Eksperci biją na alarm: nadawcy e-maili nie są wiarygodni

Eksperci biją na alarm: nadawcy e-maili nie są wiarygodni14.09.2011 10:53
Źródło zdjęć: © Thinkstockphotos

Adres mailowy podany przez nadawcę maila jest równie mało wiarygodny, jak ten napisany na kopercie zwykłego listu. Weryfikację nadawcy e-maila może zapewnić tylko podpis elektroniczny - przypomina ekspert zajmujący się bezpieczeństwem w sieci.

"Bez podpisu elektronicznego nie jest możliwe sprawdzenie tożsamości nadawcy. Można jedynie sprawdzić, skąd mail został nadany" - powiedział PAP Przemysław Jaroszewski z CERT Polska. Zaznaczył, że adres nadawcy, który odbiorca widzi w polu "Od" w procesie weryfikacji nadawcy właściwie nie ma żadnego znaczenia. Jest równie mało wiarygodny jak adres nadawcy napisany na kopercie tradycyjnego listu. "A tam można wpisać cokolwiek" - zaznaczył ekspert.

Jak wyjaśnił Jaroszewski, dopiero kiedy zajrzy się do nagłówka maila, można zobaczyć elektroniczny "stempel pocztowy". Tak jak w poczcie tradycyjnej widać, czy stempel pocztowy jest z tego samego miasta co adres nadawcy, tak i w nagłówku poczty elektronicznej można sprawdzić, czy list wysłano z serwera, który ma prawo wysyłać takie wiadomości. "Będąc właścicielami domeny cert.pl, wiemy dokładnie, kto ma prawo wysyłać z niej list. Mamy 2-3 serwery, które powinny wysyłać taką pocztę. Żaden inny serwer na świecie nie powinien takiej poczty wysyłać" - tłumaczył Jaroszewski.

Istnieją już mechanizmy - takie jak SPF (Sender Policy Framework) czy DomainKeys - które pozwalają na automatyczną weryfikację serwera przysyłającego wiadomość. Systemy tego typu są w Polsce popularne. Administratorzy poczty stosują je m.in. do obrony przed spamem.

"Mechanizmy działają pod warunkiem, że korzystają z nich obie strony - nadawca - informując, kto ma prawo wysyłać listy z jego domeny - i odbiorca - sprawdzając, czy łączący się z nim serwer jest do tego uprawniony" - zaznaczył ekspert.

Jak dodał Jaroszewski, za pomocą zabezpieczeń typu SPF nie można jednak zweryfikować, czy elektroniczny list wysłała akurat ta osoba, za którą podaje się nadawca. Mail bowiem dotrze do odbiorcy, jeśli za daną osobę podszywa się np. współpracownik, który korzysta z tej samej domeny i tego samego serwera.

CERT Polska na swojej stronie zwraca uwagę, że wśród innych możliwości zmylenia odbiorców maila jest też np. kradzież danych dostępowych do konta nadawcy. Eksperci wymieniają, że tu wykorzystywane mogą być np. sztuczki socjotechniczne czy złośliwe oprogramowanie. Oszuści mogą również próbować włamać się na serwer pocztowy. Jeśli to się powiedzie, uzyskać mogą nawet dostęp do wszystkich założonych na nim kont pocztowych.

"Mechanizm, który umożliwia z całkiem dobrym skutkiem weryfikowanie, czy nadawca listu elektronicznego jest tym, za kogo się podaje, znany jest od dawna - to podpis elektroniczny. Wśród specjalistów korzystanie z niego jest na porządku dziennym. Niestety, poza ich gronem nie uległ on upowszechnieniu" - zaznaczono na stronie CERT Polska.

CERT (Computer Emergency Response Team) Polska, działający w strukturach Naukowej i Akademickiej Sieci Komputerowej, jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w internecie.

Źródło artykułu:PAP
© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA