¿Cuáles son los riesgos de seguridad para una empresa que tiene un sistema de correo electrónico inseguro [cerrado]?

Cuando los usuarios se conectan a un servidor de correo a través de la Internet pública, todos los correos electrónicos y su contenido se transfieren en texto sin formato. El nombre de usuario y la contraseña de los empleados para su cuenta de correo también se transfieren en texto sin formato, a menos que el servidor de correo utilice la autenticación APOP. Cualquiera que sea capaz de escuchar a escondidas la conexión podría obtener fácilmente esta información.

Un intruso podría obtener la siguiente información:

• Contenido confidencial de los correos electrónicos y sus archivos adjuntos
• Nombres y direcciones de correo electrónico de los socios por correspondencia
• Cuando el servidor usa autenticación simple, también pueden oler el nombre de usuario y la contraseña del empleado
  • Lo que permite al atacante escribir correos electrónicos de manera convincente en su nombre
  • que el empleado también podría usar para diferentes sistemas que pertenecen a la compañía

Las siguientes partes podrían realizar dicho ataque, por ejemplo:

• Cualquier persona que controle un punto de acceso WLAN utilizado por el empleado
• Cualquier persona en la misma WLAN no segura que el empleado
• Cualquier VPN u otro servicio de anonimización que utilice el empleado, cuando se utiliza para acceder al servicio de correo electrónico
• El proveedor de servicios de Internet de los empleados
• Cualquier proveedor de back-end de Internet entre el ISP de los empleados y el servidor de correo

Todos, excepto los dos últimos, son irrelevantes cuando el acceso se realiza solo desde la red de la empresa y no desde los empleados en el hogar o en viajes de negocios. Los dos últimos solo son relevantes para organizaciones con necesidades de seguridad muy altas, ya que generalmente se puede confiar en los ISP para que mantengan el tráfico confidencial de sus usuarios siempre que no sea un asunto de seguridad / interés nacional (tenga en cuenta que el espionaje industrial es parte de la descripción del trabajo de muchos servicios secretos nacionales en todo el mundo, a veces incluso oficialmente.

El riesgo que esto implica depende de lo que realmente esté haciendo la empresa y de la confidencialidad de su correspondencia.

Una de las consecuencias más graves de una cuenta de correo electrónico comprometida es que el atacante puede usarla para restablecer las credenciales de inicio de sesión en muchos servicios en línea, donde esa dirección de correo electrónico se usa para iniciar sesión.

Un ejemplo de ataque podría seguir este proceso:

1. Mientras el empleado está usando su computadora portátil conectada a WiFi en un café, un atacante monitorea el tráfico de su red
2. El cliente de correo electrónico del empleado realiza un envío / recepción, que transmite su nombre de usuario y contraseña de correo electrónico en texto sin formato (ya que no está cifrado)
3. El atacante ahora puede acceder a la cuenta de correo electrónico como si fuera suya, usando las credenciales que se han obtenido
4. El atacante va a un sitio web como Paypal.com, ingresa la dirección de correo electrónico comprometida y sigue el procedimiento para restablecer la contraseña
5. Reciben el enlace por correo electrónico para cambiar la contraseña
6. Eliminan rápidamente este correo electrónico del servidor antes de que el empleado lo descargue, para evitar sospechas
7. El atacante ahora tiene el control de la cuenta del empleado en el sitio web