29 czerwca 2021

Nie możesz mieć dziś pewności, że e-mail z fakturą od telekomu, kablówki, firmy energetycznej to nie podróbka z wirusem. Oni mówią: mamy rozwiązanie

Nie możesz mieć dziś pewności, że e-mail z fakturą od telekomu, kablówki, firmy energetycznej to nie podróbka z wirusem. Oni mówią: mamy rozwiązanie

To może się zdarzyć każdemu. Dostajesz e-mail z adresu operatora telekomunikacyjnego, kablówki, firmy energetycznej. Tyle że w załączniku, zamiast faktury, jest wirus. Może wykraść dane, hasła, posłużyć jako pomoc w kradzieży pieniędzy z konta bankowego albo zablokować komputer i zażądać okupu płatnego w bitcoinach. Jak się uchronić przed takim nieszczęściem? Oni twierdzą, że mają na to sposób

Powoli zaczynam współczuć politykom, którzy padli ofiarą wycieku korespondencji e-mailowej. Jeden drobny w sumie błąd (nie licząc masterbłędu polegającego na omawianiu spraw kraju z użyciem prywatnego e-maila) spowodował, że teraz muszą najeść się wstydu.

Zobacz również:

Tak, jak już napisałem w poprzednim felietonie poświęconym źle zabezpieczonym prywatnym skrzynkom e-mailowym polityków, przed hakerami dybiącymi na nasze e-maile stosunkowo łatwo się zabezpieczyć (choćby za pomocą podwójnego uwierzytelniania). Natomiast znacznie trudniej zabezpieczyć się przed sytuacją, w której po prostu otwierając e-mail od kogoś znajomego (albo od firmy, która co miesiąc przesyła nam fakturę) wpuszczamy sobie na komputer wirusa. A ten wirus nie tylko „wysysa” nam wszystkie hasła i prywatne informacje z e-maila, ale być może także blokuje cały komputer i żąda okupu.

Jak odróżnić fałszywy e-mail od prawdziwego?

Odróżnianie e-mail prawdziwy od fałszywego ma o tyle duże znaczenie, że dziś już naprawdę nie ma żadnego znaczenia, co widać w adresie nadawcy e-maila. Przestępcy potrafią podmienić informacje w pasku adresu i wysłać nam e-mail, podszywając się pod dowolną firmę. Korzystasz z usług operatora telekomunikacyjnego Orange? Dostaniesz „e-mail od Orange”. Odbierasz wyciągi od banku PKO BP? Prześlą Ci „e-mail z banku”.

Czytaj więcej o tym: Wysłała 122 000 zł do złodzieja. Tyle że w przelewie wszystko się zgadzało (subiektywnieofinansach.pl)

Przeczytaj koniecznie: Wyjątkowo podstępny phishing. A banki zapominają o zabezpieczeniu (subiektywnieofinansach.pl)

Chodzi wyłącznie o to, żebyś otworzył załącznik w e-mailu, bo generalnie to w załącznikach ukryte są wirusy. Przeważnie są to załączniki z dziwnymi rozszerzeniami (np. „faktura” w pliku .exe), ale słyszałem o przypadkach, w których nawet załączniki z plikami .pdf (czyli takimi, w których zwykle są przesyłane prawdziwe faktury) miewały wirusa.

Co więc robić? Jak żyć, by nie dać „poczęstować” się wirusem? Cóż, oczywiście nie zaszkodzi wrodzona ostrożność, przenikliwość i spostrzegawczość. „Podróbki” zwykle zawierają błędy. A to nieaktualne logo rzekomego usługowawcy, a to błąd ortograficzny, a to podejrzanie nieskładne zdanie…

Generalnie dobrą praktyką jest samodzielnie logowanie się do e-BOK-ów usługodawców i osobiste pobieranie faktury. Korzystanie z przesłanych e-mailem linków i otwieranie załączników zawsze wiąże się z pewnym ryzykiem. No, chyba że mamy porządny i aktualizowany na bieżąco program antywirusowy, który skanuje każdego e-maila. Wtedy prawdopodobieństwo, że „złapiemy” wirusa jest minimalne.

