Slaptažodis – ne vienintelis jūsų el. pašto dėžutės sargas
Autorius: Lukas Vileikis
2018 metų duomenimis (šaltinis: „99Firms“), pasaulyje yra maždaug 3.9 mlrd. žmonių, kurie naudojasi el. pašto dėžutėmis – vidutiniškai vienam interneto vartotojui tenka beveik dvi – 1.75 el. pašto paskyros. Kiekvieną dieną visame pasaulyje yra išsiunčiama maždaug 293.6 mlrd. laiškų el. paštu – šis skaičius yra maždaug 9.15% didesnis, nei 2017 metais. Išsiunčiamų el. pašto laiškų kiekis kasmet didėja ir panašu, kad didės dar ilgą laiką. Didžioji dauguma žmonių el. pašto dėžutėmis naudojasi kasdien, tačiau tik maža dalis iš jų susimąsto, kad jų el. pašto dėžutėje laikoma informacija gali tapti tikru lobiu įsilaužėliams.
[[#ex]]
Lobis? Koks lobis?
Jei paklaustume žmonių, kaip ir kodėl jie saugo savo el. pašto dėžutes, dažnai sulauktume atsakymo „nesaugau, nieko svarbaus ten nėra“. Statistika rodo ką kita – pažvelgę į 2019 metais sudarytą statistiką (šaltinis: „Radicati“), galime pastebėti, kad išsiųstų ir gaunamų laiškų skaičius peržengia 200 mlrd. ribą:
Metai | 2015 | 2016 | 2017 | 2018 | 2019 |
---|---|---|---|---|---|
Kiekvieną dieną išsiųstų / gaunamų laiškų skaičius visame pasaulyje (milijardais) | 205.6 | 215.3 | 225.3 | 235.6 | 246.5 |
Galime daryti prielaidą, kad „lobio“ el. pašto dėžutėse tikrai yra. Tačiau kokia to lobio vertė įsilaužėliui?
Nuo „nieko svarbaus ten nėra“ iki tapatybės vagystės
Kuo daugiau laiškų Jūsų el. pašto dėžutėje, tuo didesnė el. pašto dėžutės vertė įsilaužėliui – įsilaužėliams svetimos paskyros svarbios tiek, kiek galima iš jų pasipelnyti. Kitaip – įsilaužėliui vertingas kiekvienas Jūsų el. pašto dėžutėje esantis laiškas – visai nesvarbu perskaitytas jis ar ne. Turėdamas prieigą prie svetimos el. pašto dėžutės, įsilaužėlis gali parašyti laišką darbdaviui Jūsų vardu pranešdamas apie atsistatydinimą, išsiųsti žinutes Jūsų draugams, bendradarbiams, šeimos nariams, rasti kur, kaip ir su kuo Jūs gyvenate bei rasti galimai Jus kompromituojančią informaciją.
Radęs tam tikrą informaciją apie Jus (pvz. perskaitęs tam tikrus Jūsų el. pašto dėžutėje esančius laiškus) įsilaužėlis gali rasti Jūsų tapatybę identifikuojančius duomenis, o po to pasinaudoti jais nusikaltimų tikslais – atlikti dar vieną tapatybės vagystę.
Tapatybių vagysčių žala
Žemiau pateikta vieno didesnių įsilaužimų – „Exploit.in“ – analizės ištrauka. Spėjama, kad „Exploit.in“ yra įvairių įsilaužimų rinkinys, kuris buvo sukurtas kombinuojant duomenis iš kitų įsilaužimų – šis įsilaužimų rinkinys buvo naudojamas atliekant tapatybių vagysčių atakas. Įsilaužimų kompiliacijos sudarymo data – 2016 metai (šaltinis: „BreachDirectory“):
# | 1 | 2 | 3 | 4 | 5 |
---|---|---|---|---|---|
El. pašto domenas | Yahoo.com | Hotmail.com | Mail.ru | Gmail.com | Yandex.ru |
Asocijuotų paskyrų skaičius | 138,694,410 | 108,288,333 | 97,647,063 | 71,224,306 | 41,799,395 |
Žvilgtelėję į analizę, galime pastebėti, kad el. pašto adresus su savo paskyromis asocijavo daugiau nei 450 milijonų žmonių – turint omenyje, kad didžioji dalis žmonių savo el. pašto paskyromis naudojasi kiekvieną dieną, žinoti būdus, kuriais pasinaudojant įmanoma apsaugoti savo paskyras, yra tiesiog būtina.
