Każdego dnia przesyłamy coraz więcej wiadomości e-mail. Zawierają one często różne informacje na temat naszej osoby i różnych odbiorców naszych wiadomości. Przeważnie są to mało wartościowe treści dla osób postronnych, jednak raz na jakiś czas w korespondencji mogą pojawić się dane chronione, jak adresy zamieszkania, informacje na temat planów firmy.

Z tych i wielu innych powodów, korzystając z tego, jakże przydatnego narzędzia warto mieć na uwadze kilka aspektów, które nieodłącznie się z nim wiążą: bezpieczeństwo, spam czy różnego rodzaju pomyłki. O tym wszystkim piszemy na naszym blogu.

Ważne kwestie związane z odbieraniem wiadomości e-mail

Na początku warto wyjaśnić jedno z kluczowych pojęć, które dotyczy w dużym stopniu odbieranych e-maili.

Phishing – jest to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) albo nakłonienia ofiary do określonych działań.

Właśnie ta metoda jest wykorzystywana przez wiele osób, które w nieetyczny sposób wykorzystują pocztę e-mail. Stosują one różne sposoby, aby oszukać potencjalną ofiarę i zdobyć jej wrażliwe dane. Wysyłają maila, który wygląda podobnie do maila pochodzącego przykładowo z naszego banku lub tworzą adres e-mail podobny do tego, który znamy i mu ufamy.

Poniżej podajemy kilka przykładów związanych z phishingiem przy wykorzystaniu e-maila.

Podejrzany tytuł

Pierwszą oznaką, która powinna wzbudzić w nas podejrzenie to tytuł odebranego e-maila. Jeśli widzisz w tytule wiadomości, że ktoś oferuje Ci coś za darmo to powinieneś to potraktować jako sygnał ostrzegawczy. Wiele tytułów zachęca nas do skorzystania z jakiejś oferty oraz pokazuje, że możemy tyle i tyle zyskać praktycznie bez wysiłku. Z pewnością wiadomość o tytule “Odczytaj szybko” nie jest wiadomością, którą chcemy odczytać szybko. Ba! Lepiej takiej wiadomości w ogóle nie otwierać, tylko od razu usunąć ze skrzynki pocztowej, by nas nie kusiło.

Zdarza się również, że przychodzą wiadomości w innym języku. Tytuł i wiadomość pisane cyrylicą? Okazuje się, że i takie przypadki nie są aż taką rzadkością jakby mogło nam się wydawać.

Zalecamy nie otwieranie tego typu wiadomości, a w szczególności załączników, które znajdują się w takiej wiadomości. O ile samo otwarcie e-maila nie powinno spowodować szkód, to jednak warto “nie kusić losu”. Chwila nieuwagi, jedno kliknięcie i nasz komputer może zostać zarażony szkodliwym oprogramowaniem.

Wskazówki jak bezpiecznie korzystać z maila

Jeśli wiadomość zawiera w tytule maila adres e-mail odbiorcy, może to złudnie uwiarygodnić wiadomość. Można odnieść wrażenie, że wiadomość została wysłana tylko do nas ze względu na wysoki stopień personalizacji. Nic bardziej mylnego! Istnieją boty, które z łatwością są w stanie przesłać do różnych odbiorców e-maile o różnych tytułach. Jeśli ktoś mógł przesłać do nas wiadomość na nasz adres e-mail to równie dobrze mógł ten adres e-mail umieścić w tytule wiadomości.

Co więcej, możemy zobaczyć na początku “Re:”, które sugeruje odpowiedź na naszego wcześniejszego e-maila. Te 2 elementy mogą spowodować, że ktoś kliknie w e-maila, który z pewnością jest fałszywy.