Czy firmom opłaca się nas chronić przed fałszerzami e-maili?

Kłopoty z weryfikacją prawdziwości e-maili zauważyły już firmy, które chcą nam pomóc w ograniczaniu ryzyka wynikającego z aktywności hakerów. Stosunkowo proste, acz ciekawe rozwiązanie promuje firma ACME-LABS. Rzecz nazywa się eZnaczek i polega na znakowaniu wszelkich wiadomości elektronicznych swego rodzaju „pieczęcią”. Czyli tekstowym lub obrazkowym kodem, który jest znany tylko nadawcy i odbiorcy.

To sposób, który jest już znany z komunikacji telefonicznej niektórych klientów z bankami. Gdy dzwoni do nas bankowiec, prosimy go o ustalone wcześniej hasło weryfikacyjne, żeby potwierdzić, że rzeczywiście dzwoni z banku. W e-mailach można „zainstalować” podobne, tyle że tekstowe uwierzytelnienie autora.

Czytaj też o kradzieży „przez infolinię”: Infolinia bankowa wrotami do kradzieży pieniędzy. Uwaga na nowy trik! (subiektywnieofinansach.pl)

W rozwiązaniu eZnaczek hasło jest ustalane przez konsumenta, odbiorcę e-maila. Tylko wtedy może być unikalne i inne dla każdego klienta. I tutaj leży największy problem w popularyzacji tego rozwiązania – wymaga ono dołożenia do systemów informatycznych wszystkich firm, które chciałyby korzystać z eZnaczka, pewnego modułu pozwalającego klientowi na ustalenie kodu, a potem automatycznie załączającego ów indywidualny „PIN” do korespondencji e-mailowej.

Ta komplikacja ma znaczenie, jeśli zdamy sobie sprawę z tego, że jest w pewnym sensie „pustą” inwestycją. Bo przecież nie chroni interesów tych usługodawców, lecz wyłącznie klientów. Brutalna prawda jest taka, że z punktu widzenia usługodawców nie ma żadnego znaczenia, że ktoś kiedyś się za nich podszyje i ukradnie komuś pieniądze.

O ile mi wiadomo, do tej pory system eZnaczek jest rozwiązaniem, któremu przyglądają się nie tyle firmy, które wysyłają do konsumentów miliony e-maili z fakturami, lecz średniej wielkości przedsiębiorcy, dla których jest to element budowania reputacji.

E-mail z „pieczęcią autentyczności”. Jak to można zrobić?

eZnaczek działa np. w systemie obsługi księgowości SaldeoSMART. Po drugiej stronie usługi są jej klienci, do których są przesyłane rozliczenia podatkowe i inne wrażliwe informacje. Klient, który dostaje e-maila od księgowych, widzi w tytule ciąg znaków, który sam zdefiniował. I to oznacza, że nikt pod księgowego się nie mógł podszyć (bo skąd miałby znać ów ciąg znaków?).

SaldeoSMART-zabezpieczenie w e-mail
SaldeoSMART-zabezpieczenie w e-mail

Podobne rozwiązanie widziałem niedawno na jednej z platform zajmujących się pośrednictwem w zakupie i przechowywaniu kryptowalut (oraz usługami płatniczymi, lokacyjnymi i pożyczkowymi związanymi z kryptowalutami).

Tam to wygląda w ten sposób, iż platforma w aplikacji mobilnej informuje o tym, iż każdy e-mail do klienta będzie zawierał tajne hasło w tytule. I w ten sposób klient będzie miał pewność, że e-mail pochodzi rzeczywiście od platformy, a nie od kogoś, kto się pod nią podszywa.

