Oplichters en cybercriminelen zijn voortdurend op zoek naar manieren om uw veiligheid in gevaar te brengen, uw rekeningen te hacken en uw zuurverdiende spaargeld in hun eigen schatkist te pompen. U moet alle voorzorgsmaatregelen nemen om uw persoonlijke gegevens te beschermen, zowel online als in de digitale wereld. Dit geldt ook voor uw e-mailadres, waarmee ne'er-do-wells ontzettend veel kunnen bereiken.
Dus wat kan een cybercrimineel doen met alleen je e-mailadres?
Zitten oplichters echt achter mijn e-mailadres aan?
Ja, dat zijn ze. Op 16 augustus 2022 werd cloudopslagprovider DigitalOcean gedwongen om: een datalek bekendmaken en contact opnemen met al zijn klanten met het nieuws dat "een aantal e-mailadressen van DigitalOcean-klanten mogelijk zijn bekeken door een onbevoegd persoon."
Datalekken via e-mail komen vrij vaak voor. Soms worden naast het e-mailadres ook fysieke adressen en wachtwoorden of hashes van wachtwoorden gelekt. Zelfs als er geen andere informatie wordt bekendgemaakt, kan een geldig e-mailadres meerdere mogelijkheden bieden voor oplichters om misbruik van u te maken. Hier is hoe...
1. Lekken tonen aan dat e-mailadressen in gebruik zijn
Er is een praktisch onbeperkt aantal mogelijke e-mailadressen. Als Gmail de enige e-mailprovider ter wereld was, betekent de gebruikersnaamlimiet van 30 tekens dat er 30 ^ 36 of 30 ondeciljoen mogelijke combinaties zijn. Andere providers hebben veel hogere limieten en het totale aantal e-mailproviders wereldwijd is onbekend.
Wanneer oplichters op zoek zijn naar potentiële slachtoffers, volstaat het niet om e-mails naar willekeurige adressen te sturen. De meeste potentiële e-mailadressen zijn ongebruikt, zijn nooit gebruikt en zullen nooit worden gebruikt. Ze kunnen de kansen een beetje verbeteren door veelvoorkomende woorden, zinsdelen en cijfers in hun inspanningen op te nemen.
Verifiëren dat een e-mailadres actief wordt gebruikt, bespaart oplichters veel moeite en geld (verzenden bulk-e-mails zijn niet altijd goedkoop), daarom worden databases met e-mailadressen openlijk gekocht en verkocht online. Als uw e-mailadres openbaar wordt gemaakt, kunt u op zijn minst een aanzienlijke toename van ongewenste e-mail, spam en phishing-pogingen verwachten.
2. Uw e-mail kan u een doelwit maken voor Spear Phishing
Spear Phishing is een term voor een phishing-poging waarbij de oplichter een phishing-e-mail op maat maakt voor een specifieke ontvanger. Hoe meer de oplichter weet over het doelwit, hoe succesvoller de poging zal zijn.
De onthulling van de DigitalOcean-inbreuk kwam als onderdeel van een poging van oplichters om zich te richten op gebruikers van cryptocurrency, volgens Mailchimp. Dit geeft op zichzelf nep-e-mailgebruikers een aanvalshoek voor spear phishing en een stimulans om het te proberen.
Verdere informatie over het doel kan worden afgeleid uit het e-mailadres zelf. Veel mensen gebruiken hun volledige naam en geboortejaar als onderdeel van hun e-mailadres, waardoor een aanvaller nog meer inzicht heeft dat tegen het slachtoffer kan worden gebruikt.
Ten slotte, als uw e-mailadres - of een deel van uw e-mailadres - een gebruikersnaam is voor sociale media-accounts (als uw gebruikersnaam "[email protected]" is en uw Twitter-handle is "yeezydave1992", bijvoorbeeld), kunnen ze alle aspecten van je leven, je relaties, hobby's, muzieksmaak bekijken en vervolgens een e-mail maken om jij.
Een beetje onderzoek kan andere mensen onthullen die je misschien kent: je moeder, je baas, je klanten. Dit zijn de mensen die misschien een e-mail van u verwachten en niet onnodig gealarmeerd zouden zijn als ze een bericht van uw adres in hun inbox zouden vinden.
