8 osvedčených postupov zabezpečenia e-mailov, ktoré by ste mali dodržiavať

​

Zdroj

A pozrite sa, koľko ľudí z rôznych vekových skupín spoliehať sa pri komunikácii na e-maily:

• 94% generácie Z
• 98% mileniálov
• 98% generácie X
• 95% z Boomers
• a dokonca aj 90% tichej generácie!

K tomu treba dodať, že e-mailový marketing bol vybraný ako najefektívnejší kanál marketérov opýtaných v správe Hubspot State of Marketing Report 2022 a môžete vidieť, prečo sa e-mailovému marketingu darí, napriek tomu, že mnohí ľudia už roky predpovedajú e-mailu smrť.

Prečo je zabezpečenie e-mailov dôležité?

E-maily sú bohužiaľ aj jedným z najcennejších spôsobov, ako môžu zločinci zaútočiť na spoločnosť alebo ukradnúť osobné údaje bežných používateľov. Správa spoločnosti CISCO o trendoch v oblasti kybernetických bezpečnostných hrozieb na rok 2021 zistila, že približne 90% prípadov porušenia ochrany údajov je spôsobených e-mailovým phishingom.

A to nie je koniec znepokojujúcich správ:

• Každý deň sa odošle 3,4 miliardy phishingových e-mailov
• V roku 2022, došlo k nárastu počtu škodlivých phishingových e-mailov o 569% a k nárastu počtu zverejnených správ o hrozbách súvisiacich s phishingom poverení o 478%.
• Počet útokov na obchodné e-maily (BEC) sa v roku 2022 zvýšil o 81%
• Bez riadneho bezpečnostného školenia, každý tretí zamestnanec naletí phishingovým podvodom

• Len 15% z IT správcovia presadzujú používanie dvojfaktorového overovania.

Kyberzločinci využívajú aj skutočnosť, že ľudia v súčasnosti dostávajú toľko e-mailov, že len ťažko majú dostatok času na to, aby si pozorne prečítali každú doručenú poštu a skontrolovali, či sa v nej nenachádzajú nevyžiadané správy. To platí najmä pre zamestnancov, ktorí denne dostávajú v priemere 100 až 120 e-mailov. Kto má čas kontrolovať každý e-mail z hľadiska bezpečnostných požiadaviek, či už ide o pracovné alebo osobné e-maily?

Stačí teda trochu sociálneho inžinierstva a zločinci ich môžu rýchlo prinútiť kliknúť na podvodné prepojenie alebo stiahnuť škodlivú prílohu. Okrem toho sa hackeri zameriavajú na firemné telefóny, ktoré zamestnanci používajú, ako napr. Systémy VOIP.

Našťastie existuje niekoľko jednoduchých vecí, ktoré môžete urobiť na ochranu svojich e-mailových schránok - a tým aj svojich osobných alebo firemných údajov. Pozrime sa teda na 8 osvedčených postupov zabezpečenia e-mailov, ktoré môžu kyberzločincom výrazne sťažiť "prácu".

Vytvorenie silných hesiel

Používanie silných hesiel je jedným z najlepších spôsobov, ako ochrániť svoje e-mailové kontá a súkromné informácie v nich pred hackermi. Tu je niekoľko spôsobov, ako udržať vysoké bezpečnostné štandardy, pokiaľ ide o heslá:

• Nepoužívanie žiadnych zjavných osobných informácií alebo bežných slov
• zmes písmen, číslic a symbolov
• mať aspoň 10 znakov (odborníci odporúčajú 14-16) 

Zdroj 

Napriek tomu, keď sa pozrieme na to, koľko online účtov (súkromných aj pracovných) všetci používame, môže byť vytvorenie a následné zapamätanie si približne 20 zložitých hesiel dosť náročné.

Tu je miesto, kde nástroje pre správcov hesiel môže byť neuveriteľne užitočné. Tieto nástroje dokážu pre každú aplikáciu vygenerovať jedinečné heslá, ktoré je veľmi ťažké prelomiť, a potom ich uložiť do svojej databázy - používatelia si potom musia pamätať len jedno "hlavné heslo" na odomknutie databázy.

