E-post och säkerhet - sandqvist.place

E-post och säkerhet

Jag har i ett tidigare inlägg skrivit om e-post och hur man aktiverar den på en domän. Det jag kommer att berätta nu tål att berättas och spridas tycker jag. Det kan eventuellt bli en del text men jag hoppas du hänger med i mina tankar! E-post och säkerhet hänger ihop, mera idag än någonsin tidigare. Det är nog väldigt få människor som fattar hur viktig just din e-post är.

E-post, den gemensamma nämnaren

Så fort du skapar ett konto på nätet, det gäller en webshop kanske, eller din el-leverantör, fotbollsföreningen eller något annat medlemsregister du deltar i så ska du skapa ett konto. I princip alla konton man skapar idag baseras på din e-postadress. En gång i tiden för länge sen, eller ja, för några år sedan kunde jag konstatera att man oftast skapade ett konto med ett användarnamn (random) och ett lösenord. Sedan, väl inloggad knappade du också in en e-postadress också på ditt konto, men det kom som i andra hand.

Det här innebar förstås att när mängden nättjänster utökades blev också din fantasi påverkad och till slut hade du ingen pejl på vilket användarnamn du hade vart… Och då kom vi fram till att det är jättejobbigt att glömma och byta användarnamn och lösenord.

så, med ett användarnamn, lösenord och e-postadress blev det krångligt. Alla tjänster hade ju en gemensam nämnare, och det var e-postadressen!

Människan, den lataste figuren i universum hittills!

Lata som vi äro allihopa så vill vi ju förenkla saker och ting. Det är väl det som har gjort att vi utvecklats som vi har gjort historiskt sett. Varför gå till grannbyn, när man kan rida, sen ta bilen, eller skicka ett brev, ett mess en snap eller… ett e-postmeddelande? Vi är lata av naturen, till både för och nackdel tycker jag. Fördelen är ju förstås att vi utvecklar nya tjänster och produkter som gör att vi belastas mer eller mindre både fysiskt och psykiskt. Nackdelen är ju att ibland kan vi nog förenkla för mycket.

Så, från användarnamn, lösenord och e-postadress bantades många system ner till att endast innehålla användarnamn och lösenord, varav användarnamnet blev till din e-postadress. Smaskens sa hackaren och började gnugga sin händer! 🙂

Flera system, flera användare, flera lösenord men bara en användare

Så, om man nu tänker helt logiskt….

Du har en e-postadress kopplad till flera olika tjänster på nätet, i vissa av dessa tjänster har du automatsparat dina kreditkortsuppgifter t.ex. Du har även kopplat din e-postadress till dina favoritmedier som facebook, instagram, snapchat mfl. Det enda en sk angripare eller hackare behöver komma åt är din e-postadress.

Din e-postadress… Låt det sjunka in en stund..och räkna till tre.

  • 1
  • 2
  • 3

Det viktigaste du har idag är inte din börs, din telefon, ditt kreditkort eller din älskling… haha, jo kanske det, men efter din kärlek kommer faktiskt din e-postadress med lösenordet kopplat till den!

Men min e-postadress kan väl inte bli hackad?

JA, det kan den och det händer varje dag! Jag är personligen vittne till det. Det skrivs inte speciellt mycket om det här på Internet. Många tycker det är lite pinsamt, folk skäms och företag vill absolut inte att sånt här ska komma ut på ett eller annat sätt. Och dessutom, det är väl inte så farligt, eller??

Hur blir en e-postadress hackad?

Det finns många sätt din e-postadress kan bli hackad på, här är några exempel.

  1. Du använder något av de vanligaste och enklaste lösenorden. Skärp dig och fixa ett mera komplext lösenord!
  2. Du byter aldrig lösenord. Så sant, du har samma lösen år ut och år in
  3. Du använder samma lösenord på flera ställen (känner du igen dig?)
  4. Du kör okrypterat (du skickar och tar emot e-post i klartext, det är samma sak som att skriva ett gammaldags hett kärleks brev till din blivande ex-fru, på baksidan av ett kuvert)

Vad används en hackad e-postadress till?

Tack och lov måste jag nästan säga används din hackade e-postadress nästan uteslutande till att skicka skräpmail, eller mail med länkar till sidor som är obra, eller erbjudanden om diverse piller som gör dig till sexatlet eller en brontosaurius. Om dessa ”kreativa” typer vore lite mera sofistikerade och kunde det svenska språket skulle du bli bra nog mycket mera orolig vid det här laget.

Det normala fallet går till som så att när din e-post väl blivit hackad så kan ”förövaren” eller hackaren avvakta tills det är ”out of officetid” för svenskarna, normalt efter 18 och gärna storhelger innan dom slår till. Som jag tidigare berättade kräver numera nästan alla servrar att du verifierar dig med användarnamn och lösenord. När dom väl slår till så kan ett botnät användas och sen sätter dom igång och bombarderar ”din” mailserver, din leverantör av e-posts server med en massa smtp-kommandon från en massa olika ip-nummer om att skicka mail till tusentals mottagare. Det är här din leverantörs förmåga och e-postfilter verkligen prövas. Det är alltså en användare med korrekt användarnamn och korrekt lösenord som helt plötsligt går bananas och skickar onormalt mycket e-post på onormalt kort tid. Det finns väl anledning att återkomma till detta i ett framtida inlägg tycker jag. Hur hanteras den här typen av attacker hos din leverantör idag?