[[#ex]]
Paskyros apsaugos būdai
Galime būti įsitikinę, kad nei vienas iš mūsų nenorėtų, kad įsilaužėliai mūsų vardu siųstų laiškus darbdaviams, draugams ar bendradarbiams ar rastų mus kompromituojančią informaciją, tačiau, kad tikrai netaptumėte tapatybės vagystės auka, reikėtų savęs paklausti: ar tikrai darau viską, kad to neatsitiktų? Tam, kad į šį klausimą atsakytumėte „taip“, Jums reikia laikytis tam tikrų paskyros apsaugos būdų.
[[#ex]]
Pasinaudokite „vienkartiniais“ el. pašto adresais
Jei nusprendėte naudotis kurio nors el. pašto paslaugų teikėjo paslaugomis, reikėtų atsiminti, kad Jūsų el. pašto adresas nebūtinai turi Jus identifikuoti. Nors kai kuriais atvejais (pvz. naudojantis el. paštu savo darbovietėje) pseudonimų naudoti nepatartina, tačiau jei neprivalote naudoti Jus identifikuojančio el. pašto adreso registruodamiesi prie tam tikros informacinės sistemos (pvz. filmų peržiūros ar žaidimams skirtų svetainių), galite panaudoti pseudonimą – galite naudoti ir „vienkartinį“ el. pašto adresą. Tokie el. pašto adresai dažniausiai galioja tik labai trumpą laiko tarpą (pvz. 10 minučių), po to el. pašto adresas ir laiškai esantys el. pašto dėžutėje yra sunaikinami. „Vienkartinius“ el. pašto adresus galite generuoti per įvairias svetaines, tokias kaip „Mailinator“ ar „10 Minute Mail”. Naudodami tokius el. pašto adresus galėsite būti užtikrinti, kad iš informacinių sistemų siunčiama įkyri reklama nepasieks Jūsų asmeninės el. pašto dėžutės.
Naudokite stiprų slaptažodį
Slaptažodis – raktas, atrakinantis Jūsų el. pašto dėžutės „duris“. Saugaus ir kriptografine prasme stipraus slaptažodžio pasirinkimas yra labai svarbus žingsnis interneto erdvėje - tam, kad Jūsų el. pašto dėžutė būtų apsaugota, pasinaudokite šiais patarimais:
- Prisijungimui prie el. pašto dėžutės naudokite niekur kitur nenaudojamą slaptažodį – jis turi būti sudarytas iš didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių – galima naudoti ir kelis vienas po kito einančius nesusijusius žodžius;
- Nenaudokite klaviatūros šablonų (pvz. „qwerty”) ar nuosekliai einančių skaičių (pvz. „12345678”) – tokių slaptažodžių naudojimas Jūsų paskyrą padaro itin lengvu grobiu įsilaužėliams;
- Slaptažodyje neturi būti asmeninės informacijos – įsilaužėliai gali lengvai rasti informaciją apie jus internete, po to panaudoti rastą informaciją atliekant tapatybių vagystes;
- Apsvarstykite galimybę naudoti slaptažodžių tvarkyklę. Naudodami slaptažodžių tvarkyklę galėsite naudoti itin ilgus, atsitiktinai sugeneruotus slaptažodžius - tokių slaptažodžių naudojimas itin sumažins Jūsų riziką tapti tapatybės vagystės auka.
