Попробовать бесплатно
    30.11.2018

    Кому доверить свою почту: рейтинг безопасности популярных почтовых сервисов

    Самые популярные почтовые сервисы предоставляют отличный пользовательский функционал, постоянно его обновляют и совершенствуют. Однако, что насчет безопасности? Как Gmail, Yandex.Почта, Mail.ru и Yahoo! Mail заботятся о сохранности данных своих пользователей? Чтобы ответить на этот вопрос, мы проанализировали их меры безопасности и репутацию. Новости о сбоях, утечках, фишинге — ничего не ускользнуло от внимания специалистов аналитического отдела Falcongaze.

    4 место — Yahoo Mail

    Компания запустила почтовый сервис в 1997. В начале 2000-х клиентская база Yahoo! Mail выросла до десятков миллионов человек. К декабрю 2011 почтой пользовались 281 миллион человек, что на то время было третьим результатом в мире.

    В 2016 году Yahoo! Mail обнаружила две гигантские утечки, которые произошли в 2013 и 2014 годах. Сперва стало известно об утечке 2014 года, в которой взломали более 500 млн аккаунтов. Хакеры украли имена пользователей и их электронные почты, однако данные платежных карт остались нетронутыми.

    Далее Yahoo! выяснила, что в 2013 году также произошел взлом. Были украдены данные более чем 1 млрд учетных записей. Позже компания Verizon, частью которой Yahoo! стала в 2017 году, сообщила, что взломанных аккаунтов было гораздо больше – 3 млрд, то есть все пользователи сервиса на тот момент.

    Хакеры украли у пользователей персональную информацию, хешированные пароли, секретные вопросы и ответы. На протяжении нескольких лет преступники могли заходить в скомпрометированные аккаунты. Личности хакеров и то, как они организовали взлом — осталось тайной. Известно лишь, что инциденты не связаны между собой.

    Чтобы хоть как-то сгладить последствия, компания создала страницу-руководство для пострадавших. Также она пообещала выплатить $50 млн, чтобы компенсировать ущерб жертвам утечки. Хотя судья в Сан-Хосе Люси Кох не сочла такие меры адекватными и рациональными. Тем не менее, помимо выплаты компенсации, компания будет предоставлять услуги мониторинга 200 млн человек – жертв взлома в 2013 году.

    В 2019 году сервисы Yahoo вышли из строя на более, чем 7 часов. Работа многих компаний, которые пользовались услугами Yahoo оказалась парализована. Клиенты сервиса, которые оплатили премиум-аккаунт, потребовали денежной компенсации. Однако компания никак не отреагировала на запросы. 

    Сервис использует безопасное подключение через протокол https и сквозное шифрование. Инструмент SearchScan уведомит вас в случае, если вы посещаете зараженный вирусом сайт. Также сервис сообщает, если в письме обнаружен спам или фишинговое сообщение, или письмо, на которое вы отвечаете, подменили. Присутствует двухфакторная аутентификация – метод защиты, при котором при входе в аккаунт вводится дополнительный код. Он отправляется пользователю SMS-сообщением или генерируется в приложении.

    Мы отдаем Yahoo! Mail 4 место.

    3 место — Mail.ru

    Ресурс Mail.ru появился в 1998 и стал первым почтовым сервисом с русскоязычным интерфейсом. Ежемесячная аудитория Mail.ru, по данным компании маркетинговых исследований TNS, — более 25 миллионов пользователей. Mail.ru Group часто ругали за назойливое распространение дополнительных ресурсов, а их почту — за плохую работу антиспама.

    Так браузер «Амиго» распространялся в установочных пакетах других мейловских продуктов — пользователи не замечали его и соглашались на установку. Mail.ru Group маскировали свой браузер под файлы других приложений. Распыляло враждебность непростое удаление «Амиго» — в системе запускался фоновый процесс, который контролировал удаление софта. Если попытаться удалить браузер, он автоматически устанавливается вновь — приходилось менять системные настройки Windows. В 2018 году компания прекратила разработку «Амиго», а через некоторое время анонсировала выпуск нового браузера «Атом». Mail.ru пообещала пользоваться «чистыми» методами продвижения и больше взаимодействовать с пользователями.

