Украинцам предлагают создать официальные email. Стоит ли это делать вам?

7 августа 2020, 20:00
Цей матеріал також доступний українською

Власти Украины планируют ввести официальную электронную почту. Рассказываем, какие риски связаны с этим видом сервиса, и почему он может быть опасен для вас.

В конце июля 2020-го в Украине зарегистрировали законопроект про «официальную электронную почту». Предполагается, что все юрлица, ФЛП и, по желанию, простые граждане обзаведутся официальной электронной почтой.

Видео дня

Ее хотят приравнять к официальному обычному письму, которым вас могут уведомить о каких-либо делах (штрафах или проверках, например), касающихся вас или вашего бизнеса.

Письма, присланные на официальный электронный адрес, будут считать направленными и официально врученными и не потребуют дополнительного документального подтверждения.

С одной стороны, вроде бы все классно и комфортно. Действительно, ходить на почту, стоять там в очереди, чтобы получить письмо от государственного органа, мягко говоря, неудобно и это отнимает кучу времени.

Но с другой стороны — безопасность. Именно этот аспект «официальной электронной почты» стоит рассмотреть детальнее.

Для организации официальной почты какому-то из госорганов нужно будет развернуть почтовую систему (или же использовать уже существующую — mail.gov.ua). Очевидно, эта система должна быть удобной и надежной.

Но сможет ли именно госорган создать что-то приблизительно похожее хотя бы на ukr.net (я уже не говорю, что нужно ориентироваться на GMail). Конечно, нет.

Будет ли там 2-факторная аутентификация? Проверка писем на фишинг? Или автоматический спам-фильтр? Может, там будет хотя бы удобный интерфейс? Полагаю, ожидать всего этого не стоит.

Вот у нас есть государственный «почтовик» mail.gov.ua. Если мне не изменяет память, его создавали для работы в связке с «электронным судом». Я зарегистрировал там свой почтовый ящик еще в 2015 году.

Работает почта на открытом ПО — Roundcube. Точнее — на версии Roundcube Webmail 1.2.1 от 26 июля 2016 года, хотя актуальная на сегодня версия этого ПО — 1.4.7 от 5 июля 2020 года.

То есть работает это все с очень устаревшими обновлениями, в которых куча ошибок и, уверен, если хорошо поискать, — можно найти способы использования этих уязвимостей. Как минимум 4 года этим сервисом никто не занимался. Смею предположить, что такая же судьба ждет и новый предполагаемый сервис.

Если разные технические уязвимости могут использовать несколько подготовленных злоумышленников, то вот взломать ящик конкретного человека может даже школьник.

Официальная почта будет состоять из ИНН пользователя/кода ЕГРПОУ и доменного имени. По этому коду можно узнать очень много информации (как в открытых источниках, так и в слитых базах) и воспользоваться этими данными.

Предположим, злоумышленники решат провести фишинговую атаку на предпринимателей. Соберут все ИНН, прогонят по базе, например, налоговых должников (эта база открыта). Собрав некоторое количество (предполагаю, что таких людей тысячи) должников, злоумышленники могут составить и разослать персонализированные фишинговые письма такого рода:

«Уважаемый ФЛП такой-то, за вами числится налоговый долг в таком-то размере (вы можете это проверить самостоятельно на сайте налоговой, вот ссылка), в рамках такого-то постановления такого-то органа от такого-то числа, всем, кто погасит долг в течение 3-х дней, — предоставляется скидка 50%, в связи с чем, рекомендуем погасить задолженность в таком-то размере, что составляет всего лишь половину от общего долга. Оплатить можно перейдя по этой ссылке/переводом на карту. Скидка действует всего 3 дня. Долг автоматически закроется в течение 14 рабочих дней автоматически».

Вот и все. С введением «официальной электронной почты», злоумышленникам будет известен код, по которому можно собрать нужную информацию, и сама электронная почта, которую все ФЛП и компании обязательно будут получать, читать и проверять, в ожидании уведомлений и писем от госорганов.

Ни один предприниматель не откажется сэкономить на налогах и штрафах, поэтому, получив похожее письмо, проверив задолженность — очень вероятно, что решит погасить со скидкой 50%. Да и сам факт скидки его не смутит, ведь при оплате штрафов за вождение, например, есть такая же скидка и все об этом знают и пользуются.

Все остальное — дело техники и фантазии. А злоумышленникам вполне хватит 14 дней, чтобы вывести деньги до того момента, пока люди не начнут проверять, погашен их долг или нет.

Я не знаю, сколько предпринимателей имеют задолженность, какой ее размер и сколько потенциально может попасться на такое письмо, но даже если их будет всего лишь 1000 человек и «задолженность» (уже «со скидкой») будет составлять 200 грн, то вот уже и набежит 200 тыс. грн с одной рассылки фишинговый писем.

В реальности цифры могут быть намного больше, ведь только предпринимателей (ФЛП) у нас почти 2 млн. И это лишь один банальный пример того, как этим воспользуются злоумышленники.

На мой взгляд, в этой инициативе с «официальной электронной почтой» все не так, начиная от выбора данного канала коммуникации, ведь связь по электронной почте уже устарела, а молодежь и вовсе не заводит такие ящики.

Понятно, что общение государства с гражданами нужно оцифровывать, но точно не таким образом.

poster
Подписаться на ежедневную email-рассылку
материалов раздела Техно
Рассылка о том как технологии изменяют мир
Каждый понедельник

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X