Prevaranti i kibernetički kriminalci neprestano traže načine da kompromitiraju vašu sigurnost, hakiraju vaše račune i pretoče vašu teško zarađenu ušteđevinu u vlastite blagajne. Morate poduzeti sve mjere opreza kako biste zaštitili svoje osobne podatke—i online i u digitalnom svijetu. To uključuje vašu adresu e-pošte, s kojom ne'er-do-wells mogu postići jako puno.
Dakle, što internetski kriminalac može učiniti samo s vašom adresom e-pošte?
Traže li prevaranti doista moju adresu e-pošte?
Da, jesu. Dana 16. kolovoza 2022. pružatelj pohrane u oblaku DigitalOcean bio je prisiljen otkriti povredu podataka i kontaktirati sve svoje klijente s viješću da je "neovlaštena osoba možda pogledala brojne adrese e-pošte korisnika DigitalOceana."
Povrede podataka e-pošte prilično su česta pojava. Ponekad fizičke adrese i lozinke ili hashovi lozinki cure uz adresu e-pošte. Čak i ako se ne otkriju nikakve druge informacije, važeća adresa e-pošte može prevarantima pružiti više prilika da vas iskoriste. Evo kako...
1. Curenja pokazuju da su adrese e-pošte u upotrebi
Postoji praktički neograničen broj mogućih email adresa. Kad bi Gmail bio jedini pružatelj usluga e-pošte na svijetu, njegovo ograničenje korisničkog imena od 30 znakova znači da postoji 30 ^ 36 ili 30 mogućih kombinacija. Drugi pružatelji usluga imaju puno veća ograničenja, a ukupan broj pružatelja usluga e-pošte u svijetu nije poznat.
Kada prevaranti traže potencijalne žrtve, slanje e-pošte na nasumične adrese neće pomoći. Većina potencijalnih adresa e-pošte nije korištena, nikada nije korištena niti će se ikada koristiti. Oni mogu malo poboljšati izglede uključivanjem uobičajenih riječi, fraza i brojeva u svoje napore.
Provjera da se adresa e-pošte aktivno koristi štedi prevarantima mnogo truda i novca (slanje grupna e-pošta nije uvijek jeftina), zbog čega se baze podataka adresa e-pošte kupuju i prodaju otvoreno na liniji. Ako je vaša adresa e-pošte izložena, možete u najmanju ruku očekivati značajan porast neželjene pošte, neželjene pošte i pokušaja krađe identiteta.
2. Vaša e-pošta može vas učiniti metom za krađu identiteta
Spear Phishing je izraz za pokušaj krađe identiteta kada prevarant skroji e-poštu za krađu identiteta za određenog primatelja. Što više prevarant zna o meti, to će pokušaj biti uspješniji.
Otkrivanje povrede DigitalOceana došlo je kao dio pokušaja prevaranata da ciljaju korisnike kriptovaluta, prema Mailchimp-u. Ovo, samo po sebi, korisnicima lažne e-pošte daje kut napada za krađu identiteta i poticaj da pokušaju.
Dodatne informacije o meti mogu se pronaći iz same adrese e-pošte. Mnogi ljudi koriste svoja puna imena i godinu rođenja kao dio svoje adrese e-pošte, omogućujući napadaču još bolji uvid koji se može upotrijebiti protiv žrtve.
Na kraju, ako je vaša adresa e-pošte — ili dio vaše adrese e-pošte — korisničko ime za račune društvenih medija (ako je vaše korisničko ime "[email protected]" i vaš Twitter ime je "yeezydave1992", na primjer), moći će pregledati sve aspekte vašeg života, vaše odnose, hobije, glazbene ukuse, a zatim isklesati e-poruku za zamku vas.
Malo istraživanja može otkriti druge ljude koje možda poznajete: vašu mamu, vašeg šefa, vaše klijente. To su ljudi koji bi mogli očekivati da će primiti e-poštu od vas i ne bi se pretjerano uznemirili kada bi u svojoj pristigloj pošti pronašli poruku s vaše adrese.
