Dobre praktyki podczas korzystania z poczty elektronicznej

Autor: Soczko i Partnerzy — w kategorii Komunikaty IOD-y — 14 stycznia 2023

14

sty
2023

Aktualizacja publikacji z dnia 2 listopada 2020 r.

Poczta elektroniczna jest jednym z najczęściej wybieranych sposobów komunikacji. Jest podstawowym narzędziem pracy wielu osób, bez którego jej wykonywanie staje się znacznie utrudnione. Za pomocą poczty elektronicznej wysyłane są ważne informacje stanowiące nierzadko tajemnicę przedsiębiorstwa lub inne informacje chronione. O znaczeniu poczty elektronicznej dla organizacji wiedzą cyberprzestępcy, którzy często na cel swoich ataków obierają skrzynki mailowe pracowników. Z roku na rok możemy obserwować tendencję wzrostu ataków za pośrednictwem poczty elektronicznej.

Dlatego bardzo ważne jest, aby podczas codziennego użytkowania poczty elektronicznej pamiętać o stosowaniu dobrych praktyk, które mogą zmniejszyć ryzyko naruszenia bezpieczeństwa. Warto również śledzić wiadomości dotyczące cyberprzestępczości i być na bieżąco z nowymi metodami ataków.

ZAGROŻENIA W KORZYSTANIU Z POCZTY E-MAIL

Nieumiejętne, lub zbyt lekkomyślne korzystanie z poczty elektronicznej prowadzić może do:

  1. wycieku danych,
  2. uzyskania dostępu do kont użytkowników,
  3. zaszyfrowania danych np. w celu wyłudzenia okupu (Ransomware),
  4. zainfekowania innym złośliwym oprogramowaniem,
  5. utratą środków pieniężnych – np. w wyniku dokonania nieautoryzowanych przelewów bankowych,
  6. udzielenia dostępu do poufnych danych osobom nieuprawnionym.

ZASTOSUJ SIĘ DO PONIŻSZYCH RAD, A ZNACZĄCO OBNIŻYSZ RYZYKO KORZYSTANIA Z POCZTY ELEKTRONICZNEJ

1) Do konta e-mail używaj wyłącznie unikalnych haseł. Korzystanie z jednego hasła dla wielu usług rodzi ryzyko, iż w przypadku jednego wycieku atakujący będzie mógł uzyskać również dostęp do innych zasobów.

2) Korzystaj wyłącznie z haseł odpowiednio skomplikowanych. Atakujący znając Twój login będzie mógł próbować złamać hasło, korzystając ze zautomatyzowanych narzędzi, które pozwalają na wykonywanie ogromnych ilości prób logowania w krótkim odstępie czasu. Unikaj popularnych, powtarzalnych haseł – w sieci dostępne są repozytoria najbardziej popularnych haseł, z których cyberwłamywacze na co dzień korzystają. Jak również pod żadnym pozorem nie używaj jako haseł swoich danych identyfikacyjnych lub danych dotyczących Ciebie (np. zainteresowań) oraz staraj się nie używać słów tylko losowe znaki (można też zamieniać niektóre litery w słowach na znaki specjalne lub cyfry) – hasła bazujące na słowach są łatwiejsze do zgadnięcia.

3) (tam gdzie to możliwe) Korzystaj z dwuskładnikowej autentyfikacji. W przypadku dwuskładnikowej autentyfikacji atakujący, aby uzyskać dostęp do twojego konta będzie musiał uzyskać dostęp do dwóch urządzeń (w tym np. do telefonu, na który wysyłany jest token), co znacząco obniża ryzyko przeprowadzenia skutecznego ataku.

4) Odbierając pocztę elektroniczną zdaj się na zdrowy rozsądek i zachowaj czujność. Pamiętaj! Korzystając z korespondencji e-mail nigdy do końca nie wiesz z kim masz do czynienia po drugiej stronie komputera. Dlatego w kluczowych sprawach zawsze potwierdź otrzymaną dyspozycję – np. w przypadku zmiany danych do faktury.

5) Bądź ostrożny klikając w linki przesyłane w mailach oraz przy otwieraniu załączników. Nie daj się zmylić! Hiperłącze może wyglądać niewinnie, ale w rzeczywistości może doprowadzić do zainfekowania szkodliwym oprogramowaniem. Cyberprzestępcy coraz częściej decydują się na przeprowadzenie ataków metodą phishingu. Podszywają się pod nadawcę, który może wzbudzać zaufanie, np. firma kurierska, bank, urząd, czy komórka IT własnej organizacji. W treści wiadomości starają się tak zmanipulować ofiarę, aby kliknęła w umieszczony w wiadomości link. Przeważnie prowadzi on do spreparowanej strony internetowej, która wymaga zalogowania. Po wpisaniu danych logowania trafią one do przestępców. Prawdziwego nadawcę wiadomości demaskuje domena strony www w linku lub w adresie e-mail. Zazwyczaj przypomina tę należącą do rzekomego nadawcy, natomiast po dokładnym jej przeanalizowaniu można dostrzec różnicę (np. błędną nazwę organizacji lub „literówkę”). W przypadku otrzymania wiadomości mailowej pochodzącej z podejrzanej domeny lub zawierającej dziwne linki warto zweryfikować jej autentyczność, np. poprzez skontaktowanie się (za pomocą innego kanału komunikacji) z jej rzekomym nadawcą.

6) Zadbaj o poufność wysyłanych wiadomości. Jeśli w mailu wysyłasz szczególnie poufne informacje, np. dane innych osób, zapewnij szyfrowanie korespondencji lub załączonego pliku (hasła do zaszyfrowanych plików wysyłaj zawsze inny kanałem komunikacji). E-mail przez pomyłkę może trafić do niewłaściwego adresata lub zostać podsłuchany, jeśli jego zawartość będzie zabezpieczona hasłem, dane nie zostaną ujawnione.

7) Pamiętaj o zagrożeniach podczas korzystania z publicznych sieci Wi-Fi. Nie wszyscy użytkownicy urządzeń mobilnych dysponują mobilnym Internetem. Dlatego podczas przebywania poza domem lub miejscem pracy korzystają z tzw. publicznych Hot-spot’ów. Korzystanie z sieci WiFi tego typu może być źródłem wielu zagrożeń. Wiadomości mailowe, które są przesyłane za pośrednictwem sieci Wi-Fi mogą być monitorowane lub przechwycone przez osoby nieuprawnione. Więcej informacji dotyczących zagrożeń podczas korzystania z publicznych sieci Wi-Fi oraz sposobów ich zminimalizowania przedstawionych zostało w Komunikacie IOD-y.

8) Niezwłocznie zmień hasło i poinformuj IOD w przypadku utraty poufności danych do logowania. Masz podejrzenia, iż nieuprawniona osoba uzyskała dostęp do Twojej skrzynki e-mail? Zaktualizuj hasło i poinformuj właściwe osoby. W szczególności Twoje podejrzenia powinna wzbudzić sytuacja, w której dowiadujesz się, że ktoś w Twoim imieniu wysyła wiadomości, o których nic nie wiesz…

 

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


9 + 6 =