¡Hola!En publicaciones anteriores, hablamos sobre las capacidades antispam del sistema. Hoy quiero referirme a los problemas de seguridad, así como hablar sobre las novedades del sistema en el pasado.Recordaré brevemente cómo funciona esto. Al usuario del recurso de correo se le proporciona no solo una dirección de correo, por ejemplo, usuario@sitio.ru , sino también un espacio de direcciones, dentro del cual puede crear cualquier dirección que yo llame dinámica.
En el ejemplo que se muestra en la figura, la dirección dinámica actual 1.user@site.ru se puede cambiar a cualquier otra en cualquier momento. Esta dirección acepta mensajes de todos, incluso a través del formulario de comentarios (FOS).Un poco más sobre el sistema.Al usar el sistema, el usuario obtiene libertad de acción:- abrir / cerrar la dirección principal user@site.ru para la recepción;
- abrir / cerrar el FOS en la recepción, ajustar la complejidad del CAPTCHA;
- , , 1.user@site.ru abc.user@site.ru, .. « » « » , « »;
- « » , « », « ».
-, .. , .
habr.com/ru/post/317038/ habr.com/ru/post/347606/ Fraude
Las técnicas modernas para el primer contacto con un usuario desconocido no son perfectas. Ahora propongo no plantear el problema de las redes sociales y los mensajeros instantáneos, a los que una cierta parte de los usuarios se ha reorientado para organizar comentarios completos con ellos con la esperanza de deshacerse del correo no deseado y el phishing. También envían spam allí ... en un grado razonable, de lo contrario, comenzará la salida de la audiencia de estas redes y mensajeros instantáneos. Tampoco hablaremos sobre la búsqueda cuando nos registremos en ellos con referencia a un teléfono móvil (de hecho, "Internet por pasaporte"), transfiriendo información personal a terceros y humillando la espera de una invitación después de solicitar ser amigos de alguien.Hablemos del correo electrónico que tiene cada usuario. Por lo tanto, si escribimos al correo electrónico proporcionado en el sitio de forma abierta, entendemos que el buzón del destinatario es spam, y no hay garantía de que nuestro mensaje sea leído. Ni siquiera sabemos con certeza si se recibió el mensaje, porque puede aparecer en la carpeta de correo no deseado o eliminarse permanentemente por el filtro de correo no deseado.Los recursos de Internet que usan FOS, al menos informan que el mensaje enviado ha sido recibido, pero también entendemos que la probabilidad de que este mensaje llegue a la bandeja de entrada está lejos del 100%, porque el formulario lo reenvía a un buzón normal ...Este inconveniente es utilizado por estafadores, artistas negligentes, gerentes y funcionarios, buscadores de ideas, proveedores. Siempre tienen la oportunidad de "esconderse" del problema del spam.Caso de estudio: , 3 , , , , . : « email». : « ». — « ». . - , , .
Dado que no hay una carpeta de spam en el sistema de "correo electrónico dinámico", el remitente puede estar seguro de que su mensaje cayó en la bandeja de entrada del destinatario, por supuesto, si no hay un mensaje de error de entrega. El destinatario también es consciente de esto, y su "silencio" se vuelve más que elocuente.Mi opinión subjetiva: la cuestión de asignar un estado legal al correo electrónico, que se ha discutido durante mucho tiempo, permanecerá abierta mientras haya una carpeta de correo no deseado en los clientes de correo electrónico de los usuarios.Competencia desleal
Los propietarios del sitio deben haber encontrado ofertas similares:- ? . , . - . . email .
Cualquiera puede enviar spam a cualquier correo electrónico (los motores de búsqueda le dirán cómo). Lo más probable es que este correo electrónico ya esté "destacado" en algún lugar. Recursos como hunter.io te ayudarán a descubrirlo. Si no está "iluminado", esto se puede solucionar fácilmente enviando al sitio a través de FOS una oferta que "no se puede rechazar" o una solicitud como "¿Hay lo mismo, pero con botones de perlas?". Si responder o no esa llamada es una gran pregunta. Los usuarios experimentados prefieren no responder, conscientes del alcance de posibles pérdidas materiales y de reputación. Ellos entienden que una vez que una dirección de correo electrónico desacreditada se convierte en una "bomba de tiempo" mientras dura su existencia. Hay una contradicción: entregue sus contactos a cualquier persona para que se comuniquen, pero ocúltelos de todos para evitar el spam.El correo electrónico dinámico puede hacer frente fácilmente a tal problema. Para mantener una reputación, es suficiente responder a un mensaje recibido a través de la FSF desde una dirección inexistente, por ejemplo, desde la dirección do_not_reply_to.user@site.ru , como si insinuara que el tema no es interesante. Si el tema es interesante, debe responder desde una dirección dinámica, sin dejar que el atacante tenga la oportunidad de averiguar el "correo electrónico principal de la organización".Suplantación de identidad
De una entrevista con el jefe del Grupo IB, Ilya Sachkov, a la Fundación Roscongress (PRIME):Desde el punto de vista de los problemas más serios que puede recibir un usuario, el correo electrónico sigue siendo la principal forma de entregar código malicioso o correos electrónicos de phishing.
Percibo la frase de un experto respetado como un reconocimiento de la imposibilidad de resolver el problema con los medios disponibles. El problema, en mi opinión, no se puede resolver si el atacante conoce la dirección de correo electrónico. Si saben dónde está la puerta, intentarán abrirla. Hay muchos ejemplos de esto. Esta es una lucha interminable entre intelectos y tecnologías artificiales y humanas. Desafortunadamente, los atacantes siempre estarán un paso por delante. Mientras la comunidad en línea está discutiendo algo nuevo, los atacantes logran encontrar lagunas. El tema es serio. Recientemente leí en las noticias sobre Habré :Más de 100 millones de correos electrónicos de phishing se bloquean todos los días en Gmail
El problema del phishing para un usuario se ve agravado por una corriente loca de información entrante, cuyo procesamiento el cerebro humano no siempre tiene tiempo para hacer frente. Como señaló el Dr. Kurbatov en un desayuno de negocios en Davos , al cerebro le toma unos 23 minutos cambiar del modo de percibir la información al modo de procesarla.En otras palabras, si una persona común en 21 horas recibe 21 mensajes entrantes con un intervalo de 23 minutos, no podrá procesar y organizar esta información.Pensar se vuelve estereotipado, estereotipado, cerebro latente
En esos momentos, el usuario puede cometer un error sin notar, por ejemplo, una diferencia de un carácter en la dirección del remitente. El usuario puede enviar correos electrónicos dinámicos, no, sin mencionar el hecho de que el usuario no tiene que recibir correos electrónicos no deseados con un intervalo de 23 minutos. Para que se produzca el ataque, debe conocer la correspondencia de las direcciones del remitente y del destinatario, y aún mejor, obtener acceso al buzón del remitente.Broma. . . :
– ?
– , !
– ?
– .
– , , !
– , … ( )
– , , , .
– , !
– , ?
Rociar contraseñas y fuerza bruta
La indiscutible debilidad del correo electrónico (y no solo eso) es la coincidencia del correo electrónico con el inicio de sesión. Otro problema: cualquier servidor de correo sugiere la posibilidad de conectarse a través del protocolo POP3, que proporciona solo dos comandos para la autorización USER y PASS , es decir. inicio de sesión y contraseña. No se trata de ninguna autorización de dos factores. Si un atacante conoce el correo electrónico de alguien, automáticamente tiene información sobre el servidor de correo y el inicio de sesión. Lo siguiente es una cuestión de tecnología.Para casos importantes, puede aplicar una autorización especial en el recurso de correo y olvidarse de peligros tales como el uso de contraseñas y la fuerza bruta. También complicará los ataques MITM.Ejemplo: user@site.ru - dirección principal, 1.user@site.ru- dinámico, my_pin.user@site.ru - para autorización. Como resultado, obtenemos una especie de autorización de dos factores y un mecanismo de advertencia adicional sobre intentos de piratería. Es extremadamente difícil conseguir un buzón con tal protección, a pesar de la posibilidad de usar contraseñas más simples.Para casos críticos, incluso puede utilizar la autorización dinámica, trabajando según el principio de una alarma de automóvil con retroalimentación, es decir. nuevo inicio de sesión para cada sesión de comunicación posterior con la contraseña sin cambios. ¿Qué no es una opción de trabajo? Si al paciente se le diagnostica manía de persecución, esto no significa que no se lo esté siguiendo.Boletines informativos
Los boletines son peligrosos porque sus mensajes contienen muchos enlaces a recursos, así como la posibilidad de un ataque en nombre de una marca, por ejemplo, la Organización Mundial de la Salud. Hoy en día, muchas personas entienden que hacer clic sin pensar en los enlaces del mensaje recibido es peligroso, pero no todos se dan cuenta de que el enlace "darse de baja del boletín" no es menos peligroso.. De hecho, esta es la misma suplantación de identidad (phishing) con algunas características: el usuario no está llamado a realizar ninguna acción, está indignado por el mensaje recibido injustamente, relajado por la posibilidad de corregir la situación (haciendo clic en el enlace). El resultado de la cancelación de la suscripción no es predecible. Los usuarios pueden ser dirigidos al sitio de clonación. Permanece sin protección contra el robo o la venta de datos personales. Es prácticamente imposible establecer la fuente de la fuga y castigar al "delincuente". TristeEl correo electrónico dinámico corrige la situación aquí: no necesita hacer clic en los enlaces, el culpable de la fuga se calcula por la correspondencia de las direcciones del remitente-receptor, y la fuga de datos personales en sí misma no importa mucho. Es bueno que el culpable de la fuga sea fácil de castigar convirtiendo su correo electrónico en su base de datos en basura digital con un simple clic de un botón.Pseudo-minería
Hay mucha información sobre este tema, por ejemplo: Tsunami de "minería" falsa: lo que se sabe y cómo vivir ahora .Una cita interesante de esta publicación:Recientemente, una nota curiosa comenzó a aparecer en los mensajes de hooligan: “Recuerden el Código Penal de la Federación de Rusia 205.6. No informar un delito ". Tal artículo del Código Penal sí existe y enfrenta una multa de hasta cien mil rublos, así como prisión de hasta un año.