To też nie jest zła myśl, aczkolwiek elementem aplikacji mobilnej powinna być jeszcze możliwość definiowania tego hasła, by mogło być ono indywidualne. Ewentualnie ów identyfikator – jeśli jest taki sam dla wszystkich klientów – mógłby się np. co tydzień zmieniać. Choć to z kolei oznacza, że klient musi logować się co chwilę do aplikacji i sprawdzać aktualne hasło. To niewygodne.

Twórcy systemu eZnaczek mają nadzieję, że polskie firmy staną się na tyle odpowiedzialne społecznie, że jednak zainwestują w ochronę korespondencji e-mailowej z klientami. ACME-LABS złożyła nawet wniosek o ochronę patentową swojego rozwiązania w Europejskim Urzędzie Patentowym. Na razie uzyskała lokalną ochronę patentową dla znaku towarowego eZnaczek (co może być bolesne dla Poczty Polskiej, bo to z nią powinny kojarzyć się tego rodzaju znaki firmowe).

Wkrótce będziemy zabezpieczać skrzynkę e-mail tak jak bankowość internetową?

Niezależnie od tego, czy dodatkowym zabezpieczeniem autentyczności e-maili będą rozwiązania typu eZnaczek czy innego rodzaju kody, hasła lub identyfikatory, to wydaje mi się, iż przyszłość wymusi tego typu rozwiązania. Tak samo jak rzeczywistość wymusiła podwójne uwierzytelnianie zakupów interentowych, podwojenie haseł przy logowaniu do bankowości internetowej.

Jeszcze do niedawna poczta e-mail była nieco lekceważona przez nas, jeśli chodzi o znaczenie w hierarchii bezpieczeństwa. Ale dziś już wiemy, że to właśnie atak na pocztę e-mail jest najczęściej pierwszym krokiem do utraty przez nas oszczędności całego życia.

Być może to nie usługodawcy powinni finansować tego rodzaju usługi na rzecz swoich klientów, lecz sami klienci? Chętnie zapłaciłbym niewielki abonament za to, że e-maile, które do mnie przychodzą, będą miały „pieczątkę wiarygodności”. Tyle, że to wciąż oznacza konieczność uzyskania akceptacji wystawców faktur. Musiałby istnieć otwarty system, do którego usługodawcy mogliby przystępować, ale którego finansowanie byłoby po stronie klientów. Nie jestem pewny, czy to jest realne w najbliższym czasie.

——–

POSŁUCHAJ NAJNOWSZEGO PODCASTU EKIPY „SUBIEKTYWNIE O FINANSACH”!

W najnowszym podcaście z cyklu „Finansowe sensacje tygodnia” naszym gościem jest Jerzy Nikorowski z biura maklerskiego BNP Paribas, z którym rozmawiamy o tym jak zastąpić dochód z bankowych lokat, gdy nie ma się dużego doświadczenia na rynku kapitałowym. Rozmawiamy o tym jakie produkty mają sens, a jakie nie, jak nie dać się wpuścić w większą wahliwość, niż byśmy chcieli oraz jak inwestować w czasach, gdy akcje są drogie (niektórzy mówią, że przewartościowane), a obligacje nie będą przynosiły zysków (bo nie zanosi się na spadek stóp procentowych). Zapraszam do posłuchania, dużo cennych porad! Trzeba kliknąć ten link, albo znaleźć „Finansowe sensacje tygodnia” w Spotify, Google Podcast, Apple Podcast lub na kilku innych platformach.

