Adres e‑mail jest czymś, co w dzisiejszych czasach posiada prawie każdy z nas. Jest on niezbędny do zamawiania zakupów przez Internet, założenia profilu w mediach społecznościowych, do obsługi portali urzędowych, prowadzenia działalności gospodarczej, o pracy w biurze nie wspominając. Adres jest naszą wizytówką, ale też może być wykorzystany przez cyberprzestępców. Warto więc zadbać o jego bezpieczeństwo.
E‑mail to usługa poczty elektronicznej, ang. electronic mail – właśnie z tej nazwy powstał zwyczajowo stosowany skrót: e‑mail. Sam e‑mail został wymyślony w roku 1965, ale nie było wtedy jeszcze adresów poczty elektronicznej, a usługa pozwalała na przesyłanie wiadomości tylko w ramach tego samego komputera. Pierwsza wiadomość między różnymi komputerami została wysłana w roku 1971 – wtedy też jej autor, Raymond Tomlinson, który zresztą pierwszego maila wysłał sam do siebie, wybrał symbol, który rozdzielał nazwę użytkownika od nazwy komputera – a późniejszym czasie także domeny internetowej, czyli @, który czytamy jako „małpka”. Pierwszą pocztę elektroniczną do Polski wysłano 17 lipca 1990 roku do Centrum Informatycznego Uniwersytetu Warszawskiego – nie był to e‑mail sensu stricto, ponieważ była to wiadomość wysłana na serwer, a nie na adres pocztowy. Ale jeszcze pod koniec roku 1990 została nadana pierwsza poczta elektroniczna na adres e‑mail, jaki znamy obecnie. Co ciekawe, pierwszy mail, który można by uznać za spam, został wysłany już w 1994 roku. Obecnie najdłuższy używany adres mailowy liczy ponad 300 znaków i jest kombinacją różnych popularnych słów i zwrotów. Ciekawe, ile znaków liczy hasło do tego konta!
Co mówi o Tobie adres e‑mail?
Adres e‑mail ma nam ułatwić zidentyfikowanie nadawcy. Szczególnie w przypadku adresów służbowych ma jednoznacznie wyróżnić pracowników danej firmy. Zwykle adresy zawierają więc imię, nazwisko i nazwę domeny. Dzięki tym informacjom łatwo rozróżnimy pracownika firmy od osoby, która się pod takiego podszywa. Ale w Internecie zwykle można znaleźć także inne informacje na temat tej osoby, szczególnie jeśli publikuje ona swoje dane np. na portalach społecznościowych. Po kilku kliknięciach możemy dowiedzieć się np. o miejscach, w których bywa (konferencje, zloty, spotkania), godzinach, w których pracuje, itp. Trzeba pamiętać, że to, co dla nas jest nieistotną informacją, może być cenne dla cyberprzestępców i znacznie ułatwić im namierzenie i zaatakowanie wybranej osoby.
Bardzo uważni powinni być przedsiębiorcy, szczególnie prowadzący jednoosobową działalność gospodarczą – ich adres e‑mail jest niezwykle łatwy do odnalezienia w Internecie. Wystarczy, że wyrażą zgodę na upublicznienie maila, a automaty sczytujące dane z raportów o nowo otwartych firmach natychmiast skopiują imię, nazwisko i elektroniczny adres przedsiębiorcy do wielu miejsc. Jest to problem zwłaszcza w przypadku raczkujących firm, które nie mają własnych działów informatyki, nie potrafią właściwie skonfigurować serwerów pocztowych i korzystają z darmowych kont pocztowych. Pierwsze dni własnej działalności gospodarczej to prawdziwe oblężenie skrzynki – oferty stworzenia stron internetowych, wizytówek, reklam czy materiałów biurowych wpadają masowo. Spam można co prawda szybko wykasować, ale wyrafinowani cyberprzestępcy od razu sprawdzają, co o danej osobie wiadomo w Internecie – mają do tego specjalne narzędzia, które pomagają szybko i sprawnie przeszukiwać serwisy społecznościowe.
