы данных), которые периодически обновляются.

Некоторые антивирусы используют эвристический алгоритм — с помощью специальных средств моделируют действия программы, как если бы она была запущена, и смотрят, не похожи ли эти действия на действия вируса. Такой метод позволяет обнаруживать и те вирусы, описания которых нет в базе данных антивируса, однако тут возможны и ложные срабатывания.

При работе с электронной почтой все вложения в приходящие письма — документы Word, архивы и, в особенности, любые исполняемые файлы — следует перед открытием или запуском обязательно проверять антивирусом! Кроме того, практически все современные антивирусы имеют и так называемый монитор — модуль, который постоянно проверяет на наличие вирусов все файлы, открываемые пользователем или какими-либо программами. В ходе приема почты весьма желательно держать включенным такой монитор: если с почтой придет вирус, то в зависимости от вида программы и ее настроек монитор автоматически удалит его или запретит прием вирусного письма.

Для предотвращения поражения вирусом из-за уязвимости в ПО (их еще именуют «дырами») соблюдайте такие правила:

  • Своевременно устанавливайте «заплатки» к почтовым программам или инсталлируйте их новые версии. Разработчики почтовых клиентов обычно дорожат своей репутацией и в случае обнаружения «дыр» выпускают обновления, доступные на их сайтах.
  • При выборе и настройке ПО для работы с электронной почтой уделяйте внимание антивирусной стойкости.
  • Регулярно посещайте специализированные сайты, посвященные безопасности (например, в Рунете это http://www.securitylab.ru), чтобы оперативно устанавливать обновления или до появления обновлений временно переходить на другой почтовый клиент.

Даже если вам все-таки удастся подхватить вирус, то выполнению им своей вредоносной функции может помешать установленный файервол. Если не вдаваться в подробности, то файервол контролирует, какие программы работают с Интернетом с данного компьютера, и если к такой работе пытается приступить неизвестное приложение, невесть откуда взявшееся на компьютере, то файервол строго запрещает такую работу и поднимает тревогу.

Сам по себе файервол не является антивирусной защитой. Он может лишь предотвратить некоторые последствия заражения — например, помешает вирусам отправить конфиденциальные данные с вашего компьютера или хакеру управлять им через Интернет. Некоторые файерволы выполняют еще и дополнительные функции по защите компьютера от сетевых опасностей. Так, файервол Outpost Firewall фирмы Agnitum (бесплатная версия доступна с сайта http://www.outpostfirewall.com) имеет блок защиты электронной почты от вирусов во вложении. Этот блок автоматически переименовывает файлы с определенными расширениями во вложениях к письмам: например, файл virus.com будет автоматически переименован в virus.com.safe, что предотвратит его автоматический запуск даже в случае наличия у почтового клиента соответствующей уязвимости.

Для большей эффективности все способы защиты лучше сочетать. Многоступенчатая система защиты может выглядеть, например, так:

  • Вся почта поступает на почтовый сервис с веб-интерфейсом и антивирусной проверкой.
  • Перед перекачиванием в почтовый клиент каждое сообщение с вложением просматривается на предмет зараженности или похожести на вирус.
  • Почтовый клиент либо не имеет «дыр», либо на все известные «дыры» установлены заплатки.
  • Во время приема почты работает антивирусный монитор и система защиты файервола.

Если использовать такую защиту, то риск заражения вирусом можно свести к ничтожно малой величине.

Книга третья. Спам

В мире Интернета словом «спам» называется реклама, которую вам навязывают помимо вашего желания. Этим способом в основном рекламируются товары, цена которых завышена, а качество чем-то особым от других товаров не отличается. Те, кто прибегает к услугам спамеров, тупо следуют неглубокой идейке «всем вдалбливай, авось кто-то и поверит».

По сути спам в Интернете представляет собой рассылку рекламных писем по электронной почте множеству адресатов. Отправить одно и то же письмо сразу по нескольким тысячам адресов очень просто — для этого достаточно небольшого сценария на PHP или Perl на сервисе бесплатного хостинга или даже обычного почтового сервера, на котором не приняты меры безопасности против спама. Собрать же коллекцию e-mail-адресов тоже труда не составляет — достаточно сделать специальную программу по типу «поисковой машины» (подробнее см. ниже). Так что затраты на рассылку нескольких тысяч писем весьма невелики.

