L'e-mail inoltra una pratica completamente non sicura?

Naviga le tue risposte
3

Ad alcune persone piace l'idea di mantenere lo stesso indirizzo email per tutta la vita . Permette un indirizzo e-mail personale e permanente (ad esempio [email protected]) anche quando cambi provider di servizi Internet. Puoi facilmente inoltrarti al tuo nuovo account provider (Comcast, Earthlink, ecc.) O al tuo account cloud (gmail, hotmail, yahoo, ecc.).

Quando fai ciò, ti stai affidando alla sicurezza di due piattaforme (host e destinazione).

Anche se non sono un addetto alla sicurezza, il mio pensiero è che l'inoltro in qualsiasi situazione sia incredibilmente pericoloso. Se un criminale compromette l'account ospite di qualcuno, potrebbe iniziare a hackerare i conti di quella persona. Poteva emettere richieste di recupero password intercettando la corrispondenza che avrebbe allertato la vittima e trasmesso il resto. La vittima non sarebbe stata più saggia da quando avrebbe avuto il suo normale diluvio di email.

Se sono corretto, nessuno dovrebbe utilizzare alcun tipo di inoltro di email.

    
posta Mario 04.11.2016 - 17:25
fonte

3 risposte

3

Hai ragione, ma considera questo:

La maggior parte del traffico di posta elettronica avviene in testo normale. I messaggi di posta elettronica richiedono diversi luppoli mentre vengono indirizzati al server di posta di destinazione. Tutti i router in mezzo possono leggere l'e-mail, se lo desiderano. Ciò include router domestici notoriamente non sicuri che non ricevono mai aggiornamenti di sicurezza.

La ricerca del server di posta di destinazione implica il recupero dei record MX per il nome del dominio. Questo apre un altro luogo di attacchi. Se riesci a convincere il server mittente che sei la destinazione corretta, puoi reindirizzare tutte le email per un dato dominio a te stesso e poi inoltrarle al target effettivo, senza che nessuno se ne accorga a meno che qualche sistema automatico avvisi un amministratore sui record mx modificati.

Puoi facilmente falsificare l'indirizzo del mittente di un messaggio di posta elettronica, che apre varie altre strade dell'ingegneria sociale o spinge la tua vittima in azioni poco sagge perché pensano di agire in base a qualcosa che qualcuno di loro ha detto.

L'e-mail non è sicura, punto. Non vedo come l'aggiunta di un altro livello di riferimento indiretto peggiori ulteriormente la situazione. Esiste già un gran numero di sedi di attacco contro il sistema di posta distribuita senza inoltro di e-mail, persino inserendo l'immagine. Seguendo il tuo argomento, nessuno dovrebbe mai usare e-mail, inoltrato o meno.

Tuttavia, lo facciamo e, nel complesso, consideriamo l'e-mail una preziosa forma di comunicazione. Inoltre, l'inoltro di posta elettronica può effettivamente migliorare la sicurezza, dal momento che è possibile ottenere un tipo molto economico di anonimato minimo registrando gli indirizzi di inoltro di invii, cambiare gli indirizzi di posta elettronica quando il vecchio viene inondato di spam ecc. (Ad esempio, utilizzare l'inoltro in modo opposto - come un indirizzo temporaneo che protegge quello permanente).

    
risposta data 04.11.2016 - 19:32
fonte
1

Sì, ci sono alcuni fattori di rischio come quelli che hai notato con l'account che ripristina le tue credenziali. Se si desidera ridurre l'ambito di sicurezza del proprio account compromesso, è necessario migrare l'account dal vecchio indirizzo e-mail al nuovo indirizzo e-mail. Quindi, il vecchio indirizzo e-mail non avrebbe dovuto gestire informazioni sensibili sull'account. Tuttavia, fare ciò renderebbe il tuo account più rischioso a causa della presenza di tutti i tuoi account su un singolo account di posta elettronica. Quindi, la domanda è: a che livello smetti di preoccuparti della sicurezza? Se qualcuno ha compromesso un sito Web sul quale hai un account o un sito Web che rende visibile il tuo indirizzo email al pubblico? E così via.

Lo spedizioniere ha ancora un buon scopo anche se diciamo amici, parenti o qualcuno che sta cercando di contattarti per convincerli a spostarsi sull'indirizzo e-mail corretto.

    
risposta data 04.11.2016 - 17:51
fonte
0

L'email è un luogo vulnerabile - se è compromessa, le tue password sono effettivamente sparite (usa 2FA!). Devo ammettere che penso che Google sia più sicuro della maggior parte delle aziende, quindi utilizzando Pobox per inoltrarlo, mi sto rendendo almeno un po 'più facile attaccarmi. (Sono l'autore dei link post OP a.)

Ma non sto nemmeno collegandomi a Pobox e la maggior parte degli attacchi di posta elettronica sono interattivi (piuttosto che hackerare l'infrastruttura sottostante del provider di posta elettronica). Ingannarmi nel fare clic su qualcosa da Pobox non succederà perché non è la mia casella di posta attiva, e ingannare me nel loggarmi in un Pobox falso sarà più difficile perché non ho mai bisogno di farlo. Pobox usa 2FA, quindi qualcuno dovrebbe trovare un punto debole nell'implementazione di Pobox, o altrimenti penetrare nei sistemi di Pobox, per poter accedere in modo plausibile al mio account.

Quindi il rischio è diverso da zero, ma non penso sia elevato, e non è certo come raddoppiare o quadrare il rischio di usare una singola casella di posta. Puoi legittimamente scegliere di non inoltrare problemi di sicurezza, ma non penso sia corretto affermare che "nessuno dovrebbe utilizzare alcun tipo di inoltro di email".

    
risposta data 05.11.2016 - 14:59
fonte

Leggi altre domande sui tag

Il certificato CA può essere falsificato a livello di browser? Come posso verificare se alcuni dati sono veramente la controparte decrittografata di una sequenza di byte?