Pull to refresh

Радости обладания коротким емейл-адресом

Reading time 4 min
Views 12K
Original author: Brian Krebs
Если у вас есть короткий емейл-адрес у популярного емейл-провайдера, вы непременно будете получать горы спама, а также немало предупреждений о том, что разные случайные люди пытаются получить к нему доступ. Если имя вашего емейл-адреса короткое и достаточно привлекательное, из-за этой возни учётная запись перестаёт быть надёжной для повседневных коммуникаций, потому что важные письма будут погребены под горой остальных. Однако у этой ситуации есть и неожиданная сторона: случайные люди периодически используют ваш адрес так, как будто он принадлежит им, при этом частенько с достаточно «чувствительными» онлайн-сервисами.

Около 16 лет назад – когда для получения новой учётной записи в Google нужно было, чтобы тебя пригласил существующий пользователь – я смог обзавестись очень коротким емейл-адресом, который ещё никто не зарезервировал. Не буду указывать его здесь, поскольку это лишь увеличит гору спама и количество попыток взлома, скажу лишь, что он связан с компьютерным взломом.

Такие короткие имена учётных записей называют «OG», что расшифровывается, как «original gangster» [или «original gametag» / прим. перев.]. Эти учётки ценятся достаточно высоко в определённых кругах, члены которых пытаются взломать их для личного пользования или перепродажи. Отсюда и постоянные напоминания.

Однако меня не перестаёт удивлять количество людей, считающих хорошей идеей указать мой емейл при регистрации в онлайн-сервисах. Моя учётка невольно подписана практически на все существующие сайты знакомств и порнографии. Этого, вероятно, следовало ожидать.

Что меня поражает, так это количество финансовых и иных чувствительных сервисов, к которым я мог бы получить доступ, будь я злоумышленником. У моего адреса есть учётные записи, которых я не собирался заводить, в таких сервисах, как H&R Block, Turbotax, TaxAct, iTunes, LastPass, Dashlane, MyPCBackup и Credit. Я уже потерял счёт количеству банков, провайдеров интернета и веб-хостингов, в которые я могу залогиниться.

Меня не устаёт поражать, какое количество других пользователей Gmail и других крупных вебмейл-провайдеров решили использовать мой адрес в качестве запасного, на случай, если они потеряют доступ к своему почтовому ящику. Почти наверняка они просто поленились и вбили название моего адреса, пришедшее им на ум, когда их спросили насчёт резервной почты – видимо, не полностью понимая потенциальные проблемы такого подхода. Когда я проверял в последний раз, мой адрес был зарегистрирован в качестве запасного в десятке учёток на Yahoo, Microsoft и других Gmail-адресов и соответствующих им сервисов обмена файлами.

Если по какой-либо причине мне захочется заказать еду или доставку лекарств, мне пригодятся мои фантомные учётные записи в Chewy, Coupaw и Petco. Если сломаются какие-то компоненты гриля Weber, я обеспечен ими по гроб жизни. Письма от Weber, которые я периодически получаю, напоминают мне о статье, которую я много лет назад написал для The Washington Post – о компаниях, отправляющих письма с адресов типа [companynamehere]@donotreply.com, не задумываясь о том, что такой домен кому-то может принадлежать. Некоторые поступали таким образом, часто с забавными результатами.

Вероятно, хорошо, что я не увлекаюсь компьютерными играми чрезмерно, поскольку невозможно перечислить количество учётных записей, связанных с играми (в т.ч. азартными), к которым я имею доступ через мою старую почту на Gmail.

Несколько лет подряд, до недавнего времени, я получал ежемесячные отчёты, предназначавшиеся пожилому мужчине из Индии, которого посетила гениальная идея использовать мою почту для работы со своими объёмными пенсионными накоплениями. К счастью, после того, как я с ним связался, он удалил мой адрес из своего профиля, хотя и не ответил на вопрос о том, как это могло произойти.

В конечном счёте я понял, что лучше не задавать таких вопросов. Многократно я тратил несколько минут, пытаясь понять, создавались ли емейл-адреса, использующие мой адрес в качестве резервного, людьми или какими-нибудь спам-ботами. И потом я отправлял им письма, если это были люди, с разъяснениями о том, почему это плохая идея, и с вопросами о том, что подвигло их на такие действия.

Возможно потому, что название моей почты на Gmail связано с хакерами, некоторые ответы оказывались достаточно неприятными. Несмотря на то, что к письму я прикладывал подробную инструкцию по тому, как исправить ситуацию, одна женщина из Флориды наорала на меня КАПС ЛОКОМ, заявив, что я пытаюсь её обмануть, и что её муж-полицейский скоро меня найдёт. Увы – я до сих пор получаю уведомления каждый раз, когда она заходит в свою учётку на Yahoo.

Вероятно, по той же причине, по которой дама из Флориды приняла меня за злонамеренного хакера, на мой адрес постоянно приходят запросы от случайных людей, желающих нанять меня для взлома чужих учётных записей. На такие письма я тоже не отвечаю, хотя признаю, что иногда в процессе прокрастинации такое искушение появляется.

Потеря доступа к своему почтовому ящику приводит к кошмарному каскаду других проблем. Иметь запасной емейл, привязанный к ящику – хорошая идея, но, очевидно, только если вы его тоже контролируете.

Что более важно, убедитесь, что пользуетесь наиболее безопасным вариантом многофакторной авторизации из всех, что предлагает ваш провайдер. Это могут быть одноразовые коды, отправляемые по почте, телефонные звонки, SMS или мобильное приложение, или более надёжная «двухфакторная авторизация» или 2FA (что-то, что у вас есть, и что-то, что вы знаете) – ключи безопасности или пуш-уведомления.

Одноразовые коды, отправляемые по емейлу, SMS или через приложение, считаются менее надёжными с точки зрения безопасности, потому что их можно обойти с применением разнообразных и хорошо проработанных сценариев атаки, от подмены SIM до мобильных вирусов. Поэтому имеет смысл пользоваться наиболее надёжными вариантами многофакторной авторизации. Однако всё равно учтите, что даже если посещаемый вами сайт предлагает только SMS и/или телефонные звонки, это всё равно надёжнее, чем простой пароль, на который вы полагаетесь для защиты вашей учётной записи.

Возможно, вы отложили вопрос включения многофакторной авторизации в важных для вас учётках, и если это так, посетите сайт twofactorauth.org, чтобы узнать, можете ли вы усилить безопасность своих записей.

Как я уже отмечал в одной из предыдущих статей, "Включите многофакторную авторизацию до того, как за вас это сделают мошенники", люди, не пользующиеся преимуществами дополнительной защиты, могут обнаружить, что им гораздо сложнее будет восстановить доступ к своим данным, когда их учётную запись взломают – поскольку воры всё чаще включают многофакторную авторизацию, привязывая учётку к устройству, которое они контролируют.
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+12
Comments 24
Comments Comments 24

Articles