Czy poczta elektroniczna jest bezpieczna?

Odpowiedź na to pytanie nie może zostać udzielona wprost. Najczęstszą odpowiedzią jest stwierdzenie „to zależy”. Dlaczego tak jest? Od czego to zależy? Poczta może być „w miarę” bezpieczna przy stosowaniu pewnych zasad, o których poniżej. Korespondencja będzie „w miarę” bezpieczna, jeśli adresat naszej komunikacji będzie stosował również podstawowe zasady gwarantujące to bezpieczeństwo „w miarę”.

Początki poczty elektronicznej

Nasze rozważania zacznijmy od historii poczty elektronicznej, a sięgają roku 1971, w którym wysłano pierwszego maila między dwoma komputerami. Wikipedia podaje, że „E-mail został wymyślony w roku 1965. Autorami pomysłu byli: Louis Pouzin, Glenda Schroeder i Pat Crisman. Wówczas jednak usługa ta służyła jedynie do przesyłania wiadomości pomiędzy użytkownikami tego samego komputera, a adres poczty elektronicznej jeszcze nie istniał. Usługę polegającą na przesyłaniu wiadomości tekstowych pomiędzy komputerami wymyślił w roku 1971 Ray Tomlinson, wybrał również znak @ do rozdzielania nazwy użytkownika od nazwy komputera, a później nazwy domeny internetowej.”

W tamtych czasach ciężko było sobie wyobrazić dostępność Internetu na taką skalę, jak w dniu dzisiejszym, a także nikt nie przypuszczał, że znaczna część zasobów obronnych całych państw i pojedynczych organizacji będzie przeznaczana na zapewnienie bezpieczeństwa przed całą złożonością zagrożeń cybernetycznych, które nasiliły się w ostatnich latach w niespotykanej skali. A na pewno jest to dopiero początek wyścigu zbrojeń między cyberprzestępcami (a i nierzadko służbami państwowymi), a firmami, zespołami i osobami odpowiedzialnymi za bezpieczeństwo organizacji i osób prywatnych.

Podstawowa metoda komunikacji

Na pewno usługa poczty elektronicznej jest podstawową metodą komunikacji w zastosowaniach biznesowych. Używa się jej do przesyłania praktycznie każdego rodzaju dokumentów, począwszy od ofert handlowych, zamówień, faktur, przez pisma sądowe, umowy bankowe, dokumenty finansowe spółek, medyczne wyniki badań diagnostycznych, skany dokumentów tożsamości. Ciężko wyobrazić sobie działanie jakiejkolwiek organizacji bez używania poczty elektronicznej. Adres e-mail w dzisiejszych czasach ma większą wartość niż numer telefonu danej osoby. Telefonu można nie odbierać, zaś e-mail trafia do skrzynki pocztowej i przynajmniej temat wiadomości zostanie przeczytany przez odbiorcę.

W ostatnich miesiącach w mediach pojawiło się kilka informacji na temat tego, jak przestępcy, używając poczty elektronicznej, osoby z „zaatakowanych” firm dobrowolne (sic!!!) dokonały przelewów o naprawdę znacznych kwotach na konta bankowe osób czy podmiotów, które w rzeczywistości nie były odbiorcami, za których się podawali.

Niedawno LOT przelał kwotę 2.6 mln złotych na konto bankowe „słupa” tytułem opłat leasingowych. Konto bankowe na słupa oznacza konto założone na osobę nie mającą pojęcia, o tym, że wykorzystane zostanie do przestępstwa albo osobę w rzeczywistości nie uczestniczącą w kryminalnym procederze albo na fałszywą tożsamość albo osobę, która jest przykładowo obcokrajowcem będącym już na innym kontynencie. Pieniądze z pierwszego konta transferowane są natychmiast na inne w innym kraju, najlepiej w „raju podatkowym”, kolejnym i kolejnym, nierzadko dokonywane są transakcje zakupu i sprzedaży kryptowalut. Odzyskanie pieniędzy w takim przypadku wynosi praktycznie zero. Przestępców zazwyczaj nie udaje się złapać, a jeśli wpadną to z powodu własnej głupoty i np. pokazywania faktu przypływu gotówki przez ekskluzywne zakupy samochodów czy nieruchomości.

Parę miesięcy temu firma Cenzin, część Polskiej Grupy Zbrojeniowej, również padła ofiarą oszustwa na kwotę 4 milionów złotych. Wcześniej możliwe, że czytaliście na temat warszawskiego metra, które przelało za usługi sprzątania blisko 580 tysięcy złotych. A ile jest takich przypadków, o których nie poinformowano mediów? Wielokrotnie więcej, ponieważ nikt nie chciałby, aby o takim fakcie dowiedzieli się klienci, dostawcy czy konkurenci. W przypadku takiego zdarzenia dla obu podmiotów jest to problem. Zarówno dla firmy płacącej, jak i dla rzeczywistego dostawcy, ponieważ nierzadko sam proces wyjaśniania danego zdarzenia wynosi wielokrotnie dłużej niż termin płatności. Nierzadko firmy, które padły ofiarą oszustwa czekają na wyrok sądu w sprawie całego zdarzenia. A sądy w naszym kraju działają tak jak działają – sprawy wleczą się wiele lat, kompetencje biegłych też dają wiele do życzenia….

