Podvodníci a počítačoví zločinci neustále hľadajú spôsoby, ako ohroziť vašu bezpečnosť, nabúrať sa do vašich účtov a odčerpať vaše ťažko zarobené úspory do vlastných pokladníc. Musíte prijať všetky opatrenia na ochranu svojich osobných údajov – online aj v digitálnom svete. To zahŕňa aj vašu e-mailovú adresu, s ktorou môžu nešťastníci dosiahnuť strašne veľa.
Čo teda môže kyberzločinec robiť len s vašou e-mailovou adresou?
Sú podvodníci naozaj po mojej e-mailovej adrese?
Áno sú. Dňa 16. augusta 2022 bol poskytovateľ cloudového úložiska DigitalOcean nútený odhaliť porušenie ochrany údajov a kontaktujte všetkých svojich zákazníkov so správou, že „niekoľko e-mailových adries zákazníkov DigitalOcean si mohlo pozrieť neoprávnené osoby“.
Porušenie e-mailových údajov je pomerne bežný jav. Niekedy spolu s e-mailovou adresou uniknú aj fyzické adresy a heslá alebo hash hesiel. Aj keď nie sú zverejnené žiadne ďalšie informácie, platná e-mailová adresa môže poskytnúť podvodníkom viacero príležitostí, aby vás využili. Tu je návod, ako...
1. Netesnosti Zobraziť e-mailové adresy sa používajú
Možných emailových adries je prakticky neobmedzený počet. Ak by bol Gmail jediným poskytovateľom e-mailu na svete, jeho limit 30 znakov znamená, že existuje 30 ^ 36 alebo 30 možných kombinácií. Ostatní poskytovatelia majú oveľa vyššie limity a celkový počet poskytovateľov e-mailu na celom svete nie je známy.
Keď podvodníci hľadajú potenciálne obete, posielanie e-mailov na náhodné adresy to neskončí. Väčšina potenciálnych e-mailových adries je nepoužitá, nikdy nebola použitá a ani nebude použitá. Môžu trochu zlepšiť šance tým, že do svojho úsilia zahrnú bežné slová, frázy a čísla.
Overenie, či sa e-mailová adresa aktívne používa, šetrí podvodníkom veľa úsilia a peňazí (odosielanie hromadné e-maily nie sú vždy lacné), a preto sa databázy e-mailových adries kupujú a predávajú otvorene online. Ak je vaša e-mailová adresa odhalená, môžete prinajmenšom očakávať výrazný nárast nevyžiadanej pošty, spamu a pokusov o phishing.
2. Váš e-mail z vás môže urobiť cieľ pre spear phishing
Spear Phishing je výraz pre pokus o phishing, keď podvodník prispôsobuje phishingový e-mail konkrétnemu príjemcovi. Čím viac podvodník vie o cieli, tým úspešnejší bude pokus.
Odhalenie porušenia DigitalOcean prišlo ako súčasť pokusu podvodníkov zamerať sa na používateľov kryptomien, podľa Mailchimp. To samo osebe dáva používateľom falošných e-mailov uhol útoku na spear phishing a stimuluje to vyskúšať.
Ďalšie informácie o cieli je možné získať zo samotnej e-mailovej adresy. Mnoho ľudí používa svoje celé meno a rok narodenia ako súčasť svojej e-mailovej adresy, čo umožňuje útočníkovi ešte lepší prehľad, ktorý môže byť použitý proti obeti.
A napokon, ak je vaša e-mailová adresa – alebo časť vašej e-mailovej adresy – používateľským menom pre účty sociálnych médií (ak je vaše používateľské meno „[email protected]“ a váš popisovač na Twitteri je napríklad „yeezydave1992“, budú si môcť pozrieť všetky aspekty vášho života, vaše vzťahy, záľuby, hudobný vkus a potom vyrezať e-mail do pasce vy.
Trochu výskumu môže odhaliť ďalších ľudí, ktorých možno poznáte: vašu mamu, vášho šéfa, vašich klientov. Toto sú ľudia, ktorí môžu očakávať, že od vás dostanú e-mail, a neboli by príliš znepokojení, keby v ich doručenej pošte našli správu z vašej adresy.
