16 czerwca 2021

Skrzynka e-mail to wrota do wiedzy o naszym życiu. Nie chcesz skończyć jak minister Dworczyk? Być może wystarczy zrobić tylko dwie proste rzeczy

Skrzynka e-mail to wrota do wiedzy o naszym życiu. Nie chcesz skończyć jak minister Dworczyk? Być może wystarczy zrobić tylko dwie proste rzeczy

Najwyżsi urzędnicy państwowi – minister Michał Dworczyk jest na czele tej ekipy, ale chyba nie tylko on dał się „zrobić” – zostali okradzeni z prywatności przez to, że ktoś włamał się na ich pocztę e-mail. Nie ma się co śmiać. To się często zdarza – przecież skrzynki e-mail to wrota do wiedzy o naszym życiu. Dlaczego tak kiepsko je chronimy. Są dwa proste sposoby, by nie skończyć jak minister Dworczyk i reszta pechowców z rządu

Posłowie na tajnym posiedzeniu Sejmu zajmują się wyciekami zawartości prywatnych skrzynek e-mail należących do ważnych funkcjonariuszy państwowych. Wiemy, że pierwszą ofiarą jest minister Michał Dworczyk, zaatakowano więc jednego z najbliższych współpracowników premiera Mateusza Morawieckiego. I urzędnika odpowiadającego za akcję szczepień.

Zobacz również:

Wygląda na to, że najważniejsi polscy politycy nie dość, że używali prywatnych skrzynek e-mailowych do omawiania strategicznych dla państwa spraw (te służbowe, w domenie .gov, są zabezpieczane przez służby ochrony państwa), to jeszcze nie pilnowali elementarnych zabezpieczeń lub też wykazali się naiwnością (niewykluczone, że udało się ich podejść pośrednio, przejmując najpierw dostęp do e-maila lub mediów społecznościowych ich bliskich – to zawsze ułatwia atak).

Najbardziej prawdopodobny scenariusz to taki, że po prostu politycy dali sobie wykraść loginy i hasła do swoich prywatnych skrzynek e-mail. Gdyby tak było, to nie mielibyśmy do czynienia z jakimś szczególnie wysublimowanym atakiem informatycznym z użyciem najtęższych głów hakerskich świata, ale ze zwykłym phishingiem, którego ofiarą padają miliony ludzi w Polsce.

Atak hakerski? A może minister Dworczyk i inni po prostu mieli proste hasła?

Wirtualna Polska, w której prywatną skrzynkę pocztową miał jeden z urzędników, do tego stopnia oburzyła się sugestiami, że to jacyś hakerzy włamali się na konta użytkowników, iż opublikowała oświadczenie, w którym czytamy, iż nie zanotowano żadnego „włamu” na skrzynkę polityka, a osoba, która „wyssała” jego mejle ,po prostu znała login i hasło.

Głupia sprawa? Głupia. Ale nie śmiejcie się z Michała Dworczyka czy innych urzędników, którzy dali się „zrobić” jak dzieci. To, że używali skrzynek na Gmailu czy Wirtualnej Polsce do omawiania ważnych dla państwa spraw, jest oczywiście poniżej jakiegokolwiek poziomu. Ale sam fakt, że dali sobie wykraść dane do logowania na e-mail nie jest niestety niczym nadzwyczajnym. Wszyscy to robimy i nie zdajemy sobie sprawy jak gruby to błąd.

Skrzynka e-mail to dziś jedna z najcenniejszych skarbnic wiedzy o nas. To tam wpadają nasze rachunki za prąd, gaz i kablówkę (można więc mieć z nich komplet danych osobowych), często to tam nasze banki wysyłają wyciągi i komunikaty (dzięki temu można się dowiedzieć w którym banku mamy rachunek i przygotować celowany atak), to wreszcie tam można sprawdzić z kim najczęściej się komunikujemy i w jakich sprawach (to może być ogólnie użyteczna wiedza, przydatna chociażby do szantażu).

Właśnie od adresu e-mail i próby odgadnięcia hasła (lub jego ustalenia z innych źródeł) zaczyna się większość ataków, których celem jest „wyczyszczenie” naszych kont bankowych. Opisywałem niedawno jeden z najpopularniejszych „wzorów” ataku, które do tego prowadzą. Zaczyna się właśnie od skrzynki e-mail. W użyciu jest też fejkowa – ale bardzo dobrze podrobiona – infolinia.

