Oszuści Czyhają w Skrzynce: 10 Kroków do Bezpiecznej Komunikacji E-mailowej
Cześć! Nazywam się Arek i od ponad dekady zawodowo zajmuję się tworzeniem stron internetowych. Przez ten czas spotkałem się z najróżniejszymi formami oszustw online, od fałszywych faktur po próby wyłudzenia pieniędzy pod pretekstem nagród czy rzekomych spadków. Oszuści są coraz bardziej wyrafinowani i przekonujący, dlatego chciałbym podzielić się z Tobą moją wiedzą na temat bezpiecznej komunikacji e-mailowej.
Ilość wysyłanych przez oszustów e-maili jest zatrważająca. Na moje skrzynki mailowe trafia przynajmniej kilka takich e-maili tygodniowo. Czasami są one świetnie sfałszowane – wyglądają identycznie jak maile od instytucji, pod którą się podszywają. Ale i tak w bardzo łatwy sposób można rozpoznać, czy e-mail jest od oszusta czy nie.
Według serwisu Clivio, próbę kradzieży pieniędzy czy danych osobowych poprzez wysyłanie fałszywych wiadomości e-mail lub SMS nazywamy phishingiem. Brzmi to podobnie do słowa „fishing”, które oznacza łowienie ryb. Wysyłane e-maile czy SMSy zawierające szkodliwe pliki lub treści są swego rodzaju „przynętą” dla naiwnych użytkowników.
Najłatwiejszym i najszybszym sposobem na odkrycie, czy e-mail jest od oszusta, jest sprawdzenie adresu e-mail nadawcy. Ostatnio otrzymałem następujący e-mail – nadawca to „Przelewy24”. Jak sądzicie, czy e-mail był prawdziwy czy oszustwo? Czy wygląda według was wiarygodnie? Dla mnie wyglądał wiarygodnie na pierwszy rzut oka, jednak nie robiłem transakcji na taką kwotę przez Przelewy24, dlatego postanowiłem sprawdzić nadawcę. Adres e-mail nadawcy to „nbmmjelknfexioresi-kuchyne-praha-9cz”. I to już wystarczyło dla mnie, aby wiedzieć, że e-mail jest od oszusta.
A gdybym nie miał pewności, czy Przelewy24 wysyłają maile z takiego adresu, sprawdziłbym poprzednie wiadomości, jakie otrzymywałem od Przelewy24. Przelewy24 z reguły wysyłają wiadomości z adresu „[email protected]” lub z innych adresów w domenie „przelewy24.pl”. Gdybym kliknął w tym e-mailu link do faktury, prawdopodobnie podjęto by próbę zainfekowania mojego komputera. Niekoniecznie byłaby to udana próba, ponieważ chronię komputer antywirusem, a każdy z czytelników też powinien.
Analogicznie może być z oszustwami bankowymi. Oszuści nierzadko podszywają się pod bank, np. mBank, i proszą o zalogowanie się na konto, aby „coś tam sprawdzić”. Wtedy należy sprawdzić dwie rzeczy – nadawcę e-maila oraz adres URL strony, pod którą każą się zalogować. E-maile zawsze powinny być z domeny mBanku, czyli „coś@mbank.pl”. Najczęściej mBank wysyła powiadomienia z adresu „[email protected]”. Adres URL zawsze powinien należeć do mBanku, czyli np. „mbank.pl/coś-tam” albo „coś-tam.mbank.pl/coś-tam”. Jeśli adres URL jest „mbank.co.uk” albo „login.mbank.ru” albo cokolwiek innego, wtedy należy nie podejmować żadnych działań i ewentualnie zgłosić to na policję oraz do mBanku, aby mogli ostrzec innych klientów.
Czy dostaliście kiedyś e-mail od kogoś, kto informuje, że jakiś jego „wujek”, „kuzyn” lub „ojciec” zmarł i potrzebują przelać na wasze konto 7 milionów dolarów? Albo milion dolarów? Lub 10 milionów złotych? Najczęściej takie maile przychodzą w języku angielskim, ale zdarzają się przypadki wrzucone w tłumacz. Na takie e-maile również nie odpowiadacie. Najczęściej jesteście proszeni o podanie numeru konta i wszelkich danych związanych z tym kontem. Im więcej danych dot. waszego konta posiadają oszuści/hakerzy, tym łatwiej będzie im dostać się do środków na tym koncie.
Bardzo powszechną praktyką hakerów, którzy robią to chyba dla zabawy, jest rozsyłanie wirusów, które usuwają wszystkie dane z komputera. Znam sytuacje, gdzie ludzie w poważnych firmach na poważnych stanowiskach dawali się nabierać na coś takiego, pobierając fakturę, która de facto była wirusem. W pierwszej kolejności taki załącznik nie powinien być dopuszczony dla nich do pobrania, ale nie każda sieć jest idealnie zabezpieczona lub wirus jest nowy i bardzo wyrafinowany.
Gdy już na waszej skrzynce wyląduje e-mail z fakturą w załączniku, ale nie macie pewności co do tożsamości nadawcy, sprawdźcie najpierw adres e-mail, z którego ta faktura została przysłana. Wprowadźcie ten adres e-mail w wyszukiwarce swojej poczty i zobaczcie, czy dochodziło do korespondencji z danym adresem e-mail w przeszłości. Jeśli nie, najlepiej skonsultować zawartość e-maila z działem IT w danej firmie, a jeśli to komputer prywatny, to z dowolnym specjalistą. Jeśli nikt nie jest w stanie pomóc, można odpisać i poprosić o doprecyzowanie, za jakie działania i kiedy jest dana faktura. Odpisanie na taki e-mail nie zainfekuje nam komputera. Najważniejsze jest, aby nie klikać w żadne linki i nie pobierać załączników.
Ważne także jest, aby chronić komputer antywirusem. Dobre i uznane programy to G-Data, Norton, Kaspersky, AVG, Bitdefender. Poniżej przykładowy e-mail imitujący fakturę od operatora Play. Wygląda on wiarygodnie. Jedynym, co zdradza, że coś jest nie tak, jest odrobinę inny szablon graficzny maila w stosunku do standardowego, ale i tak jest bardzo podobny i jest to świetna imitacja. Oraz adres e-mail nadawcy – „bimemetirez1997o2.pl”. Do tego e-maila został dołączony plik RAR, w którym rzekomo jest faktura, a w rzeczywistości zawiera on wirusa.
Prawdziwe faktury od Play przychodzą z adresu „[email protected]”. Dodatkowo w mailu jest znacznie więcej informacji, i faktura jest wysłana bezpośrednio jako PDF, nie jako spakowany plik RAR. Gdy widzicie plik RAR w załączniku, możecie być niemal pewni, że coś jest nie tak – w przypadku wszelkich faktur, nie tylko od Play.
9 października 2019 roku otrzymałem kilka e-maili o takiej treści: „Dziś dostałam informację z księgowości, że zapłaciliście Państwo 327.768 zł, pozostało do zapłaty 749.757 zł. Pozdrawiamy i życzymy miłego dnia. Sieńkowska Zuzanna, Perfekt FH, NIP: 497-22-08-497”. E-mail wysłany z adresu „info@sankohuansite”, a jako nadawca podpisany „Damian Nowak”. W załączniku tego e-maila jest plik, którego w żadnym wypadku nie pobierajcie. Jest to oczywiście oszustwo, próba zainfekowania urządzenia.
Obecnie w Polsce jest mnóstwo organizacji charytatywnych, mniejszych lub większych, które pomagają chorym dzieciom czy dorosłym ludziom i weryfikują one, czy rzeczywiście dana osoba, rodzina potrzebuje pomocy. Istnieją też serwisy, w których można legalnie zbierać środki na jakiś cel. Kiedy otrzymujecie od nieznajomej osoby e-mail z prośbą o pomoc na chore dziecko czy innego członka rodziny, warto spróbować dowiedzieć się więcej. Chociażby spróbować wygooglować coś na temat nadawcy e-maila. Sprawdzić adres e-mail nadawcy.
W mediach kilka razy było głośno o oszustach, którzy gromadzili środki poprzez wymyślanie fałszywych historii – albo dotyczących kogoś chorego, albo sami udawali, że są na coś ciężko chorzy. Prawdopodobnie wiele takich akcji nie zostało nigdy wykrytych przez policję czy media i wielu oszustom się po prostu udało.
Coraz powszechniejszym zjawiskiem ostatnimi czasy są również maile od podmiotów podszywających się pod firmy kurierskie. Oczywiście łatwo rozpoznać po adresie e-mail nadawcy, że to oszustwo. Poniżej przykładowy sfałszowany mail od FedEx – nadawca to „a_reiffageforfun.com”. Kliknięcie w link „click here” zaprowadziłoby nas pod adres „setorsrvc.com.br”, gdzie doszłoby do próby zainfekowania naszego komputera lub wyłudzenia danych.
