Oszuści i cyberprzestępcy nieustannie szukają sposobów na złamanie zabezpieczeń, włamanie się na Twoje konta i wylanie ciężko zarobionych oszczędności do własnych kas. Musisz podjąć wszelkie środki ostrożności, aby chronić swoje dane osobowe — zarówno w Internecie, jak iw świecie cyfrowym. Obejmuje to Twój adres e-mail, z którym ne'er-do-well może osiągnąć bardzo wiele.
Co więc cyberprzestępca może zrobić z samym Twoim adresem e-mail?
Czy oszuści naprawdę śledzą mój adres e-mail?
Tak, oni są. 16 sierpnia 2022 r. dostawca pamięci masowej w chmurze DigitalOcean został zmuszony do: ujawnić naruszenie danych i skontaktuj się ze wszystkimi swoimi klientami z wiadomością, że „nieupoważniona osoba mogła wyświetlić wiele adresów e-mail klientów DigitalOcean”.
Naruszenia danych e-mail są dość powszechnym zjawiskiem. Czasami wraz z adresem e-mail wyciekają adresy fizyczne i hasła lub skróty haseł. Nawet jeśli nie zostaną ujawnione żadne inne informacje, prawidłowy adres e-mail może dać oszustom wiele okazji do skorzystania z Ciebie. Oto jak...
1. Przecieki pokazują, że adresy e-mail są w użyciu
Liczba możliwych adresów e-mail jest praktycznie nieograniczona. Gdyby Gmail był jedynym dostawcą poczty e-mail na świecie, jego 30-znakowy limit nazwy użytkownika oznacza, że istnieje 30 ^ 36 lub 30 możliwych kombinacji. Inni dostawcy mają znacznie wyższe limity, a całkowita liczba dostawców poczty e-mail na całym świecie jest nieznana.
Gdy oszuści szukają potencjalnych ofiar, wysyłanie e-maili na losowe adresy nie wystarczy. Większość potencjalnych adresów e-mail jest nieużywana, nigdy nie była używana i nigdy nie będzie używana. Mogą nieco poprawić szanse, włączając do swoich wysiłków popularne słowa, wyrażenia i liczby.
Weryfikacja, czy adres e-mail jest aktywnie używany, oszczędza oszustom dużo wysiłku i pieniędzy (wysyłanie masowe wiadomości e-mail nie zawsze są tanie), dlatego bazy danych adresów e-mail są kupowane i sprzedawane w sposób otwarty online. Jeśli Twój adres e-mail zostanie ujawniony, możesz przynajmniej spodziewać się znacznego wzrostu liczby wiadomości-śmieci, spamu i prób phishingu.
2. Twój e-mail może sprawić, że staniesz się celem spear phishingu
Spear Phishing to termin określający próbę phishingu, w której oszust przygotowuje phishingową wiadomość e-mail dla określonego odbiorcy. Im więcej oszust wie o celu, tym bardziej skuteczna może być próba.
Ujawnienie naruszenia DigitalOcean było częścią próby oszustów skierowanej na użytkowników kryptowalut, według Mailchimp. To samo w sobie daje fałszywym użytkownikom e-mail kąt ataku na spear phishing i zachętę do spróbowania.
Dalsze informacje o celu można uzyskać z samego adresu e-mail. Wiele osób używa swoich pełnych nazwisk i roku urodzenia jako części swojego adresu e-mail, co umożliwia atakującemu jeszcze więcej informacji, które można wykorzystać przeciwko ofierze.
Wreszcie, jeśli Twój adres e-mail — lub część adresu e-mail — jest nazwą użytkownika kont mediów społecznościowych (jeśli Twoja nazwa użytkownika to „[email protected]” i Twój uchwyt na Twitterze to na przykład "yeezydave1992"), będą mogli przejrzeć wszystkie aspekty twojego życia, twoje związki, hobby, gusta muzyczne, a następnie wyrzeźbić e-mail, aby złapać pułapkę ty.
Trochę badań może ujawnić inne osoby, które możesz znać: twoją mamę, szefa, klientów. Są to osoby, które mogą spodziewać się otrzymania od Ciebie wiadomości e-mail i nie będą się niepokoić, gdy znajdą wiadomość z Twojego adresu w swojej skrzynce odbiorczej.
