Истории

Как не дать электронной почте шпионить за вами

Истории
Зинаида Кунаковская
Зинаида Кунаковская

Журналист, автор материалов издания

Татьяна Петрущенкова

Онлайн-переписка — кладезь информации, за которой может охотиться кто угодно: от хакеров с мошенниками до госорганов и рекламодателей. Интернет то и дело будоражат новости с громкими заголовками вроде «Yahoo читает чужие письма и сливает данные рекламодателям» и «Рекламодатели получают личные данные пользователей Gmail через сторонние компании». 

Rusbase обратился к экспертам и выяснил, кто и зачем может следить за нами через e-mail и как уберечься от почтового шпионажа. 

Как не дать электронной почте шпионить за вами

Согласно исследованию Radicati Group, в 2018 году мировое сообщество email-пользователей составило более 3,8 миллиардов, а к 2022 году это число может перевалить за 4,2 миллиарда.

По данным GfK, к началу 2019 года аудитория интернет-пользователей в России среди населения старше 16 лет составила 90 миллионов человек и достигла отметки 75,4% взрослого населения страны. У ВЦИОМ этот показатель еще выше и достигает 81%. В своем исследовании центр выяснил, что использование электронной почты является третьей по популярности онлайн-активностью (37%), уступая место работе с учебой и развлечениям.

Кто и как шпионит за нами в почте?

Александр Шаль, ведущий консультант Центра информационной безопасности компании «Инфосистемы Джет»

В настоящее время практически все бесплатные сервисы выполняют автоматизированный анализ данных, загружаемых пользователями. В почте в основном проводится контекстный анализ для выдачи персонализированной рекламы. Анализироваться могут и пересылаемые документы, например, когда в Gmail вы получаете авиабилеты, а затем соглашаетесь на автоматическое создание события и добавление напоминания. 

Анализ пользовательских данных обусловлен бизнес-моделями сервисов — они зарабатывают деньги на продаже рекламы и маркетинговых исследованиях. В лицензионном соглашении, которое пользователь должен принять, чтобы начать пользоваться сервисом, обычно подробно прописано, какую информацию сервис может анализировать или передавать своим партнерам и аффилированным компаниям. 

Например, в Google всегда можно отключить персонализированную рекламу, историю поиска и другие опции анализа пользовательских данных, но это не дает гарантии, что анализ писем не будет проводиться. Аналогичная ситуация наблюдается почти у всех бесплатных сервисов. В конце концов, они сканируют почтовые сообщения, чтобы фильтровать спам и вирусы.

Владислав Тушканов, веб-аналитик «Лаборатории Касперского»

Если говорить о крупных провайдерах почтовых сервисов, то Google отказалась от мониторинга личной переписки для таргетирования рекламы c 2017 года.

Недавно недовольство пользователей вызвал тот факт, что в Gmail информация о транзакциях из чеков в почте сохраняется в профиле пользователя. Однако компания прокомментировала, что данный сервис предназначен только для удобства пользователя и для рекламы не используется. Аналогичный принцип работы у Microsoft: компания заявляет, что не сканирует письма Outlook.com для таргетированной рекламы.

Собирать информацию о пользователях могут создатели рекламных email-кампаний через трекинг-пиксели и другие механизмы в письмах. Например, таким образом компания, занимающаяся рассылкой, может узнать, открывалось ли письмо, и если да, то с какого устройства, а различные рекламные компании — получить email пользователя и связать его с историей посещений веб-сайтов.

Алексей Смирнов, менеджер по развитию бизнеса Orange Business Services Россия и СНГ

В случае сбора данных для контекстной рекламы гораздо проще использовать другие источники и другие следы, которые мы оставляем о себе в интернете. Например, данные геолокации носимых устройств, которые имеют операторы мобильной связи и публичного Wi-Fi.

Так или иначе эти данные уже используются для таргетирования рекламных кампаний. Как правило, эти данные передаются рекламным площадкам в обезличенном виде, что не нарушает права пользователей, так как привязка идет не к пользователю, а непосредственно к устройству, которое «засветилось» определенным образом в определенном месте.  

