Malware, ransomware, wirusy, trojany… Jak bezpiecznie korzystać z poczty elektronicznej w dzisiejszych czasach

Analitycy z portalu Statista przewidują, iż w tym roku na całym świecie każdego dnia będzie przesyłanych niemal 350 miliardów wiadomości e-mail. Oczywiście znaczna ich część to spam, z którym lepiej lub gorzej radzą sobie filtry pocztowe, ale część maili stanowi znacznie poważniejsze zagrożenie. To różne odmiany ataków, które tą drogą dość skutecznie docierają do naszych skrzynek odbiorczych.

Wiele rodzajów zagrożeń, ale dominują dwa

Podczas korzystania z poczty e-mail, musimy zwracać uwagę na dwa najpopularniejsze typy zagrożeń. Pierwsze to phishing, czyli wiadomości, poprzez które przestępcy starają się wyłudzić od nas wrażliwe informacje – na przykład dane dostępowe do bankowości elektronicznej. Przesyłają fałszywe wiadomości mailowe np. z informacją o przyznaniu zwrotu podatku lub uzyskaniu cennego dofinansowania, które zawierają linki do fikcyjnych stron, łudząco przypominających portale logowania do banków. Według badania Cofense, w 2022 roku odsetek e-maili wyłudzających dane wzrósł aż o 569%!

Należy przy tym pamiętać, że ataki tego typu mają na celu nie tylko przejmowanie pieniędzy z bankowości internetowej, ale służą też wykradaniu danych osobowych, jak i danych do logowania do poczty elektronicznej czy do kont w mediach społecznościowych. Takie przejęte konto może być później wykorzystane np. do ataku “na BLIKA”, a więc do prób wyłudzenia pieniędzy od naszych znajomych zapisanych na liście kontaktów.

Warto dodać, że cyberprzestępcy często stosują w tego typu atakach zabiegi socjotechniczne, na przykład poprzez wywołanie presji czasu (np.: jeśli szybko nie uzupełnisz drobnej niedopłaty, zostaniesz wpisany na krajową listę dłużników), wprowadzenie poczucia zagrożenia, kary lub atrakcyjnej nagrody.

Czytaj dalej poniżej

Klucze Google - jak włączyć nową opcję logowania na komputerze i smartfonie Grzegorz Ułan

Weryfikacja dwuetapowa - co lepsze? SMS, e-mail czy dedykowana aplikacja? Tomasz Szwast

Drugim często spotykanym typem zagrożenia jest szkodliwe oprogramowanie (malware), rozsyłane w załącznikach do wiadomości e-mail lub poprzez linki zawarte w ich treści. Jeśli przestępcom uda się zainfekować urządzenie, z którego korzystamy, konsekwencje na pewno nie będą miłe. Malware może na przykład wykradać nasze wrażliwe dane (trojan), zaszyfrować je i zablokować pracę urządzenia (ransomware) albo też wykorzystywać przejętą maszynę do rozsyłania dalszych wiadomości (botnet) czy kopania kryptowalut (cryptojacking).

Zła wiadomość jest taka, że… to nie koniec zagrożeń, na jakie narażamy się, korzystając z poczty elektronicznej. W przypadku firm poważne szkody wywołują ataki typu BEC (Business Email Compromise), w których przypadku technika oszustwa polega na podszywaniu się pod innych pracowników firmy (w tym pod “prezesa” czy “administratora IT”). Celem może być – jak w przypadku phishingu – wyłudzenie danych, ale nie tylko. Spotykane są również żądania wykonania przelewu albo zainstalowania (złośliwego) oprogramowania.

Inne rodzaje zagrożeń, o których na pewno warto pamiętać, to fałszywe inwestycje finansowe, do których zachęcają rozsyłane przez oszustów wiadomości i reklamy. Ryzykowne są także próby nawiązywania bliższych relacji, wręcz fałszywej przyjaźni czy miłości. Ten ostatni rodzaj oszustw – w przypadku sukcesu – kończy się wyłudzeniem pieniędzy (tzw. oszustwo na amerykańskiego żołnierza) lub wyłudzeniem od ofiary materiałów o charakterze intymnym (zdjęć, filmów) i szantażem, pod groźbą ich publikacji (sexting).

Lista zagrożeń związanych z pocztą elektroniczną jest zatem, jak widać, dosyć długa. Kluczowa staje się więc odpowiedź na podstawowe pytanie: jak się przed nimi bronić?

Jak bezpiecznie korzystać z poczty elektronicznej

W pierwszej kolejności, musimy zadbać o zabezpieczenie dostępu do swojej skrzynki pocztowej, a więc zacząć od stworzenia hasła - trudnego do złamania, a jednocześnie łatwego do zapamiętania.

