Najwyżsi urzędnicy państwowi – minister Michał Dworczyk jest na czele tej ekipy, ale chyba nie tylko on dał się „zrobić” – zostali okradzeni z prywatności przez to, że ktoś włamał się na ich pocztę e-mail. Nie ma się co śmiać. To się często zdarza – przecież skrzynki e-mail to wrota do wiedzy o naszym życiu. Dlaczego tak kiepsko je chronimy. Są dwa proste sposoby, by nie skończyć jak minister Dworczyk i reszta pechowców z rządu
Posłowie na tajnym posiedzeniu Sejmu zajmują się wyciekami zawartości prywatnych skrzynek e-mail należących do ważnych funkcjonariuszy państwowych. Wiemy, że pierwszą ofiarą jest minister Michał Dworczyk, zaatakowano więc jednego z najbliższych współpracowników premiera Mateusza Morawieckiego. I urzędnika odpowiadającego za akcję szczepień.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Wygląda na to, że najważniejsi polscy politycy nie dość, że używali prywatnych skrzynek e-mailowych do omawiania strategicznych dla państwa spraw (te służbowe, w domenie .gov, są zabezpieczane przez służby ochrony państwa), to jeszcze nie pilnowali elementarnych zabezpieczeń lub też wykazali się naiwnością (niewykluczone, że udało się ich podejść pośrednio, przejmując najpierw dostęp do e-maila lub mediów społecznościowych ich bliskich – to zawsze ułatwia atak).
Najbardziej prawdopodobny scenariusz to taki, że po prostu politycy dali sobie wykraść loginy i hasła do swoich prywatnych skrzynek e-mail. Gdyby tak było, to nie mielibyśmy do czynienia z jakimś szczególnie wysublimowanym atakiem informatycznym z użyciem najtęższych głów hakerskich świata, ale ze zwykłym phishingiem, którego ofiarą padają miliony ludzi w Polsce.
Atak hakerski? A może minister Dworczyk i inni po prostu mieli proste hasła?
Wirtualna Polska, w której prywatną skrzynkę pocztową miał jeden z urzędników, do tego stopnia oburzyła się sugestiami, że to jacyś hakerzy włamali się na konta użytkowników, iż opublikowała oświadczenie, w którym czytamy, iż nie zanotowano żadnego „włamu” na skrzynkę polityka, a osoba, która „wyssała” jego mejle ,po prostu znała login i hasło.
Głupia sprawa? Głupia. Ale nie śmiejcie się z Michała Dworczyka czy innych urzędników, którzy dali się „zrobić” jak dzieci. To, że używali skrzynek na Gmailu czy Wirtualnej Polsce do omawiania ważnych dla państwa spraw, jest oczywiście poniżej jakiegokolwiek poziomu. Ale sam fakt, że dali sobie wykraść dane do logowania na e-mail nie jest niestety niczym nadzwyczajnym. Wszyscy to robimy i nie zdajemy sobie sprawy jak gruby to błąd.
Skrzynka e-mail to dziś jedna z najcenniejszych skarbnic wiedzy o nas. To tam wpadają nasze rachunki za prąd, gaz i kablówkę (można więc mieć z nich komplet danych osobowych), często to tam nasze banki wysyłają wyciągi i komunikaty (dzięki temu można się dowiedzieć w którym banku mamy rachunek i przygotować celowany atak), to wreszcie tam można sprawdzić z kim najczęściej się komunikujemy i w jakich sprawach (to może być ogólnie użyteczna wiedza, przydatna chociażby do szantażu).
Właśnie od adresu e-mail i próby odgadnięcia hasła (lub jego ustalenia z innych źródeł) zaczyna się większość ataków, których celem jest „wyczyszczenie” naszych kont bankowych. Opisywałem niedawno jeden z najpopularniejszych „wzorów” ataku, które do tego prowadzą. Zaczyna się właśnie od skrzynki e-mail. W użyciu jest też fejkowa – ale bardzo dobrze podrobiona – infolinia.
Oczywiście w przypadku nieostrożnych polityków informacja jest cenniejsza niż osad na koncie, ale – powiedzmy sobie szczerze – jak duża część z nas dobrze zabezpiecza konto e-mail?
Dwie proste czynności, by nie skończyć jak Michał Dworczyk
A wystarczy wykonać dwie czynności, które powodują, że poczta e-mail staje się bezpieczna. Jakie?
Po pierwsze: oczywiście mocne hasło (składające się z co najmniej 12-14 znaków, jednocześnie łatwe do zapamiętania – imiona naszych psów podane wspak? – i trudne do odszyfrowania przez postronne osoby. Jeśli ktoś będzie chciał włamać się na nasze konto, to sprawdzi w pierwszej kolejności hasła opowiadające naszej dacie urodzenia, imion naszych dzieci lun standardowe „12345”, „password” i inne takie.
Hasło oczywiście nie powinno być tożsame z tym, którego używamy w serwisach społecznościowych, grach komputerowych i w innych miejscach, z których zwykle takie rzeczy prędzej czy później wyciekają. E-mail to wrota do naszej prywatności, więc muszą być chronione innym kluczem niż ten do drzwiczek ogrodowych.
Po drugie: podwójne uwierzytelnianie logowania. Część dostawców poczty e-mail już je oferuje (np. Google w poczcie e-mail), ale mało kto z tego korzysta. A to błąd. Podwójne uwierzytelnianie – czyli z użyciem drugiego czynnika, poza hasłem, które mamy w głowie, np. za pomocą aplikacji mobilnej w smartfonie – oznacza, że każdy, kto chce dostać się do naszego e-maila z nowego urządzenia, musi potwierdzić to logowanie za pomocą dodatkowego elementu.