Ďalšou populárnou možnosťou sú teraz prístupové heslá - heslá zložené z reťazca slov, a nie z náhodných znakov. Keďže sú zvyčajne dlhšie ako bežné heslá, je ťažšie ich prelomiť. Okrem toho je s heslovými slovami jednoduchšie vytvárať zapamätateľné, ale bezpečné heslá pre účty.

Ak chcete zistiť, ako bezpečné sú vaše vlastné heslá, môžete použiť Security.org Nástroj Ako bezpečné je moje heslo. Takto to vyzerá na jednom z našich účtov:

Nepoužívajte opakovane heslá na rôznych kontách

Ďalším rozšíreným bezpečnostným problémom je opakované používanie hesiel. Napríklad štúdia First Contact zistila, že 51% ľudí používa rovnaké heslo pre pracovné aj osobné účty. 

Zdroj

Ešte horšie je, že 70% používateľov, ktorí mali svoje narušené heslá stále ich používali!

Dôvod, prečo je to taký zlý nápad, je jednoduchý. Kybernetickí zločinci dobre vedia, koľko ľudí používa svoje heslá opakovane, preto si vždy overujú, koľko účtov môžu odomknúť jedným heslom. Ak napríklad používate jedno heslo pre 5 osobných účtov, v prípade úniku hesla bude ohrozených všetkých 5 účtov.

Používanie rovnakého hesla pre pracovné aj súkromné kontá je obzvlášť nebezpečné, pretože takto môžu hackeri rýchlo získať prístup k vašej pracovnej e-mailovej schránke - a k údajom v nej. Zabezpečenie podnikových e-mailov sa výrazne líši od e-mailov, ktoré používate pre osobné potreby, a škodlivý obsah pre pracovné e-maily je oveľa horší ako nigérijský podvod na váš osobný e-mail.

Používanie viacfaktorového overovania

A keď už sme pri téme zabezpečenia účtov - pridanie ďalšieho overovacieho opatrenia môže tiež viditeľne zvýšiť bezpečnosť vášho účtu. S funkciami 2FA a MFA, aj keď hackeri ukradnú prihlasovacie meno a heslo, nebudú mať prístup k e-mailovej schránke, kým nepotvrdia svoju totožnosť prostredníctvom dodatočných bezpečnostných kontrol - a to im môže stačiť na to, aby sa vzdali.

Po zavedení 2FA a vyžadovaní od používateľov, aby ho používali pri každom prihlásení, Spoločnosť Google uviedla, že zaznamenala pokles počtu narušení účtu 50%.

Ako ho môžete pridať do svojho konta, napríklad do konta Gmail? Je to vlastne celkom jednoduché. Ak chcete zabezpečiť svoje osobné konto pomocou funkcie 2FA, musíte urobiť nasledovné:

1. Otvorte si konto Google.
2. Na navigačnom paneli vyberte položku Zabezpečenie.
3. V časti "Prihlásenie do služby Google" vyberte možnosť Overenie v 2 krokoch a potom Začnite.
4. Postupujte podľa pokynov na obrazovke.

Pre podnikateľské účty zatiaľ, možnosť 2FA nájdete vo svojej administrátorskej konzole v časti Menu → Zabezpečenie→ Overenie→ 2-krokové overenie. Tam môžete tiež nastaviť, či má byť MFA povinné pre všetkých používateľov alebo len pre určité skupiny a aké metódy overovania si môžu vybrať.

E-mailové systémy, ako napríklad Gmail, označia podozrivú aktivitu a požiadajú vás o dvojfaktorové overenie predtým, ako vám umožnia zobraziť akýkoľvek obsah e-mailu. Ak ste skutočnou osobou, ktorá sa snaží prihlásiť, môžete tak urobiť v priebehu niekoľkých sekúnd. Týmto spôsobom môžete zabrániť mnohým hrozbám v oblasti e-mailov.