Dalo by sa napríklad povedať, že teraz považujete adresu „[email protected]“ za nezrelú a požiadate ich, aby vás kontaktovali na oveľa slušnejšom „[email protected]“. Prípadne by mohli klientovi poslať e-mail s informáciou, že vaše bankové údaje sa zmenili, a požiadať ho, aby poslal ďalšiu platbu na iný účet.
Sfalšovanie e-mailu je prekvapivo jednoduché a pomocou Telnetu sa dá vykonať asi za päť minút. Podľa našich skúseností má každý e-mail odoslaný týmto spôsobom asi 20-percentnú šancu, že prejde cez spamové filtre prvej úrovne Gmailu. Účinnosť obrany iných poskytovateľov sa bude líšiť.
4. Vaša e-mailová adresa je polovica vášho prihlasovacieho mena
Na získanie prístupu k vašim mnohým a rôznorodým online účtom bude útočník v mnohých prípadoch potrebovať iba dve informácie: e-mailovú adresu a heslo. Ak už majú vašu e-mailovú adresu, znamená to, že jediné, čo potrebujú vedieť, je vaše heslo.
Pri vytváraní účtu online existujú určité minimálne požiadavky na silu hesla. Môžu zahŕňať minimálnu dĺžku, používanie veľkých a malých písmen, číslic a symbolov.
Heslá sa však ťažko zapamätajú – najmä ak si potrebujete zapamätať rôzne heslá pre rôzne služby. The najviac bežné heslo dnes sa používa „123456“, pričom na druhom mieste je „123456789“ a na webe kolujú zoznamy bežných hesiel, nehovoriac o temnom webe.
Jediné, čo musí útočník urobiť, je porovnať bežné heslo s už známou e-mailovou adresou. Aj keď nenaznačujeme, že vaše vlastné heslo je slabé, môže to byť užitočné výber nového, silného hesla na ochranu vášho účtu.
5. Útočník môže sfalšovať vašu e-mailovú adresu pomocou Unicode
Sfalšovanie e-mailovej adresy na oklamanie známych cieľov je rýchle a jednoduché, ale má nízku úspešnosť a odpovede na e-maily uvidí osoba, za ktorú sa vydáva. Oveľa lepšie (z trestnoprávneho hľadiska) je vytvoriť e-mailovú adresu, ktorá vyzerá identicky, ale je neviditeľne odlišná. Nielen jemne odlišné, ale neviditeľne.
Zvážte nasledujúce dva znaky: „а“ a „a“. Vyzerajú inak ako vy? Jedným z nich je znak cyriliky, „а“, ktorý je úplne odlišný od latinského znaku „a“.
Spoofing Unicode umožňuje útočníkom – alebo iným zainteresovaným stranám – vytvoriť názov domény, ktorý vyzerá identicky s legitímnou doménou. Prijatie e-mailu z adresy "[email protected]" je úplne odlišné od prijatia e-mailu z adresy "david@mаkeuseof.com". Medzi ďalšie ľahko sfalšované znaky patria к, о, р, с, у, х.
Útočník, ktorý si zakúpi názov domény, bude môcť odosielať e-maily, ktoré sa zdajú byť od legitímneho zdroj, na ktorý môžu dostávať odpovede a korešpondovať si, ako keby to bol naozaj makeuseof.com zamestnanca.
Nemali by ste sa cítiť bezpečne len preto, že vaša e-mailová adresa je u hlavného poskytovateľa. Zatiaľ čo niektoré z očividne spoofovateľných domén už nie sú k dispozícii, existuje veľa alternatívnych domén najvyššej úrovne na predaj.
Áno, váš e-mail môže byť sfalšovaný, aby úspešne oklamal ľudí, a útočníka to bude stáť menej ako 10 dolárov.
Svojmu e-mailu sa nemôžete vyhnúť úplne – koniec koncov je tu na to, aby sa používal. Mali by ste sa však postarať o svoju hlavnú e-mailovú adresu, t. j. tú, ktorú používate v spojení s bankovým a PayPal účtom, sa líši od tých, ktoré používate na registrácie a digitálne služby.
V ideálnom prípade by ste mali mať inú e-mailovú adresu, ktorú môžete poskytnúť každej osobe alebo organizácii, s ktorou ste v kontakte. Tým sa obmedzia škody, ak bude vaša e-mailová adresa niekedy zverejnená. Ak na to nemáte čas, zvážte použitie aliasov.
