Технологическая специфика электронной почты такова, что потенциально она легко взламывается. И пока технологию доставки email не изменят, можно ожидать большого числа взломов и множества скандалов.

Атаки хакеров

В последнее время в СМИ настолько часто писали о взломах email, что об этом даже нет смысла говорить. Так, у всех на слуху взлом ящика Национального комитета демократической партии, а также комитета по выборам в Конгресс. И попробуйте найти хоть одного журналиста, который не прочитал как минимум несколько тысяч страниц приватных писем Джона Подесты (John Podesta), ответственного за предвыборную кампанию Клинтон, которые были выложены как раз перед выборами.

Большинство экспертов в области безопасности соглашаются с тем утверждением, что за этими атаками стояла Россия в попытке сорвать предвыборную кампанию Клинтон. Но даже если отставить в сторону спонсорское участие и заинтересованность РФ, сами по себе взломы не являются чем-то необычным. Утечка данных с учетной записи Сары Пэйлин в Yahoo произошла в 2008 году. Некто неизвестный взломал аккаунты AOL семейства Буша в 2013 г. Всевозможная внутренняя корреспонденция Sony Pictures была опубликована в 2014 г. При этом вам не обязательно быть политиком или многонациональной компанией, чтобы попасть под удар. Огромное множество людей оказываются мишенью хакеров и фишеров каждый день.

Как бы то ни было, но Пенс легко отделался. Нападавшие, которые в конечном итоге использовали персональные данные и контакты Пенс, чтобы попытаться похитить деньги, возможно, не осознали всю ценность находки, или, что более вероятно, видели большую ценность в наличных, чем во внутренних документах политической партии. Но их мотивы в контексте данного материала не имеют значения. Важно то, что эти атаки —  не исключение из правила, а и есть само правило, которое гласит: если вы используете электронную почту, то в конце концов будете взломаны.

Специфика человеческой натуры

Давайте начнем с очевидного правила: персональной электронной почте нет места в государственной деятельности. С юридической точки зрения, все государственные и федеральные служащие должны вести журнал своих сообщений. Того требует правила прозрачной деятельности. Учетные записи правительственной электронной почты оставляют цифровой бумажный след, и как общественность, так и журналисты могут потребовать к ней доступа. Личный экаунт этого не позволяют, потому что вы можете даже не знать, что он существуют у госслужащего.

Не менее важно, что они не обеспечивают безопасность учетной записи .gov. С точки зрения базовой безопасности, каждый, кто работает в госорганах, не должен использовать Yahoo или Gmail или AOL, или что-нибудь еще. Несмотря на это, государственные должностные лица продолжать пользоваться личной электронной почтой. Так делаете вы, и так делают почти все, переключаясь между рабочей почтой в Outlook, и личной в Gmail. Мы все это делаем по той же фундаментальной причине: для нас так намного проще. И это вдвойне верно для людей, которые работают в жестко контролируемых средах, где драконовские ограничения по доступу и вложениям могут сделать ведение журнала по работе с электронной почтой не столько полезной, сколь проблематичной.

«Если бы мне было очень сложно получить доступ к рабочей электронной почте, или я бы испытывал трудности с отправкой больших вложений, то, как здравомыслящий пользователь, я бы просто использовать свой аккаунт Gmail, — отметил Джозеф Бланкеншип (Joseph Blankenship), аналитик Forrester Research по вопросам безопасности. —В этом случае вы оказываетесь вне политики безопасности, но также и вне средств защиты, которые она обеспечивает».

Может есть другие способы? Например, VPN? Нет, спасибо. Новый пароль каждые три месяца? Нет. Обязательная двухфакторная аутентификация? Тоже нет. Стимул для обхода рабочей электронной почты возрастает прямо пропорционально строгости мер безопасности. И поэтому в силу особенностей человеческой натуры — ее стремления идти путем наименьшего сопротивления — руководители компаний, политики, юристы начинают искать обходные дороги.
Теперь, конечно, вы можете понять, почему политики прибегают к использованию Gmail, Yahoo и даже AOL. И как только это происходит, риск возрастает в геометрической прогрессии.

Опасность взлома

Gmail, Outlook  и все остальные сервисы используют новейшие инструменты, чтобы защитить вас от хакеров. Они пытаются обезопасить вас по максимуму, хотя иногда и случаются проколы, как с недавней утечкой в Yahoo. Но высокий уровень защиты, скажем, Gmail, может внушить ложное чувство безопасности. Отдельные пользователи могут столкнуться с огромным риском, особенно если речь идет о политиках высокого ранга, уровня губернаторов или кандидатов в президенты. «Возьмите для примера любой бесплатный сервис электронной почты. Все они имеют веб-интерфейс и, как правило, не требуют какой-либо дополнительной аутентификации, кроме имени пользователя и пароля,» — говорит Бланкеншип.

Для продвинутого хакера или специалиста по социальной инженерии подбор имени пользователя и пароля не представляет больших сложностей. Киберпреступники располагают для этого широким пулом методик, последовательно перебирая в качестве пароля имена членов семьи, любимой спортивной команды, дни рождения, и так далее. И хотя в Gmail есть своя платформа безопасности, тем не менее, веб-интерфейс сервиса означает, что любой человек может попытаться взломать учетную запись другого.
Конечно, многие сервисы предлагают опциональную двухфакторную аутентификацию. Однако следует помнить, что главная привлекательность персонального эккаунта электронной почты заключается в именно небольших ограничениях в области безопасности. К тому же, слишком часто политики знают о кибербезопаности крайне мало. Так, пресс-секретарь Дональда Трампа Шон Спайсер минимум два раза по неосторожности написал в своем Твиттере то, что скорее всего является его паролем.

И все же, прежде чем вы воспользуетесь более простыми путями, хакеры могут поставить под угрозу вашу учетную запись электронной почты. В сложной фишинговой атаке вы можете ошибочно принять вредоносное электронное сообщение за письмо от доверенного друга. Ваша безопасность будет зависеть от того, нажмете ли вы на вложенную ссылку. В спешке, вы можете автоматически щелкнуть по ней, особо не вдумываясь.

Есть ли свет в конце тоннеля?

Ввиду всех вышеупомянутых причин, не следует ожидать, что поток взломанных учетных записей email снизится до единичных случаев в ближайшем будущем. Общественные деятели всегда будут использовать электронную почту. И она всегда будет привлекательной целью. Посему эра взломов email только начинается, и не закончится до тех, пока мы не исправим все ошибки в методике её использовании. Или пока не исправим себя.

Материал PCWEEK