Bezpieczna poczta

W tej części przewodnika dowiesz się, jak w bezpieczny sposób korzystać z poczty elektronicznej. Jeśli chcesz sprawdzić swoją wiedzę na ten temat już teraz – spróbuj odpowiedzieć na poniższe pytania.

Pytania
  • Jakie są zagrożenia związane z wykorzystywaniem e-maili?
  • Czy poprzez e-mail mój komputer może zostać zainfekowany złośliwym oprogramowaniem?
  • Czy klikanie w linki w treści maila jest bezpieczne?
  • Co zrobić, jeśli dostaliśmy maila od administratora poczty z linkiem do formularza internetowego, w którym mamy wpisać nasze dane osobowe, bo konto pocztowe wymaga odświeżenia?
  • Co zrobić, jeśli dostaliśmy pocztą elektroniczną informację, że musimy natychmiast zmienić hasło poczty i w tym celu należy kliknąć w przesłany link?
  • Jak sprawdzić, czy e-mail otrzymany z pewnego adresu jest rzeczywiście e-mailem pochodzącym z tego adresu (czyli czy nikt nie podszył się pod nadawcę)?
  • Jak sprawdzić, czy treść e-maila nie została przez kogoś zmodyfikowana po drodze od nadawcy do naszej skrzynki pocztowej?
  • Czy można bezpiecznie przesłać hasło lub dane osobowe w e-mailu?
  • Jak przesłać e-mailem poufne dane, tak by nie mogły ich odczytać osoby (lub systemy), które nie powinny mieć dostępu do tych danych?
  • Czy da się zaszyfrować treść e-maila?
  • Czy klikanie w linki w treści maila jest bezpieczne?
  • Czy wykorzystywanie komunikatorów internetowych jest w bezpieczne?
  • Czy nikt postronny nie może podsłuchać prowadzonych z użyciem komunikatora rozmów, albo przejrzeć przesyłanych zdjęć i filmów?
Trochę teorii na początek, czyli jak działa poczta elektroniczna?

Poczta elektroniczna działa dzięki wielu tysiącom serwerów pocztowych, czyli specjalnych komputerów, które zarządzają skrzynkami pocztowymi użytkowników oraz potrafią wysyłać i odbierać e-maile. W rzeczywistości funkcje wysyłania i przyjmowania e-maili są rozdzielone. Wysyłaniem zajmują się serwery poczty wychodzącej, natomiast przyjmowaniem poczty i zarządzaniem skrzynkami pocztowymi użytkowników zajmują się serwery poczty przychodzącej (obydwie te usługi mogą być jednak realizowane przez jeden komputer).  

Jeśli chcemy skorzystać z poczty elektronicznej, musimy założyć konto u jednego z dostawców usługi e-mail. Wiele osób ma po kilka i więcej kont pocztowych u różnych dostawców, w tym u pracodawcy. Bardzo popularnym na świecie dostawcą usługi e-mail jest firma Google, która nazwała swój system pocztowy Gmail.  

Po założeniu konta pocztowego u dostawcy otrzymujemy adres pocztowy i mamy przypisaną skrzynkę (lub skrzynki) pocztową. W celu odebrania lub wysłania poczty możemy skorzystać z jednego z wielu tzw. pocztowych programów klienckich (klientów pocztowych), które potrafią połączyć się i zalogować do odpowiedniego serwera poczty przychodzącej i serwera poczty wychodzącej. Wiele programów pocztowych – klientów pocztowych oferuje możliwość zarządzania wieloma kontami i skrzynkami u różnych dostawców. Oczywiście podstawowym zadaniem takich programów jest odbieranie i wysyłanie poczty.  

Popularnymi klientami pocztowymi są na przykład Microsoft Outlook, Mozilla Thunderbird, program Poczta w systemie Microsoft Windows 10, program Mail w systemie macOS, program Gmail (popularny na urządzeniach mobilnych, służy do łączenia z serwerami pocztowymi firmy Google).  