Sprawdzanie nadawcy, w szczególności jeśli e-mail dotyczy płatności

Do ważnych kwestii należy przyjrzenie się adresowi e-mail nadawcy. Jeśli dodatkowo ten nadawca prosi nas o uregulowanie płatności (którą spodziewamy się otrzymać), to nasza czujność powinna być tym wyższa. Wszelkiego rodzaju dokumenty co do zasady powinny przychodzić z e-maila w tej samej domenie, co strona internetowa dostawcy produktów lub usług. Wielu przestępców rejestruje podobną domenę do tej, którą używa np. znany bank. Ma to na celu zmylenie potencjalnej ofiary. Po rejestracji domeny, bez problemu można wykorzystać ją do stworzenia adresu e-mail do złudzenia przypominającego adres e-mail banku.

Gdy mamy wątpliwości, czy wezwanie do zapłaty lub jakakolwiek inna wiadomość rzeczywiście pochodzi od nadawcy podanego e-maila możemy się dodatkowo upewnić. Prostym sposobem na uzyskanie potwierdzenia jest skontaktowanie się z dostawcą produktów czy usług poprzez infolinię. Dzięki temu sami będziemy mieli pewność, że faktura jest prawdziwa. Jeśli okaże się inaczej, to firma będzie mogła przesłać komunikat do swoich klientów z informacją o zagrożeniu i ewentualnie złożyć zawiadomienie o możliwości popełnienia przestępstwa. Dzięki temu zbudujesz silniejszą relację z dostawcą usług, co będzie mogło zaowocować w przyszłości np. szybszą obsługą klienta.

Bezpieczne korzystanie z maila

W przykładzie powyżej widzimy nadawcę o imieniu Paulina, jednak wiadomość została wysłana z adresu michal@conclusionconductor.us. Z pewnością tak nie wygląda wiarygodny e-mail – nadawca jest inny niż wskazywałby na to adres e-mail. Co więcej, warto zwrócić uwagę w jakiej domenie jest adres e-mail. Jeśli nigdy wcześniej nie spotkaliśmy się z daną nazwą, to należy usunąć wiadomość najlepiej bez jej otwierania. W tym przypadku warto zwrócić też uwagę czy w e-mailu nie ma literówki. Przykładowo “m” i “rn” wygląda bardzo podobnie, co może zmylić potencjalną ofiarę. Skoro już w samym adresie e-mail mamy do czynienia z oszustwem, to treść wiadomości również nie będzie przez nas pożądana.

Podejrzane linki

W wiadomościach e-mail, które mają na celu np. wyłudzenie danych często umieszcza się różne linki w jego treści. Prowadzą one do stron, na których znajdują się różnego rodzaju złośliwe oprogramowanie.

Aby zwiększyć swoje bezpieczeństwo należy podejrzeć, do jakiej strony prowadzi link. Może on być umieszczony pod prawidłową nazwą np. banku.

Ochrona przed spamem

SPAM, czyli niechciane i niezamówione wiadomości (często reklamowe) to zmora wielu użytkowników poczty elektronicznej. Istnieje jednak kilka praktyk, które zwiększą szanse na to, że będziemy otrzymywali mniej niechcianych e-maili od wiarygodnych nadawców.

  • jeśli już podajesz publicznie swój adres e-mail (np. na swojej stronie internetowej), to możesz napisać go w formie np. imię.nazwisko[małpa]nazwafirmy.pl. Zwiększysz wtedy szanse na to, że roboty spamujące nie zapiszą adresu e-mail do swojej bazy.
  • dodaj adres e-mail nadawcy niechcianej wiadomości do tzw. “czarnej listy”. Większość programów pocztowych i dostawców, którzy oferują założenie e-maila posiada możliwość zablokowania konkretnych adresów lub oznaczenie je jako spam.
  • zastanów się, czy wyraziłeś zgodę na otrzymywanie danych wiadomości np. newslettera firmy x. Jeśli tak, to powinieneś mieć możliwość wypisania się z niego bez podania przyczyny.

