Golpistas e criminosos cibernéticos estão constantemente procurando maneiras de comprometer sua segurança, invadir suas contas e drenar suas economias suadas em seus próprios cofres. Você precisa tomar todas as precauções para proteger suas informações pessoais, tanto online quanto no mundo digital. Isso inclui seu endereço de e-mail, com o qual os ne'er-do-wells podem realizar muito.
Então, o que um cibercriminoso pode fazer apenas com seu endereço de e-mail?
Os golpistas estão realmente atrás do meu endereço de e-mail?
Sim, eles estão. Em 16 de agosto de 2022, o provedor de armazenamento em nuvem DigitalOcean foi forçado a divulgar uma violação de dados e contate todos os seus clientes com a notícia de que "vários endereços de e-mail de clientes da DigitalOcean podem ter sido vistos por um indivíduo não autorizado".
As violações de dados de e-mail são uma ocorrência bastante comum. Às vezes, endereços físicos e senhas ou hashes de senhas vazam junto com o endereço de e-mail. Mesmo que nenhuma outra informação seja divulgada, um endereço de e-mail válido pode fornecer várias oportunidades para os golpistas tirarem vantagem de você. Aqui está como...
1. Vazamentos mostram que endereços de e-mail estão em uso
Há um número praticamente ilimitado de endereços de e-mail possíveis. Se o Gmail fosse o único provedor de e-mail do mundo, seu limite de nome de usuário de 30 caracteres significa que existem 30 ^ 36 ou 30 undecilhão de combinações possíveis. Outros provedores têm limites muito mais altos e o número total de provedores de e-mail em todo o mundo é desconhecido.
Quando os golpistas procuram vítimas em potencial, enviar e-mails para endereços aleatórios não é suficiente. A maioria dos endereços de e-mail em potencial não são usados, nunca foram usados e nunca serão usados. Eles podem melhorar um pouco as chances incluindo palavras, frases e números comuns em seus esforços.
Verificar se um endereço de e-mail está sendo usado ativamente economiza muito esforço e dinheiro para os golpistas (enviar e-mails em massa nem sempre são baratos), e é por isso que os bancos de dados de endereços de e-mail são comprados e vendidos abertamente conectados. Se o seu endereço de e-mail for exposto, você pode, no mínimo, esperar receber um aumento significativo de lixo eletrônico, spam e tentativas de phishing.
2. Seu e-mail pode torná-lo um alvo para Spear Phishing
Spear Phishing é um termo para uma tentativa de phishing quando o golpista adapta um e-mail de phishing para um destinatário específico. Quanto mais o golpista souber sobre o alvo, mais bem-sucedida será a tentativa.
A divulgação da violação da DigitalOcean veio como parte de uma tentativa de golpistas de atingir usuários de criptomoedas, De acordo com Mailchimp. Isso, por si só, dá aos usuários de e-mail falso um ângulo de ataque para spear phishing e um incentivo para tentar.
Mais informações sobre o alvo podem ser obtidas no próprio endereço de e-mail. Muitas pessoas usam seus nomes completos e ano de nascimento como parte de seu endereço de e-mail, permitindo que um invasor tenha ainda mais informações que podem ser usadas contra a vítima.
Por fim, se o seu endereço de e-mail - ou parte do seu endereço de e-mail - for um nome de usuário para contas de mídia social (se seu nome de usuário for "[email protected]" e seu identificador de Twitter é "yeezydave1992", por exemplo), eles poderão examinar todos os aspectos de sua vida, seus relacionamentos, hobbies, gostos musicais e, em seguida, esculpir um e-mail para prender vocês.
Um pouco de pesquisa pode revelar outras pessoas que você pode conhecer: sua mãe, seu chefe, seus clientes. Essas são as pessoas que podem esperar receber um e-mail seu e não ficariam indevidamente alarmadas ao encontrar uma mensagem do seu endereço na caixa de entrada.
Por exemplo, pode-se dizer que agora você considera o endereço "[email protected]" imaturo e peça que eles entrem em contato com você no muito mais respeitável "[email protected]". Ou talvez eles possam enviar um e-mail a um cliente informando que seus dados bancários foram alterados e solicitando que eles enviem o próximo pagamento para uma conta diferente.
A falsificação de um e-mail é surpreendentemente fácil e pode ser realizada em cerca de cinco minutos com o Telnet. Em nossa experiência, cada e-mail enviado dessa forma tem cerca de 20% de chance de passar pelos filtros de spam de primeiro nível do Gmail. A eficácia das defesas de outros provedores irá variar.
4. Seu endereço de e-mail é metade do seu login
Para obter acesso às suas muitas e variadas contas online, em muitos casos, um invasor precisará apenas de duas informações: um endereço de e-mail e uma senha. Se eles já tiverem seu endereço de e-mail, isso significa que a única coisa que eles precisam saber é sua senha.
Ao criar uma conta online, existem certos requisitos mínimos para a força da senha. Estes podem incluir um comprimento mínimo, o uso de letras maiúsculas e minúsculas, números e símbolos.
Mas as senhas são difíceis de lembrar, especialmente quando você precisa lembrar de senhas diferentes para serviços diferentes. o a maioria senha comum em uso hoje é "123456", com o segundo lugar indo para "123456789", e há listas de senhas comuns circulando na web, sem falar na dark web.
Tudo o que um invasor precisa fazer é combinar uma senha comum com um endereço de e-mail já conhecido. Embora não estejamos sugerindo que sua própria senha seja fraca, pode valer a pena escolhendo uma senha nova e forte para proteger sua conta.
5. Um invasor pode falsificar seu endereço de e-mail com Unicode
Falsificar um endereço de e-mail para enganar conhecidos do alvo é rápido e fácil de fazer, mas tem uma baixa taxa de sucesso, e as respostas dos e-mails serão vistas pela pessoa que está sendo personificada. É muito melhor (do ponto de vista criminoso) criar um endereço de e-mail que pareça idêntico, mas que seja invisivelmente diferente. Não apenas sutilmente diferente, mas invisível.
Considere os dois caracteres a seguir: "а" e "a". Eles parecem diferentes para você? Um deles é o caractere cirílico, "а", que é completamente diferente do caractere latino, "a".
A falsificação de Unicode permite que invasores – ou outras partes interessadas – criem um nome de domínio que pareça idêntico a um domínio legítimo. Receber um e-mail de "[email protected]" é completamente diferente de um de "david@mаkeuseof.com". Outros caracteres facilmente falsificados incluem к, о, р, с, у, х.
Um invasor que comprar esse nome de domínio poderá enviar e-mails que parecem ser de um fonte, e para o qual eles podem receber respostas e corresponder como se fossem realmente um makeuseof.com funcionário.
Você também não deve se sentir seguro só porque seu endereço de e-mail é de um grande provedor. Embora alguns dos domínios mais obviamente falsificáveis não estejam mais disponíveis, há muitos domínios alternativos de nível superior à venda.
Sim, seu e-mail pode ser falsificado para enganar as pessoas com sucesso e custará ao invasor menos de US$ 10.
Você não pode deixar de fornecer seu e-mail completamente — afinal, ele está lá para ser usado. Mas você deve cuidar do seu endereço de e-mail principal, ou seja, aquele que você usa em conjunto com suas contas bancárias e PayPal é diferente daqueles que você usa para cadastros e serviços digitais.
Idealmente, você deve ter um endereço de e-mail diferente para fornecer a cada pessoa ou organização com a qual tem contato. Isso limitará os danos se seu endereço de e-mail for divulgado. Se você não tiver tempo para isso, considere usar aliases.