    Mail.ru — лидер в СНГ и шестой во всем мире сервис по количеству клиентов, поэтому его так любят спамеры. В 2000-х почту ругали за работу фильтров спама. Поэтому компания вступила в войну с нежелательными сообщениями и даже переусердствовала в какой-то момент. В 2014 на «Хабрахабр» появилась запись про магические алгоритмы антиспама. Оказалось, что Mail.ru посылала домены честных отправителей в черный список.

    безопасность почты mail.ru

    безопасность почты mail.ru

    Еще в нулевых компания понимала, что если не остановить тонны спама, то можно попрощаться с лидерством. Первым этапом борьбы стал Антиспам Касперского и Real-time blackhole list — списком IP-адресов, связанных со спамерами. На первых порах количество нежелательных писем снизилось, но система не могла быстро справляться со спам-рассылками и нуждалась в апгрейде. Тогда компания начала разрабатывать собственные инструменты фильтрации — так появился Mail.Ru Anti-Spam Daemon.

    Скомпрометированные пароли Mail.ru не исчислялись сотнями миллионов, но одна неприятность случилась. Сентябрь 2014 вошел в историю как месяц тотального слива паролей для сервисов электронной почты, среди которых засветились 4,7 миллионов данных пользователей Mail.ru. Стоит отметить, что это была не целенаправленная атака, а результат долгого сбора скомпрометированных аккаунтов. В пресс-службе Mail.ru сообщили, что более 95% аккаунтов «ограничены в отправке почты, а их владельцам мы уже давно рекомендуем сменить пароль». Чтобы преступники не воспользовались такими базами, предусмотрена двухфакторная аутентификация.

    Также сервис сообщает о странных действиях на вашей почте. Например, поменялся пароль – вам приходит уведомление об этом. Есть функция распознания писем мошенников – такие письма сразу отправляются в спам. Если сервис обнаруживает, что вход в аккаунт выполнен с незнакомого устройства, то вам зададут контрольные вопросы. Также предлагается замена пароля токеном, отпечатком или одноразовым кодом. «Нет пароля – нечего взламывать», – пишут на сайте mail.ru.

    В 2019 году в работе почты произошел серьезный сбой. 80% пользователей столкнулись с проблемой входа в почтовый аккаунт, у 16% пользователей не работал сайт mail.ru. Сбой был устранен за несколько часов. В январе и ноябре 2020 года пользователи столкнулись с такими же проблемами. Сервис сработал оперативно и быстро их устранил. 

    Тем не менее тень старых проблем все еще заслоняет позитивные начинания, поэтому ставим Mail.Ru на 3 место.

    2 место — Yandex.Почта

    Конкурент Mail.Ru — Yandex.Почта — активно работает на рынке СНГ и за рубежом. В июне 2012 года, по данным ComScore, электронная почта компании Yandex оказалась самой быстроразвивающейся в Европе и вошла в топ-5 по популярности.

    У компании был свой «Амиго» — пресловутый Yandex.Бар. Он вызывал те же проблемы и раздражение, что и мейловский продукт. Yandex.Бар — расширение, которое появлялось в вашем браузере неожиданно. Ведь устанавливалось оно, как и «Амиго», незаметно, в комплекте с другим софтом. Убрать такой подарок было тяжким испытанием для неопытных пользователей.

    Yandex.Почта засветилась в массовом сливе сентября 2014 — скомпрометированных паролей насчитали 1,26 миллиона. Пресс-служба компании заявила, что им известно о 85% аккаунтов из этой базы: «Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали. Это означает, что такие аккаунты, скорее всего, заброшены либо созданы роботами».

