Wehe dem Vertrauen. Sogar PEC, die theoretisch hochgepanzerte Certified Electronic Mail, kann verletzt werden. Und wenn wir denken, dass der PEC der Dreh- und Angelpunkt unserer digitalen Identität ist, müssen wir uns Sorgen machen. Wir müssen und können handeln. Durch die Umsetzung einer Verteidigungsstrategie, die jedoch alle elektronischen Mittel berücksichtigen muss, die sich um unsere PEC drehen.
Das Szenario ist besorgniserregend und die Angriffe nehmen zu
SPID, Electronic Identity Card (CIE) und PEC sollten die erfolgreiche Kombination unserer digitalen Zukunft sein. Oder besser gesagt unseres Digitales Zuhause, da SPID und CIE (in den Plänen der amtierenden Regierung künftig nur Letzteres) dazu dienen, uns zu erkennen und unseren Zugang zu Portalen der öffentlichen Verwaltung und darüber hinaus offiziell zu validieren, während PEC der elektronische Container ist, über den wir uns austauschen können Informationen und Dokumente in einer Art und Weise theoretisch sicher und gepanzert.
Alles auf Ihrem PC (oder Mobiltelefon, oder Tablet), keine Anreise, keine Warteschlangen, maximale Sicherheit und alles sofort verfügbar. Es ist wahr, es ist die Zukunft. Aber die Gegenwart zwingt uns zu einem problematisches Einlaufen. Unsere Gewohnheiten müssen sich anpassen, ändern, modernisieren. Aber Technologien und das Web haben ihre Geister. Und der Weg entgleist manchmal. Hacker, Spione, Diebe von Daten, Identitäten und – wenn sie so wollen – unseres Eigentums. Die Nachrichten sind voll davon. Tatsache ist, dass es unser digitales Zuhause ist gefährdet.
Die Nachricht aus der Presse und im Internet ist frisch, dass in den letzten Tagen viele italienische Spid-Benutzer von Hackern angegriffen wurden, denen es glücklicherweise nur gelang, (wie sensibel auch immer) Daten der Eigentümer und nicht die Zugangsdaten zu stehlen. Allerdings sind die Zugangsdaten für jedermann durch ein System zwingend geschützt Zwei-Faktor-Validierung über unser mittlerweile untrennbares Smartphone. Und nur auf dem, speziell für diese Einsätze validierten.
Für die PEC ist die Sache anders, heikler, noch heimtückischer. Aus zwei Gründen. Erstens: Die seit vielen Jahren geltenden normalen PEC-Anwender sind in den meisten Fällen immer noch einem Validierungssystem mit einem einzigen Schritt anvertraut, was jetzt berücksichtigt werden muss rudimentär, das heißt, einfach den Benutzernamen und das Passwort eingeben. Zweiter Grund: PEC ist trotz einiger weiterer Hindernisse vielen Übeln gewöhnlicher E-Mails ausgesetzt.
Ist das, was wir von unserem regelmäßig aktivierten PEC versenden, strikt als „äquivalent“ zum Inhalt eines eingeschriebenen Briefes zertifiziert? Ja. Ist das, was wir bekommen, auch gut? Ja, aber nur, wenn wir wissen, wie wir die Ordnungsmäßigkeit der Zertifizierungen im Zusammenhang mit der Nachricht und der damit verbundenen eingehenden Dokumentation sorgfältig prüfen können. Es scheint kontraintuitiv, aber es ist wahr.
Warum und wie zertifizierte E-Mails Täuschungen enthalten können
Phishing (Betrugsversuche, vertrauliche Daten zu stehlen oder, schlimmer noch, betrügerische Geschäftspraktiken zu kapern), Computerviren (häufig, um an das zu gelangen, was man mit Phishing zu stehlen versucht), alles, um möglicherweise real umzusetzen Identitätsdiebstahl für andere, noch schwerwiegendere Betrügereien. PEC kann nicht als unversehrt betrachtet werden. Tatsächlich kann es unter denselben Übeln leiden, die auch bei gewöhnlichen E-Mails auftreten. Weil es sich vielleicht um eine gewöhnliche E-Mail handelt, die als PEC getarnt ist und uns als solche in unserer PEC-Adresse angezeigt wird, oder weil es sich tatsächlich um eine PEC handelt, die jedoch betrügerisch aktiviert wurde: Auch das kommt vor.
Im ersten Fall nutzt die Täuschung die Möglichkeit aus, dass unser PEC nicht nur auf den Empfang anderer PECs beschränkt ist, sondern auch für den Empfang gewöhnlicher E-Mail-Nachrichten offen ist: eine Option, die praktisch bei allen PEC-Diensten vorhanden ist die Möglichkeit, den einen oder anderen Modus zu wählen. Im zweiten Fall die Verbindlichkeiten Die Angabe der wesentlichen Daten des PEC-Inhabers bei der Aktivierung des Dienstes ist möglicherweise trotz der Zertifizierungsverfahren der Anbieter nicht so streng, wie es obligatorisch wäre. Auch hier kann es einem geschickten Identitätsdieb gelingen, möglicherweise im Namen eines ahnungslosen Bürgers ein scheinbar normales PEC-Postfach zu aktivieren und es für betrügerische Zwecke zu nutzen.