——————–

Strona „Subiektywnie o Finansach” znalazła się w setce najbardziej wpływowych blogów w 2020 r. według Influtool, firmy zajmującej się analizą mediów społecznościowych, oraz SeeBlogers, organizatora dorocznych festiwali blogerów. Subiektywność jest jedynym przedstawicielem tematyki finansów osobistych w rankingu zdominowanym przez blogi lifestylowe i modowe, kulinarne, podróżnicze i rodzinne. Dziękujemy Wam, Drodzy Czytelnicy! Fakt, że Subiektywnie o Finansach znalazło się w Top 100, to kolejny dowód na to, że edukacja finansowa i popularyzacja tematyki personal finance wśród polskich konsumentów ma sens. Więcej informacji o tym wyróżnieniu znajdziecie tutaj

zdjęcie tytułowe: Sigmund/Unsplash

Subscribe
Powiadom o
22 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
gosc
1 rok temu

eZnaczek to usługa cyfrowa i jak wszystkie cyfrowe usługi można go stosunkowo łatwo podrobić. Jeśli naszym priorytetem jest cyberbezpieczeństwo to można do sprawy podejść w inny sposób. Ustanowienie polecenia zapłaty powoduje, że nie musimy się przejmować rachunkami, które otrzymujemy. Bank dostawcy pobierze z naszego rachunku kwotę, która jest na fakturze. Gorzej gdy co miesiąc chcemy weryfikować czy z rachunku została pobrana właściwa kwota. W przypadku faktur od dostawcy Internetu nie musimy otwierać załącznika – kwota na fakturze jest zwykle zawarta w treści emaila. Samo sprawdzenie treści emaila nie stwarza zagrożenia. W przypadku faktur za prąd, które są bardzo skomplikowane możemy… Czytaj więcej »

K.T
1 rok temu
Reply to  gosc

Nie do końca się zgodzę, że wszystkie usługi cyfrowe da się łatwo podrobić. Aczkolwiek w tym konkretnym przypadku zgoda – moim zdaniem to średnio bezpieczne rozwiązanie. Zakładam, że ustawiając hasło eZnaczka wybierzemy słowo, które jest w pewien sposób dla nas oczywiste (n.p. imię pupila) – więc łatwe do odgadnięcia. I niestety pewnie często powiązane z hasłem do jakiegoś konta (o zgrozo!). Jeśli natomiast eZnaczek będzie generowany automatycznie, to pewnie sobie gdzieś to hasło zapiszemy – a więc znów ryzyko wykradnięcia. Nawet jeśli zignorujemy obydwa powyższe problemy, to pozostaje kolejna sprawa – jeśli będzie to hasło statyczne, to z całą pewnością… Czytaj więcej »

Przemo
1 rok temu
Reply to  K.T

Polecenie zapłaty nie jest rozwiązaniem, bo traci się kontrolę, zapomina sprawdzać, a potem to jest już za późno.

BdB
1 rok temu
Reply to  Przemo

2 miesiące by raz zajrzeć na konto to za krotko?

Radek
1 rok temu

Dlaczego nie PGP (OpenPGP)? Co to rozwiązanie z kodami wnosi nowego i dlaczego jest bezpieczniejsze?

Sylwester
1 rok temu
Reply to  Maciej Samcik

Bo PGP jest cholernie upierdliwe w stosowaniu. Najpierw należy wygenerować klucze prywatne i publiczne po obu stronach. Następnie należy się wymienić kluczami publicznymi, ale inaczej niż e-mailem.
Ciekawe jak to powiedzieć komuś, kto dostaje paniki słysząc zdanie „przeciągnij plik z pulpitu na okno wiadomości e-mail”, albo nie potrafi zalogować się do ePUAPu, bo „za dużo informacji”.

Radek
1 rok temu
Reply to  Sylwester

Coś trzeba wybrać. Tak, PGP jest upierdliwe, ale dlatego jest bezpieczne. Najwygodniej jest nie stosować haseł w ogóle tylko dokąd prowadzi ta droga?

Rozwiązanie z eZnaczkiem dla mnie wygląda jak udawane bezpieczeństwo. Tak aby poprawić samopoczucie że coś się robi

Jacek
1 rok temu
Reply to  Radek

(…)Tak, PGP jest upierdliwe, ale dlatego jest bezpieczne.(…)
Proszę cię… przy takim podejściu do sprawy bezpieczny okazuje się DOS.