Результат такой рекламы, бесспорно, низкий, но срабатывает закон больших чисел. Если из каждой тысячи адресатов найдется один, соблазнившийся предложением спамера, то рассылка по миллиону адресов принесет тысячу покупателей. То, что остальные девятьсот девяносто девять тысяч получателей потратят свое время и деньги, чтобы загрузить рекламное письмо на свой компьютер и затем удалить его, спамера не волнует — для него важна лишь собственная выгода. В настоящее время в почте многих пользователей спам занимает уже от 75 до 90% всех приходящих сообщений. К сожалению, потоки спама продолжают нарастать.

Однако со спамом можно бороться. И нужно.

Первое и самое основное правило борьбы со спамом — не покупать ничего у спамеров! Никогда и ни при каких условиях. Тем более, что посредством спама часто рассылаются предложения мошенников (об этом чуть ниже).

Однако простое игнорирование спама, может, и помешает спамеру достичь желаемой выгоды, но вам-то жизнь не особо облегчит. Поэтому желательно предотвратить захламление почтового ящика.

Нередко в письмах спамеров дается информация, как отказаться от их услуг — «отписаться от рассылки». Обычно для этого предлагается отправить специальное письмо на определенный адрес или зайти на тот или иной сайт по указанной в письме ссылке. Иногда это действительно помогает, и спамер удаляет адрес отписавшегося из своей базы данных, но чаще всего такое действие лишь укажет спамеру, что его спам хотя бы читают, что только усилит рекламный натиск на вас.

Основное правило защиты от спама — как можно реже указывать свой реальный e-mail-адрес на ресурсах Интернета!

Спамеры получают адреса e-mail для своих занятий с помощью специальных программ, которые путешествуют по ресурсам Сети и копируют имеющиеся на веб-страницах адреса электронной почты. Алгоритм такого выделения несложен — ведь в адресе обязательно присутствует символ «@» и не может быть пробелов, скобок, запятых. А значит, для получения списка адресов достаточно приказать программе найти на ней все символы «@» и взять то, что находится слева и справа от каждого из них до первого символа, недопустимого в адресе, — это и будет искомым адресом. После этого программа ищет на странице гиперссылки и загружает другие веб-страницы, повторяя с ними ту же процедуру. Найденные адреса записываются в список, который после удаления повторов выдается спамеру. Особенной любовью спамеров пользуются всевозможные гостевые книги и открытые форумы, указание e-mail на которых зачастую является необходимым условием для получения возможности добавлять сообщения.

Отсюда следует, что для того, чтобы ваш адрес не попал спамерским программам, нужно вообще не указывать его на общедоступных веб-страницах Интернета. Но электронная почта на то и существует, чтобы с вами могли связаться. Значит, сокрытие в тайне e-mail — явно не выход.

Не расстраивайтесь, есть некоторые простые приемы, которые позволяют «обманывать» спамерские программы. Вот некоторые из них.

  • Вместо символа «@» указать любой другой символ, похожий на него, например, «#» или «0» — например, address#someserver.ru. Если посетители гостевой книги или форума не совсем глупые люди, то они поймут, что должно стоять вместо этого «похожего» символа. К сожалению, вызвать почтовую программу путем щелчка мышью на e-mail им не удастся: придется копировать адрес в буфер обмена и заменять в нем символы.
  • Вместо символа @ указать какой-либо текст, например, «собака» — address-собака-someserver.ru. Недостатки те же: на замену символов ваш респондент тратит время.
  • Вставить в адрес какие-либо символы, а рядом указать, что их надо удалить: add***res***s@som###eserv ###er.ru (удалите * и #). Так как символ @ сохраняется, спамерская программа считает этот адрес, но в каком виде — догадаться нетрудно. Заодно спамер будет вынужден потратить время на удаление этого адреса из своей базы данных.

Если вы указываете e-mail на страницах своего сайта, то к упомянутым методам можно добавить еще несколько. Укажите e-mail в неизмененном виде, но внутрь него спрячьте комплексы тегов «!-» (они ничего не отображают на экране). Например, ваш e-mail будет выглядеть как «mya»!-«ddre»!-«ss@ne»!-«tman.r»!-«u». Можно использовать теги «span» с пустым содержанием: mya»span»»/span»ddre»span class=red»»/span»ss@ne»span class=blue»»/span»tman.r»span»»/span»u. Можно сочетать оба варианта. На веб-странице такие адреса отображаются без изменений, а вот спамерская программа, анализирующая исходный текст страницы, будет поставлена в тупик. Недостаток способа в том, что посетителям придется вручную копировать e-mail в свою почтовую программу, да и многие программы спамеров уже научились «выкусывать» лишние теги из адресов.