Ważne kwestie przy wysyłaniu wiadomości e-mail

Szyfrowane załączniki

Czy wiesz o tym, że domyślnie każdy e-mail jest przesyłany jawnym tekstem? Oznacza to, że wszystko co umieścisz w swojej wiadomości jest przekazywane do odbiorcy w sposób, który zapisałeś. Od Twojego urządzenia do urządzenia odbiorcy znajduje się wiele urządzeń przekazujących informacje. Ktoś może np. rejestrować dane przechodzące przez jeden z pośredniczących serwerów. Dzięki temu istnieje możliwość odczytania podsłuchanej wiadomości.

Przedstawimy krótko jeden ze sposobów, który pomoże ochronić wrażliwe dane w e-mailach, a mianowicie szyfrowanie załączników. Do tego celu warto użyć programu WinRAR.

Po stworzeniu bądź wybraniu pliku, który chcemy przesłać należy przekształcić go w archiwum. W oknie wyboru parametrów pliku będziemy mieli możliwość ustawienia hasła do pliku. Na poniższym zrzucie ekranu widoczny jest przycisk “Set password…”

Szyfrowanie załączników do maili

Program umożliwia nam również zaszyfrowanie nazwy pliku. Wystarczy w kolejnym oknie zaznaczyć opcję “Encrypt file names”.

Warto zastosować również i tą drugą opcję, gdyż czasem sama nazwa pliku niesie cenną informację, np. umowa sprzedaży z firmą x.

Szyfrowanie załączników - jak bezpiecznie korzystać z maila

Aby przesłać komuś hasło można skorzystać z jednego z systemów online, np. One Time Secret, One Time czy PrivNote. Wszystkie te systemy działają na podobnej zasadzie:

  • Program generuje jednorazowy adres URL, który zawiera klucz wiadomości.
  • Wiadomość jest szyfrowana przy pomocy klucza wiadomości i w tej formie przechowywana na serwerze.
  • Po otwarciu jednorazowego linku wiadomość jest rozszyfrowana i odsyłana klientowi i w tym samym momencie usuwana z serwera.

Innym, polecanym przez nas sposobem na przesłanie hasła jest wykorzystanie innego kanału komunikacji, aby skontaktować się z drugą osobą. Można użyć do tego celu telefonu i po prostu przedyktować hasło w rozmowie telefonicznej albo można przesłać hasło za pomocą SMS-a i niezwłocznie usunąć je po przesłaniu.

Poza samym szyfrowaniem załącznika można się zdecydować na zaszyfrowanie całej wiadomości. Do tego celu można użyć np. kluczy PGP. Wymaga to jednak od nadawców i adresatów wiadomości znajomości kluczy publicznych i prywatnych. Klucz publiczny służy do zaszyfrowania wiadomości, natomiast prywatny do jej odszyfrowania.

Przydatne wskazówki dotyczące wysyłania jak i odbierania e-maili

Jak zachować ostrożność podczas wysyłania maili

Aktualizacje programów pocztowych i SSL

Nie mniej istotną kwestią jest aktualizacja programów pocztowych zainstalowanych na komputerze np. Microsoft Outlook, Mozilla Thunderbird czy The Bat!. Większość programów pocztowych, np. Mozilla Thunderbird zapewnia automatyczne aktualizacje. Jeśli jednak zdarzy się, że używasz programu w jego starszej wersji, mogą pojawić się zagrożenia związane z bezpieczeństwem. Wobec tego warto, co jakiś czas zwrócić uwagę na to, czy wszystkie aktualizacje są już zainstalowane.

Problem nie dotyczy oczywiście wszystkich tych, którzy używają poczty elektronicznej z przeglądarki internetowej. W tym przypadku należy zadbać o aktualizację przeglądarki, a nawet całego systemu operacyjnego. Jeśli pracujesz np. na Windows XP, to miej świadomość, że ten system nie jest już wspierany przez Microsoft. Odradzamy korzystanie z systemów, które nie są już aktualizowane i rozwijane. Zamiast tego zdecyduj się na nowsze oprogramowanie.