Если же рассматривать сценарий «утечки» данных через почту, то надо отметить, что потребуется обрабатывать письма, тратя ресурсы на семантический анализ. В то же время у популярных поисковиков, также предоставляющих почтовые сервисы, есть все истории запросов пользователей с привязкой к конкретным устройствам и аккаунтам.

Советы

№1 Пользуйтесь безопасным почтовым сервисом

Пользуйтесь доверенными сервисами или своим собственным. Доверенные сервисы обычно открыто декларируют, что не производят анализ пользовательских данных, но они, как правило, предоставляют услуги на коммерческой основе, и клиенту придется поверить в их декларацию. Примером такого сервиса является ProtonMail, который заявляет, что использует сквозное шифрование и не имеет физической возможности читать почту пользователей (в бесплатной версии почтового сервиса некоторые функции урезаны). Главный минус первого способа заключается в том, что ваш собеседник должен также пользоваться доверенным сервисом, иначе есть риск анализа информации на его стороне.
Александр Шаль Ведущий консультант Центра информационной безопасности компании «Инфосистемы Джет»

№2 Используйте end-to-end-шифрование

Для этих целей можно применять решения, поддерживающие OpenPGP. Этот стандарт сейчас поддерживают большинство популярных почтовых клиентов на различных операционных системах, в том числе и мобильных. Список таких сервисов можно найти на сайте www.openpgp.org. Из наиболее распространенных можно отметить Outlook и Thunderbird, которые имеют специальные плагины для шифрования сообщений на стороне пользователя. Однако и в этом варианте вы должны договориться со своим корреспондентом и обменяться ключами. В качестве альтернативного подхода всегда можно заархивировать передаваемую информацию и установить пароль на архив, главное при этом направлять этот пароль по другому каналу.
Александр Шаль Ведущий консультант Центра информационной безопасности компании «Инфосистемы Джет»

№3 Блокируйте сбор данных о вашей интернет-активности

Защититься позволяют решения, блокирующие сбор данных о вашей активности в интернете: посещаемых страницах, настройках браузера и поисковых запросах. Кроме того, следует с осторожностью переходить по ссылкам — они тоже могут содержать трекинговые элементы. Если вы пользуетесь не веб-клиентом, а, например, Microsoft Outlook или Thunderbird, необходимо запретить в клиенте автоматическую загрузку изображений и отправку файлов cookie. Эта тема давно исследуется экспертами по кибербезопасности. Так, ученые Принстонского университета в статье «I never signed up for this!» отмечают, что 30% почтовых рассылок при открытии передает третьим лицам как минимум e-mail получателя, а 70% содержат трекинговый контент.
Владислав Тушканов Веб-аналитик «Лаборатории Касперского»

№4 Соблюдайте сетевую гигиену

Основной совет – это помнить о правилах «сетевой гигиены». Не оставляйте в сети информацию, знание которой может стать оружием против вас. Потому что в целом, если не рассматривать злонамеренный взлом или перехват трафика, избежать такого сбора практически невозможно, если пользователь хочет активно применять современные цифровые сервисы в повседневной жизни. Не поможет тут даже TOR – подключаясь к интернету по публичной Wi-Fi-сети, вы все равно оставляете информацию о своем устройстве, времени, месте и длительности подключения. Уже с помощью этой информации можно будет таргетировать рекламу именно на вас.
Алексей Смирнов Менеджер по развитию бизнеса Orange Business Services Россия и СНГ

Материалы по теме:

Почему вам не стоит запоминать пароли и как лучше защитить свои данные

Как управлять данными, которые собирает о вас Google

Лайфхак: где и как узнать все о кибербезопасности

Как найти скрытую камеру в квартире, снятой через Airbnb

Фото: creisinger, Depositphotos

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Куда идти с идеей стартапа: кто поможет превратить её в действующий бизнес?
  2. 2 «Наша разработка должна сделать эндоскопию массовым обследованием»‎. Как ИИ из Ярославля помогает распознавать рак на ранней стадии
  3. 3 Студенты хакнули «Газпром нефть» и «Сибур»
  4. 4 Программист, который умеет в data science, круче, чем дата-сайентист, который умеет в программирование
  5. 5 Мобильным приложениям нужен особый подход. 11 советов, как не убить маркетинг