Prevaranti in kibernetski kriminalci nenehno iščejo načine, kako ogroziti vašo varnost, vdreti v vaše račune in odteči vaše težko prislužene prihranke v lastne blagajne. Za zaščito svojih osebnih podatkov morate sprejeti vse previdnostne ukrepe – tako na spletu kot v digitalnem svetu. To vključuje vaš e-poštni naslov, s katerim lahko nenavadni delavci dosežejo ogromno.

Kaj lahko torej kibernetski kriminalec stori samo z vašim e-poštnim naslovom?

Ali prevaranti res iščejo moj e-poštni naslov?

Ja, so. 16. avgusta 2022 je bil ponudnik shranjevanja v oblaku DigitalOcean prisiljen razkriti kršitev podatkov in stopiti v stik z vsemi svojimi strankami z novico, da si je "številne e-poštne naslove strank DigitalOcean morda ogledal nepooblaščen posameznik."

Kršitve e-poštnih podatkov so dokaj pogost pojav. Včasih poleg e-poštnega naslova uhajajo fizični naslovi in ​​gesla ali zgoščene vrednosti gesel. Tudi če niso razkriti nobeni drugi podatki, lahko veljaven e-poštni naslov prevarantom ponudi številne priložnosti, da vas izkoristijo. Evo kako...

1. Puščanja kažejo, da so e-poštni naslovi v uporabi

Obstaja praktično neomejeno število možnih elektronskih naslovov. Če bi bil Gmail edini ponudnik e-pošte na svetu, njegova omejitev uporabniškega imena na 30 znakov pomeni, da obstaja 30 ^ 36 ali 30 undecillion možnih kombinacij. Drugi ponudniki imajo veliko višje omejitve in skupno število ponudnikov e-pošte po vsem svetu ni znano.

Ko prevaranti iščejo potencialne žrtve, pošiljanje e-pošte na naključne naslove ne bo pomagalo. Večina potencialnih e-poštnih naslovov je neuporabljenih, nikoli niso bili uporabljeni in nikoli ne bodo uporabljeni. Kvote lahko nekoliko izboljšajo tako, da v svoja prizadevanja vključijo običajne besede, besedne zveze in številke.

Preverjanje, ali se e-poštni naslov aktivno uporablja, prevarantom prihrani veliko truda in denarja (pošiljanje množična e-pošta ni vedno poceni), zato se zbirke podatkov o e-poštnih naslovih kupujejo in prodajajo odprto na spletu. Če je vaš e-poštni naslov razkrit, lahko pričakujete vsaj znatno povečanje neželene pošte, vsiljene pošte in poskusov lažnega predstavljanja.

2. Zaradi vaše e-pošte ste lahko tarča lažnega predstavljanja

Spear Phishing je izraz za poskus lažnega predstavljanja, ko goljuf prilagodi e-poštno sporočilo z lažnim predstavljanjem za določenega prejemnika. Več ko prevarant ve o tarči, bolj uspešen bo poskus.

Razkritje kršitve DigitalOcean je prišlo kot del poskusa goljufov, da ciljajo na uporabnike kriptovalut, glede na Mailchimp. To samo po sebi daje uporabnikom lažne e-pošte priložnost za lažno predstavljanje in spodbudo, da poskusijo.

Dodatne informacije o tarči je mogoče pridobiti iz samega e-poštnega naslova. Mnogi ljudje uporabljajo svoja polna imena in letnico rojstva kot del svojega e-poštnega naslova, kar napadalcu omogoči še več vpogleda, ki ga lahko uporabi proti žrtvi.

Nazadnje, če je vaš e-poštni naslov – ali del vašega e-poštnega naslova – uporabniško ime za račune družbenih medijev (če je vaše uporabniško ime »[email protected]« in vaš Twitter je na primer "yeezydave1992"), bodo lahko pregledali vse vidike vašega življenja, vaše odnose, hobije, glasbene okuse in nato izklesali e-poštno sporočilo ti.

Malo raziskovanja lahko razkrije druge ljudi, ki jih morda poznate: vašo mamo, vašega šefa, vaše stranke. To so ljudje, ki morda pričakujejo, da bodo od vas prejeli e-poštno sporočilo, in ne bi bili pretirano vznemirjeni, če bi v svojem nabiralniku našli sporočilo z vašega naslova.