Je zou bijvoorbeeld kunnen zeggen dat je het adres "[email protected]" nu als onvolwassen beschouwt, en hen vragen om contact met je op te nemen via het veel respectabelere "[email protected]". Of misschien kunnen ze een klant een e-mail sturen waarin staat dat uw bankgegevens zijn gewijzigd en hen verder vragen om de volgende betaling naar een andere rekening te sturen.
Het vervalsen van een e-mail is verbazingwekkend eenvoudig en kan met Telnet in ongeveer vijf minuten worden gedaan. In onze ervaring heeft elke e-mail die op deze manier wordt verzonden ongeveer 20 procent kans om door de spamfilters van het eerste niveau van Gmail te komen. De doeltreffendheid van de verdediging van andere aanbieders zal variëren.
4. Uw e-mailadres is de helft van uw login
Om toegang te krijgen tot uw vele en gevarieerde online accounts, heeft een aanvaller in veel gevallen slechts twee gegevens nodig: een e-mailadres en een wachtwoord. Als ze uw e-mailadres al hebben, betekent dit dat het enige wat ze hoeven te weten uw wachtwoord is.
Wanneer u online een account aanmaakt, zijn er bepaalde minimumvereisten voor wachtwoordsterkte. Deze kunnen een minimumlengte, het gebruik van hoofdletters en kleine letters, cijfers en symbolen omvatten.
Maar wachtwoorden zijn moeilijk te onthouden, vooral wanneer u verschillende moet onthouden voor verschillende services. De meest gemeenschappelijk wachtwoord in gebruik is vandaag "123456", met de tweede plaats naar "123456789", en er circuleren lijsten met veelvoorkomende wachtwoorden op internet, laat staan op het donkere web.
Het enige dat een aanvaller hoeft te doen, is een algemeen wachtwoord koppelen aan een al bekend e-mailadres. Hoewel we niet suggereren dat uw eigen wachtwoord zwak is, kan het de moeite waard zijn een nieuw, sterk wachtwoord kiezen om uw account te beschermen.
5. Een aanvaller kan je e-mailadres vervalsen met Unicode
Het vervalsen van een e-mailadres om kennissen van het doelwit voor de gek te houden, is snel en gemakkelijk te doen, maar heeft een laag succespercentage, en e-mailantwoorden zullen worden gezien door de persoon die wordt nagebootst. Het is veel beter (vanuit crimineel oogpunt) om een e-mailadres aan te maken dat identiek lijkt, maar onzichtbaar anders is. Niet alleen subtiel anders, maar onzichtbaar.
Beschouw de volgende twee karakters: "а" en "a". Zien ze er bij jou anders uit? Een daarvan is het Cyrillische teken "а", dat totaal anders is dan het Latijnse teken "a".
Met Unicode-spoofing kunnen aanvallers (of andere geïnteresseerde partijen) een domeinnaam maken die er identiek uitziet als een legitiem domein. Een e-mail ontvangen van "[email protected]" is totaal anders dan een e-mail van "david@mаkeuseof.com". Andere gemakkelijk te vervalsen karakters zijn к, о, р, с, у, х.
Een aanvaller die die domeinnaam koopt, kan e-mails verzenden die afkomstig lijken te zijn van een legitieme bron, en waarvoor ze antwoorden kunnen ontvangen en kunnen corresponderen alsof ze echt een makeuseof.com zijn staflid.
Je zou je ook niet veilig moeten voelen omdat je e-mailadres ook bij een grote provider is. Hoewel sommige van de meer voor de hand liggende spoofable domeinen niet langer beschikbaar zijn, zijn er tal van alternatieve topleveldomeinen te koop.
Ja, uw e-mail kan worden vervalst om mensen met succes voor de gek te houden, en het kost een aanvaller minder dan $ 10.
Je kunt niet voorkomen dat je je e-mail volledig weggeeft - het is er tenslotte om te gebruiken. Maar zorg wel voor uw belangrijkste e-mailadres, d.w.z. het adres dat u gebruikt in combinatie met uw bank- en PayPal-rekeningen is anders dan het adres dat u gebruikt voor aanmeldingen en digitale diensten.
Idealiter zou je een ander e-mailadres moeten hebben om aan elke persoon of organisatie waarmee je contact hebt te geven. Zo beperkt u de schade als uw e-mailadres ooit bekend wordt gemaakt. Als je daar geen tijd voor hebt, overweeg dan om aliassen te gebruiken.