    Для защиты от желающих воспользоваться скомпрометированными паролями предусмотрена двухфакторная аутентификация с помощью Yandex.Ключ — приложения для Android и iOS, которое генерирует новые одноразовые пароли. Для распознавания спама Yandex.Почта использует сервис «Спамоборона», письма на наличие вирусов проверяет Dr.Web. Протокол сервиса защищен: с недавним редизайном — пользователи перешли на защищенное соединение HTTPS.

    На сервисе присутствует возможность проверки подлинности отправителя. Это делается с помощью цифровой подписи DKIM (Domain Keys Identified Mail). Присутствие этой подписи обозначается специальным значком рядом с адресом отправителя. Если он присутствует и «горит» серым, значит отправитель подтвержден и с данными в письме все в порядке. Красный перечеркнутый значок – данные скорее всего подделаны. Желтый перечеркнутый указывает на то, что отправитель не подтвержден.

    Яндекс разработал журнал посещений, в котором фиксируется история изменений. Также отображаются IP-адреса, с которых был осуществлен вход в почтовый ящик.

    Yandex участвует в программе по поиску уязвимостей с выплатой вознаграждений. Размер награды зависит от сервиса, на котором была обнаружена уязвимость. Сервисы делятся на две группы: критичные и все остальные. К критичным относится и Yandex.Почта, где за найденный баг выплачивают от 5500 до 17000 рублей.

    В сентябре 2018 года в работе сервисов Яндекса наблюдался сбой. Пользователи испытывали проблемы с доступом к почте, сервисам «Яндекс.Метрика» и «Яндекс.Деньги». В феврале и апреле 2020 года в работе почты также произошел сбой. Однако компания отличается оперативностью в реагировании на такие ситуации. В течение пары часов все сервисы уже работали в штатном режиме.

    В конце 2018 года Яндекс атаковали с помощью вредоноса Regin, который используется зарубежными спецслужбами и позволяет получить доступ к частной переписке. Яндекс сообщил, что данные пользователей не пострадали, а попытку атаки своевременно выявили и предотвратили.

    В июле 2019 года пользователей сервиса атаковали хакеры. Они присылали письма от имени «Яндекса» или Google. Злоумышленники хотели украсть аккаунты пользователей и их деньги. 

    В марте 2020 года хакеры атаковали Яндекс с помощью подмены записей в DNS. Компания отражала атаки в течение нескольких суток. Блокировок сайтов удалось избежать, но пользователи обратили внимание на снижение скорости доступа к ним.

    В 2020 году компания также впервые раскрыла статистику по количеству запросов, поступивших от государственных органов России, на передачу информации о пользователях. За 2019 Верховный суд России удовлетворил 514,1 тысяч запросов на ограничение тайны переписки из 514,7 тысяч. Компания прокомментировала это на своем сайте.

    Мы констатируем, что у почты не было колоссальных сливов и проблем со спамом. Если случались сбои или атаки, Яндекс быстро реагировал на ситуации и устранял проблемы. Разработчики активно занимаются улучшением сервисов — и мы присуждаем за это им второе место.

    Лучший в рейтинге — Gmail

    В октябре 2018 почтовый сервис Gmail прошел отметку в 1,5 миллиарда активных пользователей. Хакеры и мошенники атакуют продукты Google как ни один другой ресурс. А 50-70 процентов сообщений, получаемых Gmail, — спам. Приходится часто внедрять новые технологии.

    Пароли Gmail периодически светятся в разных базах: то вместе с Yahoo!, то с Mail.ru. В сентябрьском сливе 2014 было скомпрометировано 5 млн паролей. Чтобы незнакомцы не лазили в почту, Gmail советует применять двухфакторную аутентификацию, для которой можно использовать USB-токен, код подтверждения через SMS, голосовой вызов, также есть возможность создать список резервных кодов.