Školenie zamestnancov o osvedčených postupoch zabezpečenia e-mailov

Ani tie najzložitejšie heslá a niekoľko ďalších bezpečnostných kontrol však príliš nepomôže, ak zamestnanci nevedia alebo nechápu, prečo je zabezpečenie ich účtov také dôležité. Správa spoločnosti Verizon o porušeniach ochrany údajov (DBIR) za rok 2023 zistili, že neopatrnosť používateľov bola príčinou 98% prípadov porušenia ochrany údajov - a kyberzločinci presne vedia, ako to využiť vo svoj prospech.

Pravidelné školenia o kybernetickej bezpečnosti sú vynikajúcim spôsobom, ako naučiť zamestnancov, aké dôsledky môže mať narušenie bezpečnosti údajov a čo môžu urobiť, aby sa mu zabránilo. Môžete ich využiť na to, aby ste s nimi hovorili o firemnej politike zabezpečenia e-mailov, hrozbách v oblasti zabezpečenia e-mailov, s ktorými sa môžu stretnúť, a odporúčaných osvedčených postupoch na zabezpečenie ich účtov.

Mohli by ste ich napríklad poučiť o hodnote šifrovania e-mailov, o neotváraní podozrivých e-mailov alebo o nepristupovaní k e-mailom prostredníctvom verejnej siete Wi-Fi. Tiež aby neotvárali nevyžiadané e-maily, aby sa snažili používať antivírusový softvér a vo všeobecnosti si dávali pozor na neznámych odosielateľov.

Školenie o kybernetickej bezpečnosti je tiež skvelým postupom na školenie zamestnancov o tom, ako by mali reagovať, keď zistia, že už došlo k narušeniu, a koho by mali o narušení informovať. Následne sa môže narúšanie rýchlejšie zastaviť - a tak sa môžu znížiť aj škody, ktoré spôsobilo.

Dávajte si pozor na prílohy e-mailov a podozrivé odkazy

94% škodlivého softvéru sa doručuje e-mailom - buď prostredníctvom originálne vyzerajúcich príloh, alebo odkazov na zdanlivo dôveryhodné webové stránky. A hoci algoritmy služby Gmail a antimalvérový softvér dokážu odhaliť a zablokovať väčšinu podozrivých príloh alebo webových stránok, niektoré sofistikovanejšie útoky môžu stále uniknúť radaru.

Preto by bežní používatelia a zamestnanci mali byť opatrní, keď dostanú e-maily s prílohami alebo výzvy na kliknutie na priložený odkaz. Tu je niekoľko varovných signálov, že príloha alebo odkaz môže pochádzať od hackerov:

• Prípona súboru nezodpovedá typu súboru (napríklad končí dvojitou príponou, ako napríklad doc.exe, alebo má iba spustiteľnú príponu. Obzvlášť podozrievaví by ste mali byť, ak dostávate prílohy končiace príponami exe, jar alebo rar/zip).
• Adresa odosielateľa sa mierne líši od adresy, ktorú nájdete na jeho webovej stránke/vo vašom e-mailovom zozname - to je neklamný znak spamových e-mailov.
• E-mail, ktorý zdanlivo pochádza z dôveryhodného zdroja (napríklad z vašej banky), obsahuje pravopisné, gramatické, formátovacie alebo interpunkčné chyby.
• Správa vás vyzýva, aby ste čo najskôr otvorili prílohu alebo klikli na odkaz, pretože v opačnom prípade môžete čeliť určitým následkom (najlepším príkladom je neslávne známa správa "Vaša kreditná karta bude čoskoro zablokovaná").

Ak chcete zostať v bezpečí, je najlepšie vždy zavolať odosielateľovi a opýtať sa ho na e-maily, ak máte akékoľvek pochybnosti, a skontrolovať všetky prílohy, ktoré dostanete, či neobsahujú vírusy alebo škodlivý softvér. Alebo môžete jednoducho skopírovať meno odosielateľa, odkaz alebo časť správy a vložiť ju do vyhľadávača - ostatní používatelia ju už môžu označiť ako nebezpečnú.