Oczywiście w przypadku nieostrożnych polityków informacja jest cenniejsza niż osad na koncie, ale – powiedzmy sobie szczerze – jak duża część z nas dobrze zabezpiecza konto e-mail?

Dwie proste czynności, by nie skończyć jak Michał Dworczyk

A wystarczy wykonać dwie czynności, które powodują, że poczta e-mail staje się bezpieczna. Jakie?

Po pierwsze: oczywiście mocne hasło (składające się z co najmniej 12-14 znaków, jednocześnie łatwe do zapamiętania – imiona naszych psów podane wspak? – i trudne do odszyfrowania przez postronne osoby. Jeśli ktoś będzie chciał włamać się na nasze konto, to sprawdzi w pierwszej kolejności hasła opowiadające naszej dacie urodzenia, imion naszych dzieci lun standardowe „12345”, „password” i inne takie.

Hasło oczywiście nie powinno być tożsame z tym, którego używamy w serwisach społecznościowych, grach komputerowych i w innych miejscach, z których zwykle takie rzeczy prędzej czy później wyciekają. E-mail to wrota do naszej prywatności, więc muszą być chronione innym kluczem niż ten do drzwiczek ogrodowych.

Po drugie: podwójne uwierzytelnianie logowania. Część dostawców poczty e-mail już je oferuje (np. Google w poczcie e-mail), ale mało kto z tego korzysta. A to błąd. Podwójne uwierzytelnianie – czyli z użyciem drugiego czynnika, poza hasłem, które mamy w głowie, np. za pomocą aplikacji mobilnej w smartfonie – oznacza, że każdy, kto chce dostać się do naszego e-maila z nowego urządzenia, musi potwierdzić to logowanie za pomocą dodatkowego elementu.

Najczęściej jest to specjalna aplikacja, którą zainstalowaliśmy na naszym smartfonie (Authenticator lub podobna). Co to oznacza? Ano to, że nawet jeśli ktoś jakimś cudem pozna nasz adres e-mail (co nie jest trudne) oraz hasło do niego – nie będzie w stanie dostać się do naszego e-maila, nie posiadając naszego – i to odblokowanego! – smartfona. 

To prosta metoda, coraz częściej stosowana przez banki, a zwiększająca wielokrotnie bezpieczeństwo e-maila. Oczywiście, jeśli ktoś włamie się na serwery dostawcy e-maila, to i podwójne uwierzytelnianie nic nie pomoże. Ale to niezmiernie rzadkie wydarzenia, dopóki złodziejom opłaca się wchodzić na nasze skrzynki e-mailowe jak do siebie – nie będą wydawali dużych pieniędzy na łamanie zabezpieczeń dostawców usług e-pocztowych.

Jak chronić prywatność swoich e-maili?

Zabezpieczenie każdego nowego logowania przeważnie dotyczy tylko sytuacji, w której nie jesteśmy „na stałe” zalogowani do naszej poczty na sprzęcie, którego zwykle używamy. Osobiście rzadko korzystam z przycisków „nie wylogowuj mnie”, bo wolę stracić kilka sekund na ponowne zalogowanie niż całą prywatność albo pieniądze.

Ale jeśli jesteście na stałe zalogowani do swoich usług pocztowych, to sprawdźcie czy Wasz sprzęt ma opcję „autowyciszania się” po krótkim czasie nieużywania. Chodzi o to, by nikt nie mógł wejść na Wasz e-mail w czasie, kiedy nie używacie sprzętu, a jest od dostępny bez zalogowania.

To nie są żadne wysoce zaawansowane porady informatyczne. Więcej informacji o tym, jak zabezpieczyć swoje życie – bo w e-mailach często jest niemal całe nasze życie – przed przestępcami znajdziecie w dużo bardziej fachowych tekstach moich kolegów i koleżanek z blogu Homodigital.pl – polecam

Czytaj: Jak zadbać o prywatność swoich e-maili? Poradnik Homodigital.pl

Czytaj: Jak dopadł nas wyciek danych z Facebooka. Bolało

Czytaj: Prywatność w sieci. Jak bronić jej przed złodziejami, hakerami, szpiegami i… rządem?