В различных сетевых публикациях встречаются сценарии на Javascript, призванные отображать на веб-странице e-mail полностью, а в коде веб-страницы указывать его в измененном виде. Использование таких сценариев позволит, надежно защитив e-mail от спамеров, оставить посетителям возможность помещать его в поле адреса почтовой программы простым щелчком мыши. Есть и программы, которые могут генерировать подобные сценарии для любого адреса электронной почты — например, Blackman E-mail Encoder (http://www.blackman2003.da.ru).

Вторым элементом обороны от спама является грамотный выбор почтового сервиса для размещения своего ящика. Многие почтовые сервисы используют специальные программные комплексы «спамообороны», автоматически отсеивающие рекламные письма. Анализ писем ведется по содержанию заголовков, обратных адресов, содержанию текстов. На основании этих данных программа принимает решение, является письмо спамом или нет. Наиболее эффективные из таких систем могут отсеивать до 90% рекламных писем, и те, что все же прорвутся через «защитные кордоны», не так долго удалить вручную.

Вместе с тем на почтовых сервисах с такими программными комплексами есть риск отсеивания и не рекламных писем. Письмо от вашего друга вполне может быть уничтожено без всяких известий вам или отправителю лишь за то, что в его теме находилось какое-либо слово. Бесспорно, разработчики принимают меры против ошибок «централизованной спамообороны», однако стопроцентную гарантию дать никто не может.

Поэтому при выборе сервиса для размещения своего почтового ящика обращайте внимание на то, какая система защиты от спама на этом сервисе установлена. Почитайте отзывы о ней на Интернет-форумах, в компьютерных журналах, подумайте, что вам важнее: сохранить ящик чистым или не допускать пропадания писем. Если важно первое (например, вам пишет лишь ограниченный круг лиц, и вы знаете, что письма от них спокойно проходят через любую «спамооборону»), то ищите сервис с мощной системой отсева рекламы (в Рунете такими, например, являются сервисы http://www.mail.ru, http://mail.yandex.ru).

Если важнее второе (вам приходят письма из разных мест и их пропажа недопустима) — обратите внимание на сервисы вообще без систем обороны от спама или с малоактивными системами (например, http://www.netman.ru, http://www.mailgate.ru).

Третья ступень обороны почтового ящика от спама — это почтовые фильтры, то есть настраиваемые вами алгоритмы автоматической обработки писем в зависимости от каких-то параметров (например, удаления всех сообщений с теми или иными обратными адресами).

Ранее, до разработки систем «спамообороны», именно настройка почтовых фильтров была основным средством защиты от спама. Теперь на наиболее крупных сервисах «оборонная» значимость фильтров ушла на задний план, однако на тех, что не снабжены автоматической системой фильтрации спама, такую систему приходится создавать вручную.

Возможность создания и настройки фильтров есть практически у всех почтовых клиентов и на всех приличных почтовых сервисах. Например, в почтовом клиенте Microsoft Outlook Express настройка фильтров выполняется в меню «Сервис > Правила для сообщений > Почта». Однако при возможности выбора лучше использовать систему фильтров на почтовом сервисе — хотя бы потому, что тогда при работе с почтой через другой почтовый клиент или с другого компьютера фильтры останутся столь же эффективными. Кроме того, применение фильтров вызывает существенное замедление работы большинства почтовых клиентов и в некоторых режимах не дает эффекта (к примеру, при фильтрации по словам в тексте письма сообщения загружаются на компьютер в любом случае). Если же фильтры будут отрабатывать на почтовом сервере, то скорость получения почты клиентом не замедлится.

Если вы все же решите защищать свой ящик самостоятельно, то смиритесь с тем, что добавлять новые алгоритмы обработки придется каждый месяц, если не каждую неделю.

Если вы беспокоитесь, что созданные вами фильтры уничтожат не только ненужную, но и важную почту, то вместо удаления отфильтрованных писем прикажите фильтрам помещать их в отдельную папку на почтовом сервере.