Saugus, slaptažodžių tvarkyklės sugeneruotas slaptažodis atrodo šitaip (šiame pavyzdyje naudota slaptažodžių tvarkyklė – „1Password“):
Naudokite dviejų faktorių autentifikaciją
Nors stipraus ir atsitiktinai sugeneruoto slaptažodžio naudojimas tikrai sustiprins Jūsų paskyros saugumą, tam, kad savo el. pašto dėžutę paverstumėte tikra saugumo tvirtove, įjunkite ir dviejų faktorių autentifikaciją. Dviejų faktorių autentifikacija – tai tarsi antras apsauginis skydas, kuris sumažina tapatybės vagystės riziką net tuo atveju, jei įsilaužėlis žino Jūsų naudojamą slaptažodį – įvedus slaptažodį, bus reikalaujama papildomo tapatybės patvirtinimo. Žemiau pateikiami kai kurie iš metodų, kurie padės Jums apsaugoti savo paskyrą. Svarbu paminėti, kad šie paskyros apsaugos metodai gali būti taikomi norint apsaugoti bet kurią informacinę sistemą neapsiribojant tik el. pašto dėžutėmis:
- Dviejų faktorių autentifikacija naudojant SMS žinutes – prisijungiant prie informacinės sistemos gausite SMS žinutę su kodu, kurį patvirtinę patvirtinsite savo tapatybę ir prisijungsite prie informacinės sistemos. Toks papildomas autentifikacijos būdas dažnai naudojamas prisijungiant prie socialinių tinklų ar el. pašto, pvz. prie „Google“, „Facebook“, „Twitter“ ar „Instagram“;
- Dviejų faktorių autentifikacija naudojant programinę įrangą – prisijungiant prie informacinės sistemos prie kompiuterio prijungsite „raktą“ (pvz. „YubiKey“), ir suvedę savo paskyros vartotojo vardą bei slaptažodį prisiliesite prie „rakto“ arba gausite žinutę į autentifikavimosi aplikaciją, kuri sugeneruos vieną kartą panaudojamą kodą, kurį panaudosite patvirtindami savo tapatybę – kiekvieną kartą palietus „raktą“ jis sugeneruos vienkartinį slaptažodį, kuris informacinei sistemai leis Jus autentifikuoti. Toks autentifikacijos būdas gali būti naudojamas prisijungimui prie „Windows“, taip pat gali tapti saugumo skydu prisijungiant ir prie „Brave“, „CentOS“, „DocuSign“, „DropBox“, „Facebook“, „Google“ ir daugelio kitų informacinių sistemų – pilną informacinių sistemų, prie kurių galima prisijungti naudojant „YubiKey“, sąrašą rasite čia;
- Dviejų faktorių autentifikacija naudojant biometrinius duomenis – prisijungiant prie informacinės sistemos patvirtinsite savo tapatybę naudojant akies tinklainę, piršto antspaudą ar kitus biometrinius duomenis: pvz. prisijungiant prie slaptažodžių tvarkyklės „1Password“ per mobilųjį įrenginį Jūsų gali būti prašoma nuskenuoti savo piršto antspaudą.
Ištrinkite nereikalingus laiškus visam laikui
Pirmasis bandymas ištrinti žinutes retai būna sėkmingas – daugelis el. pašto sistemų (pvz. „Google“, „Yahoo“, „Outlook“ ar „GMX Mail“) paspaudus „ištrinti“ tiesiog perkelia žinutę į šiukšlinę, kuri būna ištrinta, kai praeina nustatytas laiko terminas (dažniausiai vienas mėnuo). Jei į Jūsų el. pašto paskyrą vis dėl to bus įsilaužta, įsilaužėlis tikrai ieškos informacijos ir šiukšliadežėje, todėl jei norite, kad nereikalingi laiškai būtų ištrinti visam laikui, būtinai ištrinkite žinutes ir iš šiukšliadėžės.