Czytaj: Jak porządnie zabezpieczyć smartfon przed programami szpiegującymi?

Czytaj: Co to jest menedżer haseł i jak z niego korzystać?

W tym miejscu chciałem tylko zwrócić uwagę na prosty mechanizm, którego niestosowanie prawdopodobnie spowodowało, że e-maile ważnych polskich polityków będą przez najbliższe tygodnie hasały po całym świecie. Wystarczy zastosować trudne do złamania i specyficzne hasło (co nie oznacza, że ma być też trudne do zapamiętania) oraz włączyć podwójne uwierzytelnianie przy logowaniu się do poczty e-mail. Tylko tyle.

Jest tylko jedno „ale”. Podwójne uwierzytelnianie jest tylko narzędziem, które utrudnia dostęp złodziejom do naszych e-maili. Drugą częścią tej układanki jest to, by nie ufać w sieci nikomu. Jakiś czas temu dostałem informację na Facebooku – najpierw od znajomego, a potem kogoś z rodziny – że potrzebuje pomocy i jakichś moich danych. Oczywiście to nie był żaden znajomy ani rodzina, tylko złodziej, który przejął dostęp do konta w mediach społecznościowych. Michał Dworczyk zapewne już coś o tym wie.

Czytaj też: Czy e-mail wkrótce przejdzie do historii? Oni ostro nad tym pracują

Posłuchaj najnowszego podcastu Ekipy „Subiektywnie o Finansach”

W najnowszym odcinku podcastu „Finansowe sensacje tygodnia” ekipa blogu „Subiektywnie o Finansach” w galowym składzie omawia ważne dla świata sprawy. Na kanwie boomu na kredyty hipoteczne rozmawialiśmy o tym, czy banki nie zatrzymały się przypadkiem w XIX wieku, jeśli chodzi o badanie naszej wiarygodności i zdolności finansowej. Sprawdzaliśmy też, czy planowane przez rząd zmiany systemu wsparcia dla fotowoltaiki mogą sprawić, że jej montowanie na dachach stanie się nieopłacalne. Mówimy też o tym, ile znaczy słowo bankiera. Na przykład takie o „dożywotniej gwarancji stałej ceny”. Do posłuchania pod tym linkiem. Zapraszam serdecznie!

Minutowa rozpiska odcinka

01:20 – Banki wciąż premiują klientów zatrudnionych na etacie, ale czy właściwie oceniają naszą zdolność kredytową? System do zmiany?
11:25 – Nadchodzą zmiany w systemie wsparcia na rynku fotowoltaiki. Czy fotowoltaika przestanie się opłacać?
20:06 – Miało być konto z gwarancja niezmienności ceny, a wyszło jak zawsze. Ile warte są dożywotnie obietnice banków?

zdjęcie tytułowe: Stephen Philips

Subscribe
Powiadom o
13 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
BdB
1 miesiąc temu

Gmail – najlepsze uwierzytelnienie dwuetapowe, są smsy, pushe, klucze bezpieczeństwa, token aplikacyjny itd

Outlook – trochę ubożej niż Gmail, ale też dobrze zabezpieczone

Onet – token aplikacyjny w postaci ogólnodostępnego Authenticatora

wp i o2 – autoryzacja pushem w ich aplikacji lub tokenem aplikacyjnym (niestety tylko z ich aplikacji, nie jest kompatybilny z innymi rozwiązaniami)

I to by było na tyle. U rzekomych liderów jak Nazwa czy inny badziew próżno szukać uwierzytelnienia dwuskładnikowego.

Jednak nie można przesadzać w jego zachwalaniu. Banki zostały zmuszone do dwuskładnikowego logowania, a skutecznych oszustw z miesiąca na miesiąc przybywa.

Ppp
1 miesiąc temu

W Google wpisać „siła hasła” i pojawiają się strony do mierzenia, jak mocne jest hasło. Właśnie zmierzyłem, że jedno z moich jest „niezłe”, tzn. na domowym komputerze „metoda siłową” do złamania w dwadzieścia lat.
Pozdrawiam.

BdB
1 miesiąc temu
Reply to  Ppp

Nie są wiele warte. To samo hasło w jednym weryfikatorze potrafi być bardzo mocne, a w innym słabe. Wszystko zależy od algorytmu użytego przez autora.