Zamiast korzystania z instalowanych na komputerze programów pocztowych, wielu dostawców usługi e-mail daje możliwość odczytywania i wysyłania poczty poprzez przeglądarkę WWW. Po wybraniu odpowiedniego adresu (np. na Uniwersytecie Jagiellońskim jest to https://poczta.uj.edu.pl) należy się zalogować na swoje konto pocztowe podając nazwę użytkownika i hasło. Oczywiście każdy użytkownik powinien zadbać o odpowiednio złożone, bezpieczne hasło

Jedną z podstawowych cech systemu poczty elektronicznej jest to, ze działa on w oparciu o wiele niezależnie zarządzanych serwerów. W całym systemie nie ma więc centralnego zarządzania. Administrator każdego serwera pocztowego może sam decydować komu założy konto pocztowe i na jakich zasadach. Ma to swoje dobre i złe strony.  

Brak centralizmu oznacza niezależność od różnych czynników zewnętrznych, oznacza też większą niezawodność systemu jako całości, co jest oczywiście dobre.  

Z kolei względna łatwość założenia własnego serwera pocztowego może być traktowana jako zaleta i wada. Stosunkowo łatwo można założyć serwer pocztowy, umożliwiający na przykład wysyłanie spamu (niechcianej poczty) albo wysyłanie fałszywych e-maili (podszywanie się pod innych użytkowników poczty na świecie) lub e-maili zawierających szkodliwe załączniki lub łącza (linki) do zainfekowanych stron WWW. Z tego powodu warto poznać zagrożenia oraz dowiedzieć się jak i w jakim stopniu można im przeciwdziałać. 

Zagrożenia towarzyszące korzystaniu z poczty elektronicznej
  • List elektroniczny może zawierać szkodliwe załączniki (pliki dołączone do listu). W załącznikach mogą się znajdować wirusy i innego rodzaju szkodliwe programy. Otwarcie takiego załącznika może spowodować zawirusowanie komputera, czyli zainstalowanie na komputerze (tablecie, smartfonie) złośliwego oprogramowania. 
  • Nadawca listu może podszywać się pod inną osobę (na przykład administratora), pod instytucję, sklep, bank itd..  
  • List od fałszywego nadawcy może zawierać linki do niebezpiecznych stron internetowych. Kliknięcie w link prowadzący na przykład rzekomo do naszego banku może spowodować otwarcie fałszywej strony. To z kolei może skutkować zainstalowaniem złośliwego oprogramowania na naszym komputerze. Nawet jeśli fałszywa strona nie spowoduje zawirusowania naszego komputera, to może posłużyć do wyłudzenia danych osobowych lub innych danych poufnych. Wpisując dane logowania – nazwę i hasło – na fałszywej stronie banku przekazujemy te dane cyberprzestępcom. 
  • W treści listu nadawca może próbować nakłaniać odbiorcę do różnych działań naruszających zarówno bezpieczeństwo komputera jak i osoby (na przykład do przesłania danych poufnych w odpowiedzi na e-mail).  
  • Ze względu na to, że standardowo treści e-maili nie są w żaden sposób szyfrowane, nie powinniśmy przesyłać wrażliwych danych nawet do swoich znajomych albo zaufanych firm, organizacji czy instytucji. Może się zdarzyć, że dane te zostaną odczytane przez niepowołane osoby gdzieś na trasie między naszym komputerem i odbiorcą. 
  • Innym zagrożeniem jest możliwość ingerencji cyberprzestępców w treść listu. Jeśli list nie zostanie w odpowiedni sposób zabezpieczony, to może zostać zmieniony na trasie między nadawcą i odbiorcą.  
  • Pewnym zagrożeniem mogą być również przesyłane w treści e-maila obrazki, przy czym nie chodzi tu o wspomniane wcześniej załączniki, tylko o obrazki wbudowane (embedded) w treść listu zapisanego w formacie HTML. Takie obrazki często są wykorzystywane bez złych intencji ze strony nadawcy. Normalne jest na przykład umieszczenie logo firmy w nagłówku listu. Wiele programów pocztowych umożliwia zapisywanie e-maila w formacie HTML – zapis jest podobny do zapisu stron WWW. Obrazki wbudowane mogą być pobierane  z zewnętrznych serwerów dopiero przy odczycie listu. Komunikacja z serwerem jaka wtedy następuje (w celu pobrania obrazka) umożliwia nadawcy, który kontroluje taki serwer, weryfikację, że nasz adres e-mail jest poprawny i używany. Blokowanie automatycznego pobierania wbudowanych obrazków może pomóc w zachowaniu naszej prywatności. Na sprawdzony i używany adres e-mail mogłaby być kierowana kolejna niechciana poczta, być może z większą intensywnością. Blokowanie obrazków umożliwi również uniknięcie oglądania niechcianych treści, zmniejszy ryzyko zainfekowania komputera złośliwym kodem oraz zmniejszy rozmiar pobieranych na nasz komputer e-maili (co może mieć znaczenie, jeśli dostęp do Internetu nie jest nielimitowany).  