Saugokitės socialinės inžinerijos atakų
Jūsų stipraus slaptažodžio ir dviejų faktorių autentifikacijos naudojimas itin apsunkins prieigą prie Jūsų el. pašto dėžutėje laikomo „lobio“ įsilaužėliui, tačiau įsilaužėlis turi dar vieną raktą į Jūsų el. pašto dėžutę – socialinę inžineriją. Socialinė inžinerija – psichologinės manipuliacijos metodas, kurio tikslas yra priversti žmogų atskleisti tam tikrą konfidencialią informaciją. Pasinaudojus socialine inžinerija galima patekti į el. pašto dėžutes, tinklus, informacines sistemas ir gauti naudingos informacijos arba finansinės naudos. Socialinė inžinerija gali būti skirstoma į kelis tipus:
- „Phishing“ – tokių atakų tikslas yra išgauti iš Jūsų tam tikrą informaciją apsimetant patikimu asmeniu ar įmone. Vienas tokios atakos pavyzdys yra Jums atsiunčiamas laiškas, kuriuo prašoma „nedelsiant atnaujinti savo bankinius duomenis“ arba laiškas, kuriame rašoma, kad Jūsų įrenginys ir el. paštas yra „nulaužti“ ir jei nesumokėsite pinigų, jūsų asmeninė informacija bus paviešinta. Socialinė inžinerija dažnai kombinuojama su „phishing“ atakomis tada, kai į Jūsų el. pašto dėžutę atsiunčiamas laiškas, kuriame patalpinta nuoroda veda į svetainę, kurios turinys identiškas svetainei su originaliu turiniu (pvz., atsiunčiama nuoroda į https://gamil.com ant kurios paspaudus matote tokį patį turinį, kaip ir „GMail“). Suvesdami savo informaciją tokioje svetainėje atiduodate savo tapatybę į įsilaužėlio rankas. „Phishing“ atakas galima atpažinti iš dažnai el. pašto laiškuose pasitaikančios informacijos. Duomenų vagystės ataką galima įtarti, jei:
- Gautas laiškas turi įtartiną siuntėjo adresą (pvz. vietoje „GMail“ el. pašto adresas pasibaigia „Gamil“ ar pan.) – užpuolikai dažnai imituoja patikimų įmonių el. pašto adresus apkeisdami vieną ar kelis simbolius vietomis;
- Laiškas prasideda „Gerb. Pone / Ponia,“ – tokie el. pašto laiškai yra labai stiprūs „phishing“ atakų indikatoriai, nes įmonės paprastai kreipiasi į savo klientus vardu ir pavarde;
- Laiške yra daug gramatinių klaidų – tokiais atvejais įsilaužėliai kartais pasinaudoja automatinėmis vertimo priemonėmis tam, kad išverstų tekstą iš vienos kalbos į kitą. Tokie tekstai dažnai yra nelogiški, juose yra gramatinių klaidų;
- Laiške prašoma kažką „patvirtinti“ – tokie el. pašto laiškai dažnai siunčiami iš suklastotų siuntėjo adresų (pvz. „[email protected]“) ir itin dažnas tokių laiškų tikslas yra nukreipti Jus į suklastotą Jūsų naudojamo banko svetainę, kur Jūsų prašoma prisijungti. Prisijungus prie suklastotos banko svetainės Jūsų duomenys bus persiunčiami įsilaužėliui. Atkreipkite dėmesį į nuorodas – dažnai tokiuose laiškuose esančios nuorodos neatrodys įtartinai, tačiau ant jų paspaudus būsite nukelti į visiškai kitą puslapį. Tam, kad to išvengtumėte, užveskite pelytės žymeklį ant nuorodos, bet jos nespauskite – po kelių sekundžių ekrane pasirodys tikrasis nuorodos adresas. Jei pasirodžiusi nuoroda nesutampa su originaliu svetainės domenu, jokiu būdu ant jos nespauskite;
- Įtartini prisegtukai – kartais įsilaužėlių tikslas yra užkrėsti Jūsų kompiuterį priverčiant Jus atidaryti tam tikrą failą – tokiu atveju įsilaužėlių tikslas gali būti sugadinti Jūsų kompiuteryje esančius duomenis (pvz. užrakinti Jūsų kompiuteryje esančius duomenis ir reikalauti išpirkos tam, kad jie būtų „atrakinti“ – tokia kenkėjiškos programinės įrangos rūšis vadinama „Ransomware“) ar surinkti daugiau duomenų apie jumis ir ruošti tikslingą kibernetinę ataką kitam kartui. Tam skirti laiškai dažnai turi prisegtukus, kurių plėtiniai baigiasi „.pdf.iso“, „.jpg.exe“ ar pan. Tokio atakos tipo išvengsite tada, kai itin atidžiai peržvelgsite prisegtukų plėtinius – visi plėtiniai privalo baigtis tik vienu trumpiniu po taško. Itin dažnai kenksmingi failai plinta pridėjus papildomus plėtinius prie tikro dokumento plėtinio. Pavyzdžiui, buvęs „Word“ dokumento plėtinys „.doc“ ar „.docx“ tampa „.doc.iso“, „.jpg“ ar „.png“ tipo nuotrauka tampa „.jpg.bat“ ar „.png.exe“ ir pan.
