Bezpieczeństwo poczty elektronicznej i przekręt na wnuczka

Bezpieczeństwo poczty elektronicznej i przekręt na wnuczka

Bezpieczeństwo poczty elektronicznej jest tym aspektem bezpieczeństwa IT, z którego wszyscy świetnie zdajemy sobie sprawę, ale nie wszyscy przestrzegamy! Mniejszy kłopot jeśli dotyczy to naszych prywatnych kont, często zakładanych do tzw. codziennych zastosowań, ale już w przypadku kont służbowych, konsekwencje mogą być dużo poważniejsze! Posłuchajcie.

Ostatnio, bez jakiegoś specjalnego echa, polskie media obiegła informacja o wyłudzeniu przez mieszkańca Jastrzębia Zdroju 7 milionów dolarów (sic!) od amerykańskiej firmy. Jeszcze bardziej niewiarygodny jest sposób w jaki tego dokonał! Otóż zadzwonił on do firmy w USA, podał się za szefa i wskazał konto bankowe, na które miał być zrobiony przelew!

Pieniądze wyszły. Oszust zdążył jeszcze przelać 1 milion euro na rachunek w Hong Kongu i wypłacić 600 tys. zł w gotówce zanim złapała go policja. Link do informacji na stronie TVN24

Śmieszne i straszne, prawda? Jak to w ogóle jest możliwe? Czy amerykanie są aż tak naiwni?

Długo się nad tym zastanawiałem i doszedłem do następującej hipotezy – wyobraźmy sobie taką sytuację:

Oszust uzyskuje w jakiś sposób dostęp do firmowego konta email. Na bieżąco przegląda przychodzącą tam korespondencję, śledzi wątki, rozpoznaje strukturę i sposób działania firmy i nic nie robi – nie ujawnia się. Wreszcie jest! Natrafia na informację dotyczącą delegacji prezesa do jakiegoś tam kraju i w ten sposób wie już wszystko czego potrzebuje do zrobienia przekrętu „na wnuczka” w internecie! Wie jak nazywa się prezes, z kim koresponduje, jakie są korporacyjne szablony maili, wie także kiedy pana prezesa nie będzie w firmie. Następnie wykonuje połączenie telefoniczne do jakiejś tam Susan z centrali i tonem nieznoszącym sprzeciwu podaje się za jej szefa i domaga się błyskawicznego transferu określonej kwoty na podany rachunek bankowy. Na potwierdzenie tego oszust może jej jeszcze wysłać maila w tej sprawie, który będzie wyglądał identycznie jak te wysyłane przez prawdziwego prezesa. Co się dzieje dalej? Jak to zwykle w firmie. Nasza naiwna Susan jest tak przestraszona i dodatkowo czuje się wyróżniona przez prezesa tym ambitnym zadaniem, że nie myśląc wiele biegnie z obłędem w oczach do księgowości i w imieniu prezesa poleca wykonanie przelewu! Pieniądze wychodzą. Koniec.

To był rzeczywiście numer w stylu legendarnych „mastahaka” z lat 90 – bezczelnie i na dużą kasę – szacun. Ale zastanówcie się przez chwilę nad mailami, które sami odbieracie w Waszych firmach czy instytucjach.

Np. zamawiacie komputer. Dostawca wysyła Wam fakturę proforma, po opłaceniu której zrealizuje dostawę. Odbieracie zwykle takiego maila i w zależności od przyjętej polityki kierujecie, go do realizacji, np. do działu zakupów czy od razu do księgowości. 5 minut później przychodzi kolejny mail – wygląda identycznie – a jest w nim napisane, że autor niechcący przesłał fakturę proforma ze złym numerem konta i teraz podsyła „prawidłową” proformę oczywiście z fałszywym numerem konta. On Was przeprasza za zamieszanie, Wy mówicie, że nic się nie stało, kierujecie proformę do płatności i… posprzątane. Czy tak mogłoby się zdarzyć u Was – odpowiedzcie sobie sami.

Bezpieczeństwo poczty elektronicznej najczęściej utożsamiamy (i słusznie) z:

  • silne hasło – minimum 8 znaków, znaki specjalne, duże małe litery, cyfry
  • regularna zmiana haseł – z tym już jest gorzej, ale przez skórę czujemy, że warto to robić
  • szyfrowany protokół SSL/TLS dla POP3 i SMTP oraz https dla dostępu do poczty przez przeglądarkę
  • kontrola załączników programem antywirusowym dla sprawdzenia czy nie podesłano nam jakiegoś robaka.

Tak wygląda standard, ale to nie wystarczy!

Pamiętajmy, że najsłabszym ogniwem systemu bezpieczeństwa jest zawsze CZŁOWIEK! I dlatego kluczowe dla bezpieczeństwa naszej firmy jest, aby każdy użytkownik poczty elektronicznej wiedział jak korzystać z niej bezpiecznie!

Na co koniecznie trzeba zwracać uwagę:

Informacje o zmianie kont bankowych lub płatnościach

Jeśli niespodziewanie otrzymujemy takiego maila, to powinniśmy od razu podnieść nasz poziom nieufności do maksimum!

Oczywiście to się zdarza w życiu co jakiś czas, ale mimo wszystko, jeśli otrzymujemy taką informację, to powinniśmy podjąć wszystkie możliwe działania, aby upewnić się czy nie mamy do czynienia z oszustem. Najlepszym i chyba najszybszym sposobem potwierdzenia takiej wiadomości jest wykonanie szybkiego telefonu do nadawcy. Nie ma się czego ani wstydzić ani bać. Tu w końcu chodzi o pieniądze!