Pravidelne aktualizujte antivírusový alebo antimalvérový program

Moderné antimalvérové riešenia dokážu vaše zariadenia ochrániť pred mnohými hrozbami - vírusmi, trójskymi koňmi, malvérom, ransomvérom a tiež podozrivými webovými stránkami. Teda pokiaľ sú pravidelne aktualizované. Kyberzločinci prakticky každý deň - a to každý deň - vymýšľajú nové metódy útokov na zariadenia a krádeže údajov, Zistených 560 000 nových kusov škodlivého softvéru.

Ak antivírusové programy, ktoré používate, nie sú pravidelne aktualizované, môžu prehliadnuť novú hrozbu a ohroziť tak vaše e-mailové konto a celé zariadenie.

Väčšina populárnych platforiem kybernetickej bezpečnosti má však možnosť inštalovať tieto aktualizácie automaticky - ak teda chcete mať istotu, že vaša platforma je vždy aktuálna, oplatí sa túto možnosť zaškrtnúť.

Používanie protokolov na overovanie e-mailov

Implementácia overovacích protokolov pre pracovné domény môže tiež výrazne zvýšiť bezpečnosť vašich účtov a identifikovať škodlivé úmysly prostredníctvom rôznych foriem identifikácie.

Protokoly na overovanie e-mailov boli navrhnuté tak, aby zabránili phishingovým útokom, podvrhovaniu e-mailov a útokom BEC overením, či e-mail pochádza od legitímneho odosielateľa. Zjednodušene povedané, tieto protokoly kontrolujú, či najnovšie e-maily marketingovej kampane posielate vy, alebo sa niekto vydáva za vašu značku.

V súčasnosti máme k dispozícii tri overovacie protokoly:

• SPF (Sender Policy Framework) - Skúma IP adresu odosielateľa, aby sa uistil, že každý e-mail pochádza z dôveryhodnej IP adresy.
• DKIM (Domain Keys Identified Mail) - používa šifrovanie verejným/súkromným kľúčom na podpisovanie e-mailových správ a dokazovanie, že správy neboli zmenené.
• DMARC (Domain-based Message Authentication Reporting and Conformance) - zabezpečí, aby e-mail pred doručením spĺňal požiadavky SPF a DKIM.

Použitím týchto protokolov môžete uistiť svojich klientov a odberateľov, že vaše domény sa nestanú obeťou podvrhnutia e-mailu, a teda e-maily, ktoré dostanú, určite pochádzajú od vás. Niekoľko ďalších výhod týchto protokolov sme uviedli v našom inom článku o metódy overovania, takže by ste si ju mohli prečítať aj vy.

Pri rozosielaní kampaní sa uistite, že sú vaše zoznamy čisté.

Náš posledný tip - pravidelne vyčistite svoje e-mailové zoznamy.

Dobre, počuli ste, že čistenie e-mailových zoznamov môže zvýšiť mieru doručiteľnosti, zlepšiť reputáciu vašej domény a zabezpečiť lepšiu návratnosť investícií, ale čo to má spoločné s bezpečnosťou? V skutočnosti veľa! Skúmaním adries v zozname e-mailov môžete odhaliť neaktívne a neaktuálne e-mailové adresy, ale aj všetky podozrivé adresy, ktoré by mohli patriť odosielateľom spamu - alebo poskytovateľom internetových služieb, s cieľom nájsť a potrestať odosielateľov spamu.

Ak sa zistí, že posielate e-maily na tieto domény, je veľká pravdepodobnosť, že to poškodí vašu reputáciu domény - a v najhoršom prípade sa môžete dokonca dostať na čiernu listinu.

Ako však môžete odhaliť všetky tieto toxické e-maily vo svojom zozname bez toho, aby ste strávili dni (alebo viac) ich ručným overovaním? Overenie e-mailu vyhadzovača nástroj vám tu môže pomôcť.

Stačí do aplikácie pridať svoj zoznam e-mailov (až do 250 tisíc adries) a aplikácia Bouncer zobrazí, ktoré e-maily patria skutočným používateľom, aká je pravdepodobnosť, že sa e-maily vrátia, ale aj vám:

• narušené alebo hacknuté e-mailové adresy
• neplatné adresy alebo domény
• pasce na spam, atď.