Według ostatniego badania BIK - „Cyberbezpieczeństwo Polaków”, przygotowanego z okazji Dnia Hasła, aż 21 godzin rocznie tracimy na zmienianie i ustanawianie nowych haseł. Wbrew pozorom nie jest to konieczne, a oto kilka podstawowych zaleceń do ich tworzenia:

• Twórzmy hasła długie (składające się z co najmniej 14 znaków)
• Nie muszą one być przy tym specjalnie skomplikowane. Dobrą praktyką jest tutaj stosowanie całej, łatwej do zapamiętania frazy, złożonej z kilku niezwiązanych ze sobą logicznie słów, np. 2CzerwoneRoweryJedz@Nalesniki!.
• Unikajmy zawierania w hasłach informacji, które są z nami bezpośrednio związane, a więc na przykład naszego nazwiska czy daty urodzenia – naszej lub naszych bliskich.
• Nie używajmy tego samego hasła w różnych serwisach, a w szczególności do konta e-mail, banku czy innych wrażliwych kont.
• Dobrą praktyką jest wykorzystywanie do ich przechowywania menedżerów haseł w – choćby tych prostych i bezpiecznych, wbudowanych w przeglądarkę na komputerach czy telefonach.
• Generalnie nie ma potrzeby, by cyklicznie generować nowe hasła do tego samego serwisu. Zmieniajmy hasło tylko wtedy, gdy zajdzie podejrzenie, że dostało się w niepowołane ręce – na przykład w wyniku wycieku danych z serwisu, z którego korzystamy.

Kiedy mamy już stworzone odpowiednie hasło, warto dodatkowo zabezpieczyć dostęp do swojego konta dwuskładnikowym uwierzytelnianiem, na wypadek niezależnych od nas czynników, tak jak na przykład wyciek haseł. Po przejęciu hasła, cyberprzestępcy odbiją się wówczas od drugiego czynnika, którym może być:

• Odporny na ataki phishingowe token sprzętowy U2F.
• Kody dostępu wysyłane w wiadomości SMS na nasz numer telefonu.
• Potwierdzenia logowania na telefonie z Androidem lub iOS.
• Potwierdzenia logowania na telefonie w aplikacji typu Google lub Microsoft.  Authenticator (wszystkie te sposoby opisywałem Wam niedawno w tym wpisie).
• Passkeys, czyli klucze sprzętowe zapisywane na naszych urządzeniach (więcej o tym w tym wpisie).

Poza zabezpieczeniem dostępu do konta, ważne dla naszego bezpieczeństwa jest również to, jak korzystamy z naszej poczty e-mail. Tu też mamy dla Was kilka niezbędnych ku temu zaleceń:

• Nie należy używać prywatnych kont poczty elektronicznej i komunikatorów do korespondencji służbowej, jak i prywatnych komputerów i telefonów do spraw służbowych.
• Tak samo w drugą stronę – używanie służbowych komputerów i telefonów do spraw prywatnych może mieć opłakane skutki dla nas i firmy, w której pracujemy.
• Ważne jest też, aby korzystając ze służbowej poczty e-mail, wszelkie podejrzane wiadomości zgłaszać jak najszybciej administratorom.
• Szczególną uwagę powinniśmy zwracać na wiadomości zmuszające do podjęcia natychmiastowej reakcji i zawierające linki do paneli logowania do serwisów społecznościowych lub bankowości elektronicznej.
• Zawsze zwracajmy uwagę na nadawcę wiadomości, zweryfikujmy przy tym czy adres e-mail jest prawdziwy i wysłany z prawidłowej domeny.
• Równie ważne jest zachowanie ostrożności w przypadku maili zawierających załączniki, a zwłaszcza archiwa i dokumenty Office.
• Ponadto logując się na swoje konto, czy to do banku, do poczty elektronicznej, czy serwisu społecznościowego, a także zawsze przy dokonywaniu płatności i przelewów, zwracajmy baczną uwagę na to czy domena w pasku adresu jest prawidłowa. Szczególnie na urządzeniach mobilnych, na których w przeglądarkach część adresu jest ukryta – wystarczy kliknąć w ten adres, by odkryć jego całą zawartość.
• Wszelkie wątpliwości i podejrzenia dotyczące wiadomości e-mail warto przesłać do  CERT Polska w NASK poprzez formularz zgłoszeniowy lub na adres cert@cert.pl.

Co jeszcze ważne na koniec, nie zaniedbujmy regularnych aktualizacji systemu czy programu antywirusowego,  z którego korzystamy na naszych urządzeniach, a do prywatnej, wrażliwej korespondencji używajmy szyfrowanych komunikatorów czy opcji automatycznego kasowania wiadomości po upływie zadanego czasu. Taką funkcję ma już od jakiegoś czasu m.in. poczta e-mail oferowana przez serwis Google, czyli Gmail.