zdjęcie Bezpieczne korzystanie z poczty elektronicznej

Bezpieczne korzystanie z poczty elektronicznej

Poczta elektroniczna jest niewątpliwie najpopularniejszą usługą umożliwiającą komunikację w sieci Internet. Ta popularność podobnie jak w przypadku stron WWW niesie za sobą ryzyko. Użytkownik poczty elektronicznej narażony jest na otrzymywanie dużej ilości niezamawianych informacji i reklam (spamu) bardzo często zawierających wirusy, robaki czy konie trojańskie. Stale przybywa technik wykorzystania poczty elektronicznej do nieuczciwych celów, ale w ostatnim czasie najbardziej rozwijana jest i modyfikowana technika zwana phishingiem (nazwa powstała z połączenia słów "fishing-wędkowanie" oraz "password-hasło" można to przetłumaczyć jako łowienie haseł).

Od początku 2005 roku sześciokrotnie wzrosła ilość przestępstw z jej udziałem. Hakerzy, wykorzystując markę i zaufanie do różnego rodzaju firm i instytucji, szczególnie banków próbują złowić ofiarę nakłaniając ją do podania swoich danych osobowych, numeru konta, hasła itp. Wykorzystuje się do tego celu spreparowane wiadomości e-mail, które do złudzenia przypominają wiadomość pochodzącą od rzekomego nadawcy. Wiadomość taka bardzo często zawiera również linki albo formularze, które przekierowują ofiarę na  spreparowane strony WWW. Zawarte w tych wiadomościach informacje argumentują potrzebę przesłania poufnych informacji albo zalogowania się, dodatkowo wzmacniają tę potrzebę wykorzystując techniki społeczne np. obietnicę nagrody za szybką odpowiedź albo ryzyko straty np. możliwość zablokowania konta internetowego. Zdobyte w ten sposób informacje prowadzą zwykle do strat finansowych ofiary, np. poprzez uzyskanie nielegalnego dostępu do jej konta bankowego albo utratę tożsamości, którą haker może wykorzystać np. otrzymując kredyt na jej koszt.

Pierwsze ofiary phishingu w Polsce odpowiedziały na wiadomość e-mail, w której zasugerowano konieczność zalogowania do systemu bankowości internetowej. Osoby, które zdecydowały się na ten krok zostały poprzez linki w wiadomości e-mail przeniesione na sfałszowane strony WWW podając poufne informacje, dzięki którym hakerzy zyskali niezbędne dane, aby wyczyścić konta bankowe tych użytkowników.

Ostatnie wydarzenia w polskiej bankowości, gdzie łupem złodziei wykorzystujących właśnie tę technikę padło ponad 1 milion złotych, skłaniają do zwiększenia szczególnej uwagi na bezpieczeństwo podczas korzystania z poczty elektronicznej oraz stron WWW.

Technika ta ulega stałym modyfikacjom i staje się coraz bardzie wyrafinowana. Jej ofiarą padają już nie tylko klienci dużych banków i instytucji, ale również małych i średnich firm różnych branż: finansowych, hoteli, wypożyczalni samochodów itp. Zasada jest jednak wciąż ta sama - prosi się w nich o podanie poufnych danych - numeru karty kredytowej kodu PIN czy hasła.

Phishing to atak wykorzystujący głównie naiwność i łatwowierność ofiary. Nie można się przed nim zabezpieczyć w sposób technologiczny, ponieważ omija wszelkie zabezpieczenia typu firewall czy programy antywirusowe. Dodatkowo zarówno sfałszowane wiadomości e-mail, jak i spreparowane strony WWW są przygotowane ze wszystkimi detalami takimi jak logo czy pozornie poprawny adres e-mail tak doskonale, że nie sposób rozpoznać, że to oszustwo.

Uwaga! Tylko świadomość ryzyka i sposobów jego unikania, czujność użytkowników oraz zasada ograniczonego zaufania mogą zapobiec incydentom związanym z phishingiem.

Podstawowe zasady bezpieczeństwa poczty elektronicznej:

  • Producenci oprogramowania pocztowego stale poprawiają nie tylko funkcjonalność, ale również bezpieczeństwo swoich produktów. Dlatego jednym z elementów bezpiecznej poczty jest aktualizacja oprogramowania pocztowego.
  • Jeżeli istnieje możliwość wyboru, zaleca się korzystnie ze skrzynki e-mail umieszczonej na serwerze, który oferuje blokowanie spamu i ochronę antywirusową.
  • Każda, wiadomość, która nie była wcześniej zamawiana, a pochodzi z niewiadomego źródła, powinna być od razu usunięta. Nie powinno się odpowiadać na nią, otwierać dołączonych do nich załączników i klikać na żaden z zamieszczonych w niej linków do stron WWW. W żadnym wypadku nie należy odpowiadać na wiadomości e-mail pochodzące
    z banku bez wcześniejszej weryfikacji telefonicznej, że wiadomość taka została faktycznie przesłana.
  • Jeżeli to możliwe adres e-mail użytkownika powinien być znany tylko tam, gdzie jest to niezbędne. Nadmierne rozpowszechnianie go naraża użytkownika na otrzymywanie setki niechcianych, często niebezpiecznych wiadomości.
  • Wiadomości zawierające załączniki w formacie ZIP, RAR (lub innym spakowanym), EXE, COM, BAT, REG powinny być traktowane ze szczególną ostrożnością. Jeżeli wiadomość pochodzi od znanego nadawcy, przed otwarciem zaleca się sprawdzić załącznik oprogramowaniem antywirusowym i ewentualnie potwierdzić, Że taka wiadomość została nadana świadomie przez nadawcę i nie jest to skutek działalności robaka internetowego.
  • Trzeba mieć świadomość, że dane wysyłane pocztą elektroniczną mogą zostać bez problemu przechwycone i odczytane, dlatego wszystkie ważne i poufne informacje np. kod PIN, hasła, dane finansowe itp., których ujawnienie byłoby szkodliwe dla użytkownika lub firmy, o istnieje konieczność ich przesłania, powinny być wysyłane transmisją szyfrowaną za pomocą protokołu SSL z kluczem 128 bitów.

    • Uwaga! Poczta elektroniczna to niezwykle pomocna i przydatna usługa, ale wykorzystywana niewłaściwie bez świadomości towarzyszącego jej ryzyka stanowi ogromną lukę w zabezpieczeniu komputera i transakcji internetowych.