Jak postępować, by korzystanie z poczty było bezpieczne?

Aby skutecznie przeciwdziałać wcześniej wspomnianym zagrożeniom, warto poznać reguły i techniki, które pozwolą zminimalizować lub całkowicie je wyeliminować. 

Załączniki

Nie należy otwierać załączników do e-maila, szczególnie jeśli pochodzi on od nieznanego nadawcy. Wprawdzie większość zagrożeń związanych z takimi załącznikami powinna być wykryta i zneutralizowana przez oprogramowanie chroniące komputer, ale nie ma stuprocentowej pewności. Stale pojawiają się nowe zagrożenia, które mogą być przez pewien czas nierozpoznawane przez programy chroniące. Ponadto nie wszystkie tego typu programy są jednakowo skuteczne. Zwłaszcza darmowe wersje mogą mieć ograniczoną funkcjonalność. Lepiej zatem przyjąć jako zasadę nieotwieranie załączników pochodzących z nieznanych lub niepewnych źródeł.  

Linki (łączniki) do stron internetowych w treści e-maila

Nie należy bezkrytycznie klikać w linki umieszczone w e-mailu, zwłaszcza jeśli e-mail pochodzi od nieznanego nadawcy. Kliknięcie w link może spowodować otwarcie niebezpiecznej strony internetowej. Może to być fałszywa strona naszego banku, albo inna strona, odpowiednio spreparowana przez cyberprzestępców. Poprzez tego typu strony ktoś może próbować wyłudzić od nas ważne informacje – możemy zdradzić cyberprzestępcom hasła, dane osobowe lub inne dane poufne. Kliknięcie w link może również skutkować zawirusowaniem naszego komputera. Zwykle programy pocztowe umożliwiają wyświetlenie dokładnego adresu WWW, do którego prowadzi link. Poprzez analizę tego adresu często można wykryć, że link prowadzi do sfałszowanej strony lub jest podejrzany. Poniższy rysunek przedstawia fragment e-maila, w którym nadawca usiłuje przekonać odbiorcę, żeby kliknął w link, zalogował się do systemu PayPal (a tak naprawdę do sfałszowanej strony) w celu sprawdzenia rzekomo podejrzanych operacji na koncie:

Po wskazaniu myszką na link (nie kliknięcie w link) pojawia się prawdziwy adres – z pewnością nie należący do PayPal: 

Sprawdzanie adresu nadawcy. Przeciwdziałanie podszywaniu (spoofing) i próbom wyłudzenia informacji

Należy uważnie sprawdzać adres e-mail nadawcy. Cyberprzestępcy mogą wysyłać e-maile korzystając z adresów, które bardzo przypominają znane adresy. Taki adres może zawierać napis przypominający nazwę firmy, banku, szkoły. Na przykład adres kowalski@pkopb.pl przypomina adres z domeny znanego banku, ale w rzeczywistości ostatnie dwie litery są zamienione (w nazwie banku zamiast pb powinno być bp).

Niektóre programy pocztowe często wyświetlają tylko nazwę (albo nazwisko i imię) nadawcy zamiast adresu e-mail. Niestety cyberprzestępca może stosunkowo łatwo zmienić tę nazwę. Nie chodzi tu nawet o zmianę swojego adresu nadawcy (co też jest możliwe) – tylko o zmianę samej wyświetlanej nazwy. W ten sposób cyberprzestępca może podszyć się pod kogoś innego. Warto zatem sprawdzać oprócz nazwy również adres e-mail. Programy pocztowe umożliwiają takie sprawdzenie np. poprzez kliknięcie prawym przyciskiem myszki w nazwę lub nawet tylko wskazanie jej wskaźnikiem myszki. Ilustruje to poniższy rysunek. Jest to zrzut ekranu przedstawiający e-mail, który został wysłany rzekomo przez firmę Apple do autora tego poradnika. W rzeczywistości była to próba wyłudzenia informacji przez fałszywą stronę.
Nagłówek (od kogo) sugeruje firmę Apple:

Jednak po wyświetleniu faktycznego adresu nadawcy widać, że nie jest to e-mail od Apple. E-mail został wysłany z domeny asiawhere.com.