Najczęściej jest to specjalna aplikacja, którą zainstalowaliśmy na naszym smartfonie (Authenticator lub podobna). Co to oznacza? Ano to, że nawet jeśli ktoś jakimś cudem pozna nasz adres e-mail (co nie jest trudne) oraz hasło do niego – nie będzie w stanie dostać się do naszego e-maila, nie posiadając naszego – i to odblokowanego! – smartfona.
To prosta metoda, coraz częściej stosowana przez banki, a zwiększająca wielokrotnie bezpieczeństwo e-maila. Oczywiście, jeśli ktoś włamie się na serwery dostawcy e-maila, to i podwójne uwierzytelnianie nic nie pomoże. Ale to niezmiernie rzadkie wydarzenia, dopóki złodziejom opłaca się wchodzić na nasze skrzynki e-mailowe jak do siebie – nie będą wydawali dużych pieniędzy na łamanie zabezpieczeń dostawców usług e-pocztowych.
Jak chronić prywatność swoich e-maili?
Zabezpieczenie każdego nowego logowania przeważnie dotyczy tylko sytuacji, w której nie jesteśmy „na stałe” zalogowani do naszej poczty na sprzęcie, którego zwykle używamy. Osobiście rzadko korzystam z przycisków „nie wylogowuj mnie”, bo wolę stracić kilka sekund na ponowne zalogowanie niż całą prywatność albo pieniądze.
Ale jeśli jesteście na stałe zalogowani do swoich usług pocztowych, to sprawdźcie czy Wasz sprzęt ma opcję „autowyciszania się” po krótkim czasie nieużywania. Chodzi o to, by nikt nie mógł wejść na Wasz e-mail w czasie, kiedy nie używacie sprzętu, a jest od dostępny bez zalogowania.
To nie są żadne wysoce zaawansowane porady informatyczne. Więcej informacji o tym, jak zabezpieczyć swoje życie – bo w e-mailach często jest niemal całe nasze życie – przed przestępcami znajdziecie w dużo bardziej fachowych tekstach moich kolegów i koleżanek z blogu Homodigital.pl – polecam
Czytaj: Jak zadbać o prywatność swoich e-maili? Poradnik Homodigital.pl
Czytaj: Jak dopadł nas wyciek danych z Facebooka. Bolało
Czytaj: Prywatność w sieci. Jak bronić jej przed złodziejami, hakerami, szpiegami i… rządem?
Czytaj: Jak porządnie zabezpieczyć smartfon przed programami szpiegującymi?
Czytaj: Co to jest menedżer haseł i jak z niego korzystać?
W tym miejscu chciałem tylko zwrócić uwagę na prosty mechanizm, którego niestosowanie prawdopodobnie spowodowało, że e-maile ważnych polskich polityków będą przez najbliższe tygodnie hasały po całym świecie. Wystarczy zastosować trudne do złamania i specyficzne hasło (co nie oznacza, że ma być też trudne do zapamiętania) oraz włączyć podwójne uwierzytelnianie przy logowaniu się do poczty e-mail. Tylko tyle.
Jest tylko jedno „ale”. Podwójne uwierzytelnianie jest tylko narzędziem, które utrudnia dostęp złodziejom do naszych e-maili. Drugą częścią tej układanki jest to, by nie ufać w sieci nikomu. Jakiś czas temu dostałem informację na Facebooku – najpierw od znajomego, a potem kogoś z rodziny – że potrzebuje pomocy i jakichś moich danych. Oczywiście to nie był żaden znajomy ani rodzina, tylko złodziej, który przejął dostęp do konta w mediach społecznościowych. Michał Dworczyk zapewne już coś o tym wie.
Czytaj też: Czy e-mail wkrótce przejdzie do historii? Oni ostro nad tym pracują
Posłuchaj najnowszego podcastu Ekipy „Subiektywnie o Finansach”
W najnowszym odcinku podcastu „Finansowe sensacje tygodnia” ekipa blogu „Subiektywnie o Finansach” w galowym składzie omawia ważne dla świata sprawy. Na kanwie boomu na kredyty hipoteczne rozmawialiśmy o tym, czy banki nie zatrzymały się przypadkiem w XIX wieku, jeśli chodzi o badanie naszej wiarygodności i zdolności finansowej. Sprawdzaliśmy też, czy planowane przez rząd zmiany systemu wsparcia dla fotowoltaiki mogą sprawić, że jej montowanie na dachach stanie się nieopłacalne. Mówimy też o tym, ile znaczy słowo bankiera. Na przykład takie o „dożywotniej gwarancji stałej ceny”. Do posłuchania pod tym linkiem. Zapraszam serdecznie!
Minutowa rozpiska odcinka
01:20 – Banki wciąż premiują klientów zatrudnionych na etacie, ale czy właściwie oceniają naszą zdolność kredytową? System do zmiany?
11:25 – Nadchodzą zmiany w systemie wsparcia na rynku fotowoltaiki. Czy fotowoltaika przestanie się opłacać?
20:06 – Miało być konto z gwarancja niezmienności ceny, a wyszło jak zawsze. Ile warte są dożywotnie obietnice banków?
zdjęcie tytułowe: Stephen Philips