В какой-то степени снизить остроту проблемы спама вы также можете, если зарегистрируете на разных почтовых сервисах несколько ящиков и будете использовать один или два только для переписки с друзьями и коллегами, а остальные адреса будете указывать в общедоступных местах.

В результате первый, «доверенный» e-mail будет свободен от спама (если, конечно, ваши друзья не отправят его спамерам), и загрузка писем с него потребует лишь минимального контроля. Остальные же ящики можно проверять реже, со всеми описанными выше предосторожностями. Тем респондентам, что свяжутся с вами через эти «общедоступные» адреса, вы впоследствии дадите «доверенный» e-mail для более быстрой переписки. «Общедоступные» адреса можно время от времени менять.

Однако проверка множества ящиков и чистка их от рекламной продукции все же дело довольно трудоемкое и отнимающее время.

На многих почтовых сервисах есть возможность пересылки поступающих в ящик сообщений на какой-либо другой e-mail или, наоборот, средство автоматического забора почты из другого почтового ящика.

Эти возможности облегчат вам жизнь, если вы решите создать несколько ящиков для работы. Так, поставив перенаправление с «общедоступных» ящиков на «доверенный», можно будет ограничиваться проверкой и забором почты только с последнего. А если один из «общедоступных» ящиков начнет забиваться спамом, просто отключите пересылку с него на «доверенный» адрес и вернитесь к описанному выше варианту независимых ящиков. Такая схема, к сожалению, пропустит «первый удар» спамеров, но работать по ней немного удобнее.

Немало интересной информации о борьбе со спамом и спамерами можно найти на сайте http://www.antispam.ru, специально предназначенном для сбора таких сведений.

Книга четвертая. Ловись, рыбка…

Довольно распространенный (во всяком случае, на Западе) вид спама -э то фишинг, рассылка жуликами обманных писем с целью похитить ваши конфиденциальные данные — реквизиты кредитных карт и пароли доступа к банковским счетам. Фишинговые письма внешне выглядят как от легитимных веб-сайтов, с которыми вы регулярно работаете в онлайне, — к примеру, от банка, организации по обслуживанию кредитных карт или интернет-провайдера, то есть от любого сайта, где для удостоверения личности требуется ввод данных.

В таком письме у вас могут запросить ваши конфиденциальные данные в связи с «обновлением систем защиты» или по другой причине, либо предложат пойти по ссылке на сайт (поддельный), который выглядит в точности так, как и оригинальный, но построен исключительно для похищения вашей конфиденциальной информации. По данным противофишинговой рабочей группы (Anti-Phishing Working Group, http://www.antiphishing.org/), до 5% получателей тих писем поддаются на уловку и передают фишерам свои конфиденциальные данные. Некоторые фишинговые письма содержат программы, способные собирать информацию о ваших действиях в Интернете (шпионские программы) или открывать «черный ход», позволяющий хакерам проникать в ваш компьютер (троянские программы).

Вот набор простых правил поведения, необходимых для того, чтобы не стать жертвой фишинговых атак.

Никогда не отвечайте на письма, запрашивающие вашу конфиденциальную информацию. Банки или компании, занимающиеся электронной коммерцией, в своих письмах, как правило, персонифицируют обращения к клиентам, а фишеры — нет. Зато они часто используют ложные, но звучащие сенсационно сообщения типа «Срочная информация — реквизиты вашего счета могут похитить», чтобы побудить получателя письма к немедленной реакции.

Уважаемые компании никогда не запрашивают у клиентов пароли или данные счетов через электронную почту. Даже если вы предполагаете, что письмо легитимное, все равно для подстраховки лучше сначала обратитесь в компанию по телефону.

