Kako zaštititi svoj webmail nalog

Osnovni razlog zašto je e-mail servis tako popularan jeste to što se na e-mail poruku ne mora odmah odgovarati kao što je slučaj kod SMS-a, već se to može obaviti i kasnije što je u poslovnog okruženju naravno veliki plus.

E-mail je sada već dosta star servis i skoro da ne postoji neko ko nema bar neku e-mail adresu, čak i ako koristi Twitter za komunikaciju (mislim na DM), jer mu treba za recover naloga u slučaju bilo kakvih problema sa korisničkim imenom i lozinkom, kako na Twitter-u tako i na drugim društvenim mrežama (Facebook, Instagram, LinkedIn…). Ono što je svakako moguće jeste da takva osoba ne koristi svakodnevno svoj e-mail nalog ali ga ipak svakako poseduje.

Ako pogledamo poslovno okruženje, e-mail predstavlja primarni način komunikacije za većinu biznisa, i danas je postalo sasvim normalno da se e-mail komunikacija smatra potpuno istom kao i da smo sa nekim razmenili zvanične podatke koji su odštampani (ovde su u nekim slujačevima potrebni dodatni mehanizmi kao što su digitalni potpis kako bi elektronski dokument imao istu važnost kao pečatiran i svojeručno potpisan dokument na papiru). Osnovni razlog zašto je e-mail servis tako popularan jeste to što se na e-mail poruku ne mora odmah odgovarati kao što je slučaj kod SMS-a, već se to može obaviti i kasnije što je u poslovnog okruženju naravno veliki plus (ovde se naravno ne smatra da je potrebno odgovoriti tek za nekoliko dana jer je bar neki normalan minimum 24 h u poslovnom okruženju).

Kakva je razlika između običnog e-mail-a i webmail-a?

U početku smo na svojim računarima imali instaliran program (desktop mail klijent) kao što je Microsoft Outlook ili neki drugi, i na njemu smo konfigurisali sve svoje naloge gde se preko njega vršila i sinhronizacija poruka. Ono što je polako postalo trend jeste mobilnost tako da je ovo postalo ograničavajući faktor i polako je počelo da se prelazi na web orijentisane klijente gde nije potreban nikakav poseban program niti operativni sistem već je potrebno da imate bilo kakav web pretraživač (Internet Explorer, Chrome, Firefox, Opera, Safari…) koji čak i ne mora imati potpune funkcionalnosti već može biti i na mobilnom telefonu. Veliki igrači su se priključili tom trendu tako da danas imamo veliki broj ovakvih servisa od koji su najpoznatiji Gmail, Yahoo, Hotmail, Outlook, Mail.ru i još mnogo drugih.

Šta možemo da uradimo da dodatno zaštitimo webmail nalog?

Ovde ću navesti neke stvari koje svako može da uradi kako bi dodatno obezbedio svoj webmail nalog.

Jaka i jedinstvena lozinka

Kada se kaže jaka lozinka misli se na lozinku koju je teško probiti različitim vrstama brute-force napada i tu se primarno misli na kompleksnost (minimum 8 karaktera od kojih su 2 mala slova, 2 velika slova, 2 broja i 2 specijalna karaktera, i to tako sastavljeni da to ne bude neka smislena reč). Druga stvar jeste da lozinka bude jedinstvena a tu se pre svega misli da se ne ponavlja na više mesta, odnosno više različitih sajtova (upravo ovo je jedan od najvećih problema jer kada dođe do nekog većeg incidenta gde dođe do curenje podataka (data breach) prvo što hakeri pokušavaju da urade jeste da tu šifru koju su pronašli za određeni korisnički nalog isprobaju na ostalim mestima gde pronađu da isti korisnik ima kreiran nalog (ovo dovodi do toga da neko uspe da „provali“ Gmail nalog samo zbog toga što je na primer korisnik na nekom tamo sajtu sa lošom zaštitom stavio isto korisničko ime i šifru kao i na Gmail-u koji je inače jedan od najbolje zaštićenih sistema).

Password menadžeri

Korišćenje password menadžera za generisanje i čuvanje lozinki je dosta dobra praksa iz više razloga a osnovni jeste taj što ne moramo da pamtimo i stalno kucamo kompleksne lozinke koje smo generisali. Drugi razlog jeste to što ove aplikacije uglavnom imaju ugrađene sisteme za generisanje jakih lozinki, i treće, što je još mnogo važnije jeste i to što nam mogu pomoći prilikom različitih vrsta ciljanih fišing (eng. phishing) napada gde dobijamo e-mail sa linkom koji nas vodi na lažne sajtove koji vizuelno liče na prave, a na kojima možete da unesete svoje korisničko ime i lozinku. Ako do ovoga dođe password menadžer će primetiti da to nije prava stranica pošto on na toj stranici treba automatski za vas da popuni korisničko ime i lozinku. To se neće desiti nego će password menadžer prijaviti potencijalni fišing napad i pitati vas šta dalje da radi. Za dodatne informacija o password menadžeru, kao i za razmatranje o tome da li ga treba koristiti ili ne, pogledajte jedan od ranijih postova.

