Afera e-mailowa. Jak bronić się przed zagrożeniami w sieci?

Wirus komputerowy dog

Przesyłanie sygnałów w postaci impulsów elektromagnetycznych ma za sobą już ponad 250 lat historii, zaś poczta elektroniczna pojawiła się w lokalnych sieciach komputerowych już w 1965 r. Powszechnie korzystamy z niej od połowy lat 90. XX wieku. Nie wyparły jej inne formy komunikacji elektronicznej – komunikaty SMS i MMS, przeróżne komunikatory – jakie pojawiły się w ciągu minionych 25 lat. Co więcej, wokół poczty elektronicznej pojawiły się powiązanie z nią przeróżne formy i platformy pracy grupowej, pomagające w jej organizowaniu (wspólne kalendarze i harmonogramy prac) i umożliwiające wspólną pracę z dokumentami, materiałami audiowizualnymi itp.

Odbierając i wysyłając elektroniczne listy, często z przeróżnymi załącznikami, nie zastanawiamy się nawet, w jaki sposób docierają one do odbiorcy. W uproszczeniu schemat jest następujący: piszemy treść wiadomości w naszym urządzeniu – komputerze stacjonarnym, laptopie, tablecie czy telefonie. Możemy to robić w oddzielnym, odpowiednio skonfigurowanym programie pocztowym (kliencie poczty), nawet bez połączenia z Internetem i dopiero po połączeniu się z siecią wysłać nasz list z ewentualnymi załącznikami. Jeśli w danej chwili mamy połączenie z Internetem, możemy też skorzystać z odpowiednich usług firm/operatorów obsługujących pocztę elektroniczną poprzez stronę (tzw. webmail na stronach WWW). Nasz list przez sieć dociera do komputerów obsługujących pocztę (serwerów pocztowych) usługodawcy i tam wysyłany jest do odbiorcy, zgodnie jego z adresem. Odbiorca może odebrać pocztę na swoim urządzeniu przy użyciu dowolnego programu pocztowego albo skorzystać w tym celu z webmaila na stronie WWW jego dostawcy usług poczty.

Powyższy schemat działania jest tak prosty, że nigdy się nad nim specjalnie nie zastanawiamy. Można się tu odwołać do działania poczty tradycyjnej – choć coraz mniej osób z niej korzysta na co dzień (można spytać, kto z Waszych koleżanek i kolegów szkolnych wysłał kiedykolwiek tradycyjny list w kopercie ze znaczkiem. Po napisaniu listu, włożeniu go do koperty i naklejeniu znaczka możemy już wrzucić list do skrzynki pocztowej albo nadać go w okienku na poczcie. Operator poczty tradycyjnej zapewnia wyjęcie listu ze skrzynki, przewiezienie go do sortowni, ewentualne przesłanie do innego miasta czy kraju, gdzie znów trafia do sortowni, a następnie dostarczany jest przez listonosza do rąk własnych adresata lub wrzucony do skrzynki w budynku czy na drzwiach mieszkania. Stosowne przepisy pocztowe określają, że list powinien dotrzeć do adresata, podwyższając pewność dostarczenia w przypadku listów poleconych, zwłaszcza wysyłanych z potwierdzeniem odbioru (tzw. zwrotką).

W poczcie elektronicznej odpowiednikiem całej organizacji pocztowej (a zwłaszcza sortowni listów) są serwery pocztowe. Rolę skrzynek do wysyłania i odbierania poczty pełnią nasze komputery, tablety czy smartfony, a łącza internetowe zapewniają transmisję listu choćby na drugi koniec świata. Tu też istnieją usługi potwierdzenia dostarczenia listu do serwera odbiorcy, a nawet otwarcia listu elektronicznego przez adresata.

Zagrożenia

W tradycyjnej poczcie zdarzają się problemy: list może się gdzieś zapodziać po drodze ze skrzynki do sortowni i z poczty do naszej skrzynki domowej, cały worek poczty może ulec zniszczeniu np. w rezultacie wypadku przewożącego go samochodu pocztowego, może nie dotrzeć do miasta czy kraju przeznaczenia wagon kolejowy, statek czy samolot przewożący pocztę, bywały też przypadki pożaru w sortowni czy kradzieży przesyłek. Choć przeważnie jest to czynność nielegalna, ktoś może nasz list po drodze otworzyć i odczytać, albo nawet zniszczyć, może go ukraść ze skrzynki domowej – albo się do niej włamując, albo dorabiając kluczyk.