  • Посетите веб-сайт банка путем ввода его URL-адреса через адресную строку браузера. Фишеры часто используют ссылки в письмах, чтобы завлечь свои жертвы на поддельные веб-сайты, имеющие похожие адреса (к примеру, mybankonline.com вместо истинного mybank.com). Если пойти по указанной ссылке, то адрес сайта в адресной строке может выглядеть как настоящий, однако, существует несколько приемов его фальсификации, чтобы вывести вас на поддельный сайт. Если подозреваете, что письмо является фальшивым, не используйте указанные в нем ссылки. Да и вообще, чтобы не попасться на удочку фишера, нельзя следовать ссылкам, указанным в письмах, — всегда вводите адреса через браузер.
  • Регулярно проверяйте операции по своим онлайн-счетам. Если обнаружите какую-то подозрительную транзакцию, свяжитесь с банком или поставщиком кредитной карты.
  • Проверьте веб-адрес в адресной строке браузера. Если веб-сайт, который вы посетили, расположен на защищенном сервере, то адрес должен начинаться с «https://» («s» от security), а не с обычного «http://».
  • Никогда и никому не открывайте свои PIN-коды или пароли, не записывайте их и не используйте один и тот же пароль для всех своих онлайн-счетов.

И воообще, пользуйтесь здравым смыслом, когда читаете электронные письма. Если что-то в письме вам кажется неправдоподобным или до такой степени хорошим, что не верится, то, скорее всего, так оно и есть.

Книга пятая. Зло ближнему

От чего защититься действительно трудно, так это от личного врага, желающего делать вам всяческие пакости. А способов совершать их в Интернете много…

Одно время в Сети был распространен метод сведения счетов посредством «мусорной атаки». На двух сервисах бесплатной почты создавалось по почтовому ящику, и каждый из них настраивался так, что все приходящие письма отправлялись на ящик на другом сервисе и на адрес ящика жертвы. После этого на один из ящиков отсылалось письмо с ругательствами. Это письмо начинало циркулировать между ящиками, и при каждом проходе через каждый ящик на адрес жертвы отправлялась копия этого письма. В результате ящик жертвы вскоре заполнялся копиями ругательного письма, и его владелец был вынужден тратить время и деньги на его очистку.

Конечно, владельцы почтовых сервисов приняли меры против «Мусорных атак», однако способов делать пакости другим осталось еще немало. Например, «почтовая бомба» — отправка по e-mail кому-либо с модемным доступом в Сеть ненужных файлов огромного размера (несколько мегабайт). В результате получатель «бомбы» вынужден тратить немало времени и денег на загрузку сообщений.

Защититься от «почтовых бомб» и «мусорных атак» трудно, но можно. Некоторые механизмы защиты уже встроены в сервисы бесплатных почтовых ящиков: например, при отправке на ящик на почтовом сервисе http://www.netman.ru или http://www.mail.ru сотни одинаковых писем (это можно сделать, например, многократно указывая адрес получателя в поле «Копия:») до адресата дойдет только одно, остальные будут отсеяны. Многие сервисы не принимают письма с приложениями больше определенного размера (обычно 3-5 Мбайт): такое письмо будет отослано назад отправителю с указанием причины отказа в доставке.

«Почтовую бомбу» также можно удалить посредством доступа к ящику через веб-интерфейс или с помощью программ вроде Magic Mail Monitor или The Bee.

Для защиты от пакостей по e-mail можно использовать и почтовые фильтры, например, настроив их так, что письма с вложениями размером больше дозволенного будут автоматически перекладываться в некую папку в ящике или вообще сразу удаляться (согласно правилам сетевого этикета пересылку больших файлов необходимо заранее согласовывать с получателем).

Если вредитель отправляет вам «мусорные письма» с одного адреса, можно заблокировать его в настройках фильтров. Однако такое бывает редко — подделать содержимое поля обратного адреса труда не составляет.

Естественный прием защиты от таких пакостей — завести несколько почтовых ящиков, как описано выше.

Книга шестая. Взлом почтового ящика

Стоит сказать и о том, как уберечь от проблем сам почтовый ящик — размещенный не на вашем компьютере, а на сервере в Интернете. Проблема тут одна — «взлом» этого ящика, то есть захват контроля над ним со стороны злоумышленника. Следствие взлома понятно — своей почты вы больше не увидите, а ваши адресаты могут получить письма с очень нежелательным содержанием, будучи уверенными, что их отправителем являетесь именно вы.

Взлом почтового ящика возможен в двух вариантах:

  • получение доступа к почтовому сервису путем прямой атаки;
  • получение каким-либо способом авторизационных данных пользователя без работы с почтовым сервисом.

Вероятность взлома по первому варианту зависит от администратора почтового сервиса — от того, насколько квалифицированно он настроил программное обеспечение, насколько внимательно следит за новостями «компьютерной безопасности» и насколько правильно была спроектирована сама почтовая система. Пользователю остается разве что выбирать между сервисами.