Um nur ein Beispiel zu nennen: Nachrichten, die als zertifizierte E-Mails getarnt sind, sind jetzt zyklisch im Auftrag der Agentur der Einnahmen Sie verlangen die Einzahlung auf ein betrügerisches Konto, vielleicht ein Einwegkonto im Ausland (achten Sie in diesem Fall auf die nicht-italienische IBAN), in den meisten Fällen relativ kleine Beträge, um uns zu veranlassen, sofort zu zahlen, „um nicht darüber nachzudenken.“ es mehr".
Es ist kein Zufall, dass die neuen Verfahren zur Herstellung der „Europäisches“ PEC, d. h. gemeinschaftskonform und interoperabel, sodass der Austausch zertifizierter E-Mail-Nachrichten in ganz Europa möglich ist, bieten Sicherheitsmaßnahmen, die viel strenger und zusätzlich sind als die von normalem zertifiziertem E-Mail-Versand.
Um unser PEC europäisch zu machen, wird die Zwei-Faktor-Authentifizierung mit einer neuen strengen Erkennung der Identität des Eigentümers obligatorisch, wobei ein Verfahren über die SPID oder die CIE aktiviert werden muss. Das Gleiche gilt auch für andere Länder. Ist alles gelöst? Gar nicht. Die Umwandlung des PEC in ein „europäisches“ wird Realität sein verpflichtend erst in den kommenden Monaten Und wenn die italienischen Verfahren zur „Europäisierung“ des PEC ausreichend streng erscheinen, sind wir dann sicher, dass dies auch in vielen anderen Ländern der Fall sein wird? Dann bleibt noch das Problem, dass man normale E-Mails erhält, die im Header vielleicht als zertifizierte E-Mails getarnt sind, mit Fälschungen, die für das fachmännische Auge offensichtlich sind, für weniger aufmerksame Personen jedoch möglicherweise übersehen werden.
So erhöhen Sie die Hürden unserer zertifizierten Post
Eine gute PEC-Verteidigungsstrategie umfasst eine Reihe von kombinierte Aktionen, um die nun seltsamen Vorsichtsmaßnahmen zu ergänzen schützen unser Surfen im Internet und unsere E-Mails kommen an pirati Informatiker.
Erste wir deaktivieren in der Konfiguration unseres PEC-Postfachs den Empfang gewöhnlicher E-Mail-Nachrichten. Zwar geben alle italienischen PEC-Dienste eine spezielle Warnmeldung aus, wenn die eingehende E-Mail nicht selbst von einem PEC stammt, aber in der Verwirrung der eingehenden Nachrichten kann das Problem übersehen werden. Die beste Lösung ist es, den Erhalt regelmäßiger E-Mails abzulehnen. Welchen Sinn hat es andererseits, eine gewöhnliche E-Mail auf dem PEC zu erhalten, wenn wir eine oder mehrere „normale“ E-Mail-Adressen haben, die wir allen unseren Gesprächspartnern zur Verfügung stellen? Der PEC wird für etwas „offizielle“ Nachrichten verwendet und es ist am besten, seine Verwendung nur auf diese zu beschränken.
Zunächst einmal den möglichen Betrug einer scheinbar authentischen PEC erkennen Schauen wir uns das genau an die Herkunftsadresse. Wenn wir auch nur den geringsten Verdacht auf eine Unregelmäßigkeit haben, überprüfen wir zunächst, ob es sich um eine echte Adresse handelt, die tatsächlich dem Absender entspricht. Dazu senden wir wiederum ein PEC mit der Bestätigungsanfrage an die gleiche Adresse und warten auf die Antwort. An diesem Punkt führen wir eine weitere Überprüfung durch, indem wir die PEC-Adresse des Absenders in eine Suchmaschine eingeben, um die Adresse zu überprüfen echte Korrespondenz an einen realen Eigentümer (privat, Unternehmen, Institution, öffentliche Verwaltung), der die Tätigkeit ausübt, mit der er sich präsentiert. Bei Bedarf führen wir einen telefonischen Gegencheck durch.
Natürlich ist die Überprüfung durch unsere Vorsehung manchmal einfach, manchmal weniger. Ein sogenanntes Verkehrsbußgeld kann möglicherweise nicht einfach zu ermitteln sein, möglicherweise liegt der Verdacht einer Fälschung der Zahlungsaufforderung im Namen der Agentur der Einnahmen vor leicht zu erkennen: Dies ist eine gute Gelegenheit, unsere bequem von Ihrem PC aus zu aktivieren Steuerschublade, sofern wir dies noch nicht getan haben, folgend eines der Tutorials vorgeschlagen von FIRSTonline.