Pewne programy pocztowe standardowo wyświetlają tylko nazwę nadawcy, wyświetlenie adresu wymaga kliknięcia prawym przyciskiem myszki (tak jest w powyższym przykładzie, pochodzącym z programu Apple Mail), inne programy standardowo wyświetlają nazwę i adres (np. Microsoft Outlook).

Firma Google opracowała ciekawy i pouczający quiz, w którym możemy przetestować, czy rozpoznamy próbę wyłudzenia informacji. Warto poświęcić chwilę na przejrzenie tego quizu (jest opracowany m.in. w języku polskim): LINK.

Blokowanie automatycznego pobierania obrazków

Zaleca się blokowanie automatycznego pobierania obrazków wbudowanych w treść e-maila. Wiele programów pocztowych ma takie ustawienie domyślne. 

Niechciana poczta (spam)

Wiele serwerów pocztowych próbuje aktywnie rozpoznawać spam, czyli niechcianą pocztę. Użytkownicy mogą również pomóc w wykrywaniu spamerów poprzez zgłoszenie przypadków spamu. Ponadto programy pocztowe dają użytkownikowi możliwość zaznaczania, że e-mail jest spamem i skasowania lub przeniesienia go do odpowiedniego folderu pocztowego przeznaczonego na spam. Oczywiście można też przenieść e-mail z folderu ze spamem do zwykłej poczty przychodzącej, jeśli uznamy, że został on niesłusznie przez nasz serwer zakwalifikowany jako spam i w rzeczywistości dla nas spamem nie jest. 

Podpis cyfrowy i szyfrowanie treści listu

Warto rozważyć stosowanie tzw. podpisów cyfrowych. Dlaczego? Sprawdzenie adresu nadawcy nie zawsze jest proste. Istnieją nawet metody umożliwiające cyberprzestępcom podszywanie się pod pewnego nadawcę łącznie z zachowaniem jego adresu e-mail. Cyberprzestępca może uruchomić swój własny serwer pocztowy i wysyłać maile np. z adresem nadawcy kowalski5@uj.edu.pl, mimo, że jego serwer nie ma praw do wysyłania poczty z domeny uj.edu.pl. Jak to rozpoznać i jak z tym walczyć? Dobrze zarządzany serwer pocztowy (serwer poczty przychodzącej) minimalizuje ryzyko poprzez sprawdzenie adresu IP, z którego e-mail został nadany (czyli sprawdzenie adresu IP serwera poczty wychodzącej). Następnie sprawdza w systemie DNS czy ten adres IP jest związany z odpowiednim serwerem poczty (np. serwerem odpowiedzialnym za adresy uj.edu.pl). W ten sposób można wykryć, czy e-mail nie został wysłany z serwera, który podszywa się pod inny serwer. Ryzyko, że ktoś podszyje się pod adres nadawcy np. kowalski5@uj.edu.pl jest minimalizowane, ale jednak nie jest zerowe. W celu całkowitego wyeliminowania tego ryzyka można zastosować tzw. podpis cyfrowy. Nadawca może podpisywać cyfrowo swoje e-maile, wówczas programy pocztowe będą mogły zweryfikować, czy adres nie został w żaden sposób sfałszowany. Podpisywanie cyfrowe wymaga jednak nieco większej wiedzy oraz zaangażowania nadawcy (np. musi on uzyskać tzw. certyfikat cyfrowy). Zagadnienie to jest opisane w oddzielnym rozdziale tego przewodnika.

Certyfikaty cyfrowe (wraz z tzw. kluczami prywatnymi i publicznymi) mogą być wykorzystane również w celu bezpiecznego szyfrowania treści e-maili. To zagadnienie opisane jest w rozdziale razem z podpisami cyfrowymi.


Poprzednia strona                                                                                  Przejdź dalej