Сохранение в тайне пароля — это уже забота пользователя. И думать об этом нужно сразу же, как только вы зарегистрировали ящик. Вернее, даже еще раньше.

Можно проделать простой тест на безопасность работы с почтовым сервисом, и те сервисы, которые его не пройдут, лучше пусть останутся без вашего ящика. Зарегистрируйте на сервисе аккаунт с произвольным именем и паролем, затем зайдите на него и пройдитесь по страницам веб-интерфейса (по папкам «Входящие», «Удаленные», по странице создания сообщения). У каждой из страниц смотрите исходный код (например, в Microsoft Internet Explorer это можно сделать командой «Вид» > «Источник HTML»). И если в коде хоть одной страницы веб-интерфейса вы найдете свой пароль, указанный в открытом виде, то уходите с этого сервиса и больше на него не возвращайтесь. Хранение пароля в коде веб-страниц интерфейса — просто подарок для хакеров. Большинство современных почтовых сервисов такого недостатка не имеют, но проверить все же стоит.

Первое правило защиты от взлома — не придумывайте простых паролей. Имена жены, детей, кота хоть и легко запоминаются, но тут не подойдут: подобрать их легче легкого. Лучше используйте приемы создания сложных в подборе, но легких в запоминании паролей:

  • Можно взять какую-нибудь стихотворную фразу (например, «На красных лапках гусь тяжелый») и из каждого слова включить в пароль первые две буквы, поставив при этом английскую раскладку клавиатуры (например, из упомянутой фразы получится пароль «yfrhkfuenz»). Вам придется помнить лишь саму фразу.
  • Можно взять какой-нибудь известный вам, но достаточно сложный профессиональный термин (скажем, «теодицея», «аллантоис») и вставить в его середину цифровой код (скажем, год какого-то события), опять же поставив английскую раскладку клавиатуры (например, из упомянутых слов могут получиться пароли «ntj1917lbwtz», «fkkf1812ynjbc»).
  • Можно использовать набор стоящих рядом клавиш, чередуя прописные и строчные буквы — скажем, «Uuu76t5RFd». Вы быстро запомните даже не сам пароль, а те движения кисти, которыми он вводится.

На большинстве почтовых сервисов имеется система напоминания пароля в случае, если вы его забудете. Обычно она представляет собой «контрольный вопрос», то есть пару строк текста (первая строка может быть заранее фиксированной, например, «Номер паспорта»). При восстановлении пароля первая строка будет продемонстрирована вам на экране, и вы в ответ должны будете вспомнить и ввести вторую строку. Если вы сделаете это правильно — вам либо выдадут новый пароль, либо сообщат старый.

Система, конечно, полезная, но помните, что получение контроля над почтовым ящиком путем подбора ответа на контрольный вопрос — один из самых частых способов «взлома». Никогда не используйте в качестве ответа на контрольный вопрос фразы, очевидным образом вытекающие из вопроса! Не стоит, выбрав в качестве вопроса «Ваш возраст» или «Девичья фамилия матери», правдиво отвечать на них — для подбора первого необходимо менее полусотни попыток, а ответ на второй можно незаметно выведать в дружеской беседе. Лучше сделайте ответ совершенно не соответствующим вопросу — скажем, ответьте «я Кощей Бессмертный» или «я знаю, вы не узнаете». Только не забудьте, что ответили…

Правила сохранения пароля в тайне при работе с почтовым ящиком незамысловаты, но их все же стоит перечислить.

  • Предотвращайте доступ к вашему компьютеру тех, кто может похитить пароль. В большинстве почтовых клиентов пароли на доступ к почтовым ящикам хранятся либо в открытом, либо в плохо защищенном виде. Так, пароли, сохраненные в Microsoft Outlook Express, легко вывести на экран с помощью утилиты Fidolook.
  • Если вы подключаетесь к Интернету не путем прямого соединения с провайдером, а через корпоративную или «домовую» сеть, то недобросовестные администраторы или даже другие пользователи этой сети могут похитить ваш пароль на доступ к почтовому ящику путем «перехвата трафика», то есть скопировав себе на компьютер все данные, передаваемые вами в Интернет, и вытащив из них пароли (они ведь передаются из вашего браузера на почтовый сервер, не так ли?). Для такого перехвата есть специальные программы. Чтобы защититься от них, можно использовать специальный протокол SSL, поддерживаемый некоторыми почтовыми сервисами (например, http://www.hotbox.ru).