Na primjer, netko bi mogao reći da sada adresu "[email protected]" smatrate nezrelom i zamoliti ih da vas kontaktiraju na daleko respektabilniju "[email protected]". Ili bi možda mogli poslati e-poruku klijentu u kojoj navode da su se vaši bankovni podaci promijenili i dodatno traže da sljedeću uplatu pošalju na drugi račun.
Krivotvorenje e-pošte je nevjerojatno jednostavno i može se postići za oko pet minuta uz Telnet. Prema našem iskustvu, svaka e-pošta poslana na ovaj način ima oko 20 posto šanse da prođe kroz Gmailove filtere neželjene pošte prve razine. Učinkovitost obrane drugih pružatelja bit će različita.
4. Vaša adresa e-pošte je pola vaše prijave
Kako bi dobio pristup vašim brojnim i raznolikim računima na mreži, u mnogim slučajevima napadač će trebati samo dvije informacije: adresu e-pošte i lozinku. Ako već imaju vašu adresu e-pošte, to znači da jedino što trebaju znati je vaša lozinka.
Kada kreirate račun na mreži, postoje određeni minimalni zahtjevi za snagu lozinke. Oni mogu uključivati minimalnu duljinu, upotrebu velikih i malih slova, brojeva i simbola.
Ali lozinke je teško zapamtiti—posebno kada morate zapamtiti različite za različite usluge. The najviše zajednička lozinka danas se koristi "123456", a drugo mjesto zauzima "123456789", a postoje i popisi uobičajenih zaporki koji kruže webom, a kamoli mračnim webom.
Sve što napadač treba učiniti je spojiti uobičajenu lozinku s već poznatom adresom e-pošte. Iako ne sugeriramo da je vaša zaporka slaba, možda se isplati odabirom nove, jake lozinke kako biste zaštitili svoj račun.
5. Napadač može lažirati vašu adresu e-pošte s Unicodeom
Lažiranje adrese e-pošte kako bi se prevarili poznanici cilja brzo je i jednostavno, ali ima nisku stopu uspjeha, a osobe koje se lažno predstavljaju vidjet će odgovore na e-poštu. Daleko je bolje (sa kriminalističkog stajališta) kreirati e-mail adresu koja se čini identičnom, ali koja je nevidljivo drugačija. Ne samo suptilno drugačiji nego nevidljivo.
Razmotrite sljedeća dva znaka: "a" i "a". Izgledaju li vam drugačije? Jedan je ćirilični znak, "a", koji je potpuno drugačiji od latiničnog znaka, "a".
Unicode lažiranje omogućuje napadačima—ili drugim zainteresiranim stranama—da stvore naziv domene koji izgleda identično legitimnoj domeni. Primanje e-pošte od "[email protected]" potpuno je drugačije od onoga od "[email protected]". Drugi znakovi koji se lako lažiraju uključuju k, o, r, s, u, h.
Napadač koji kupi taj naziv domene moći će slati e-poštu za koju se čini da je od legitimne izvor, a za koje mogu primati odgovore i dopisivati se kao da su stvarno makeuseof.com djelatnik osoblja.
Ne biste se trebali osjećati sigurno samo zato što je vaša adresa e-pošte kod velikog pružatelja usluga. Dok neke domene koje se očiglednije lažiraju više nisu dostupne, postoji mnogo alternativnih domena najviše razine za prodaju.
Da, vaša se e-pošta može lažirati kako biste uspješno prevarili ljude, a to će napadača koštati manje od 10 USD.
Ne možete izbjeći potpuno odavanje svoje e-pošte - na kraju krajeva, ona je tu da se koristi. No trebali biste pripaziti na svoju glavnu adresu e-pošte, tj. onu koju koristite zajedno sa svojim bankovnim i PayPal računima razlikuje se od one koju koristite za prijave i digitalne usluge.
U idealnom slučaju, trebali biste imati drugu adresu e-pošte koju ćete dati svakoj osobi ili organizaciji s kojom kontaktirate. To će ograničiti štetu ako vaša adresa e-pošte ikada bude otkrivena. Ako nemate vremena za to, razmislite o korištenju aliasa.