Na przykład można powiedzieć, że teraz uważasz adres „[email protected]” za niedojrzały i poprosić ich o skontaktowanie się z tobą pod znacznie bardziej szanowanym adresem „[email protected]”. A może mogliby wysłać wiadomość e-mail do klienta z informacją, że Twoje dane bankowe uległy zmianie i prosząc go o przesłanie następnej płatności na inne konto.
Sfałszowanie wiadomości e-mail jest zdumiewająco łatwe i można je wykonać w ciągu około pięciu minut za pomocą usługi Telnet. Z naszego doświadczenia wynika, że każdy e-mail wysłany w ten sposób ma około 20 procent szans na przejście przez filtry antyspamowe pierwszego poziomu Gmaila. Skuteczność mechanizmów obronnych innych dostawców będzie różna.
4. Twój adres e-mail to połowa twojego loginu
Aby uzyskać dostęp do wielu różnorodnych kont internetowych, w wielu przypadkach atakujący będą potrzebować tylko dwóch informacji: adresu e-mail i hasła. Jeśli mają już Twój adres e-mail, oznacza to, że jedyne, co muszą wiedzieć, to Twoje hasło.
Podczas tworzenia konta online istnieją pewne minimalne wymagania dotyczące siły hasła. Mogą one obejmować minimalną długość, użycie wielkich i małych liter, cyfr i symboli.
Ale hasła są trudne do zapamiętania — zwłaszcza, gdy musisz pamiętać różne hasła dla różnych usług. The bardzo wspólne hasło obecnie w użyciu jest „123456”, a drugie miejsce to „123456789”, aw sieci krążą listy popularnych haseł, nie mówiąc już o ciemnej sieci.
Jedyne, co musi zrobić osoba atakująca, to dopasować wspólne hasło do znanego już adresu e-mail. Chociaż nie sugerujemy, że Twoje własne hasło jest słabe, może warto wybór nowego, silnego hasła aby chronić Twoje konto.
5. Atakujący może sfałszować Twój adres e-mail za pomocą Unicode
Sfałszowanie adresu e-mail w celu oszukania znajomych celu jest szybkie i łatwe, ale ma niski wskaźnik sukcesu, a odpowiedzi na e-maile będą widoczne dla osoby, pod którą ktoś się podszywa. O wiele lepiej (z kryminalnego punktu widzenia) jest stworzenie adresu e-mail, który wydaje się identyczny, ale jest niewidocznie inny. Nie tylko subtelnie inny, ale niewidocznie.
Rozważ następujące dwa znaki: „а” i „a”. Wyglądają inaczej? Jednym z nich jest znak cyrylicy „а”, który jest zupełnie inny niż znak łaciński „a”.
Spoofing Unicode umożliwia atakującym lub innym zainteresowanym stronom utworzenie nazwy domeny, która wygląda identycznie jak legalna domena. Otrzymanie wiadomości e-mail od „[email protected]” jest zupełnie inne niż „[email protected]”. Inne łatwo sfałszowane znaki to к, о, р, с, у, х.
Osoba atakująca, która kupi tę nazwę domeny, będzie mogła wysyłać wiadomości e-mail, które wydają się pochodzić z legalnego źródło, na które mogą otrzymywać odpowiedzi i korespondować tak, jakby były naprawdę makeuseof.com pracownik.
Nie powinieneś czuć się bezpiecznie tylko dlatego, że Twój adres e-mail należy do dużego dostawcy. Chociaż niektóre z bardziej oczywistych domen, które można sfałszować, nie są już dostępne, istnieje wiele alternatywnych domen najwyższego poziomu na sprzedaż.
Tak, Twój e-mail może zostać sfałszowany, aby skutecznie oszukać ludzi, i będzie to kosztować atakującego mniej niż 10 USD.
Nie da się całkowicie uniknąć ujawnienia swojego e-maila — w końcu jest on po to, aby go wykorzystać. Powinieneś jednak zadbać o swój główny adres e-mail, tj. ten, którego używasz w połączeniu z kontami bankowymi i PayPal, różni się od tych, których używasz do rejestracji i usług cyfrowych.
W idealnym przypadku powinieneś mieć inny adres e-mail, który możesz rozdać każdej osobie lub organizacji, z którą się kontaktujesz. Ograniczy to szkody, jeśli Twój adres e-mail zostanie kiedykolwiek ujawniony. Jeśli nie masz na to czasu, rozważ użycie aliasów.