Если вы работаете с общедоступных компьютеров:

  • никогда не сохраняйте пароли в установленных на них почтовых программах, а еще лучше — пользуйтесь веб-интерфейсами почтовых сервисов;
  • избегайте сохранения паролей в cookies (отметка «Сохранить пароль» на странице входа), иначе те, кто воспользуется компьютером после вас, смогут поработать и с вашим ящиком;
  • при вводе логина и пароля на вход в почтовый ящик в веб-интерфейсе почтового сервиса отказывайтесь от предложения браузера сохранить пароль — иначе сохранится он отнюдь не только для вас;
  • работая с веб-интерфейсами почтовых сервисов, лучше всего использовать функцию «Чужой компьютер» (если она есть), при ее включении пароли сохраняются не в cookies, а в особой переменной, уничтожающейся при закрытии всех окон браузера;
  • не забывайте нажимать на кнопку «Выход» из веб-интерфейса к почтовому ящику при завершении работы с ним, при этом почтовый сервис «забывает» о вашем браузере, и для повторного входа потребует ввести логин и пароль;
  • по завершении работы не поленитесь очистить «Историю» и кэш браузера, а также «Автозаполнение» форм: если страницы почтовой службы закэшируются, то те, кто сядет работать на вашем компьютере после вас, смогут, пользуясь «Историей» и кэшем, по меньшей мере почитать ваши входящие и исходящие письма. Автозаполнение вполне может подсказать им как минимум логин для входа в вашу почту, если не пароль. Кроме того, завершив работу на общедоступном компьютере, закройте абсолютно все открытые окна браузера.

Если вы отправляетесь в путешествие и планируете пользоваться услугами Интернет-салонов, то перед отъездом зарегистрируйте себе еще один ящик на каком-либо почтовом сервисе и поставьте на его адрес перенаправление с вашего основного ящика (не «сборщик почты»!). Это нужно на случай, если злоумышленник поставит на компьютер салона программу-клавиатурный шпион (например, HookDump) и тем самым узнает пароль на вход в ваш ящик. Если ящик, взломанный таким способом, будет у вас единственным, то проблема окажется весьма серьезной. А если взломанный ящик был лишь «отпускным», то по возвращении достаточно будет убрать перенаправление из основного ящика, чтобы ликвидировать последствия «взлома». Разве что пришедшая почта может быть потеряна.

Книга седьмая. Око за око

Выполняя перечисленные выше рекомендации, вы выступаете в роли защищающегося, а спамер, вирусописатель или пакостник — в роли атакующего. Однако, как известно, лучшая защита — это нападение, в нашем случае — ответный удар. Нет, не ответным спамом или «почтовыми бомбами». Во-первых, вам могут ответить тем же, во-вторых, как-то не очень достойно все это…

Лучше попытаться выследить злоумышленника — выявить, через какого провайдера он работал, с какого IP-адреса. Ну, а потом можно связаться со службой сервиса провайдера и потребовать от нее прекратить деятельность вредителя. С учетом наличия практически у всех провайдеров автоматических определителей номера это будет довольно просто.

«Вычислить» вредителя можно таким способом.

1. Для начала внимательно изучите заголовок нежелательного письма. В Microsoft Outlook Express это можно сделать, выделив письмо в папке и выбрав из меню правой кнопки мыши пункт «Свойства > Подробности». Аналогичные средства есть и в других почтовых клиентах, а также в веб-интерфейсах почтовых сервисов (иногда нужная команда называется «Источник»). В заголовке письма записывается весь его путь через цепь почтовых серверов. Запись ведется снизу вверх, то есть каждый новый почтовый сервер помещает информацию о себе в самое его начало.

2. Найдите в заголовке письма самый нижний абзац из начинающихся словами «Received: from». Самая верхняя строчка — это обычно «Return-Path» или «From», обратный адрес письма. При нажатии кнопок «Ответить», «Ответить отправителю» в почтовых клиентах именно на этот адрес отправляется ответ. Но: в письме злоумышленника здесь может быть что угодно. Поэтому не стоит принимать его во внимание. В конце концов, рассылка спама может быть провокацией, направленной на дискредитацию честного производителя, а при отправке вирусов или пакостей тем более под ответный удар подставят кого-то невинного. Поместить в письмо липовый обратный адрес легче легкого — в Microsoft Outlook Express он указывается в настройках учетных записей, а в The Bat! вообще вписывается в текст письма отправителем.

