Хотя в 2016 г. была, по крайней мере, одна получившая широкую огласку успешная фишинговая атака, направленная против клиента Gmail, Google активно защищает миллионы пользователей своей почтовой системы.

Веб-сервис электронной почты Google Gmail используется миллионами компаний и потребителей по всему миру, что делает его привлекательной целью для атак. На конференции RSA Conference в Сан-Франциско руководитель исследовательской группы Google по борьбе с мошенничеством и злоупотреблениями Эли Берштейн подробно рассказал о многочисленных технологиях и процессах, которые Google применяет для защиты пользователей и самого сервиса Gmail от взлома.

Основу защиты Gmail составляют системы искусственного интеллекта, использующие глубокое обучение. Берштейн сообщил, что Google непрерывно совершенствовала глубокое обучение на протяжении многих лет, и теперь оно распознает спам в электронной почте с точностью 99,9%.

Используемое Google глубокое обучение имеет программные и аппаратные компоненты. По словам Берштейна, что Google создала и использует специализированные интегральные схемы для ускорения потока глубокого обучения, помогая Gmail опережать спамеров и распространяемые через электронную почту угрозы.

Имеется также ряд интернет-стандартов, которые помогают компании обеспечивать безопасность пользователей Gmail. К таким стандартам относится STARTTLS, который, как видно из названия, запускает протокол TLS (Transport Layer Security) для шифрования данных электронной почты при передаче. Протокол SMTP (Simple Mail Transfer Protocol), который позволяет пользоваться электронной почтой, по умолчанию не применяет шифрование, что потенциально создает риск перехвата сообщений.

Хотя Google является активной сторонницей STARTTLS, Gmail — не единственная система, предоставляющая почтовые ящики, и защищены не все соединения, через которые передается электронная почта. Однако Берштейн сказал, что последние несколько лет тенденция развивается в правильном направлении. По его словам, на современном этапе шифруется 80% электронных сообщений, поступающих в почтовые ящики Gmail, и 87% исходящих сообщений.

Более широкое использование STARTTLS является результатом того, что Google стала более наглядно помечать незашифрованные электронные сообщения. Берштейн сообщил, что в прошлом году Google начала визуально показывать пользователям Gmail значком сломанного замка, что сообщение не зашифровано. Это помогло ускорить распространение STARTTLS.

Применение STARTTLS является только началом обеспечения безопасности соединений для передачи электронной почты. Важна также уверенность в подлинности используемого для шифрования сертификата TLS. Здесь вступает в игру осуществляемая сейчас инициатива SMTP Strict Transport Security. Берштейн пояснил, что ее цель — добиться, чтобы вся отрасль приняла меры для предотвращения атак типа «человек посередине» против электронных сообщений с недействительными сертификатами.

Проверка подлинности электронной почты предполагает также предотвращение чужих действий от имени законного пользователя. Gmail использует множество инициатив и стандартов для проверки подлинности электронной почты, включая DKIM (DomainKeys Identified Mail) для подписывания сообщений, SPF (Sender Policy Framework) для определения надежных серверов электронной почты, которым можно доверить рассылку сообщений от имени конкретного домена, и DMARC (Domain-based Message Authentication, Reporting and Conformance) в качестве механизма подготовки отчетов.

Берштейн заявил, что использование DMARC очень важно для организаций любого размера, поскольку это позволяет видеть атаки против доменов электронной почты, осуществляемые от имени пользователей. В целом, предупредил он, популярность DMARC слишком низка. Поэтому Google предоставляет инструментарий Google Postmaster, который помогает организациям использовать нужные стандарты, способствующие безопасности электронной почты.

Программы-вымогатели

К числу наибольших угроз для электронной почты сегодня относят программы-вымогатели, которые агрессивно пытаются атаковать пользователей Gmail. В частности, в 2016 г. особую активность, направленную против Gmail, проявляло семейство программ-вымогателей Locky, сказал Берштейн.

По его словам, в ходе атаки 5 мая 2016 г., которую Google широко не обсуждала, она подверглась очень мощному нападению с использованием Locky. В 2 часа ночи по тихоокеанскому времени Gmail стала получать по 20 тыс. сообщений Locky в час, а к 5 часам утра их число подскочило до 30 млн. в час.

Хотя атакующие применили очень сложные способы, пытаясь обойти систему безопасности Google, успеха они не достигли, сказал Берштейн.

Подеста

Хотя Google прилагает большие усилия, чтобы обезопасить Gmail и ее пользователей, все-таки бывают случаи, когда атакующие проникают сквозь защиту и наносят вред пользователям.

Один из участников RSA Conference спросил, как Google позволила Джону Подесте, директору предвыборной кампании кандидата в президенты США от демократической партии Хилари Клинтон, щелкнуть по фишинговой ссылке в Gmail, что привело к масштабной утечке данных. Берштейн явно чувствовал себя неуютно, отвечая на этот вопрос, пожал плечами и сказал, что Google непрерывно пытается совершенствовать свои возможности в области защиты пользователей и ограничения риска.

«Против фишинговых атак никакая защита не является безупречной, — сказал он. — Мы выступаем за использование Security Key как средства, помогающего обеспечить наилучшую оборону».

Security Key — это физический USB-ключ, предусмотренный стандартом FIDO Alliance U2F (Universal Second Factor), который обеспечивает дополнительный уровень безопасности для предотвращения фишинговых атак. Google широко применяет Security Key для защиты своих сотрудников и после двух лет эксплуатации пришла к выводу, что эти ключи значительно усиливают защиту.

«Это был важный инцидент, — сказал Берштейн о фишинговой атаке против Подесты. — Из него были извлечены некоторые уроки, и мы уже работаем над усовершенствованиями».