Українцям пропонують створити офіційні email. Чи варто це робити вам?

7 серпня 2020, 20:00
Вы также можете прочесть этот материал на русском языке

Влада України планує ввести офіційну електронну пошту. Розповідаємо, які ризики пов’язані з цим видом сервісу, і чому він може бути небезпечний для вас.

Наприкінці липня 2020 року в Україні зареєстрували законопроєкт про «офіційну електронну пошту». Передбачається, що всі юрособи, ФОП і, за бажанням, прості громадяни матимуть офіційну електронну пошту.

Відео дня

Її хочуть прирівняти до офіційного звичайного листа, яким вас можуть повідомити про будь-які справи (штрафи або перевірки, наприклад), що стосуються вас або вашого бізнесу.

Листи, надіслані на офіційну електронну адресу, будуть вважати переданими й офіційно врученими і такими, що не вимагають додаткового документального підтвердження.

З одного боку, нібито все класно і комфортно. Дійсно, ходити на пошту, стояти там у черзі, щоб отримати лист від державного органу, м’яко кажучи, незручно і це забирає купу часу.

Але з іншого боку — безпека. Саме цей аспект «офіційної електронної пошти» варто розглянути детальніше.

Для організації офіційної пошти якомусь із держорганів потрібно буде розгорнути поштову систему (або ж використовувати вже існуючу — mail.gov.ua). Очевидно, ця система має бути зручною і надійною.

Але чи зможе саме держорган створити щось приблизно схоже хоча б на ukr.net вже не кажу, що потрібно орієнтуватися на GMail). Звісно, ні.

Чи буде там двофакторна аутентифікація? Перевірка листів на фішинг? Або автоматичний спам-фільтр? Може там буде хоча б зручний інтерфейс? Вважаю, чекати всього цього не варто.

Ось у нас є державний «поштовик» mail.gov.ua. Якщо мені не зраджує пам’ять, його створювали для роботи у зв’язці з «електронним судом». Я зареєстрував там свою поштову скриньку ще в 2015 році.

Працює пошта на відкритому ПЗ — Roundcube. Точніше — на версії Roundcube Webmail 1.2.1 від 26 липня 2016 року, хоча актуальна на сьогодні версія цього ПЗ — 1.4.7 від 5 липня 2020 року.

Тобто працює це все з дуже застарілими оновленнями, в яких купа помилок і, впевнений, якщо добре пошукати, — можна знайти способи використання цих вразливостей. Як мінімум 4 роки цим сервісом ніхто не займався. Смію припустити, що така ж доля чекає і новий передбачуваний сервіс.

Якщо різні технічні уразливості можуть використовувати кілька підготовлених зловмисників, то ось зламати скриньку конкретної людини може навіть школяр.

Офіційна пошта буде складатися з ІПН користувача/коду ЄДРПОУ та доменного імені. За цим кодом можна дізнатися дуже багато інформації (як у відкритих джерелах, так і в злитих базах) і скористатися цими даними.

Припустимо, зловмисники вирішать провести фішингову атаку на підприємців. Зберуть всі ІПН, проженуть по базі, наприклад, податкових боржників (ця база відкрита). Зібравши деяку кількість (припускаю, що таких людей тисячі) боржників, зловмисники можуть скласти і розіслати персоналізовані фішингові листи такого штибу:

«Шановний ФОП такий-то, за вами числиться податковий борг у такому-то розмірі (ви можете це перевірити самостійно на сайті податкової, ось посилання), в рамках такої-то постанови такого-то органу від такого-то числа, всім, хто погасить борг протягом 3-х днів, — надається знижка 50%, у зв’язку з чим, рекомендуємо погасити заборгованість у такому-то розмірі, що становить лише половину від загального боргу. Оплатити можна перейшовши за цим посиланням/переказом на картку. Знижка діє лише 3 дні. Борг автоматично закриється протягом 14 робочих днів автоматично».

От і все. Із запровадженням «офіційної електронної пошти», зловмисникам буде відомий код, за яким можна зібрати потрібну інформацію, і сама електронна пошта, яку всі ФОП і компанії обов’язково будуть отримувати, читати і перевіряти, в очікуванні повідомлень і листів від держорганів.

Жоден підприємець не відмовиться заощадити на податках і штрафах, тому, отримавши подібний лист, перевіривши заборгованість — дуже ймовірно, що вирішить погасити зі знижкою 50%. Та й сам факт знижки його не збентежить, адже під час оплати штрафів за водіння, наприклад, є така ж знижка і всі про це знають і користуються.

Все інше — справа техніки і фантазії. А зловмисникам цілком вистачить 14 днів, щоб вивести гроші до того моменту, поки люди не почнуть перевіряти, погашено їхній борг чи ні.

Я не знаю, скільки підприємців мають заборгованість, який її розмір і скільки потенційно може попастися на такий лист, але навіть якщо їх буде всього 1000 осіб і «заборгованість» (вже «зі знижкою») становитиме 200 грн, то ось уже і набіжить 200 тис. грн з однієї розсилки фішингових листів.

У реальності цифри можуть бути набагато більші, адже тільки підприємців (ФОП) у нас майже 2 млн. І це лише один банальний приклад того, як цим скористаються зловмисники.

На мій погляд, у цій ініціативі з «офіційною електронною поштою» все не так, починаючи від вибору такого каналу комунікації, адже зв’язок через електронну пошту вже застарів, а молодь і зовсім не заводить такі скриньки.

Зрозуміло, що спілкування держави з громадянами потрібно оцифровувати, але точно не в такий спосіб.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X