Чтобы выследить сетевого бандита, вам нужен самый нижний абзац заголовка письма, в котором есть слово «Received». Это — запись самого первого почтового сервера, на который автор письма отправил его со своего компьютера. Именно ее и надо изучить. Сказжу сразу — максимум, что можно узнать из заголовка письма, это IP-адрес отправителя и время отправки письма. По этому IP-адресу можно вычислить координаты первичной сети (провайдера, локальной сети в офисе, университете, Интернет-кафе и т. д.), ее местонахождение, а также контактную информацию владельцев и администраторов.

3. Если в этом абзаце есть текстовый адрес, можно проанализировать его и определить, через какого провайдера подключался отправитель, посетить сайт провайдера и связаться с его службой поддержки.

Как вы помните, в поле «Received:» включается адрес компьютера, с которого письмо было отправлено (если отправляющий письмо почтовый сервер этот адрес определил). Этот адрес может содержать только IP-адрес, а может — и текстовое имя компьютера, обычно представляющее собой доменное имя четвертого-пятого уровней. В последнем случае это имя будет принадлежать зоне провайдера — обычно веб-сервер провайдера размещается на входящем в эту зону имени второго уровня: например, если адрес компьютера-отправителя — dialup4546.dial.provider.ru, то логично ожидать, что на адресе http://www.provider.ru окажется и сайт провайдера.

Все, осталось только посетить сайт провайдера, узнать на его страницах e-mail службы противодействия незаконным действиям (обычно ее адрес имеет вид abuse@provider.ru) и переслать письмо на него как вложение. Именно как вложение — с помощью соответствующей функции почтовой программы. Иначе в пересылаемое письмо не войдет его заголовок, что обесценит пересылку. Сотрудники службы изучат заголовок письма, посмотрят в лог-файлах сервера, с какого номера телефона и каким пользователем оно было отослано, а затем примут меры (могут запретить доступ к своим модемным пулам с этого телефона).

4. Если текстового адреса компьютера отправителя в заголовке письма нет, то отыскать в той же строке IP-адрес злоумышленника. Если и там IP-адреса нет, то посмотреть расположенный выше абзац, начинающийся словами «Received: from» и взять адрес оттуда. Запомнить или записать найденный IP-адрес.

5. Узнать из базы данных Whois, к какой сети принадлежит компьютер злоумышленника и связаться с ее службой поддержки. Если текстовый адрес компьютера указывается в заголовке письма не всегда, то IP-адрес присутствует там куда чаще. Подделать его непросто — обычный спамер или вредитель нечасто располагает средствами для этого. Поэтому по IP-адресу компьютера отправителя можно определить сеть, в которую этот компьютер входил в момент отправки письма.

Если в заголовке письма нет указаний на сеть, в которую входит компьютер бандита, то следует посетить сайт RIPE http://www.ripe.net и воспользоваться базой данных Whois по IP-адресам. В полученной из базы данных информации будет несколько ссылок на координаты администратора сети, ее владельца, в общем — тех, кто за эту сеть отвечает. Эти данные всегда верны -ведь именно по ним RIPE связывается с администрацией сети по техническим вопросам. Так что посмотрите отчет поближе — наверняка и e-mail найдете, и телефон.

Дальнейшие действия те же — отправка письма администратору сети с вложенным письмом злоумышленника. Пусть наводит порядок.

Разумеется, можно не за-труднять себя расшифровкой текстового адреса, а сразу обратиться к базе данных http://www.ripe.net. Найти IP-адрес в заголовке будет непросто, если сеть, откуда письмо было отправлено, сложноструктурированная. Анализ заголовка может ничего не дать, если письмо отправлено через специальный сервер отправки анонимных писем или с помощью особой программы. Но в любом случае можно определить IP-адрес первого неподконтрольного негодяю сервера и, если ситуация достаточно серьезная, отправить его администрации просьбу помочь выследить вредителя.

* * *

Не бойтесь «сетевых опасностей». Они не опаснее реальной жизни. Но все же готовьтесь к войне, и будете жить в мире.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *