Уязвимость электронной почты: 8 способов самозащиты

Америка
№17 (784)

Удалите сведения о себе из маркетинговых баз данных! Сделайте это немедленно! И не отправляйте никакой личной информации в ответ на сообщение электронной почты, даже если это сообщение, по всей вероятности, пришло из вашего банка или любимого магазина.

В результате новой массовой атаки хакеров на прошлой неделе имена и адреса электронной почты миллионов потребителей стали доступны кибер-преступникам и вы могли бы оказаться в этом списке. На практике вы не можете удалить свои данные из всех огромных банков данных, в которых хранятся ваши персональные данные. Там могут быть сохранены даже имена тех людей, которые сделали заявку на удаление данных о себе. Но вы можете приложить все усилия для минимизации риска.

Последняя утечка данных произошла в компании под названием Epsilon, подразделении Alliance Data Systems Corp. Компания Epsilon хранит имена, адреса электронной почты, семейное положение, данные кредитных карт и другую персональную информацию 235 миллионов человек. Она подбирает имена в соответствии с персональными покупательскими привычками, интересами, изменениями уклада жизни, такими, как брак или переезд, а также кредитоспособность, и осуществляет целевые маркетинговые рассылки. Например, если вы получаете предложение о 30-процентной скидке от Target, то, скорее всего, она поступила от Epsilon. Эта компания ежегодно рассылает 40 миллиардов электронных сообщений потребителям, которых она рассматривает в качестве наиболее вероятных покупателей.

Хакеры, взломавшие компьютерные системы компании Epsilon, получили доступ к именам и адресам электронной почты клиентов, привязанных к банкам и магазинам, с которыми компания сотрудничает. Это особенно опасно. Используя эту информацию, хакеры могут послать вам уведомления, которые пройдут через ваш спам-фильтр и которые вы, по всей вероятности, откроете. Скажем, например, вы получили сообщение по электронной почте, по-видимому, от Citibank с предупреждением о том, что ваш счет был взломан, и просьбой о том, чтобы вы подтвердили вашу личную информацию. Если вы войдете в систему со своим паролем и идентификатором банка, то вы откроете дверь мошеннику, который может ограбить вас. Это называется «направленным фишингом».

Как только мошенники получают ваш пароль, они могут залезть во многие ваши счета. Это связано с тем, что большинство из нас использует ограниченное количество паролей, поскольку их тяжело запоминать.

Взлом Epsilon оставил без защиты данные клиентов, по крайней мере, 43 банков и компаний (а возможно, и больше), включая такие финансовые учреждения, как Ameriprise, American Express, Barclays Bank, Capital One Financial Corp, Citigroup, JPMorgan Chase, U.S. Bancorp, а также BestBuy, мебельную компанию Ethan Allen, сеть продуктовых магазинов Kroger, торговую сеть Home Shopping Network, LL Bean, Target, Visa, Walgreens, сети отелей Hilton и Marriot.  Комиссия по вступительным экзаменам в колледжи сообщила, что данные студентов также были раскрыты. Полный список можно найти на DataBreaches.net.

Значительные утечки данных происходят постоянно, просто они не получают такой большой огласки, как в случае с Epsilon. Вы можете прочитать о них на таких веб-сайтах, как KrebsOnSecurity и SecurityWeek. Вы можете также подвергнуться фишингу по телефону (вишинг) или посредством приманки, отправленной в текстовом сообщении (смишинг).

Большая часть ваших персональных данных циркулирует по всему миру, поэтому вы не можете защитить себя полностью. Но вот некоторые шаги, которые вы можете предпринять для снижения риска:

1. Удалите сведения о себе из маркетинговых баз данных. Все они позволяют вам удалить сведения о себе, если вы сможете найти у них эту опцию. Например, вы можете заблокировать свое имя от использования каким-либо клиентом Epsilon, включая продавцов по каталогам и розничных торговцев. Есть одна большая проблема: компания, владеющая базой данных, может сохранить ваше имя и всего лишь заблокировать его от использования. Но, если вор взламывает базу, то он получает доступ и к заблокированным именам.