Zawsze krok przed Tobą
„Komunikacja elektroniczna stanowi ogromny procent wymiany informacji. Według rankingu Mobirank w 2021 roku średnia liczba maili wysłanych w ciągu zaledwie jednej minuty wynosiła… 197,6 miliona! Co ciekawe, według różnych źródeł większość tych wiadomości to spam” – mówi ppłk Marcin Dąbkiewicz, kierownik Działu Informatyki WAT. Z e‑maili nie sposób zrezygnować, co więc zrobić, żeby nie stać się łatwym celem? Po pierwsze zawsze należy kierować się zasadą: konto służbowe do celów służbowych, a prywatne – do celów prywatnych. Służbowego adresu e‑mail nie wolno więc używać na portalach społecznościowych czy sklepach internetowych. „Nadal często zdarzają się osoby, które tych podstawowych zasad nie przestrzegają, ale widać wyraźny wzrost świadomości użytkowników w kwestii cyberzagrożeń oraz działania prostych modeli marketingowych. Coraz więcej osób zdaje sobie sprawę z tego, że Internet uczy się naszych zachowań, a automaty monitorują, skąd się logujemy, jakiego używamy adresu (np. uczelnianego, ministerialnego, korporacyjnego) i tak poznają nasze nawyki zakupowe, które później mogą przekazać, zwykle sprzedać, odpowiednim firmom czy agencjom marketingowym” – dodaje ppłk Dąbkiewicz.
Jeśli posługujemy się klasycznymi wizytówkami, warto mieć dwie wersje – prywatną i służbową – i naszym rozmówcom na konferencjach czy na dworcu PKP wręczać tę z adresem, który bardziej pasuje do charakteru zawieranej znajomości.
Skąd cyberprzestępcy mają nasz adres e‑mail?
Za każdym razem, kiedy podajemy swój adres e‑mail w Intrenecie, np. w ogłoszeniu, trafia on do bazy danych danej firmy. Wiele instytucji udostępnia adresy mailowe swoich pracowników na stronach internetowych. Czasami utrudniają życie automatom i zapisują adresy w sposób trudny do odczytania przez automat i zamiast @ używają (at). Dzięki temu można przechytrzyć roboty przeczesujące strony internetowe w poszukiwaniu @.
Portale społecznościowe, które kiedyś były łatwym do wykorzystania źródłem adresów e‑mail, pod wpływem nacisku społecznego oraz europejskiego „Ogólnego rozporządzenia o ochronie danych” (ang. General Data Protection Regulation, GDPR) czyli popularnego RODO, wprowadziły mechanizmy ukrywania takich danych. Jest to spore utrudnienie dla cyberprzestępców, a użytkownikom tych portali nie jest przecież potrzebna znajomość adresu e‑mail osoby, z którą chcą wymieniać informacje.
Ile masz adresów…?
Coraz więcej osób zakłada dodatkowe konta e‑mailowe, np. do zakupów internetowych czy rejestracji na przedsięwzięcia, konferencje czy do bazy wiedzy, gdzie podanie adresu e‑mail jest wymagane. W dzisiejszych czasach nie ma nic za darmo, nawet jeśli firmy tak twierdzą. Zwykle za „gratis” sprzedajemy informację o swojej prywatności lub pracy zawodowej. Jeśli musimy udostępnić swoje dane, zróbmy to z głową. Nie możemy mieć przecież pewności, że firma nie przekaże w nieuprawniony sposób naszych danych innej firmie. Warto też zawsze dokładnie przeczytać politykę prywatności oraz warunki udostępniania danych. Co do zasady podanie adresu e‑mail przy rejestrowaniu się np. na webinaria znanych nam firm jest bezpieczne, ale warto mieć się na baczności, gdy nie znamy firmy lub sprzedawcy.
Warto też pamiętać, że każdy sklep czy portal, na którym używamy maila, zakłada dla nas konto na bazie tego adresu. Oznacza to, że jedyną bezpieczną opcją korzystania z jednego adresu do kont na różnych portalach jest pilnowanie, aby nie podawać tego samego hasła dla różnych kont. W przeciwnym razie przy wycieku takich danych atakujący będzie mógł zalogować się nie tylko w miejscu, z którego uzyskał nasze dane, ale także w wielu innych.