Višefaktorska provera

U poslednje vreme je trend i skoro svi ozbiljni webmail servisi su uveli višefaktorsku proveru (Multi-factor authentication – MFA). Osnovna ideja jeste da ako neko na neki način i uspe da dođe do vaših podataka kao što su korisničko ime i lozinka on i dalje neće moći da pristupi webmail-u jer će mu biti potrebna još jedna stvar a to je pristup vašem mobilnom telefonu gde će stizati PIN broj koji je potreban u drugom koraku. Ideja je da se generiše uvek drugi PIN i šalje uglavnom na SMS, i to na broj mobilnog telefona koji je ranije prijavljen. Ovo u početku može da bude odbojno jer morate svaki put kada se logujete na novi računar da unesete PIN, ali i zbog toga što morate uvek kod sebe imati mobilni telefon koji ste prijavili, što znači da ako ga zaboravite negde nećete moći da pristupite svom webmail nalogu. Da se ne bi svaki put tražio PIN, jer bi to bilo zamarajuće, prate se lokacija pristupa, IP adresa i sam uređaj sa koga se pristupa, i samo ako se podaci ne poklapaju onda se traži unos, u suprotnom se smatra da je to uređaj kome se već veruje.

Recovery e-mail i broj telefona

Ovo je nešto što moramo uraditi ako želimo da se osiguramo da ćemo u svakom momentu moći da pristupimo svom webmail nalogu jer će preko ovog broja telefona ili e-mail-a biti moguć proces oporavka naloga. Ono o čemu posebno treba voditi računa jeste da se ovi podaci ažuriraju tokom vremena jer se često dešava da promenimo broj telefona i e-mail adresu prilikom promene posla ili zbog nečeg drugog, tako da povedite računa o ovome.

Pregled poslednjih aktivnosti na e-mail nalogu

Na većini webmail servisa imate mogućnost da se ulogujete i odete na posebnu stranicu gde možete videti poslednje aktivnosti na svom nalogu. Ovo je veoma značajno jer se ne može obrisati kao podatak kako bi se prikrio trag, i svaka aktivnost ostaje trajno zabeležena. Potrebno je redovno pregledati ovaj spisak kako bi uspeli na vreme da otkrijemo ako je bilo neobičnih aktivnosti na nalogu i da blagovremeno reagujemo (neće nam biti od prevelike koristi ako tek posle mesec dana ili više vidimo da je bilo pristupa nalogu).

Pregled uređaja sa kojih je pristupano i kojima se veruje

Kao i za prethodnu stavku i ovde većina webmail servisa omogućava da vidite spisak svih uređaja sa kojih se pristupalo webmail nalogu (sa IP adresama i drugim opisima). Ovo je potrebno takođe povremeno pregledati jer tu možemo videti uređaje koji nisu naši a koji su eventualno imali pristup nalogu. Takođe, ovde se može videti i posebna lista uređaja koji su u grupi uređaja kojima se veruje i gde nisu potrebne dodatne mere provere kao što je PIN.

Pregled dodeljenih prava pristupa drugim korisnicima ili aplikacijama

Ovo je nešto što je u većini webmail servisa poznato kao delegacija (delegation), gde neko ko ima kraći pristup webmail nalogu može da izmeni, odnosno ustupi drugom korisniku ili aplikaciji pristup webmail-u gde oni onda imaju različite mogućnosti, od toga da čitaju pa do toga da pišu i šalju e-mail-ove sa tog webmail naloga. Ovo svakako treba proveravati periodično.

Provera prosleđivanja sa e-mail naloga

Ovo je nešto što je veoma korisno i dosta nas ima podešeno tako da većinu naših naloga preusmeravamo u neki webmail klijent koji svakodnevno koristimo (kao što je Gmail na primer). Ono što je problem jeste što to haker može da iskoristi i da kroz pravila prosleđivanja (forwarding rules) podesi sebe kao primaoca e-mail-ova i tako dobije trajan pristup svemu što stiže na vaš e-mail nalog. Ovo bi takođe bilo korisno povremeno proveravati i ukoliko postoje sumnjivi unosi to odmah ispitati.

Voditi računa odakle se pristupa

Ovo je nešto o čemu većina ljudi (osim security profesionalaca) na rezmišlja uopšte. Radi se o tome da kada pristupamo webmail-u sa javnih mesta (kao što je Internet kafe, Apple kiosk i slično) mi uopšte nismo zaštićeni jer pojma nemamo šta je ko i kada instalirao na takav računar. Ovo je veoma rizično jer se na takvim računarima može nalaziti keylogger softver ili ko zna kakav drugi maliciozni softver koji može ukrasti korisničko ime i lozinku. Trend je da se u poslednje vreme banke bore sa hakerima koji instaliraju takve softvere na ATM uređaje (bankomate) pa onda možete misliti kakva je situacija recimo sa računarom u igraonici.

Na kraju želim da naglasim da je e-mail nalog danas vrlo sličan vašoj kreditnoj kartici jer je čitav vaš online život vezan na njega i zbog toga je veoma važno na vreme preduzeti sve moguće mere zaštite.

Author: Igor Franc
Scroll