La singularidad de la situación radica en el hecho de que el atacante logra el máximo resultado al menor costo y riesgo de ser detectado: cualquier motor de búsqueda lo ayudará a hacer una lista para el ataque, simplemente escriba "escuela", "centro comercial", "tribunal", etc. en el sitio de casi cualquier organización, el correo electrónico se presenta en texto claro; Algunos de los ajustadores del filtro de correo no deseado se arriesgan a enviar mensajes sobre minería a la carpeta de correo no deseado, es más fácil transferir la responsabilidad a otra persona.No podemos hablar de pérdidas materiales y psicológicas de tales ataques. Para resolver el problema, solo necesita ocultar el correo electrónico de la organización y enviar al atacante a la FSF.El atacante es consciente de que enviar mensajes a través de la FSF simplifica enormemente el proceso de investigación de casos de acceso falso. El proceso de bloqueo de llamadas a FOS, que desde anonimizadores, desde cualquier dirección IP, es mucho más delicado que el bloqueo de recursos como startmail.com y protonmail.com, que solían enviarse mensajes sobre minería. Mail.ru también llevó a cabo ataques, pero por alguna razón no se realizó el bloqueo de este recurso. ¿Por qué no el Ministerio de Educación presenta un sistema de este tipo con un solo centro para el análisis de la información entrante? El costo de su implementación es diez veces (si no cientos) menos que las pérdidas financieras de las pseudo-minas solo el año pasado.Trolls y Odiadores
Estos representantes de la flora y la fauna son un dolor de cabeza para VIP y cualquier figura pública. Ser 100% agradable e interesante para todos no es realista, pero "todos pueden ofender a un artista". El usuario del correo electrónico dinámico regula exclusivamente de forma independiente su "apertura" al mundo. Para mantenerse en contacto solo con viejos amigos por tiempo indefinido, es suficiente: cierre el FOS para la recepción, cierre la dirección principal de la recepción y cambie la dirección dinámica. Después de este procedimiento, puede subir a su casa de manera segura y hacer negocios sin ser distraído por todo tipo de "pequeñas cosas". El usuario decide qué etiqueta colgar "en la puerta" "¡No molestar!" o "¡No te despiertes hasta la primavera!".Guerra cibernética
El sistema está preparado para la guerra cibernética, es decir. ataques a los recursos o al estado en su conjunto. En el caso de un ataque al administrador o al algoritmo de recursos de correo, es suficiente cerrar todas las direcciones principales para la recepción y, posiblemente, a medida que la situación se desarrolle, cambiar a la fuerza las direcciones dinámicas de los usuarios al azar, notificándoles esto, por ejemplo, usando SMS. Dado que los atacantes están bloqueados antes de que los mensajes se descarguen al servidor, parece poco probable que sobrecarguen los canales de transferencia de datos y las capacidades de hardware con el tráfico entrante. En mi opinión, los sistemas modernos de filtrado de spam han pasado la cima de su desarrollo, por lo que deberían ser reemplazados por sistemas de bloqueo de spam. Este tema será cada vez más relevante a medida que se desarrolle 5G y se propague IoT. Un buen dicho: "El disco duro no es de goma".Ecología
¡Cómo sin ella! El tema de la seguridad ambiental emociona a todos. Daré solo un par de citas:- estadísticas del informe de ICF International y McAfee en abril de 2009: 62 billones de mensajes de "basura" se envían anualmente en el mundo, la generación de electricidad (más de 33 mil millones de kW / h), que se gasta en esto, da como resultado la emisión de más de 17 millones de toneladas de dióxido de carbono
- de un informe ambiental francés de 2011: el spam totalizó 73 billones de mensajes, o 17.800 mensajes por usuario de Internet por año
No busqué información más reciente, creo que hoy la situación no ha mejorado.Quién se beneficia
Si las pérdidas por spam y phishing en el mundo ascienden a decenas de miles de millones de dólares , entonces, de acuerdo con la ley de conservación, alguien debería ganar dinero con esto. Razoné sobre este tema y llegué a la conclusión de que es más fácil y correcto decir a quién el spam no es rentable, y así evitar el riesgo de decir "un ciclo de vida con clavos".Respuesta: el spam no es beneficioso para usuarios respetables
Gracias por su atención. Felicito a los empresarios por las vacaciones y a Habr, ¡feliz cumpleaños!También agradezco de antemano a todos los queridos lectores que responderán la pregunta al final de la publicación.