Detta tips

... handlar om var du kan kolla om din epostadress kan varit exponerad vid ett dataintrång och några enkla tips för ökad säkerhet när du registrerar dig, får mystiska mail mm.

Bildkälla.

En artikel jag läste i aug är fortfarande intressant. Så ett litet kort tips om den!

Det har upptäckts ännu en enorm driva av hackade adresser och inloggningsuppgifter flytandes omkring på internet. Denna gång är det en spambot som har kommit över flera drygt sju miljoner epostadresser och som i aug fortfarande inte hade stängts ner.

Lyckligtvis finns det en webbsite för att kolla om du är med på listan: Have I been pwned?

Have I been pawned

Tipset idag är alltså att lite då och då gå in på webbsiten https://haveibeenpwned.com/ och söka på dina epostadresser och se om de är med i de kända intrång som gjorts. Det finns massor med webbsiter där registrerade användarnamn, lösenord, epostadresser, namn, adress, kreditkortsnummer, datingpreferenser på otrohetssiter, medicinsk information och andra känsliga uppgifter kan ha läckts. Ibland är det bara epost som läckts, ibland är det allt jag nyss nämnde.

Have I been pwned innehåller (idag) 4,7 miljarder konton som har läckts i de hundratals intrång som gjorts. Bra resurs! Du ser en lista där på stora hack.

Artikeln från aug, innehåller denna skärmdump från twitter där ägaren till HaveIBeenPwned berättar att detta är den största listan hitills:

sitens agare pa twitter storsta hacket hitills

 

Artikeln från publikationen IFLScience.

If Your Email Address Is On This List, Change Your Password Right Now

http://www.iflscience.com/technology/if-your-email-address-is-on-this-list-change-your-password-right-now/

IFLScience är förresten en rätt bra sida, man kan följa dem på Facebook, Webben och Twitter.

Säkerhetstips (ungefär samma som tidigare)

Catch-all-adresser/alias:

flaticon

Om du kan ha en epostadress som är din egen domän med en catch-all-adress (dvs vad man än skriver före @-tecknet så kommer det till dig), så kan du använda detta för att registera dig på webbsiter.

Om jag tex registrerar mig på Yahoo, så uppger jag Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den.. Om jag fyller i en namninsamling uppger jag namninsamlingens webbadress + @mammals.se. Om jag registrerar mig på ett forum uppger jag forumets webbadress och @mammals.se

Om jag börjar få spam till dessa adresser, som ju är unika för dessa siter/sammahang, vet jag att den kommit på vift och kan blockera allting via regler i epostprogrammet. (Bild från Thunderbird)

spamfilter 

En del webbhotell erbjuder catch-all, men de flesta gör det inte. Med tanke på att det finns inget spam som då inte når dig. :)

Om du har en kontrollpanel på i ditt webbhotellkonto där du kan lägga till ett obegränsat antal alias för din epostadress, så kan du lägga upp nya alias för allt du har registrerat dig på. Det är förstås krångligare men funkar det med. Så här ser detta ut på Loopia.

skapa alias loopias kontrollpanel

 

En annan aspekt på detta med catch-all är att siten haveibeenpawned blir lite svårare att använda, då jag måste kolla var och en av alla mina olika registreringars adresser. Men men, man kan inte få allt.

Olika lösenord på olika siter

internet 1952019 640 

Bildkälla.

Ha även olika lösenord för siter du registerar dig på. Du kan tex ha ett normallösenord som inte är fullt så viktigt och sedan lägga till något varje gång du registrerar dig på en ny site, som är unikt för den siten. Om ditt vanliga lösenord är cykel99 och du registrerar dig på yahoo, kan ditt lösenord vara cykel99#yahoo.com. Reggar du dig på flashback kan ditt lösenord vara cykel99#flashback.info osv osv. Fördelen med det är att dina inloggningsuppgifter på en site, inte kan användas på en annan site.

En metod som hackare har använt är att om de vet att en IT-chef på ett stort företag, som tex Sony, även deltar i diskussioner på ett forum, eller har ett konto på andra ställen, så är det vanligt att denna person har samma inloggningsuppgifter på de andra ställena som han har på jobbet. Alltså, kan man knäcka säkerheten på de sämre skyddade siterna, kan man komma åt information på den egentliga måltavlan, tex Sony. Så har ett antal hacks begåtts.

Därför används alltså user/pass som har hittats i ett intrång för att försöka tränga in på andra webbsiter då 60% av alla människor har samma inloggningsuppgifter.

Se upp för phishing

Phishingforsok 

Om du får länkar i mail (gärna med stavfel och konstig meningsbyggnad mm som visas i bilden) där du uppmanas att logga in någonstans för att uppdatera, kontrollera något, så försöker man vanligen lura av dig dina inloggningsuppgifter. För att sedan stjäla pengar, göra reklam via ditt konto, stjäla din adressbok osv. Det är dock rätt lätt att se att sådana mail är fake. Se bilden.

Men hur håller jag reda på alla lösenord då? Med Lastpass!

Lastpass

Du kan använda gratistjänsten http://www.lastpasss.com/

 

Lycka till på internet idag!
 
/Ola Andersson
-----------------------------------------------------------------
Detta tips skickades till någon av mina mailinglistor, datum som ovan.
Det har tidigare varit publicerat på mammals.se, och/eller alltommig.nu, och nu (okt 2021) ligger det här på listor.mammals.se.

Mailades 2017-09-20, till bloggen 2018-08-09.