„Ważną decyzją jest więc wybór dostawcy usługi pocztowej, czyli portalu, na którym zakładamy skrzynkę pocztową. Bardzo istotne jest to, czy dostawca oferuje wieloskładnikowe logowanie do skrzynki, a jeszcze lepiej byłoby, gdyby umożliwiał również logowanie do skrzynki kluczem sprzętowym, czyli urządzeniem, które pozwala przechowywać informacje o dodatkowym składniku uwierzytelniania, który potwierdza naszą tożsamość” – wyjaśnia ppłk Dąbkiewicz. Klucz sprzętowy najczęściej ma postać wtyczki USB (np. Yubikey), można go kupić i skonfigurować samodzielnie w domu. Nie zaleca się zakładania skrzynek mailowych u dostawców, którzy nie posiadają tych funkcjonalności.
A może alias?
Jeśli chcemy monitorować losy naszego adresu e‑mail, to warto wybrać dostawcę, który umożliwia tworzenie aliasów do skrzynki pocztowej. Alias do skrzynki to alternatywna nazwa maila wskazująca na dokładnie tę samą skrzynkę pocztową. Czyli jeśli mamy adres imie.nazwisko@adresdomeny.pl, to – o ile pozwala nam na to dostawca – możemy stworzyć do niego alias i.m.i.e.nazwisko@adresdomeny.pl bez konieczności tworzenia – oraz sprawdzania, archiwizowania, sprzątania – kolejnej skrzynki pocztowej.
Często zdarza się, że nieuczciwi handlowcy przechodząc do innej firmy, zabierają ze sobą bazę klientów poprzedniego pracodawcy. Jeśli przy zapisywaniu się do newsletterów będziemy korzystać z aliasów, łatwo się zorientujemy, że padliśmy ofiarą takiego zabiegu. Przypuśćmy, że w celu zapisania się do bazy klientów sklepu ABC założyliśmy alias imie.nazwisko+ABC@adresdomeny.pl. Jeśli dokładnie na ten alias dostajemy oferty ze sklepu XYZ, to widzimy, jak nadawca wszedł w posiadanie naszego maila. Brzmi skomplikowanie, ale w rzeczywistości jest dość proste – najlepiej jest się samemu przez to przeklikać i sprawdzić, jak to działa, wysyłając sobie wiadomości z innej skrzynki mailowej.
Warto pamiętać, że tak samo jak nie należy podawać służbowego adresu przy prywatnych zakupach internetowych, tak samo nie wypada pisać służbowych maili z prywatnego konta, zwłaszcza jeśli korzystamy z niezbyt profesjonalnie brzmiącej domeny. Adresat może zignorować poważnego maila tylko dlatego, że przyszedł z domeny o śmiesznej nazwie, niepoważnej czy podobnej, która nie wzbudza jego zaufania. Szczególnie korespondencja z urzędami czy bankami wymaga odpowiedniego adresu e‑mail.
Wypisz mnie!
Ważnym elementem codziennej pracy z pocztą elektroniczną jest zawartość skrzynki. Poczta e‑mail powinna służyć głównie do komunikacji między nami a kimś, z kim chcemy utrzymywać relację. Jeśli większość wiadomości przychodzących stanowi jednostronna komunikacja sklepów polegająca na wysyłaniu ofert lub informacji o aktualnych promocjach, warto rozważyć wypisanie się z newsletterów, z których skorzystaliśmy raz czy dwa razy bardzo dawno temu. Firmy wysyłające mailingi mają obowiązek umożliwienia rezygnacji z ich usług w każdej chwili. Większość tego typu maili ma na samym końcu link Wypisz mnie lub Unsubscribe – zwykle zapisany małą czcionką. Jeśli nie możesz go znaleźć, napisz do sklepu na adres, który znajdziesz na jego stronie internetowej. Niestety, wypisanie się z listy mejlingowej jest zawsze trudniejsze niż zapisanie się.
Co dalej?
Adres e‑mail to nie tylko wizytówka, ale może też stać się skarbnicą wiedzy o użytkowniku. Warto dbać o to, żeby nie dostał się w niepowołane ręce. Nie zawsze mamy kontrolę nad tym, gdzie i jak nasze podstawowe dane są katalogowane i udostępniane w sieci – warto mieć tego świadomość, ale zarazem wszędzie, gdzie tę kontrolę mamy, pilnować swojej prywatności w myśl zasady: „W Internecie nic nie ginie”.
Aby poznać więcej przydatnych wskazówek na temat cyberbezpieczeństwa, koniecznie śledź cykl „Bądź bezpieczny z #cyberWAT”, który jest dostępny tutaj: https://promocja.wat.edu.pl/cyberwat/
Justyna Spychała