Oczywiście to tylko jeden ze sposobów na wzbogacenie się (w sposób niezgodny z prawem) wykorzystując informacje pozyskane w sposób nielegalny. Można sobie wyobrazić sytuacje, gdzie konkurent włamując się na skrzynkę pocztową ma doskonałą wiedzę na temat zakresu i wartości ofert handlowych, projektowych czy innych. Dzięki tego typom informacji nieuczciwy konkurent jest w stanie złożyć ofertę minimalnie niższą niż zaproponowana przez naszą organizację, a my po raz kolejny przegramy w postępowaniu ofertowym dziwiąc się, że wygrała znów firma „B” i to znów „o grosz”.

Spółka giełdowa przed publikacją raportów kwartalnych czy rocznych również powinna zachować najwyższy poziom poufności. Dlaczego? Otóż ktoś, kto posiądzie wiedzę na temat wyników finansowych czy planów spółki jest w stanie wykorzystać te informacje w celu korzystniejszego zakupu albo sprzedaży akcji na rynku publicznym. Takich przykładów możliwości wykorzystania informacji pozyskanych ze skrzynek pocztowych można wymieniać naprawdę wiele. Na pewno im bardziej adresat jest związany z dużymi kwotami pieniędzy, tym bardziej narażony jest na celowe działanie hackerów.

Wiadomości pocztowe mają ponadto zastosowanie w autoryzacji dostępu do różnego rodzaju usług internetowych – praktycznie każda usługa internetowa, portal społecznościowy, oprogramowanie w modelu SaaS, wymaga przy tworzeniu konta podania adresu e-mail, zazwyczaj będącego loginem do usługi oraz hasła, które gwarantują dostęp. Co jeszcze – zazwyczaj w przypadku zapomnienia hasła, jego utraty, przeniesienia swojej pracy na inne albo dodatkowe urządzenie, poczta elektroniczna służy do odzyskania dostępu albo też resetu i utworzenia nowego hasła. Ten punkt jest bardzo istotny z punktu widzenia całego ekosystemu bezpieczeństwa danej osoby czy organizacji.

Co mogło takiego się stać?

Bezpieczeństwo oznacza możliwość zaufania stronie komunikacji oraz zapewnienie integralności przesyłanych danych. W powyższych przypadkach nie miało miejsca albo jedno albo drugie, albo i jedno i drugie.

Pierwsza możliwość to przejęcie skrzynki pocztowej nadawcy (czy kontroli nad komputerem czy smartfonem) i w takim przypadku wysłanie wiadomości w jego imieniu z treścią i zawartością, która w rzeczywistości nie była oryginalna. Możliwe, że skrzynka odbiorcza zastała przejęta i w takim przypadku wystarczyło „podmienić” załącznik poczty elektronicznej na dokument pdf z odpowiednim numerem konta. Istnieje jeszcze jedno prawdopodobieństwo, że wiadomość pocztowa została wysłana ze skrzynki, której adres wydawał się łudząco podobny od adresu e-mail, z którego zazwyczaj przychodziła faktura, zaś treść była zgodna z wcześniej wysłanymi mailami. Czyli możemy wyobrazić sobie z jednej strony adres nadawcy jan.kowalski@firma-cleaning.pl w miejsce jan.kowalski@firma_cleaning.pl albo użycie znaków cyrylicy i zastąpienie np. c łacińskiego literą c (s) z cyrylicy. Mniej prawdopodobne jest to, że w „locie” przejęto i zmieniono jej zawartość.

Dlaczego takie ataki mają tak dużą skuteczność? Bo w większości przypadków opierają się na socjotechnice. Przestępstwo zaplanowane jest z dużym wyprzedzeniem, nierzadko czas pozyskania informacji czy czas od przejęcia konta do dokonania przestępstwa to okres wielu tygodni, miesięcy, a nierzadko i roku. Przestępcy doskonale wiedzą jakie zwyczaje są w firmie, jak organizowana jest praca, wiedzą o nieobecnościach szefa, wiedzą o procedurach jakie obowiązują w danej firmie. Znają imiona małżonków, dzieci, hobby danej osoby, którą chcą zmanipulować, wiedzą, gdzie była na wakacjach, wiedzą o problemach czy nałogach. Wszystkie te informacje zazwyczaj są wykorzystywane aby uwiarygodnić nadawcę albo i samą treść wiadomości (np. pozdrawiając męża czy żonę oraz dzieci w treści), znaleźć odpowiedni moment (nieobecność przełożonego, którego nie można spytać się o opinię czy zatwierdzić działanie).

Dlaczego korzystanie z maila jest niebezpieczne?

Konto pocztowe jest łatwe do przejęcia. Przede wszystkim z powodu stosowania haseł o niewielkiej mocy, które jest łatwo złamać, niezmienianie ich przez lata, a także używanie takiego samego hasła do konta pocztowego, jak do innych serwisów internetowych. W przypadku incydentu bezpieczeństwa, wycieku czy kradzieży danych w jednym serwisie, sklepie internetowym, blogu czy gdziekolwiek indziej, okaże się, że dana osoba traci kontrolę nad wszystkimi kontami, gdzie stosowała takie samo hasło logując się do tego adresem poczty elektronicznej.