Lahko bi na primer rekli, da zdaj menite, da je naslov "[email protected]" nezrel, in jih prosite, naj vas kontaktirajo na veliko bolj ugleden "[email protected]". Lahko pa bi stranki po e-pošti navedli, da so se vaši bančni podatki spremenili, in jo prosili, naj naslednje plačilo pošlje na drug račun.

Prevara e-pošte je osupljivo enostavna in jo lahko s Telnetom izvedete v približno petih minutah. Po naših izkušnjah ima vsako e-poštno sporočilo, poslano na ta način, približno 20 odstotkov možnosti, da se prebije skozi Gmailove filtre za vsiljeno pošto prve stopnje. Učinkovitost obrambe drugih ponudnikov bo različna.

4. Vaš e-poštni naslov je polovica vaše prijave

Za dostop do vaših številnih in raznolikih spletnih računov bo napadalec v mnogih primerih potreboval le dva podatka: e-poštni naslov in geslo. Če že imajo vaš e-poštni naslov, to pomeni, da je edina stvar, ki jo morajo vedeti, vaše geslo.

Pri ustvarjanju računa na spletu obstajajo določene minimalne zahteve glede moči gesla. Ti lahko vključujejo minimalno dolžino, uporabo velikih in malih črk, številk in simbolov.

Toda gesla si je težko zapomniti – še posebej, če si morate zapomniti različna za različne storitve. The večina skupno geslo danes v uporabi je "123456", na drugem mestu pa je "123456789", obstajajo pa tudi seznami pogostih gesel, ki krožijo po spletu, kaj šele temnem spletu.

Vse, kar mora napadalec storiti, je povezati običajno geslo z že znanim e-poštnim naslovom. Čeprav ne trdimo, da je vaše geslo šibko, se morda splača izbiro novega, močnega gesla za zaščito vašega računa.

5. Napadalec lahko ponaredi vaš e-poštni naslov z Unicode

Prevara e-poštnega naslova za preslepitev znancev tarče je hitra in enostavna, vendar je stopnja uspešnosti nizka, odgovor na e-poštna sporočila pa bo videla oseba, ki se predstavlja. Veliko bolje je (s kriminalnega vidika) ustvariti e-poštni naslov, ki se zdi enak, a je nevidno drugačen. Ne samo subtilno drugačen, ampak nevidno.

Razmislite o naslednjih dveh znakih: "а" in "a". Se vam zdijo drugačne? Eden je znak v cirilici, "а", ki je popolnoma drugačen od latinskega znaka, "a".

Prevara Unicode omogoča napadalcem ali drugim zainteresiranim stranem, da ustvarijo ime domene, ki je videti enako zakoniti domeni. Prejemanje e-pošte od "[email protected]" je popolnoma drugačno od prejemanja od "david@mаkeuseof.com". Drugi znaki, ki jih je enostavno ponarediti, so k, о, р, с, у, х.

Napadalec, ki kupi to ime domene, bo lahko pošiljal e-poštna sporočila, za katera se zdi, da prihajajo od zakonitega vir in za katere lahko prejemajo odgovore in si dopisujejo, kot da bi bili res makeuseof.com uslužbenec.

Tudi ne bi se smeli počutiti varne samo zato, ker je vaš e-poštni naslov pri pomembnem ponudniku. Čeprav nekatere bolj očitno ponarejene domene niso več na voljo, je na voljo veliko alternativnih domen najvišje ravni.

Da, vašo e-pošto je mogoče ponarediti in tako uspešno preslepiti ljudi, napadalca pa bo to stalo manj kot 10 USD.

Ne morete se izogniti popolni razdaji svojega e-poštnega sporočila – navsezadnje je tam, da ga uporabite. Vendar morate paziti na svoj glavni e-poštni naslov, tj. tisti, ki ga uporabljate v povezavi z bančnimi računi in računi PayPal, se razlikuje od tistih, ki jih uporabljate za prijave in digitalne storitve.

V idealnem primeru bi morali imeti drug e-poštni naslov, ki bi ga dali vsaki osebi ali organizaciji, s katero ste v stiku. To bo omejilo škodo, če bo vaš e-poštni naslov kdaj razkrit. Če za to nimate časa, razmislite o uporabi vzdevkov.