Nawiązując do przykładu z początku artykułu – jeśli ktoś, choćby sam najjaśniejszy prezes, informuje Cię o niespodziewanej zmianie rachunku bankowego, to nie wierz na słowo! Sprawdź to 3 razy! Zadzwoń do niego – upewnij się!

Podejrzane treści

Jeśli dostałeś właśnie email od swojego banku, w którym informuje Cię, że Twoje konto zostało zablokowane i musisz kliknąć w link, aby je odblokować, to nigdy, przenigdy nie klikaj w ten link!

Oto przykład 2 takich maili otrzymanych od oszustów podających się za mBank i bank ING. Już po adresie widać, że to jest lipa!

bezpieczeństwo poczty elektronicznej

Poza tym pamiętajmy – banki nigdy nie proszą nas o ujawnianie swoich danych dostępowych w tej ani żadnej innej formie! 

I rzecz, która jest tak samo prosta, jak i rzadko wykorzystywana – jeśli otrzymany email budzi Twoje najmniejsze wątpliwości to sprawdź nagłówek maila.

Współdzielone konta pocztowe

Czy u Was są takie konta jak np. sprzedaż@ biuro@ praca@ firma@ do których dostęp ma więcej niż jedna osoba? Założę się, że tak. Te konta są zazwyczaj najsłabiej chronione, choćby ze względu na to, że rzadko zmienia się na nich hasła. Poza tym liczba osób, która w jakimś czasie poznała dane dostępowe do tych kont najczęściej rośnie. Wynika to chociażby ze zwykłej fluktuacji kadr. Aż strach czasem pomyśleć ile osób w przez kilka lat poznało dane logowania do tych kont.

Współdzielone konta często mogą byc obiektem zainteresowania oszustów, ponieważ:

  • adresy te zazwyczaj są powszechnie znane
  • korzysta z nich wiele osób
  • są słabo chronione

Jeśli macie takie konta u siebie, to albo zrezygnujcie ze współdzielenia lub dobrze przeszkolcie osoby z nich korzystające!

Jedno hasło do wielu kont pocztowych

Myślisz, że trudno będzie je złamać? Być może, ale tylko do pierwszego razu! Wystarczy, że ktoś przechwyci dane logowanie tylko do jednego Twojego konta, to wszystkie pozostałe przestały od tej chwili być bezpieczne. Pomyśl o tym!

W razie wątpliwości sprawdź nagłówek maila!

To jest ten „techniczny” bełkot, od którego zaczyna się każda wiadomość email, ale której najczęściej nie widzimy, bo domyślnie ukrywa go program pocztowy.

Jeśli mamy jakiekolwiek podejrzenia co do nadawcy maila, to warto tam zajrzeć. Oto czego możemy się dowiedzieć z nagłówka emaila od pseudo-ING:

bezpieczeństwo poczty email

Jak sprawdzić nagłówek maila w programie Outlook: 

Wyświetlamy email w nowym oknie – klikamy w Plik (File) i po prawej stronie klikamy we Właściwości (Properties). Naszym oczom powinno ukazać się takie okienko jak poniżej. Zwróćmy uwagę szczególnie na takie informacje jak serwer pocztowy, przez który email został wysłany, od kogo oraz do komu odpowiedzieć.

Jeśli podane tam informacje budzą nasze wątpliwości, to zostawiamy maila w spokoju i informujemy o tym administratora!

Uważam również, że dobrym zwyczajem jest poinformowanie banku o tym fakcie dla tak zwanego dobra ogółu – czym wcześniej bank się dowie, tym wcześniej będzie mógł przestrzec innych klientów. 

Podsumowanie

Bezpieczeństwo poczty elektronicznej jest tak wysokie, jak najsłabszy jego element, którym najczęściej jest człowiek!

Dlatego uważam za konieczne wprowadzenie w każdej firmie czy instytucji odpowiednich procedur bezpieczeństwa i przeszkolenie w tym zakresie WSZYSTKICH użytkowników.

Poniżej coś na wzór ściągi, której zastosowanie powinno wyraźnie podnieść bezpieczeństwo poczty elektronicznej w naszej organizacji.

10 przykazań bezpiecznego korzystania z poczty elektronicznej

1. Stosuj tylko silne hasła!

Min. 8 znaków, małe i Wilkie litery, cyfry i zn@ki $pecjalne!

2. Unikaj znanych słów i liczb!

Np. Twoje imię lub data urodzenia mogą być łatwe do odgadnięcia.

3. Okresowo zmieniaj hasła!

Najlepiej raz na miesiąc lub tak często jak dasz radę, ale rób to!

4. Nie używaj tego samego hasła do różnych kont!

Wystarczy, że na jednym koncie zostanie ono złamane i wszystkie pozostałe konta będą zagrożone.

5. Stosuj tylko szyfrowane połączenia z serwerem pocztowym!

Przechwycenie hasła z nieszyfrowanego połączenia jest dziecinnie łatwe, naprawdę!

6. Unikaj współdzielenia kont!

Gdy kilka osób korzysta z tego samego konta, to nigdy nie dowiesz się kto był źródłem wycieku.

7. Gdy email dotyczy kont bankowych lub płatności włącz w głowie alarm!

Upewnij się, że email pochodzi od prawdziwego nadawcy – zadzwoń do niego!

8. Nigdy nie klikaj w podejrzane linki i nie otwieraj podejrzanych załączników!

Pamiętaj, że Twój bank nie wyśle Ci maila z linkiem do logowania, bo banki tego nie robią.

9. Zwracaj uwagę na adres nadawcy maila!

Może się zdarzyć, że otrzymasz maila od „Mama”, a w istocie wyśle go <wredny@hacker.pl>

10. Gdy masz wątpliwości – sprawdź nagłówek maila!

Tam jest cała prawda o rzeczywistym nadawcy i serwerach, z których wysłano maila.