Det kan være vanskelig å forstå verdien av sin egen e-postkonto. “Jeg har ikke noe spennende der, er det så farlig om noen hacker den, da?” Det er først når den har blitt hacket, altså at uvedkommende har fått tilgang til den, at man fullt ut skjønner hvor mye man har lagret der.
Med dette blogginnlegget ønsker vi å demonstrere markedsverdien av en hacket e-postkonto, samt minne om at mange mennesker, personopplysninger og tjenester rammes når enkeltbrukere velger å sikre e-postkontoen sin for dårlig.
Omtrent alle nettbaserte tjenester vil be deg om å oppgi en e-postadresse når du registrerer deg som ny bruker. Den personen som har tilgang til denne e-postkontoen, vil være den som kan endre passordet til alle tjenester hvor denne er oppgitt. Dette skjer som regel ved at man ber om en “sett-nytt-passord-epost”.
Disse nettbaserte tjenestene som baserer seg på din e-postadresse, hvor mye er de egentlig verdt? Kompromitterte kontoer er ikke akkurat notert på Oslo Børs eller NASDAQ, men flere aktører i underverdenen har lagt ut prislister på Internett. Slike prislister gir en viss indikasjon på verdien av ulike tjenester. Her er noen eksempler på hva en enkelt konto kan være verdt:
- iTunes: $8
- Fedex: $6
- Groupon: $5
- Facebook og Twitter: $2.50
Dersom e-postkontoen din ikke er knyttet opp mot noen nettbutikker, har du kanskje oppgitt den til andre typer tjenester som du bruker. En kompromittert e-postkonto kan også brukes for innsamling av e-postadresser til dine kontakter, som igjen kan bli ofre for spam og phishing-angrep. De samme kontaktene kan også motta e-poster fra deg om at du er i et fremmed land, har blitt rundstjålet og trenger penger fra dem.
Hvis du har kjøpt programvare, har du sannsynligvis lisenskoden lagret i en eller annen e-post. Bruker du nettbaserte lagringstjenester som Dropbox, Google Drive eller Microsoft Skydrive for å ha sikkerhetskopier av bilder, musikk og andre filer? Sannsynligvis ligger passordet ditt til disse tjenestene også lagret i en e-post.
Hvis noen “kidnappet” e-postkontoen din, ville du ha betalt for å få den tilbake? Hvis e-postkontoen din ble overtatt av uvedkommende, og var den du brukte som reservekonto for å motta “sett-nytt-passord-eposter” for andre e-postkontoer, hva skjer da? Jo, angriperne vil også kunne overta disse andre e-postkontoene dine.
Hvis du har kommunisert med banken din via e-post, så er det absolutt mulig at angriperne vil forsøke å få overført penger fra din konto ved å utgi seg for å være deg.
Inntil nylig var det flere av de store tjenesteleverandørene på Internett som tilbød lite ekstra sikkerhet annet enn brukernavn og passord. Heldigvis er det flere av dem som nå har innført tofaktor-autentisering for å unngå at brukerne opplever nettopp slike angrep. Gmail, Hotmail og Yahoo er blant de som tilbyr ekstra sikkerhetsmekanismer rundt pålogging. Det samme gjelder Dropbox, Facebook og Twitter.
Selvsagt kan disse ekstra sikkerhetsmekanismene også kompromitteres dersom angriperne får kontroll over PCen din med skadevare (malware). Men sikring av PC er et helt eget tema som ikke får plass i dette blogginnlegget. Du kan imidlertid lese mer om dette i et blogginnlegg av Brian Krebs.
Denne teksten er en oversettelse av et blogginnlegg av Brian Krebs: The value of a hacked email account, som opprinnelig ble publisert 13. juni 2013.