Aplikácia Bouncer tiež hodnotí toxicitu e-mailov (od 1 do 5), takže budete vedieť, ktoré adresy by ste mali okamžite odstrániť.

To znie užitočne, však? Potom, čo tak použiť Bouncer pre vašu ďalšiu e-mailovú kampaň? S čistým e-mailovým zoznamom bude vaša ďalšia kampaň úspešná a zároveň ochránite svoju e-mailovú doménu ľahšie ako kedykoľvek predtým.

Čas na posilnenie e-mailových kont

Aby ste svoje súkromné a firemné e-mailové konto (a údaje v ňom) uchránili pred kybernetickými zločincami, musíte prijať všetky možné bezpečnostné opatrenia a rozlúčiť sa s obavami zo škodlivých aktivít, potenciálnych hrozieb a podozrivých správ.

Pri zabezpečení vašich účtov sú dôležité silné a pravidelne menené heslá, viacfaktorové overovanie, pravidelná aktualizácia antivírusových nástrojov a tiež sledovanie pokusov o phishing alebo infekciu.

A vďaka posilnenému zabezpečeniu účtu budete môcť ľahko odvrátiť akýkoľvek phishingový útok alebo pokus o narušenie.

ČASTO KLADENÉ OTÁZKY: Najlepšie postupy zabezpečenia e-mailov

Ako môžem zabezpečiť svoje profesionálne e-mailové konto?

Najlepší spôsob, ako zvýšiť bezpečnosť svojho účtu, je používať silné a jedinečné heslá pre každý používaný účet - na to môžete použiť správcov hesiel. Rozumným nápadom je tiež zapnúť dvojfaktorové (alebo viacfaktorové) overovanie pre ďalšiu úroveň zabezpečenia. Ak používate e-mailovú službu Exchange Online, zvážte implementáciu spoľahlivého riešenie zálohovania dát pre Microsoft 365 na ochranu pred možnou stratou alebo poškodením údajov.

Ako môžem rozpoznať phishingové útoky a vyhnúť sa im?

Hoci na prvý pohľad môžu vyzerať presne ako skutočné e-maily, v skutočnosti existuje niekoľko znakov podvodných správ, vďaka ktorým ich možno ľahko rozpoznať. Najcharakteristickejšou z nich je, že naliehavo žiadajú o osobné alebo finančné informácie a vyhrážajú sa, že ak im nevyhoviete, môžete čeliť vážnym následkom.

Keď dostanete takýto e-mail (napríklad od vašej banky), mali by ste si najprv overiť, či je e-mail odosielateľa správny - zločinci zvyčajne používajú e-maily, ktoré sa podobajú na renomované domény, ale majú jeden alebo viac rozdielov (napríklad iné názvy domén).

Ak má e-mail pravopisné alebo gramatické chyby alebo logo nevyzerá správne, malo by to tiež vzbudiť vaše podozrenie.

Čo je to viacfaktorové overovanie a prečo by som ho mal používať pre e-mail?

Viacfaktorové overovanie (MFA) pridáva e-mailovému kontu ďalšiu úroveň zabezpečenia tým, že počas prihlasovania vyžaduje dva alebo viacero rôznych typov overovacích faktorov. Napríklad heslo a jednorazový overovací kód, potvrdenie z dôveryhodného zariadenia alebo skenovanie odtlačku prsta.

Používanie funkcie MFA výrazne znižuje riziko, že niekto získa prístup do vašej e-mailovej schránky, aj keď bude vaše heslo kompromitované.

Existujú nejaké špecifické postupy zabezpečenia e-mailov pre podniky?

Vytvorenie zásad kybernetickej bezpečnosti pre firemné e-mailové kontá a pravidelné školenia zamestnancov o bezpečnosti sú skvelým spôsobom, ako zabezpečiť, aby všetci zamestnanci vedeli, ako môžu chrániť svoje kontá a zariadenia pred kybernetickými hrozbami.

V zásadách môžete uviesť, ako si môžu vytvárať silné heslá, kedy a ako môžu používať súkromné zariadenia na prácu alebo aké sú usmernenia pre otváranie prijatých príloh.