Google в начале апреля анонсировала упрощённый инструмент, позволяющий корпоративным пользователям легко отправлять «сквозно зашифрованные» письма — ещё одна попытка решить давнюю проблему повышения безопасности электронной почты. Сейчас функция доступна в бета-версии для организаций внутри собственного домена. Далее она позволит пользователям Google Workspace отправлять сквозно зашифрованные письма любому обладателю Gmail-аккаунта, а к концу года — в любой почтовый ящик. Исследователи спама и цифрового мошенничества предупреждают, что наряду с пользой новый механизм неизбежно породит и волну фишинговых атак.
Сквозное шифрование защищает данные так, что они остаются «расшифровываемыми» только на устройствах отправителя и получателя; внедрить его в старый почтовый протокол трудно. Обычно такие решения сложны, дороги и применимы лишь крупными компаниями ради соблюдения требований регуляторов. Инструмент Google, напротив, прост и почти не требует усилий ИТ-отдела. Больше всего специалистов беспокоит сценарий, когда пользователь Workspace шлёт зашифрованное письмо получателю без Gmail.
Эксперты опасаются, что злоумышленники начнут подделывать такие приглашения, добавляя вредоносные ссылки и подталкивая жертв вводить учётные данные от почты, SSO-сервисов и т. д.
Чтобы обойти ограничения почтового протокола, Google позволила Workspace автоматически управлять ключами расшифровки. Формально это уже не «чистое» сквозное шифрование, так как ключи хранятся в домене организации, а не на устройствах крайних точек. Тем не менее для целей соответствия регуляторным требованиям решение может оказаться крайне полезным. А для персональной переписки эксперты по-прежнему советуют профильные мессенджеры вроде Signal. Gmail будет задействовать всю свою антиспам-инфраструктуру, если письмо идёт на адрес @gmail.com. Но приглашения смогут получать и сторонние почтовые сервисы, оставляя их пользователей без надёжной «прослойки» Google.
Мошенники всегда используют громкие инфоповоды, и новое шифрование — не исключение. В приглашении Google уже добавила предупреждение:
«Будьте осторожны, вводя данные для просмотра этого зашифрованного сообщения. Письмо поступило от внешнего отправителя. Убедитесь, что доверяете отправителю и его провайдеру удостоверений, прежде чем вводить логин и пароль».
Однако многолетний опыт показывает, что за пределами экосистемы Google бороться с поддельными приглашениями крайне трудно. «Выбор был между предупреждением и полной недоступностью функции для не-Gmail-пользователей», — резюмирует Сегюра. И добавляет: благодаря статусу Google и «золотому стандарту» сквозного шифрования злоумышленники получат особенно соблазнительный шаблон для атак.
Источник: https://www.wired.com/story/gmail-end-to-end-encryption-scams/
Сквозное шифрование защищает данные так, что они остаются «расшифровываемыми» только на устройствах отправителя и получателя; внедрить его в старый почтовый протокол трудно. Обычно такие решения сложны, дороги и применимы лишь крупными компаниями ради соблюдения требований регуляторов. Инструмент Google, напротив, прост и почти не требует усилий ИТ-отдела. Больше всего специалистов беспокоит сценарий, когда пользователь Workspace шлёт зашифрованное письмо получателю без Gmail.
Эксперты опасаются, что злоумышленники начнут подделывать такие приглашения, добавляя вредоносные ссылки и подталкивая жертв вводить учётные данные от почты, SSO-сервисов и т. д.
Чтобы обойти ограничения почтового протокола, Google позволила Workspace автоматически управлять ключами расшифровки. Формально это уже не «чистое» сквозное шифрование, так как ключи хранятся в домене организации, а не на устройствах крайних точек. Тем не менее для целей соответствия регуляторным требованиям решение может оказаться крайне полезным. А для персональной переписки эксперты по-прежнему советуют профильные мессенджеры вроде Signal. Gmail будет задействовать всю свою антиспам-инфраструктуру, если письмо идёт на адрес @gmail.com. Но приглашения смогут получать и сторонние почтовые сервисы, оставляя их пользователей без надёжной «прослойки» Google.
Мошенники всегда используют громкие инфоповоды, и новое шифрование — не исключение. В приглашении Google уже добавила предупреждение:
«Будьте осторожны, вводя данные для просмотра этого зашифрованного сообщения. Письмо поступило от внешнего отправителя. Убедитесь, что доверяете отправителю и его провайдеру удостоверений, прежде чем вводить логин и пароль».
Однако многолетний опыт показывает, что за пределами экосистемы Google бороться с поддельными приглашениями крайне трудно. «Выбор был между предупреждением и полной недоступностью функции для не-Gmail-пользователей», — резюмирует Сегюра. И добавляет: благодаря статусу Google и «золотому стандарту» сквозного шифрования злоумышленники получат особенно соблазнительный шаблон для атак.
Источник: https://www.wired.com/story/gmail-end-to-end-encryption-scams/