Jeśli posiadasz skrzynkę pocztową na własnym serwerze i własnej domenie, pamiętaj, że nikt nigdy nie będzie prosić Cię o podanie hasła do niej. Hasło powinieneś znać tylko Ty i nikt inny. Zawsze jest możliwość zresetowania hasła do skrzynki. Są oszuści, którzy próbują wykorzystać niewiedzę, brak doświadczenia właścicieli takich skrzynek pocztowych i próbują wyłudzić dane. Kilka dni temu otrzymałem taki e-mail w sprawie mojej skrzynki „[email protected]”. Oczywiście standardowo wystarczy spojrzeć w adres e-mail nadawcy – „[email protected]”. Jest to domena z Japonii, końcówka „.jp”. Sama treść e-maila również jest alarmująca.
Tak jak wspomniałem powyżej, nikt nigdy nie będzie was prosił o podanie hasła do waszej prywatnej skrzynki. Jedynie osoba tworząca waszą stronę internetową może poprosić o stworzenie skrzynki „[email protected]” i podanie do niej hasła, aby obsługiwać wysyłkę e-maili ze strony internetowej. Ale najlepiej takiemu specjaliście po prostu przekazać dostęp do panelu serwera i niech zajmie się tym sam.
Może się natomiast zdarzyć, że będzie się kończyć pojemność na serwerze i otrzymacie powiadomienie o tym, że wkrótce usługi przestaną działać, w tym poczta e-mail. Wiadomości takie są jednak wysyłane z adresów e-mail należących do podmiotów, u których macie wykupione usługi, i łatwo to zweryfikować. W takiej sytuacji trzeba zrobić trochę miejsca na serwerze, usuwając niepotrzebne pliki, stare e-maile, lub wykupić większy pakiet.
Jest możliwe, że otrzymasz wiadomość e-mail, której nadawcą będziesz Ty sam. Jeśli Twój adres e-mail to np. „[email protected]”, to nadawcą e-maila będzie właśnie „[email protected]”. W wiadomości e-mail zazwyczaj jest informacja, że Twoje konto zostało zhakowane – jakieś mądrze brzmiące uzasadnienie, np. „Mój trojan ma sterownik i aktualizuję jego sygnatury co cztery godziny. Dlatego Twój program antywirusowy milczy”. I jest groźba, że albo przeleje się ileś euro na jakieś konto, albo zostanie opublikowany kompromitujący filmik, np. że „robisz sobie dobrze przy komputerze”.
Jeśli masz czas, warto to zgłosić na policję. Z takiej wiadomości e-mail można wyciągnąć adres IP serwera, z którego został wysłany. W Gmailu należy wejść w opcję „Pokaż oryginał”, aby sprawdzić adres IP. Oszust-nieudacznik, udający hakera, nie dysponuje żadnymi nagraniami Ciebie, a e-mail nie był de facto wysłany z Twojej skrzynki i Twoje konto nie zostało zhakowane. Został wysłany z użyciem serwera wykorzystanego przez oszusta, a adres e-mail został wprowadzony ręcznie przez oszusta. Program pocztowy powiadomi Cię, że ta wiadomość może być niebezpieczna, ponieważ – o ile przestępca może sobie wpisać jako adres e-mail nadawcy cokolwiek zechce – o tyle nie zna Twojego hasła i nie może użyć autoryzacji SMTP, więc Twój program pocztowy, Twój serwer, nie może takiego e-maila potraktować poważnie.
Oczywiście nie zaszkodzi raz na 3 miesiące czy pół roku zmienić sobie hasło. Warto też mieć program antywirusowy, o czym już wspominałem we wcześniejszej części artykułu.
Prowadzimy domenę „clivio.web.com”. Kilku naszych klientów także posiada domeny „.com”. Gdy przychodzi czas na przedłużenie ważności domeny, oprócz e-maili dotyczących opłaty za przedłużenie od operatorów domeny, przychodzą także e-maile od podmiotów podszywających się pod rejestratorów domeny. Maile te na pierwszy rzut oka wyglądają tak, jakby należało je opłacić, inaczej domena wygaśnie. Jednak gdy wczytamy się w ich treść, okazuje się, że to jest opłata za dodanie lub utrzymanie domeny w jakimś nic nie wnoszącym lub nieis