Bedragare och cyberbrottslingar letar ständigt efter sätt att äventyra din säkerhet, hacka sig in på dina konton och tömma dina surt förvärvade besparingar i sin egen kassa. Du måste vidta alla försiktighetsåtgärder för att skydda din personliga information – både online och i den digitala världen. Detta inkluderar din e-postadress, med vilken ne'er-do-wells kan åstadkomma oerhört mycket.
Så vad kan en cyberbrottsling göra med bara din e-postadress?
Är bedragare verkligen efter min e-postadress?
Ja det är de. Den 16 augusti 2022 tvingades molnlagringsleverantören DigitalOcean att göra det avslöja ett dataintrång och kontakta alla sina kunder med nyheten att "ett antal DigitalOcean-kundadresser kan ha setts av en obehörig person."
Dataintrång i e-post är en ganska vanlig företeelse. Ibland läcker fysiska adresser och lösenord eller hash av lösenord vid sidan av e-postadressen. Även om ingen annan information avslöjas, kan en giltig e-postadress ge flera möjligheter för bedragare att dra fördel av dig. Här är hur...
1. Läckor visar att e-postadresser används
Det finns ett praktiskt taget obegränsat antal möjliga e-postadresser. Om Gmail var den enda e-postleverantören i världen, betyder dess användarnamnsgräns på 30 tecken att det finns 30 ^ 36 eller 30 oändliga kombinationer. Andra leverantörer har mycket högre gränser, och det totala antalet e-postleverantörer över hela världen är okänt.
När bedragare letar efter potentiella offer, kommer det inte att minska det att skicka ut e-postmeddelanden till slumpmässiga adresser. De flesta potentiella e-postadresser är oanvända, har aldrig använts och kommer aldrig att användas. De kan förbättra oddsen lite genom att inkludera vanliga ord, fraser och siffror i sina ansträngningar.
Att verifiera att en e-postadress används aktivt sparar bedragare mycket ansträngning och pengar (sändning massmejl är inte alltid billigt), vilket är anledningen till att databaser med e-postadresser köps och säljs öppet uppkopplad. Om din e-postadress är exponerad kan du åtminstone förvänta dig att få en betydande ökning av skräppost, skräppost och nätfiskeförsök.
2. Din e-post kan göra dig till ett mål för Spear Phishing
Spear Phishing är en term för ett nätfiskeförsök när bedragaren skräddarsyr ett nätfiskemail för en specifik mottagare. Ju mer bedragaren vet om målet, desto mer framgångsrikt är försöket sannolikt.
Avslöjandet av DigitalOcean-överträdelsen kom som en del av ett försök från bedragare att rikta in sig på användare av kryptovaluta, enligt Mailchimp. Detta i sig ger falska e-postanvändare en attackvinkel för spjutfiske och ett incitament att försöka.
Ytterligare information om målet kan hämtas från själva e-postadressen. Många människor använder sina fullständiga namn och födelseår som en del av sin e-postadress, vilket ger en angripare ännu mer insikt som kan användas mot offret.
Slutligen, om din e-postadress – eller en del av din e-postadress – är ett användarnamn för sociala mediekonton (om ditt användarnamn är "[email protected]" och ditt Twitter-handtag är "yeezydave1992", till exempel), kommer de att kunna se över alla aspekter av ditt liv, dina relationer, hobbyer, musiksmak och sedan skulptera ett e-postmeddelande för att fånga du.
Lite forskning kan avslöja andra människor du kanske känner: din mamma, din chef, dina kunder. Det här är personerna som kan förvänta sig att få ett e-postmeddelande från dig och som inte skulle bli onödigt oroade över att hitta ett meddelande från din adress i sin inkorg.
Till exempel kan man säga att du nu anser att adressen "[email protected]" är omogen, och ber dem att vänligen kontakta dig på det mycket mer respektabla "[email protected]". Eller så kanske de kan skicka e-post till en kund som säger att dina bankuppgifter har ändrats och ytterligare be dem skicka nästa betalning till ett annat konto.
Att förfalska ett e-postmeddelande är förvånansvärt enkelt och kan göras på cirka fem minuter med Telnet. Enligt vår erfarenhet har varje e-postmeddelande som skickas på det här sättet cirka 20 procents chans att ta sig igenom Gmails skräppostfilter på första nivån. Effektiviteten av andra leverantörers försvar kommer att variera.
4. Din e-postadress är hälften av din inloggning
För att få tillgång till dina många och varierande onlinekonton behöver en angripare i många fall bara två delar av information: en e-postadress och ett lösenord. Om de redan har din e-postadress betyder det att det enda de behöver veta är ditt lösenord.
När du skapar ett konto online finns det vissa minimikrav för lösenordsstyrka. Dessa kan inkludera en minimilängd, användning av stora och små bokstäver, siffror och symboler.
Men lösenord är svåra att komma ihåg – särskilt när du behöver komma ihåg olika för olika tjänster. De mest vanligt lösenord som används idag är "123456", med andraplatsen till "123456789", och det finns listor över vanliga lösenord som cirkulerar på webben, än mindre den mörka webben.
Allt en angripare behöver göra är att matcha ett vanligt lösenord med en redan känd e-postadress. Även om vi inte antyder att ditt eget lösenord är svagt, kan det vara värt besväret att välja ett nytt, starkt lösenord för att skydda ditt konto.
5. En angripare kan förfalska din e-postadress med Unicode
Att förfalska en e-postadress för att lura bekanta till målet är snabbt och enkelt att göra, men har en låg framgångsfrekvens, och e-postsvar kommer att ses av personen som efterliknas. Det är mycket bättre (ur kriminell synvinkel) att skapa en e-postadress som verkar identisk, men som är osynligt annorlunda. Inte bara subtilt annorlunda utan osynligt.
Tänk på följande två tecken: "а"och "a". Ser de annorlunda ut för dig? Det ena är det kyrilliska tecknet, "а", som är helt annorlunda än det latinska tecknet, "a".
Unicode-spoofing tillåter angripare – eller andra intresserade parter – att skapa ett domännamn som ser identiskt ut med en legitim domän. Att ta emot ett e-postmeddelande från "[email protected]" är helt annorlunda än "david@mаkeuseof.com". Andra lätt förfalskade tecken inkluderar к, о, р, с, у, х.
En angripare som köper det domännamnet kommer att kunna skicka e-postmeddelanden som verkar vara från en legitim källa, och för vilken de kan få svar och korrespondera som om de verkligen vore en makeuseof.com personal.
Du ska inte känna dig säker bara för att din e-postadress är hos en stor leverantör heller. Medan några av de mer uppenbart förfalskade domänerna inte längre är tillgängliga, finns det gott om alternativa toppdomäner till salu.
Ja, din e-post kan förfalskas för att framgångsrikt lura människor, och det kommer att kosta en angripare mindre än $10.
Du kan inte undvika att ge ut din e-post helt – den är trots allt till för att användas. Men du bör ta hand om din huvudsakliga e-postadress, det vill säga den du använder tillsammans med dina bank- och PayPal-konton skiljer sig från de du använder för registreringar och digitala tjänster.
Helst bör du ha en annan e-postadress att ge ut till varje person eller organisation du har kontakt med. Detta kommer att begränsa skadan om din e-postadress någonsin avslöjas. Om du inte har tid för det, överväg att använda alias.