A kiberbiztonság egyre növekvő fontossága mára senkinek nem szabadna, hogy új információt jelentsen.

A téma aktualitását a kéretlen tartalmak és adathalászok ellen kifejlesztett Netpajzs szolgáltatásunk is kiválóan jelzi, emellett Yettel Business Blogon is többször érintett téma magán- és céges felhasználóként is egyre égetőbb. És mivel az internetes kártevők nagy része e-mailen keresztül terjed, egyértelmű, hogy az internetes levelezés kérdését külön cikkben kell tárgyalnunk.

E-mailek és kiberbiztonság

Az internetes biztonság témáját több oldalról körüljártuk már ezen a blogon: a KKV-knek szánt kiberbiztonsági tippjeink után külön írtunk a különféle támadási formákról is, de a kiberbiztonság jövőjét is firtattuk már egy cikkünkben.

2020-ban az interneten továbbított digitális kártevők 94%-a e-mailen cserélt gazdát, így világos, hogy az elektronikus levelezés az internethasználat egyik legsebezhetőbb pontja. Szakértők szerint ez nem független attól, hogy az e-mail az internet egyik “őskövülete”: már az internet elődjéül szolgáló ARPANET-en is elektronikus leveleket küldözgettek egymásnak a korai felhasználók. Mivel ők többnyire egyetemi oktatók, hallgatók és katonák voltak, a rosszindulatú támadások esélye minimális volt.

Azóta viszont, hogy a világháló robbanásszerű fejlődésnek indult és mind többen fértek hozzá, illetve a céges levelezések jó része is a digitális világba költözött, természetes velejáróként jelentek meg a csalók és egyéb kiberbűnözők is az interneten. A növekvő tétek ellenére az e-mailezés ma is nagyjából a régi, vagyis egy titkosítás nélküli, faék egyszerűségű kommunikációs forma, amelynek kifejlesztésekor a biztonság másodlagos volt.

Az e-mailezés biztonsági problémái

Olyan szakértők, mint a titkosított kommunikációt segítő Signalt fejlesztő vállalat vezetője, elsősorban a titkosítás nehézségeit emelik ki, amikor az e-mailezés kiberbiztonsági veszélyeiről beszélnek. Az e-mailek ugyanis főszabály szerint több mint 30 éve titkosítás nélkül vándorolnak feladó és címzett között – arra nézve pedig semmilyen garancia nincs, hogy eközben bárki elolvasta vagy módosította-e azokat.

Ráadásul az sem mindig könnyen megállapítható, hogy egyáltalán ki küldte az e-mailt. Ez a phishing, vagyis az adathalászat elsődleges eszköze: ha például a képzeletbeli ABC Banknál vezetünk folyószámlát, egyáltalán nem lenne meglepő, ha egy fejléces, hivatalos, az azonositas@acbbank.hu címről érkező e-mailben kérnének tőlünk személyes információkat a banki azonosításhoz. Gyakorlott felhasználó legyen a talpán, aki elsőre kiszúrja az egyetlen karakternyi eltérést a küldő e-mail címében, és gyanút fog, hogy talán mégsem hivatalos e-maillel van dolga, hanem rosszindulatú támadók pályáznak a banki adataira.

Hogyan lehetne biztonságosabb az e-mailezés?

Az e-mailek biztonsági célú fejlesztése persze nem lenne technológiailag megoldhatatlan. Ahogy a weboldalak által használt HTTP protokollok helyett is elterjedt a biztonságos, titkosított HTTPS protokoll használata, az e-mailezés ellenőrzése is relatíve egyszerűen kivitelezhető lenne. Az ehhez szükséges technológiák már ma is rendelkezésre állnak.

A biztonsági fejlesztés az e-mailezés három főbb aspektusára fókuszálna:

  1. a feladó hitelesítése egy úgynevezett Sender Policy Framework (SPF, vagy magyarul kiküldői irányelvek keretrendszere) nevű protokoll alapján történhet, így egyértelműen azonosítható lenne, hogy egy e-mailt valóban a megjelölt feladó küldött-e
  2. a titkosított adatátvitelt a ma is használt SMTP protokollok fejlesztése jelentené az MTA-STS protokoll szerint (Mail Transfer Agent-Strict Transport Security, magyarul levéltovábbítási ügynök – szigorú átviteli biztonság)
  3. végül pedig a DKIM (DomainKeys Identified Mail) hitelesítési technika egyfajta digitális aláírásként szolgálna, ami az üzenet érintetlenségét is biztosítaná.

Az egyetlen probléma, hogy az e-mailezés igen erősen decentralizált, az internetezők jelentős többsége (sőt, az internetre kapcsolt szolgáltatások) által is használt eszköz, ami 2023-ra mintegy 4,37 milliárd felhasználót jelent. Bármilyen új biztonsági előírást mindegyiküknek (illetve az általuk használt e-mail szolgáltatóknak) el kéne fogadnia, hogy elindulhasson az átállás egy biztonságosabb protokollra. Mivel azonban nincs egy központi autoritás, aki vagy ami meghatározhatná, milyen biztonsági protokollokat használjunk e-mailezésünkhöz, az átállás nehézkes és lassú folyamat. 

Amíg a biztonságos e-mailezés valósággá válik, nem tehetünk mást, mint hogy kiemelt figyelemmel viseltetünk elektronikus leveleink küldésekor és fogadásakor. Ne bízzunk meg vakon a küldőben és az üzenetben – ellenőrizzük alaposan, hogy valóban attól kaptuk-e az e-mailt, akitől hisszük, és jogos kéréseket fogalmaz-e meg az üzenet. Ezek mellett is tartsuk észben, hogy érzékeny információkat (például bankkártya-adatokat, jelszavakat) soha ne osszunk meg e-mailben, és oktassuk munkatársainkat is a biztonságos e-mailezés mikéntjéről!