Konto pocztowe jest ulubionym celem ataków phishingowych, gdzie cyberprzestępca wysyła wiadomość jako fałszywy administrator serwera poczty elektronicznej z prośbą o potwierdzenie tożsamości adresata. Użytkownik poczty może naiwnie, ale w sposób nieświadomy, wpisać wprost hasło do swojej skrzynki pocztowej.

Należy bezwarunkowo unikać używania otwartych sieci bezprzewodowych. Wyobraźmy sobie taką sytuację, że zalogowaliśmy się do sieci bez uwierzytelniania dostępnej w lokalu fast food. Dostępne były dwie sieci o nazwach FastFood_WiFi i FastFood_WiFi_Free. Wybraliśmy drugą. A ta druga sieć wykorzystywana była przez cyberprzestępców, którzy ustanowili pułapkę przykładowo tworząc imitację webserwisu pocztowego, który wygląda identycznie jak znany nam serwis pocztowy używany każdego dnia. Użytkownik wpisując w pasku adresowym przeglądarki w żaden sposób nie podejrzewa, że wpisując WŁAŚCIWY adres webserwisu poczty w rzeczywistości loguje się do fałszywki i podaje pełne dane uwierzytelniające jego tożsamość. W tym czasie przestępcy mogą zalogować się do serwisu, zmienić hasło i przez jakiś czas bezkarnie korzystać z naszej tożsamości….. oczywiście może to być strona innej usługi często wykorzystywanej, a loginy i hasła najczęściej powtarzają się ….

Wielokrotnie przedstawiałem już rolę socjotechniki w przejęciu tożsamości i usług z nią powiązanych. Niejednokrotnie czytając relację z takiego przypadku stwierdzałem, że scenariusz „Włoskiej roboty” czy „Oceans Eleven” to „pikuś”. Dla bardziej zainteresowanych odsyłam do materiału opisującego przejęcie konta pocztowego dyrektora CIA przez piętnastolatka z USA 😊

Pamiętajmy o jeszcze jednym, że niejednokrotnie Ty jesteś bezpiecznym operatorem swojej skrzynki pocztowej, ale adresat twojej wiadomości nie stosuje minimalnych zasad bezpieczeństwa… wtedy wszystko co do niego ślesz narażone jest na przejęcie przez nieuprawnione osoby.

Jak mimo wszystko być bezpiecznym?

Nie wiem czy zwróciliście uwagę, że coraz mniejszą „popularność” mają przestępstwa związane ze stosowaniem jakiejkolwiek przemocy fizycznej, coraz mniej napadów na banki z użyciem broni czy też coraz mniej mamy porwań dla okupu. Większość działań przeniosła się w świat biznesu albo świat cyfrowy. Łatwiej zarówno w obszarze organizacji przestępstwa, jak i pewniej z powodu możliwości uniknięcia konsekwencji dla przestępców jest zajmować się wyłudzeniami podatku VAT, pseudo-działalnością gospodarczą czy też cyberprzestępczością. W tym drugim przypadku zazwyczaj przestępcy stają się nieuchwytni. Bardzo ciężko jest cokolwiek udowodnić komukolwiek, a o odzyskaniu straconych pieniędzy można zazwyczaj pomarzyć, bo ścieżka przepływu obejmuje wiele krajów odległych od siebie geograficznie, językowo, kulturowo i prawnie.

Jak można uniknąć zagrożeń? Przede wszystkim stosując zasady, o których napisałem powyżej. Oprócz tego stosować procedury w firmach, które uniemożliwią przykładowo zmianę numeru konta na koncie kontrahenta i wykonania przelewu np. bez aneksowania umowy. Szkolić pracowników, uzmysławiać, jakie działania mogą być niebezpieczne czy nieodpowiedzialne. Stosować odpowiednią technologię, która utrudni atak phishingowy, stosować usługi z 2FA czyli dwuskładnikowe potwierdzanie tożsamości (np. przez wpisanie hasła i kodu, który przyszedł jako wiadomość SMS – aczkolwiek sam SMS może również zostać złamany, bo pewnie słyszeliście o sposobach na uzyskanie duplikatu karty SIM….)

Najlepszym sposobem to stosowanie narzędzi transmisji danych, która zapewniają najwyższy poziom bezpieczeństwa przez szyfrowanie o odpowiedniej sile wraz z brakiem zastosowania „zaufanej” trzeciej strony do potwierdzania tożsamości stron komunikacji. W dzisiejszych czasach takich zaufanych „stron” po prostu nie ma.

Autor: Przemysław Kucharzewski – od 25 lat związany z branżą IT, w szczególności budową kanału sprzedaży, fascynat cyberbezpieczeństwa, manager, dziennikarz, obecnie związany z Cypherdog. Prywatnie ojciec dwojga dzieci, miłośnik kolarstwa górskiego, gotowania i dobrego rocka.

Pobierz aplikacje