Как уберечь электронную почту от взломов: советы Андрея Новикова
Одним из ключевых каналов для хакерских взломов по итогам III квартала 2023 года остается электронная почта, сообщает Positive Technologies. Процент взлома почтовых ящиков частных лиц достиг 27%, а среди организаций показатель достиг 89%. Злоумышленникам легко удается завладеть персональными данными пользователей. И как говорят эксперты по кибербезопасности, самая частая тому причина — ошибки самих пользователей.
Даже с учетом этого фактора сократить количество инцидентов в области можно, уверен Андрей Новиков, который руководил направлением обеспечения безопасности данных пользователей крупнейшего в России сервиса электронной почты Mail.ru. Его решения и разработки позволили повысить сохранность аккаунтов, а также ускорить и упростить восстановление утерянного доступа пользователей к своим электронным почтовым ящикам. Какие ошибки чаще всего совершают владельцы аккаунтов, как их избежать, и как в этом им помогают сами сервисы — в интервью с Андреем Новиковым.
— Андрей, вплоть до 2019 года вы отвечали за вопросы безопасности почтового сервиса в компании Mail.ru Group – в то время им пользовались порядка 45 миллионов человек в месяц. Что входило в ваши задачи?
— В 2018 году, когда я работал в Mail.ru и развивал продукт “Почта”, компания определяла 4 ключевых направления: “Почта” должна быть безопасной, полезной, умной и современной. Команды в “Почте” поделили в соответствии с этими направлениями и определили ответственных за них. Я отвечал за направление “Безопасность”. В мои обязанности, в том числе входили активности по созданию удобных способов авторизации и быстрому восстановлению доступа к почтовому ящику, если пользователь его терял.
— Правда ли, что безопасность данных зависит в первую очередь от самих пользователей?
— Во многом это так. Проблема, с которой мы жили — и все сервисы с ней живут — заключалась в том, что большинство взломов почтовых ящиков происходило из-за повторного использования паролей: пользователи часто устанавливали одинаковые пароли для разных интернет-сервисов и магазинов, что упрощало задачу злоумышленникам. Когда база такого интернет-магазина утекает в сеть, злоумышленники используют пару “логин-пароль” из утекшей базы, чтобы проверить сработает ли она для почтовых ящиков, и таким образом подбирают пароли и взламывают почтовые ящики.
— Вы реализовали принципиально новый способ входа в аккаунт без пароля — об этом в 2019 году даже крупные федеральные СМИ писали, например, “Ведомости” и “Российская газета”. Почему пришлось изобретать что-то новое вместо того, чтобы просто убедить пользователей использовать более сложные пароли?
— У обычного человека действительно напрашивается вывод: надо заставить пользователей вводить сложные уникальные пароли, тогда их труднее будет взломать. Но фактически это не работает — чем строже наши требования к сложности пароля, тем меньше успешная конверсия в регистрацию пользователей. Тот пользователь, который пришел создать ящик на mail.ru после того, как мы запретим ему использовать простой пароль, просто плюнет и уйдет на Yandex или еще куда-то, чей сервис будет менее требовательный к паролю. Так что тут мы балансируем между потребностями бизнеса и безопасности пользователей. А еще, если мы заставляем пользователя менять пароль на сложный, он просто его забывает и теряет доступ к своему ящику, что также вредно и для юзера, и для бизнеса в целом.
Но мы решили пойти другим путём, если пользователям трудно использовать сложные пароли, может вообще отказаться от паролей? И наша идея была в том, что пользователь может отключить пароль в привычном их виде, а мы заменим их на то, что использовать также легко или ещё легче, не нужно запомнить, не возможно забыть или перепутать, а также украсть.
Так родилась идея проекта “аккаунт без пароля”, суть которого заключалась в том, что мы меняем авторизацию пользователя так, чтобы ему не приходилось использовать пароль, который ему необходимо придумать и запомнить. В качестве идентификации пользователя мы используем либо одноразовые коды, которые он получает по СМС или в Push сообщении, либо просто подтверждает свой вход через другое доверенное приложение установленное на телефоне.
На практике это работает так: вы вводите свой логин, нажимаете “далее”, система определяет куда вам можно послать одноразовый код для входа и высылает его, и вы его используете вместо пароля. Плюсы очевидны: пароль невозможно забыть, потому что его не нужно запоминать, каждый раз приходит новый код и его невозможно украсть.
Было довольно рискованно выпускать такое значительное изменение на всех пользователей mail.ru. Авторизация в аккаунт mail.ru это не только почта, но и другие проекты компании, и такие изменения потенциально затрагивали бы более 60 миллионов пользователей в месяц, тогда это было почти 9 из 10 пользователей всего российского интернета.
Мы не могли рисковать такой огромной аудиторией предварительно не убедившись в работоспособности и эффективности идеи, поэтому мы приняли решение обкатать механику на меньшей аудитории, проверить ее надежность и понять насколько новый способ авторизации будет понятен и удобен для пользователей и какие цифры мы сможем получить. Для этого мы запустили эксперимент, где попробовали предложить новый способ альтернативной авторизации пользователям, которые на этапе ввода пароля получают ошибку авторизации, это означало что пользователь либо забыл пароль, либо спутал его с другим, либо ввёл не правильно, но так или иначе все три варианта не позволяли ему успешно авторизоваться, а мы в этот момент предлагали получить одноразовый пароль для входа. Так мы могли проверить новый способ на меньшей аудитории пользователей без риска для всего продукта, убедиться что этот новый способ работает, он понятен пользователю и даёт положительный результат.
