Svindlere og nettkriminelle leter stadig etter måter å kompromittere sikkerheten din, hacke seg inn på kontoene dine og tømme dine hardt opptjente sparepenger i sin egen kasse. Du må ta alle forholdsregler for å beskytte din personlige informasjon – både på nettet og i den digitale verden. Dette inkluderer e-postadressen din, som ne'er-do-wells kan oppnå utrolig mye med.
Så hva kan en nettkriminell gjøre med bare e-postadressen din?
Er svindlere virkelig etter e-postadressen min?
Ja det er de. 16. august 2022 ble skylagringsleverandøren DigitalOcean tvunget til det avsløre et datainnbrudd og kontakte alle kundene med nyheten om at "en rekke DigitalOcean-kunde-e-postadresser kan ha blitt sett av en uautorisert person."
Datainnbrudd på e-post er en ganske vanlig forekomst. Noen ganger lekkes fysiske adresser og passord eller hash av passord ved siden av e-postadressen. Selv om ingen annen informasjon avsløres, kan en gyldig e-postadresse gi flere muligheter for svindlere til å dra nytte av deg. Dette er hvordan...
1. Lekkasjer viser at e-postadresser er i bruk
Det er et praktisk talt ubegrenset antall mulige e-postadresser. Hvis Gmail var den eneste e-postleverandøren i verden, betyr grensen på 30 tegn i brukernavn at det er 30 ^ 36 eller 30 undemillion mulige kombinasjoner. Andre leverandører har mye høyere grenser, og det totale antallet e-postleverandører over hele verden er ukjent.
Når svindlere leter etter potensielle ofre, vil det ikke redusere det å sende ut e-poster til tilfeldige adresser. De fleste potensielle e-postadresser er ubrukte, har aldri blitt brukt og vil aldri bli brukt. De kan forbedre oddsen litt ved å inkludere vanlige ord, setninger og tall i innsatsen.
Å bekrefte at en e-postadresse brukes aktivt sparer svindlere for mye krefter og penger (sending bulk-e-poster er ikke alltid billige), og det er grunnen til at databaser med e-postadresser kjøpes og selges åpent på nett. Hvis e-postadressen din blir avslørt, kan du i det minste forvente å motta en betydelig økning i søppelpost, spam og phishing-forsøk.
2. E-posten din kan gjøre deg til et mål for Spear Phishing
Spear Phishing er en betegnelse på et phishing-forsøk når svindleren skreddersyr en phishing-e-post for en bestemt mottaker. Jo mer svindleren vet om målet, jo mer vellykket vil forsøket sannsynligvis være.
Avsløringen av DigitalOcean-bruddet kom som en del av et forsøk fra svindlere på å målrette brukere av kryptovaluta, ifølge Mailchimp. Dette i seg selv gir falske e-postbrukere en angrepsvinkel for spydfisking, og et insentiv til å prøve.
Ytterligere informasjon om målet kan hentes fra selve e-postadressen. Mange bruker fullt navn og fødselsår som en del av e-postadressen, noe som gir en angriper enda mer innsikt som kan brukes mot offeret.
Til slutt, hvis e-postadressen din – eller en del av e-postadressen din – er et brukernavn for sosiale mediekontoer (hvis brukernavnet ditt er "[email protected]" og Twitter-håndtaket ditt er "yeezydave1992", for eksempel), vil de kunne se over alle aspekter av livet ditt, relasjoner, hobbyer, musikksmak, og deretter forme en e-post for å felle du.
Litt forskning kan avsløre andre mennesker du kanskje kjenner: moren din, sjefen din, kundene dine. Dette er personene som kan forvente å motta en e-post fra deg og som ikke vil bli unødig skremt av å finne en melding fra adressen din i innboksen deres.
For eksempel kan man si at du nå anser adressen "[email protected]" for å være umoden, og be dem vennligst kontakte deg på den langt mer respektable "[email protected]". Eller kanskje de kan sende en e-post til en klient som sier at bankdetaljene dine er endret og videre be dem sende den neste betalingen til en annen konto.
Forfalskning av en e-post er forbløffende enkelt og kan gjøres på omtrent fem minutter med Telnet. Vår erfaring er at hver e-post som sendes på denne måten har omtrent 20 prosent sjanse for å komme seg gjennom Gmails spamfiltre på første nivå. Effektiviteten av andre tilbyderes forsvar vil variere.
4. E-postadressen din er halvparten av påloggingen din
For å få tilgang til dine mange og varierte nettkontoer vil en angriper i mange tilfeller bare trenge to opplysninger: en e-postadresse og et passord. Hvis de allerede har e-postadressen din, betyr det at det eneste de trenger å vite er passordet ditt.
Når du oppretter en konto på nettet, er det visse minimumskrav for passordstyrke. Disse kan inkludere en minimumslengde, bruk av store og små bokstaver, tall og symboler.
Men passord er vanskelig å huske - spesielt når du trenger å huske forskjellige for forskjellige tjenester. De mest felles passord i bruk i dag er "123456", med andreplassen til "123456789", og det er lister over vanlige passord som sirkulerer på nettet, enn si det mørke nettet.
Alt en angriper trenger å gjøre er å matche et vanlig passord med en allerede kjent e-postadresse. Selv om vi ikke antyder at ditt eget passord er svakt, kan det være verdt det å velge et nytt, sterkt passord for å beskytte kontoen din.
5. En angriper kan forfalske e-postadressen din med Unicode
Å forfalske en e-postadresse for å lure bekjente av målet er raskt og enkelt å gjøre, men har en lav suksessrate, og e-postsvar vil bli sett av personen som blir utgitt for seg. Det er langt bedre (fra et kriminelt synspunkt) å opprette en e-postadresse som virker identisk, men som er usynlig annerledes. Ikke bare subtilt annerledes, men usynlig.
Tenk på følgende to tegn: "а"og "a". Ser de annerledes ut for deg? Det ene er det kyrilliske tegnet, "а", som er helt annerledes enn det latinske tegnet, "a".
Unicode-spoofing lar angripere – eller andre interesserte parter – lage et domenenavn som ser identisk ut med et legitimt domene. Å motta en e-post fra "[email protected]" er helt annerledes enn en fra "david@mаkeuseof.com". Andre lett forfalskede tegn inkluderer к, о, р, с, у, х.
En angriper som kjøper det domenenavnet vil kunne sende e-poster som ser ut til å være fra en legitim kilde, og som de kan motta svar for og korrespondere som om de virkelig var en makeuseof.com medarbeider.
Du bør heller ikke føle deg trygg bare fordi e-postadressen din er hos en stor leverandør. Mens noen av de mer åpenbart forfalskede domenene ikke lenger er tilgjengelige, er det mange alternative toppnivådomener til salgs.
Ja, e-posten din kan forfalskes for å lykkes med å lure folk, og det vil koste en angriper mindre enn $10.
Du kan ikke unngå å gi ut e-posten din helt – den er tross alt der for å brukes. Men du bør ta vare på hoved-e-postadressen din, dvs. den du bruker sammen med bank- og PayPal-kontoene dine er forskjellig fra de du bruker for registreringer og digitale tjenester.
Ideelt sett bør du ha en annen e-postadresse for å gi ut til hver person eller organisasjon du har kontakt med. Dette vil begrense skaden hvis e-postadressen din noen gang blir avslørt. Hvis du ikke har tid til det, kan du vurdere å bruke aliaser.