W poczcie elektronicznej niektóre zagrożenia i problemy są podobne, inne wynikają z charakteru sieci informatycznych. Podobny do zaśmiecania tradycyjnych skrzynek pocztowych niechcianymi przesyłami reklamowymi jest spam – niechciane wiadomości, których nadawcy oferują nam przeróżne usługi i produkty, przeważnie zresztą niezbyt dopasowane do naszych zainteresowań czy chęci zakupu.

Przypadki szkodliwej, czy wręcz groźnej zawartości listów tradycyjnych, choć zdarzały się w historii (np. wysyłanie bakterii groźnego wąglika) są bardzo rzadkie, na szczęście równie rzadko dostajemy np. listy z pogróżkami czy szantażem. W poczcie elektronicznej zagrożenie to jest dużo częstsze. Niemal codziennie dostajemy maila zachęcające nas do kliknięcia na załącznik, dzięki czemu wygramy wspaniałe nagrody, czy będziemy uczestniczyć w niezwykłej promocji. Niestety niemal zawsze w takich załącznikach kryją się groźne wirusy, trojany, czy komputerowe „robaki” – szkodliwe oprogramowanie, które zarazi albo tylko nasz komputer, albo za jego pośrednictwem naszą skrzynkę pocztową. Celem wysyłających taką pocztę jest albo przejęcie naszego komputera w celu wykorzystania go do atakowania innych (o czym przeważnie nawet nie będziemy mieli pojęcia), albo np. zaszyfrowanie dysku połączone z szantażem: jeśli wpłacimy na jakieś konto sporą czasem kwotę, to albo nasz dysk zostanie zdalni odszyfrowany, albo dostaniemy programowych klucz do jego odszyfrowania.

Inne często używane szkodliwe programy – tzw. keyloggery – „podsłuchują” nasz komputer czytając komendy i teksty, które wprowadzamy z klawiatury – po to, by w ten sposób zdobyć loginy i hasła do służbowych czy prywatnych usług i serwerów, z których korzystamy, a zwłaszcza do naszego konta w banku.

Z innymi zagrożeniami walczą dostawcy usług poczty elektronicznej. Są to różnego typu ataki na serwery pocztowe, mające na celu ich wykradanie z nich wiadomości albo nawet ich przejęcie (co umożliwia potem przejmowanie poczty nie podejrzewających niczego użytkowników), czy ataki typu DoS (Denial of Service), polegające na „zasypaniu” serwera milionami nadchodzących wiadomości, których już nie jest on w stanie obsłużyć. Wszystkie te ataki bardzo często są przeprowadzane z przejętych w tym celu komputerów użytkowników.

Dużym zagrożeniem jest tzw. phishing czyli kradzież tożsamości, w tym kradzież naszej „tożsamości elektronicznej” – wspomnianych loginów, haseł, PIN-ów do kart płatniczych czy różnych usług. Phishing może polegać na udawaniu przez kogoś innej osoby i na przykład wyciągnięcie w jej imieniu pożyczek od jej przyjaciół czy rodziny albo wzięcie kredytu od niedostatecznie sprawdzającej tożsamość użytkownika firmy czy instytucji finansowej. W przypadku przejęcia tożsamości firmy czy instytucji często dochodzi do przekierowania np. logowania się do bankowości internetowej zamiast do serwisu internetowego banku – na stronę podstawioną, udającą stronę prawdziwą, co ma na celu przejęcie danych identyfikujących właściciela konta i autoryzujących transakcję. Mają też miejsce przypadki wyłudzenia zapłaty za usługi czy dostarczone produkty przy użyciu fałszywych stron WWW czy danych podsuniętych w mailu. Zamiast do sprzedawcy, zapłata trafia do złodziei tożsamości – w tym przypadku tożsamości sprzedawcy.

Specyficznym zagrożeniem, które nasiliło się wraz z ogromnym wzrostem zakupów w sklepach i internetowych jest komunikat o konieczności dopłacenia jakiejś niewielkiej kwoty do adresowanej do nas a zatrzymanej z błahego powodu przesyłki albo do serwisu muzycznego czy filmowego, bo pojawił się problem z płatnością.

Czujność tych, którzy pamiętają, że niczego nie zamawiali ma uśpić wyjaśnienie, że chodzi o paczkę z rzekomo wylosowanym przez nas telefonem czy jakimś gadżetem. Przeważnie dopłata taka ma być dokonana poprzez link, który podsuwa nam fałszywą stronę systemu płatności i ma na celu albo tylko wyłudzenie tej kwoty (jeśli w ten sposób złodziej wyłudzi nawet niewielką kwotę ale od kilku tysięcy użytkowników, może się nieźle obłowić), albo przechwycenie loginu, hasła, PINu czy innych elementów autoryzacji użytkownika.

