Многие знают, что использовать личную почту в деловой переписке — плохая идея. Но при этом не видят ничего плохого в том, чтобы пользоваться корпоративным адресом для регистрации в социальных сетях, на всевозможных онлайновых сервисах и прочих ресурсах, не имеющих отношения к работе. Это ведь так удобно — получать все рабочие письма и нотификации в один почтовый ящик!
В Интернете достаточно много материалов, объясняющих, почему это неправильно. В них обычно перечисляют такие факторы, как нарушение баланса между работой и личной жизнью, нарушение приватности (руководство и администраторы могут иметь доступ к вашей почте), потерю доступа к сервисам в случае увольнения, и так далее. Но на самом деле первое, что должно останавливать сотрудника компании от использования служебной почты в личных целях — соображения информационной безопасности.
Это облегчает профилирование
Прежде чем присылать сотруднику специально под него сделанное фишинговое письмо, злоумышленники тщательно собирают информацию в Сети. Есть специальные инструменты, позволяющие по адресу выяснить, на каких ресурсах зарегистрирован человек (в социальных сетях, интернет-магазинах, на онлайн-платформах). Если вы используете для нерабочих нужд корпоративный адрес, то тем самым вы облегчаете профилирование — упрощаете злоумышленникам задачу составления социального портрета, а следовательно, становитесь уязвимее для целевого фишинга как первого этапа атаки на компанию.
Проще организовать целевой фишинг
Каждый раз, отправляя фишинговое письмо, преступники гадают, какие уловки подействуют на жертву. Но если они поймут, что вы регистрируете на корпоративную почту посторонние сервисы, то им не нужно будет гадать — достаточно замаскировать очередное послание под нотификацию от сервиса, на котором вы реально зарегистрированы. Это значительно повышает вероятность успеха атаки.
Отвлекающий маневр
Зачастую все, что нужно злоумышленникам для успеха атаки — выиграть время. Им важно, чтобы вы не заметили предупреждение о попытке входа с неизвестного IP-адреса или о смене пароля. И самый просто способ добиться этого — устроить в почтовом ящике фестиваль нотификаций. И если к вашему адресу привязаны разнообразные посторонние ресурсы, то сделать это проще простого: злоумышленники (а скорее даже их боты) начинают брутфорсить все ваши личные кабинеты и соцсети, заспамливая адрес предупреждениями и сигналами тревоги.
Больше массового фишинга и зловредов в ящике
Далеко не все онлайновые ресурсы одинаково надежно хранят данные своих клиентов — новости об утечках появляются в Сети чуть ли не каждый день. И утекшими базами очень любят пользоваться всевозможные операторы массовых рассылок: они просто покупают список и бомбят вероятных жертв письмами с вредоносными ссылками или фишингом по всем адресам. Так что чем больше ресурсов вы зарегистрируете на свой корпоративный e-mail, тем больше у вас в ящике окажется потенциальных угроз.
Глаз замыливается
Чем больше вам приходит разнородной почты, тем меньше шансов заметить опасное письмо. Чем чаще вы открываете не связанные с работой письма в рабочее время, тем больше вероятность, что однажды вы случайно кликните на вредоносное вложение или перейдете по фишинговой ссылке.
Но даже если вы не используете рабочий адрес для личных нужд, имеет смысл применять технические средства для защиты от фишинга и спама. Причем чем больше будет слоев защиты, тем лучше. Так что мы рекомендуем защищать корпоративную инфраструктуру от фишинга и на уровне почтового сервера, и на уровне рабочих станцийсотрудников.