В эксперименте участвовали 310 тысяч пользователей, для них мы на этапе ошибочного ввода пароля предложили войти по коду из СМС и в результате получили на 24% больше успешных авторизаций в почтовые ящики их владельцев.
Таким образом мы не только обезопасили пользователей от возможной утечки их паролей и, соответственно, взломов их почтовых ящиков, убрали проблему забытых паролей и заброшенных по этой причине ящиков, но и повысили конкурентное преимущество почты Mail.ru по сравнению с другими сервисами на рынке.
— Сейчас для многих пользователей так называемая двухфакторная авторизация — привычное дело, как на начальном этапе вы убеждали людей позаботиться о безопасности непривычным для них способом?
— Ещё в 2018 году мы запустили кампанию «Добавьте телефон», нацеленную на привязку телефонных номеров к профилям пользователей. При входе в свою “Почту” пользователь видел кнопку с такой надписью и мог в один клик зайти в меню, где можно было выполнить эту операцию. Стандартный порядок действий добавления телефона в аккаунт выглядел так, что пользователю нужно было пойти в настройки своего аккаунта, найти там соответствующий раздел, вписать в него свой номер и подтвердить его с помощью СМС, которое на этот номер придёт.
Звучит довольно просто, но обычно пользователи не думают о безопасности, если о ней не напоминают. Поэтому мы сделали простое и действенное решение, мы реализовали простой промоблок, который после успешной авторизации пользователя в свой ящик, висел над списком писем и давал возможность пользователю быстро вписать свой номер телефона и подтвердить его с помощью СМС. Так мы смогли существенно, на 10%, увеличить число пользователей с привязанными телефонами в почте и повысили безопасность их аккаунтов. Это был большой успех для нашей команды и значительный шаг в повышении безопасности для большого количества пользователей.
— В этом году за ваш вклад в развитие российского сегмента интернета вас пригласили выступить судьей на “Премии рунета 2023” – это общенациональной конкурс, который собирает лучших специалистов в области высоких технологий. Какие интересные проекты из области безопасности в интернете вам особенно запомнились?
— В этом году мероприятие было посвящено последним достижениям в сфере цифровых технологий, социальных медиа и онлайн-образования. Я голосовал в наиболее близких для себя номинациях “Детский Рунет” и “Экономика и Бизнес”. Несколько классных проектов, о существовании которых раньше не слышал, я обнаружил в номинации “Детский Рунет”. Один из них освещает тему детского буллинга и позволяет лучше разобраться в ней. Причем он будет полезен как родителям, так и детям.
Другой интересный проект призван повысить безопасность ребенка за счет сокращения времени реагирования на потенциальную угрозу, поскольку на помощь ребенку, оказавшемуся вдруг в опасной ситуации придут не только официальные службы, но также и добровольцы, которые оказались рядом. В целом я был приятно удивлен уровнем проектов представленных на премию и считаю, что это важное мероприятие, которое помогает отметить достижения в области российского интернет-сообщества.
— Андрей, как эксперт, который смог существенно повлиять на безопасность аккаунтов миллионов пользователей почтового сервиса, дайте несколько советов, как обезопасить свои личные данные в интернете?
— Первое и, вероятно, одно из самых важных правил — начните использовать менеджер паролей. Если мы посмотрим на современные исследования, то увидим, что в среднем обычный пользователь должен помнить пароли как минимум от 30-40 сервисов и сайтов, очевидно что без помощи специальных программ не обойтись. Крайне важно использовать разные пароли на разных сайтах и сервисах. Запомнить их все невозможно, поэтому менеджер паролей — неотъемлемая часть цифровой безопасности.
Второе важное правило — везде, где это возможно, используйте двухфакторную авторизацию. Тут статистика говорит сама за себя — согласно отчету компании Duo Labs, в 2021 году аккаунты, защищенные 2FA, были взломаны в 99,9% случаев реже, чем аккаунты без 2FA. В большинстве случаев, если злоумышленник сталкивается с ней, он отказывается от попытки взлома, поскольку это становится слишком сложно и дорого. Если вы обычный пользователь и не политик или журналист, скорее всего, сложность взлома вашего аккаунта будет неоправданно высока для злоумышленника.
И третье важное правило — ознакомьтесь с основными методами злоумышленников: фишинг и социальная инженерия, которые подталкивают пользователя самому предоставить свои данные. Поэтому ни в коем случае не переходите по подозрительным ссылкам из мессенджеров, почты или в интернете и не вводите свои данные на поддельных сайтах, которые мошенники делают очень похожими на оригиналы. И ни в коем случае не называйте свои пароли, включая пароли от интернет-банка и другие важные данные людям, которые звонят вам по телефону. Независимо от того, кем они представляются и насколько убедительны. По последним данным количество фишинговых атак растет из года в год в среднем на 22%.