Statler
1 miesiąc temu
Reply to  Ppp

Zmierzyłeś i podałeś na tacy właścicielowi takiej strony. Skąd masz pewność, że te strony są bezpieczne i nie przechwytują sprawdzanych haseł?

Don Q.
1 miesiąc temu
Reply to  Ppp

Ale nawet, gdy hasło masz mocne, to może się okazać, że ktoś je przejmie np. z pomocą złośliwego oprogramowania przechwytującego to, co wpisujesz, albo gdy będziesz je wpisywał poza domem używając kamery (monitoring jest już nawet w miejskich autobusach), albo gdy dasz się nabrać na phishing, albo gdy tego samego używasz w wielu miejscach, np. do poczty elektronicznej i w bandyckim sklepie Morele.net…

gosc
1 miesiąc temu
Reply to  Ppp

To nie jest takie proste. W niektórych przypadkach hasło, na którego złamanie „metodą siłową” potrzeba 20 lat może zostać złamane „metodą słownikową” w 20 sekund.

gosc
1 miesiąc temu

Dlaczego klienci banków/czytelnicy SOF powinni dobrze chronić swoje konta email? 1) Ponieważ kilka polskich banków wykorzystuje do resetu hasła również adresy email swoich klientów: Bezpieczeństwo w internecie. „Bank chce mi wysyłać kody… e-mailem” – skarży się czytelnik.https://subiektywnieofinansach.pl/bezpieczenstwo-i-bankowanie-w-internecie-bank-chce-mi-wysylac-kody-przez-e-mail/   2) Ponieważ czasami wysyłamy emailem skany dowodu osobistego i inne dokumenty z naszymi danymi, które mogą zostać wykorzystane do wyłudzenia kredytów lub okradzenia naszego konta: Skopiowali jego dowód, wyłudzili duplikat karty SIM do telefonu i ukradli z konta 1,1 mln zł. https://subiektywnieofinansach.pl/skopiowali-jego-dowod-wyludzili-duplikat-karty-sim-do-telefonu-i-ukradli-z-konta-11-mln-zl-trzy-rzeczy-ktore-warto-zrobic-zeby-tego-uniknac/ Jak hacker może uzyskać dostęp do konta email?  a) większość ludzi używa bardzo proste hasła . 10 najpopularniejszych polskich haseł z… Czytaj więcej »

Marek B
1 miesiąc temu

podwójne uwierzytelnianie nic nie da jeśli ktoś dokona włamu na serwer pocztowy i wykradnie wszystkie wiadomości „od środka”. najlepiej korzystać z poczty, która szyfruje wiadomości jak np. proton mail.

gosc
1 miesiąc temu
Reply to  Marek B

Wszystko zależy od indywidualnej analizy ryzyka. Jeśli jesteś bardzo ważnym politykiem, tybetańskim działaczem, opozycjonistą z HongKongu, pracujesz w fundacji Nawalnego, twoja firma prowadzi badania nad szczepionką przeciw covid-19, jesteś dziennikarzem śledczym itp. to szyfrowanie emaili może być potrzebne bo wtedy można mieć wrogów potrafiących włamać się na serwer pocztowy.
Wadą ProtonMaila jest brak kluczy U2F, które chronią przed fishingiem.

fdsf
1 miesiąc temu

tylko yubikey daje gwarancje bezpieczeństwa hacker musialy zdobyć kopie fizycznego klucza i hasło

gosc
1 miesiąc temu

Niebezpiecznik zrobił bardzo dobry poradnik:
5 RAD: Jak zabezpieczyć e-maila przed hackerami?
https://www.youtube.com/watch?v=f0h_Ow2rw7s

Jaro
1 miesiąc temu

Przyszedł mi do głowy sposób na ograniczenie potencjalnych negatywnych skutków utraty hasła do e-maila, mianowicie przy założeniu korzystania z klienta poczty (jako osobiście czynię) skonfigurowanie go aby usuwał pobrane wiadomości ze skrzynki. Oczywiście nadal jest problem z nową treścią ale dostęp do historii to konieczność przełamania dodatkowych zabezpieczeń prywatnego komputera.
Komentarze? Słabe punkty?

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!