Nie mniej istotnym elementem wykorzystywania programów pocztowych jest zapewnienie szyfrowania wiadomości za pomocą SSL. Warto sprawdzić swoje ustawienia w programie, czy ta opcja jest włączona, gdyż nie zawsze programy mają ją “domyślnie” ustawioną.

Generalnie to należy aktualizować wszystkie programy, nie tylko pocztowe. Każdy może mieć wpływ na bezpieczeństwo Twojej obecności w Internecie, także na bezpieczeństwo w zakresie poczty e-mail.

Silne hasło

Jednym z najważniejszych elementów bezpieczeństwa jest hasło, najlepiej długie, wykorzystujące wielkie i małe litery, cyfry i znaki specjalne. Hasło to absolutna podstawa w poruszaniu się po Internecie.  Nie inaczej jest w przypadku e-maila. Właśnie dzięki poczcie możemy uzyskać dostęp do przeróżnych serwisów. Wystarczy kliknąć w link typu “Zapomniałem hasła”, a nowe hasło lub link resetujący te obecne przychodzi nam właśnie na e-maila.

Należy pamiętać o tym, żeby stosować unikalne hasła do różnych serwisów, a w szczególności do poczty i pozostałych usług.

Skąd mam wiedzieć, czy moje hasło wyciekło? Jak to w ogóle mogło się stać?

  • Przestępca mógł sprawić (np. poprzez kliknięcie ofiary w podejrzany link), że na komputerze został zainstalowany tzw. keylogger. Działanie tego programu polega na tym, że zapamiętuje wszystkie znaki wpisywane z klawiatury.
  • Inną możliwością wycieku hasła jest niekorzystanie z protokołu SSL przy logowaniu się do konta pocztowego. Hasło wówczas jest przesyłane otwartym tekstem po sieci i może być podsłuchane, szczególnie jeśli korzystasz z niezaufanej sieci Wi-Fi (piszemy o tym dalej).
  • Twoje hasło było zbyt proste. Przestępca więc albo zgadł Twoje hasło po pewnej ilości prób, albo użył automatycznych skryptów, które będą próbowały się logować przy użyciu często używanych haseł aż do skutku.

W sieci można znaleźć wiele stron z informacją: “Podaj swój e-mail, a prześlemy Ci informację, czy Twoje hasło wyciekło”. Do takich stron radzimy podchodzić ze szczególną ostrożnością. Można skorzystać jedynie z nielicznych, zaufanych serwisów, np. Have I Been Pwned, prowadzonego przez dyrektora regionalnego z Microsoftu, researchera bezpieczeństwa IT, Troya Hunta. Aby sprawdzić czy nasz e-mail znajduje się w bazie należy wejść na https://haveibeenpwned.com/. Baza zawiera dane z przeróżnych wycieków, w sumie ponad 5 miliardów (!) kont.

Jak sprawdzić czy Twoje hasło wyciekło?

Wi-Fi

Ostatnia nasza wskazówka dotyczy sieci bezprzewodowej Wi-Fi. Gdy jesteśmy np. na wakacjach i chcemy skorzystać z Internetu, często szukamy czy nie ma wokół nas darmowej sieci Wi-Fi. Może to być bardzo przydatne, jednak należy zachować szczególną ostrożność przy logowaniu. Być może po skorzystaniu z darmowej sieci, ktoś przejmie nasze wszystkie pieniądze?

Aby zwiększyć bezpieczeństwo należy korzystać z zaufanych sieci Wi-Fi, czyli takich do których należy podać hasło, aby uzyskać dostęp oraz gdy wiemy, kto daną siecią zarządza.

Najlepiej jednak korzystać z własnego hotspota, np. przez sieć komórkową, a dodatkowo używać zaufanej usługi VPN, co praktycznie uniemożliwi podsłuchanie transmisji.

Podsumowanie

Posiadasz jakieś inne wskazówki dotyczące bezpiecznego korzystania z e-maila? Koniecznie wpisz je w komentarzu!

P.S. Przeczytajcie też o tym jak sprawdzić, które e-maile dotyczące domen są wiarygodne.

Komentarze