- „Spear Phishing“ – tokių atakų tikslas yra apsimetant žinomais ir / arba patikimais siuntėjais priversti žmones atskleisti galimai konfidencialią informaciją. Tokią ataką galima įtarti, jei:
- Gavote laišką, kuriame minima labai daug asmeninės informacijos – kadangi „spear phishing“ atakos yra labiau nutaikytos į konkretų asmenį ar organizaciją, jų identifikavimas gali būti šiek tiek sunkesnis, tačiau tokias atakas galima nesunkiai neutralizuoti pasitelkus budrumą – tokie laiškai, kaip ir didžioji dauguma „phishing“ laiškų, yra rašomi iš suklastoto el. pašto adreso, juose gali būti prašoma skubiai atskleisti tam tikrą informaciją (tokios informacijos atskleidimas gali prieštarauti įmonės politikai), laiškas, kuriuo prašoma „įvertinti savo buvusį pirkinį“ taip pat gali būti „spear phishing“ atakos pavyzdys – tokie laiškai dažnai turi nuorodą, kurią paspaudus vartotojas yra nukėliamas į suklastotą svetainę. Prie tokių laiškų taip pat gali būti pridedami tam tikri dokumentai su dviejais plėtinių tipais (pvz. „.jpg.exe“) ir pan.;
- „Whaling“ – tokios atakos yra dar labiau nutaikytos į konkrečius asmenis – šios atakos nutaikytos į įmonių vadovus ir kitą vadovaujantį personalą, kuris turi prieigą prie vertingos informacijos. Vykdydami „whaling“ atakas įsilaužėliai bando apgauti personalą siekdami, kad personalas atskleistų tam tikrą informaciją apie darbuotojus, atskleistų banko sąskaitų ar klientų duomenis ar net atliktų pavedimus įmonės direktoriams.
Plačiau apie socialinę inžineriją galite pasiskaityti čia (šaltinis: „INTERPOL“).
[[#ex]]
Santrauka
Nors iš pirmo žvilgsnio el. pašto dėžutėje laikomas „lobis“ gali neatrodyti labai vertingas, tačiau reikėtų prisiminti, kad įsilaužėlius domina labai įvairi informacija ir kad įsilaužimas į Jūsų el. pašto dėžutę gali tapti dar vienos tapatybės vagystės priežastimi.
Slaptažodis nėra vienintelis Jūsų el. pašto dėžutės sargas – tam, kad apsaugotumėte save nuo tapatybės vagystės ir kenkėjiškų laiškų naudodamiesi el. pašto dėžutėmis, kada įmanoma pasinaudokite tik vieną kartą naudojamais el. pašto adresais (tokie el. pašto adresai ir jų turinys yra sunaikinami praėjus tam tikram laiko tarpui) arba registracijai naudokite tik tai sistemai sukurtą el. pašto adresą, kuris nėra susijęs su Jūsų asmeniniu el. pašto adresu. Visiems prisijungimams prie informacinių sistemų naudokite stiprius slaptažodžius, savo paskyras apsaugokite dviejų faktorių autentifikacija, taip pat būkite budrūs atidarinėdami ir skaitydami gautus laiškus.