Niestety od czasu, kiedy pojawiły się smartfony, które są małymi przenośnymi komputerami z rozbudowanym oprogramowaniem pozwalającym na korzystanie ze wszelkich usług elektronicznych, ich także dotyczą nie tylko wszystkie wspomniane wyżej zagrożenia, ale także dodatkowe, na przykład nieświadome korzystanie przez użytkownika przejętego smartfona z usług o podwyższonych płatnościach – oczywiście na rachunek jego właściciela.

Zgodnie z zasadą, że we wszystkich systemach i organizacjach zazwyczaj najsłabszym ogniwem jest człowiek, wiele przestępczych działań nie wykorzystuje nawet wyrafinowanego złośliwego oprogramowania (tzw. malware), ale techniki socjologiczne i psychologiczne. Typowe przykłady to mail lub telefon od kogoś, kto udaje pracownika banku lub serwisu i fałszywie nas ostrzega, radząc jak najszybciej kliknąć na przysłany w poczcie link lub też podać swoje dane identyfikujące (w tym login i hasło) w celu ochrony przed rzekomym zagrożeniem lub pobrania poprawionej wersji oprogramowania.

Jak się bronić?

W przypadku poczty elektronicznej – a także ogólnie wszystkich serwisów elektronicznych, z których korzystamy przy pomocy loginu i hasła – obowiązuje zasada: żadnych haseł typu „123456”, „asdfgh” czy data urodzenia użytkownika. Na szczęście dostawcy usług czy administratorzy serwisów też już się oduczyli (czasem po szkodzie) stosowania haseł administratora typu „admin”. Następną zasadą „elektronicznej higieny” jest unikanie z korzystania z tego samego hasła do różnych serwisów. Administratorzy sieci w firmach i instytucjach oduczają (w miarę skutecznie) użytkowników od zapisywania loginów i haseł na karteczkach przyklejanych do monitora czy obok klawiatury.

Regułą trochę kłopotliwą w praktyce jest okresowe zmienianie hasła (czasem możemy też zmienić login, ale nie zawsze jest to możliwe). Jest to rozwiązanie bardzo często wymuszane w sieciach służbowych komputerów. Stosowane mechanizmy ochrony zazwyczaj uniemożliwiają także zastosowanie hasła np. sprzed 2 miesięcy, zmuszając do wymyślenia hasła istotnie różniącego się od poprzedniego. Z praktyki wiadomo, że nie warto wymagać zbyt częstej zmiany (np. częściej niż raz na miesiąc), bo wtedy pojawiają się dodatkowe kłopoty z zapominaniem haseł lub próbami ominięcia takich wymagań przez użytkowników, nie mówiąc już o ich frustracji, która nie jest zjawiskiem korzystnym, powodując nastawienie, że wszystkie te zabezpieczanie tylko utrudniają im życie.

Wszędzie, gdzie nam to umożliwia dany serwis, korzystajmy z dwustopniowego uwierzytelniania – np. przez konieczność dodatkowego potwierdzenie zalogowania loginem i hasłem kodem przysłanym SMS-em lub generowanym w oddzielnej aplikacji, a w przypadku smartfonów: coraz częściej dostępnym w tych urządzeniach zabezpieczaniem wizerunkiem twarzy lub odciskiem palca użytkownika. Rozwiązania takie zastosowane zostały w bankowości internetowej w wyniku wdrożenia stosownych regulacji unijnej dyrektywy PSD2 z 2015 r., obecnie możliwe jest to także w wielu serwisach poczty elektronicznej.

Opisane zagrożenia załącznikami poczty zawierającymi złośliwe oprogramowanie albo linki do stron wyłudzających dane sugerują też reguły postępowania: nigdy nie klikajmy na załączniki poczty od zupełnie nieznanych nam ludzi czy serwisów. Banki ostrzegają na swoich stronach, że żaden ich pracownik nigdy nie wysyła maili z żądaniem zmiany hasła czy pobrania jakiegoś oprogramowania, a jeśli dzwoni do nas ktoś z banku, to nawet kiedy oferuję nam jakieś nowe usługi, nigdy nie ma prawa podsuwać linków, czy innych stron WWW niż bankowe. Ewentualnych zmian usług serwisu, haseł, metod uwierzytelniania i autoryzacji transakcji dokonujmy tylko i wyłącznie już po zalogowaniu się do serwisu bankowego – a więc w środowisku chronionym przez bank.