Hur märker jag om min e-postadress är hackad?

Det märker du genom att du börjar få en massa studsar. Sannolikt av typen non delivery reports eller liknande som säger typ: Jag kan inte hitta mottagaren du försöker maila till. Samt att du kan ha många sådana konstigheter i din inbox.

Lösningen= BYT lösenordet fort som bara den!

Vad skulle en hackad e-postadress kunna användas till?

Burr, knappt så jag törs skriva det här, men jag anser jag måste eftersom jag vill banka in lite förstånd i huvudet på mina läsare, mina två tre läsare kanske 🙂

Efter en viss analys av ditt nuvarande innehåll i din mailkorg skulle man kunna begära ut nya lösenord till alla dina tjänster, shoppar, sociala medier du har tillgång till. Man kan skicka brev till din chef, eller om du är chef, be någon skicka pengar till ett konto. Man kan logga in i shoppar där du sparat ditt kreditkort och handla på andra siter med det, skapa andra konton på andra tjänster med dina uppgifter, byta elavtal och säga upp din lägenhet kanske? Och sist men inte minst, lägga upp någonting nice i ditt instagramflöde…. som också råkar visas på din hemsida… Som också har en inloggning…. med din mailadress….

Så, rent konspiratoriskt kanske det inte ens är jag som skriver det här inlägget!? HJÄLP 🙂

Jag har också noterat att väldigt många e-tjänster idag faktiskt skickar ut glömda lösenord i klartext, eller andra inloggningar som i praktiken är en synd att göra.. Försök i möjligaste mån att undvika detta.

En annan grej som styrs av din e-postadress är ju din domän. Vet du vilken e-postadress som faktiskt har kontroll över din domän? Kolla upp det är du snäll!

Ponera att hackaren kommit över ett adminkonto för din e-postdomän och kan komma åt denna ofantligt viktiga e-postadress. Tänk dig om hela din domän blir kapad och flyttad någonstans? Vilka konsekvenser skulle det innebära, totalt e-posthaveri och all it skulle slås ut på ett par timmar. Jag kollar upp några viktiga e-postadresser här för skojs skull!

All den här datan är ju publikt tillgänglig så det är ju inga hemligheter detta.

volvo.se -> Innehavarens e-postadress domainreg@volvo.com
ericsson.se -> Innehavarens e-postadress domainadmin@ericsson.com
stockholm.se -> Innehavarens e-postadress hostmaster@stockholm.se

Så, om ”någon” kommer över dessa adresser kan konsekvenserna bli ofattbara, för att inte nämna och man kommer ett eller ett par steg högre i hierarkin, stockholm.se som exempel ligger hos Ports AB och om dom får intrång eller blir hackade, eller ännu högre, man kommer åt datat på .se (iis.se) då är mardrömmen ett faktum.

Men tillbaka till verkligheten.

Vare sig du eller jag kan ju påverka det här på något sätt eller i större utsträckning om det är onåbart för vår del. Dock, det vi kan påverka ska vi verkligen se till att fixa!

Går det att skydda sig mot e-posthack?

Jag vet faktiskt inte, är väl det ärligaste svaret jag kan ge dig! Men det går ju alltid att göra det liite svårare för andra att komma åt dina grejer.

  1. Fixa dig en lösenordshanterare. Det är bara att inse, du kan inte ha 100 olika lösenord på 100 olika ställen i huvudet, om du inte är ett underbarn. Det finns lite olika sådana tjänster på marknaden. Ofta har du då ett masterlösenord som du sätter på hanteraren så har du alla andra sedan i den fina databasen. Masterlösenordet skriver du också in i ditt testamente för dina efterlevandes skull! Jag kör keepass, men det finns säkert andra system, modeller och funktioner som passar dig!
  2. Tvåfaktorautentisering är bra. Men, som jag skrev tidigare är vi ju lata av naturen och tvåfaktorautentisering kan va döjobbigt för en användare, men det är rätt bra tycker jag. Facebook och google är två exempel som börjat ta detta på allvar och som uppmanar dig att koppla ditt telefonnummer till ditt konto vilket kan göra du även måste verifiera en inloggning via en kod som kommer via sms, skitbra tycker jag!
  3. Byt lösenord (ja, kanske inte varje dag, men skriv in i kalendern å fixa det. Gör du det två gånger om året så kan du säkert klappa dig för bröstet och vara bland dom bästa i klassen.
  4. Skicka och ta emot all e-post krypterat, glöm inte de mobila enheterna,
  5. Ha inte samma jäkla lösenord överallt!
  6. Be om hjälp! Det finns dom som kan se över hela din it-miljö och säkra upp den tillsammans med dig.

Puh, det va ett av de längre inläggen, men jag brinner för den här typen av tankegångar och funderingar och vill verkligen uppmärksamma om problemen och möjligheterna vi har idag gällande alla typer av säkerhetsaspekter. Låt oss hjälpa varandra.

Kommentera och dela gärna!

 

 

 

Kommentera

Stäng meny