    У Gmail возникали проблемы с фильтрацией фишинга. В 2016 году эксперт из консалтинговой компании SecureState выяснил, что фильтры для выявления вредоносных программ у Gmail работают далеко не всегда. Чтобы система не заметила вредоносный макрос в документах Office, достаточно было разделить ключевые слова на две части.

    Такие новости омрачают репутацию сервиса. Хоть Gmail обнаруживает 999 вредоносных писем из 1000, одно все же просачивается. Поэтому в 2017 году Google запустила систему раннего обнаружения фишинга — это модель машинного обучения, которая выборочно задерживает для тщательного анализа 0,05 процента сообщений. Также применяются техники анализа URL по репутации и схожести.

    Есть инструмент для предотвращения потери данных: если пользователь пишет ответное сообщение за пределы домена компании, система показывает предупреждение. Оповещение не срабатывает для получателей из списка контактов или регулярных собеседников.

    Google также использует систему DLP для предотвращения потерь конфиденциальных данных. Для защиты писем во время передачи используются сертификаты S/MIME. Также сервис предупреждает пользователей, когда полученное сообщение не защищено или отправитель является подозрительным. Теперь такие уведомления доступны и в мобильном приложении. В своих службах Google использует SSL-шифрование.

    Разработчики добавили функцию блокировки сообщений и отправителей, от которых вы больше не хотите получать письма. Google также ставит специальный значок под именем отправителя, если сообщение не было зашифровано при отправке – красный перечеркнутый замок. 

    Спецслужбы интересуются пользователями Gmail не меньше, чем фишеры. В марте 2016 компания сообщила, что почти миллион пользователей почты — потенциальные жертвы кибератак правительственных хакеров. Поэтому Gmail отправляет пользователям уведомления с инструкциями безопасности.

    В апреле 2020 года компании сообщили об уязвимости в почтовом сервисе, с помощью которой хакер мог отправлять поддельные письма. Несмотря на то, что эксперт, обнаруживший уязвимость, сразу сообщил об этом Google, компания планировала выпустить обновление только через пару месяцев после обнаружения бага. Однако после того, как обнаруживший уязвимость эксперт выложил об этом пост в своем блоге, компания сразу отреагировала и заверила, что приняты необходимые меры безопасности. 

    Следует помнить, что компания Google сканировала почту для персонализации рекламы. Эта практика вызывала негодование: так, в 2014 году, после судебного иска, Google перестал читать письма в образовательной версии Google Drive. А в июне 2017 сервис Gmail перестал сканировать письма для рекламного таргетинга.

    Однако в 2018 году журнал The Wall Street Journal выяснил, что Google продолжала предоставлять доступ к почтовым аккаунтам пользователей третьим лицам. Такой доступ может получить любой разработчик приложения, которое привязано к сервисам Google. Разработчики по-разному относятся к безопасности и конфиденциальности пользователя. Компания подчеркивает, что она не раскрывает личные данные организациям, которые не связаны с Google, если пользователь не дал на это согласие. В случае, если информация необходима для соблюдения закона, компания также предоставит ваши данные соответствующим органам.

    Почтовый сервис переживает регулярные сбои. В 2019 году произошло два сбоя в работе Gmail – в январе и марте. Пользователи жаловались на невозможность зайти в аккаунт, трудности при получении сообщений и проблемы с сайтом Gmail. 20 августа 2020 года наблюдались проблемы в прикреплении файлов к сообщениям. В ноябре этого года пользователи не могли войти в учетную запись, перейти на сайт и получать письма.

    Gmail возглавляет наш рейтинг за своевременные обновления безопасности: новые фильтры, предупреждения об отправке сообщения за пределы домена и уведомления для потенциальных жертв кибератак. Однако сотрудничество компании с третьими лицами вряд ли является положительным фактором.

    Тем не менее, аналитический отдел компании Falcongaze постарался предоставить объективную информацию о самых популярных почтовых службах. Выбирать вам.

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации