Sommario
Non è sicuro inviare via e-mail informazioni bancarie senza una crittografia aggiuntiva. Non dovreste mai inviare via e-mail informazioni personali sensibili senza una crittografia aggiuntiva.
Salve, sono Aaron, un professionista della sicurezza informatica con quasi vent'anni di esperienza nel proteggere le persone e le loro informazioni online. Uso la posta elettronica per molte cose, compreso l'invio di dati sensibili, ma lo faccio in modo sicuro e protetto.
In questo articolo vi spiegherò perché è una pessima idea inviare via e-mail informazioni sensibili in chiaro, cosa potete fare per renderle più sicure e quali sono le alternative per trasmettere questi dati.
Punti di forza
- Le e-mail non sono criptate, sono solo indirizzate a qualcuno.
- Se inviate informazioni non criptate e l'e-mail viene aperta da qualcuno che non è il destinatario previsto, la persona che legge l'e-mail avrà le vostre informazioni.
- Esistono numerose opzioni per inviare informazioni in modo sicuro.
- Valutate sempre il motivo per cui dovete inviare informazioni sensibili e il modo in cui farlo prima di farlo.
Perché è una cattiva idea inviare via e-mail informazioni sensibili in modo non criptato
Come questione fondamentale, discutiamo di come funziona l'e-mail, che evidenzierà perché è una cattiva idea inviare via e-mail informazioni sensibili, come quelle bancarie.
Quando si digita un'e-mail, questa viene digitata in un testo leggibile dall'uomo, o testo in chiaro Ha senso, altrimenti come si fa a sapere cosa si sta digitando?
Poi si preme il pulsante Invia e il provider di posta elettronica di solito avvolge l'e-mail in chiaro in una forma di crittografia chiamata Crittografia Transport Layer Security (TLS) Questo tipo di crittografia utilizza un certificato per creare una connessione convalidata e sicura. Tuttavia, l'e-mail stessa non viene mai crittografata: viene sempre memorizzata in chiaro.
Esistono diversi modi per avviare quello che viene chiamato un Attacco di Man In The Middle che influisce sulla crittografia TLS. Un attacco Man In The Middle è un attacco in cui qualcuno si finge un legittimo destinatario del traffico Internet, registra le informazioni e poi fa passare la comunicazione. Per gli utenti finali, questa può sembrare una connessione affidabile.
Se lavorate per una grande azienda, ad esempio, è molto probabile che decodifichi tutta la crittografia TLS nei suoi firewall perimetrali per valutare se i suoi dati sensibili vengono inviati altrove. È un elemento fondamentale della maggior parte delle soluzioni di Data Loss Prevention (DLP).
Quando si invia un messaggio di posta elettronica, è molto probabile che qualcuno che non è il destinatario diretto possa accedere al testo dell'e-mail. Se si inviano via e-mail informazioni personali sensibili, come i dati bancari, chiunque possa accedere all'e-mail può leggere tali informazioni. Se si tiene alla privacy di tali informazioni, è meglio non inviarle via e-mail in chiaro.
Come si fa a non inviare e-mail in chiaro?
Esistono un paio di modi per trasmettere informazioni sensibili che non sono in chiaro, ma possono rendere più complesso il lavoro che si sta cercando di fare. Se ritenete che questa complessità aggiuntiva sia utile o meno, dipende dal tipo di dati che state inviando e dai rischi di un uso improprio di tali informazioni.
Il vostro destinatario ha un portale web o un'app?
Se vi viene chiesto di trasmettere informazioni sensibili e vi fidate abbastanza del destinatario per inviarle, chiedetegli se dispone di un portale web o di un'applicazione web sicura per caricare le informazioni.
Il destinatario può fornire un'e-mail sicura?
Se il vostro destinatario non dispone di un portale web o di un'applicazione web sicura per l'acquisizione di informazioni sensibili, potrebbe disporre di una piattaforma di posta elettronica sicura come Proofpoint, Mimecast o Zix. Queste piattaforme sicure utilizzano un server crittografato per memorizzare i dati e quindi inviare i link alle informazioni via e-mail. Tali link richiedono l'impostazione di un nome utente e di una password per il server associato al vostro indirizzo e-mail.
In caso contrario, potrebbe essere necessario chiudere la cerniera.
Se il destinatario non è in grado di garantire una trasmissione sicura, potrebbe essere necessario prendere in mano la situazione. Il modo più semplice per farlo è utilizzare un programma come WinRAR o 7zip per comprimere il file e proteggerlo con una password.
Per farlo, scaricate e installate il programma di zippatura che preferite. Io uso 7zip.
Fase 1: fare clic con il pulsante destro del mouse sul file che si desidera zippare. Fare clic con il pulsante sinistro del mouse sul menu 7-zip.
Fase 2: fare clic con il pulsante sinistro del mouse su Aggiungi all'archivio.
Fase 3: inserire una password e fare clic su OK.
Pensate al motivo per cui state condividendo le informazioni
Nel corso della normale vita quotidiana, non dovrebbe essere necessario condividere le proprie informazioni bancarie o dati sensibili simili. A volte, circostanze attenuanti possono richiedere la condivisione di tali informazioni.
Se vi è stato chiesto di condividere questo tipo di informazioni, valutate le circostanze in cui lo avete fatto: state parlando con una fonte fidata con cui dovreste condividere quei dati o state rispondendo a un'"emergenza" per cui siete stati costretti a fornire rapidamente le vostre informazioni?
Fidatevi del vostro istinto: se vi preoccupate di condividere informazioni sensibili, allora non dovreste condividere informazioni sensibili.
Qualsiasi organizzazione legittima che richieda legittimamente informazioni collaborerà con voi per organizzare un trasferimento sicuro di tali informazioni. Chiunque si rifiuti di aiutarvi a convalidare la necessità delle vostre informazioni e di aiutarvi a trasferirle in modo sicuro è probabilmente illegittimo.
Domande frequenti
Esaminiamo alcune domande comuni sulla condivisione di informazioni sensibili online.
È sicuro inviare informazioni bancarie via SMS?
No. Nessuno vi chiederà legittimamente le vostre informazioni bancarie via SMS. Inoltre, sebbene i gestori di telefonia cellulare forniscano connessioni cellulari criptate, è possibile intercettare le informazioni e tutte le informazioni vengono inviate in chiaro (come le e-mail).
È sicuro inviare informazioni bancarie con WhatsApp?
No. Nessuno vi chiederà legittimamente le vostre informazioni bancarie via WhatsApp. Detto questo, WhatsApp ha una crittografia point-to-point, quindi se inviate le vostre informazioni (cosa che non dovreste fare) è improbabile che qualcun altro possa esaminarle.
È sicuro inviare informazioni bancarie tramite Messenger?
No. Nessuno vi chiederà legittimamente le vostre informazioni bancarie tramite Messenger. Anche se Messenger offre una trasmissione criptata, Meta ha costruito il suo business sulla vendita delle informazioni dei suoi utenti. Le sue pratiche commerciali dovrebbero far dubitare seriamente gli utenti di qualsiasi senso di privacy quando utilizzano i servizi della piattaforma Meta.
Conclusione
Non è sicuro inviare informazioni bancarie via e-mail. Se ritenete di doverlo fare, prendete provvedimenti per convalidare la legittimità della richiesta e per proteggere le informazioni in modo che non vengano perse o rubate.
Quali altre misure adottate per proteggere le informazioni inviate via e-mail? Fatecelo sapere nei commenti!