Jacek
1 rok temu
Reply to  Maciej Samcik

A dlaczego dominującej pozycji nie zdobył Linux czy Unixoid? Z powodu mitu skomplikowania…

Anna
1 rok temu

” No, chyba, że mamy porządny i aktualizowany na bieżąco program antywirusowy, który skanuje każdego e-maila. Wtedy prawdopodobieństwo, że „złapiemy” wirusa jest minimalne.”

atak 0 day -> sposobem, który dopiero ktoś wymyślił i antywirusowe programy go nie ogarną

Aaa
1 rok temu
Reply to  Anna

Wielokrotnie były luki takie, które stworzył właśnie program antywirusowy. Jak ma skanować komputer to musi mieć dostęp do wszystkiego. Jak ma dostęp do wszystkiego to drobna luka i już wirus/atakujący/cokolwiek też ma dostęp do wszystkiego.

Antywirusy nie są panaceum na wszystko. Czasami są i samą chorobą.

BdB
1 rok temu

To zabezpieczenie zadziała tylko dla świadomych odbiorców. Nieświadomi dadzą się nabrać na komunikat, że ze względów bezpieczeństwa eZnaczek został zmieniony na taki „jak w załączniku”.

Jacek
1 rok temu
Reply to  Maciej Samcik

Jedyna w miarę pewna metoda to szyfr jednokierunkowy… żeby się podszyć trzeba posiadać klucz prywatny.

Kobi
1 rok temu

Niestety… jesli ktoś będzie sam definiował hasło to na 98% wszędzie i zawsze takie samo… ergo: wystarczy przechwycić 1 wiadomość i atalu można dokonywać później. Sposobów obejścia i/lub użycia na swoją korzyść tego znalazłoby się duuużo. Wszystkie rozwiązania które są „jawnym tekstem” są niedobre, a te które są „jawnym samodzielnie definiowanym tekstem” są po prostu złe. Ale jest na to 2 sposoby: dobry jest taki aby powstał jeden centralny system rozliczeniowy do którego każdy mógłby wstawić „request” o płatność (firmy i tak spowiadają się z każdej faktury w postaci JPK, w wielu krajach firmy rozliczają się między sobą tylko za… Czytaj więcej »

Jacek
1 rok temu

Coś a’la podpis elektroniczny… już lepiej pójść pryncypialnie w jakiś PGP itp.

Wacław
1 rok temu

Panie Macieju czy Pan wieży w to co napisał? Jak polityk PiS może najeść się wstydu? Przecież do tego trzeba mieć jakiś kregoslup moralny. On co najwyżej może zwyzywać Pana od peowca, wnuka Tuska lub ped… geja…

Aaa
1 rok temu

Problem tkwi też w programach pocztowych. Niemal żaden nie wyświetla nadawcy kopertowego, a tylko nadawcę z pola From.

Tego z From można podać dowolnego ale już kopertowego nie tak łatwo podrobić (jeśli nadawca oraz nasz operator poczty korzysta z mechanizmów jak SPF, dkim czy DMARC).

Nie mam pojęcia dlaczego programy pocztowe nie wyświetlają nadawcy kopertowego. Mocno jest to dla mnie niezrozumiałe.

Jacek
1 rok temu
Reply to  Aaa

Ja tam wolę rozwiązania wiążące integralnie odczyt wiadomości z tożsamością jego nadawcy… a taką cechę mają szyfry jednostronne.

Dominik
1 rok temu

Wyglada na to, że nie tylko prywatne konta pocztowe polityków zostały przejęte. Z dużym prawdopodobieństwem służbowe również.

Pozwolę sobie wkleić link.
https://niebezpiecznik.pl/post/sejmowa-skrzynka-dworczyka-tez-zhackowana/

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!