Choć może to dziwić, to ciągle jeszcze są osoby, które dają się namówić na kontakty z rzekomymi wdowami po milionerach czy pseudo-wykonawcami testamentów, na podstawie których mamy udostępnić dane swojego konta bankowego po to, by skorzystać z niezwykle szczodrej darowizny. Podobnie wygląda sprawa z koniecznością dopłacenia kilku czy kilkunastu złotych, żeby móc odebrać nigdy niezamawianą przesyłkę z rzekomym wylosowanym prezentem. Czasem nawet nie musielibyśmy niczego dopłacać – wystarczy, że klikniemy na podesłany link, powodowani chęcią zdobycia takiego „prezentu”.

W przypadku groźby zaszyfrowania nam dysku, czy też równie częstego szantażu, w którym ktoś rzekomo śledził nasze zainteresowania różnymi dziwnymi stronami WWW i jeśli nie zapłacimy, to ujawni ten fakt całemu światu, nigdy nie wdawajmy się w jakiekolwiek kontakty z szantażystami – taką pocztę natychmiast wyrzucamy do kosza i równie szybko opróżniamy kosz naszej skrzynki pocztowej. Jeśli stało się najgorsze i już mamy zaszyfrowany dysk, to także nie próbujmy nikomu płacić ani grosza, bo tylko stracimy pieniądze. Albo nie dostaniemy żadnego „klucza do odszyfrowania”, albo też ktoś, kto dostał się do naszego komputera, zostawi sobie nadal tajne wejście, nie mając zamiaru rezygnować z dalszych ataków. Nie ulegajmy szantażowi nawet wtedy, kiedy wcześniej nie zrobiliśmy zapasowych kopii systemu i danych, na których nam zależy i jesteśmy w sytuacji „mądrego po szkodzie”. Niestety najskuteczniejszą metodą pozbycia się problemu jest formatowanie czy nawet repartycjonowanie całego dysku i instalowanie wszystkiego zupełnie od nowa – jakbyśmy mieli do czynienia z komputerem, który dopiero przed chwilą został zmontowany w fabryce (a nie komputerem ze sklepu, w którym kupujemy go z systemem operacyjnym, a często także z innym oprogramowaniem już zainstalowanym).

Jeśli już doszło do włamania czy innego incydentu dotyczącego poczty elektronicznej np. w szkole, na uczelni czy w instytucji lub firmie, nie ukrywajmy tego faktu, ale zgłośmy go albo administratorowi danej sieci szkolnej czy firmowe, albo odpowiedniej komórce czy działowi, a w przypadku np. serwisów e-handlu czy bankowości internetowej – także służbie odpowiedzialnej za cyberbezpieczeństwo w tym serwisie. Nawet jeśli sami już ponieśliśmy stratę, to przyczynimy się do lepszej ochrony czy ostrzeżenia innych.

Pamiętajmy też o przestrzeganiu zasad korzystania z poczty elektronicznej obowiązujących np. w firmie czy w instytucji. Znane są wyroki sądowe określające, że przenoszenie dokumentów służbowych na prywatne konta pocztowe pracowników jest poważnym naruszeniem dyscypliny służbowej i może być podstawą do zwolnienia pracownika.

O autorze:

Tomasz Kulisiewicz - od 2001 roku ekspert Centrum im. Adama Smitha, konsultant w dziedzinie informatyki i telekomunikacji, analityk rynku, w latach 2001–2003 doradca Polskiej Izby Informatyki i Telekomunikacji. Od 2005 roku analityk wiodący w firmie Audytel, od 2009 roku współpracownik firmy Disruptive Concepts oraz zespołów badawczych kilku uczelni warszawskich.

Współzałożyciel inicjatywy Internet Obywatelski (2001), Stowarzyszenia „Komputer w Firmie” (2003) i Forum Nowoczesnej Administracji Publicznej (2008). Członek zespołów badawczych Fundacji MOST przy Politechnice Warszawskiej oraz Stowarzyszenia Innowacyjna Polska Wschodnia, współpracownik Zakładu Gospodarki Informacyjnej i Społeczeństwa Informacyjnego SGH. Jest współzałożycielem i od momentu założenia (31 maja 2012 roku) zastępcą dyrektora Fundacji „Ośrodek Studiów nad Cyfrowym Państwem”. Jest również współzałożycielem i od momentu rejestracji (24 stycznia 2013 roku) członkiem Rady Stowarzyszenia „Eurocloud Polska”. Ekspert Fundacji APPCO.