Перечень, составленный общественной организацией Privacy Rights Clearing House, насчитывает 135 брокеров, которые имеют базы данных и продают ваше имя всем желающим, и сообщает вам о том, есть ли у них политика отказа от использования ваших персональных данных. В конечном счете, вы можете зайти на веб-сайты брокеров и удалить свое имя самостоятельно.

2. Отпишитесь от коммерческой рассылки по электронной почте, на которую вы подписаны. «Они обязаны предоставить вам такой выбор», – говорит Грег Аарон (Greg Aaron), директор по доменной безопасности компании Afilias, занимающейся развитием инфраструктуры в Интернете. Если вы отказываетесь от рассылки, ваше имя должно быть удалено из больших, объединенных баз данных.

3. Откажитесь от большинства адресных почтовых рассылок. Ассоциация Direct Mail Association  предоставляет веб-сайт, позволяя вам отказываться от различных типов рекламной рассылки ее участников: предложений кредита, каталогов, предложений журналов, просьб о пожертвованиях и других. Это должно остановить поток писем от национальных компаний, с которыми вы раньше не имели деловых отношений. Ваш отказ длится пять лет. После этого вы должны снова подписаться.

Отказ в Direct Mail Association не приостанавливает рассылку от лиц, не являющихся членами этой организации, таких, как местные фирмы, благотворительные учреждения или компания, где вы делали покупки. Вы должны будете связаться с этими адресатами напрямую и в письменной форме (телефонные звонки не действуют). Убедитесь в том, что вы однозначно сформулировали им свой запрет на передачу своего имени другим компаниям, таким, как Epsilon, для маркетинговых целей.

4. Запретите своему банку делиться вашими персональными данными. Согласно Закону об объективной кредитной отчетности (FCRA), вы можете запретить своему банку передавать свое имя любому из его филиалов для маркетинговых целей, а также сторонним маркетинговым фирмам. Вы должны сделать уведомление в письменной форме, процитировав свои права из FCRA. Потребуйте письменное подтверждение того, что вы были исключены из списка. Эти отказы также могут длиться в течение всего пяти лет.

5. Прекратите выкладывать личную информацию на своих страницах в Facebook, LinkedIn или MySpace для общего доступа. Или размещайте там только ту информацию, против включения которой в базу данных вы бы не возражали, и исключите возможные банковские идентификаторы, такие, как имя вашей матери. Социальные сети могут быть взломаны с помощью адреса вашей электронной почты.

6. Не отвечайте на телефонные звонки от телепродавцов, для этого необходимо зарегистрироваться в национальной службе Do Not Call. В начале работы службы можно было приостановить такие звонки лишь на ограниченное количество лет. Однако с 2008 г. можно установить постоянную блокировку.

7. Откажитесь от предложений кредитных карт. Вы можете остановить их рассылку путем подписки на OptOutPreScreen, которым управляет организация передачи сведений о потребительском кредитовании.

8. Не позволяйте себя обдурить. Никогда не открывайте сообщения электронной почты, в которых написано, что вы выиграли
приз, или что у вас есть невостребованный пакет, или что возникли проблемы с вашей налоговой декларацией или счетом в банке. Даже если вы только откроете такое письмо, вы можете занести вирусы в свой компьютер, которые будут искать пароли к финансовым счетам. Если вам пришло письмо от вашего банка или кредитной компании с просьбой внести исправления в ваш счет, удалите такое письмо. Это - обман. Или позвоните в компанию, чтобы удостовериться в законности такого требования прежде, чем войти в систему. После взлома Epsilon вы также можете получать фальшивые фишинг-сообщения от знакомых розничных продавцов. Дополнительные советы можно получить в Privacy Rights Clearinghouse и APWG, организации, которая борется с  интернет-мошенничеством.

Можете ли вы считать себя защищенным от международных финансовых воров после выполнения всех этих действий? К сожалению, нет. Любые банковские, торговые, почтовые, образовательные или кредитные организации где-нибудь да хранят свои данные, и, возможно, они не тратят достаточно средств на то, чтобы защитить их. В один прекрасный день индустрия баз данных столкнется с массированным судебным процессом, после этого они, возможно, более серьезно начнут использовать шифрование и другие, более эффективные меры обеспечения безопасности.