Hackers adoram quando você usa o mesmo e-mail para tudo
Seu endereço de e-mail é sua identidade, portanto, você deve tratá-lo com cuidado. Veja como
Usar o seu endereço de e-mail como nome de usuário se tornou o padrão. Em muitos casos, você simplesmente insere o seu e-mail e escolhe uma senha.
Alguns serviços eliminam totalmente a necessidade de uma senha, permitindo que você se registre usando apenas seu e-mail e um código de uso único enviado para ele.
Outros oferecem a opção de conectar sua conta diretamente à sua identidade do Google ou da Apple.
À medida que navegamos, compramos, nos candidatamos e nos registramos em vários serviços, nosso endereço de e-mail silenciosamente se torna nossa identidade em todos os lugares, desde plataformas de compras até bancos e viagens.
Com o tempo, cada vez mais de nossas atividades começam a apontar de volta para uma única conta.
Embora tudo isso pareça conveniente, há um problema do qual frequentemente nos esquecemos.
Nosso e-mail não é apenas um ponto de acesso. Ele guarda informações confidenciais sobre nós, tanto no que recebemos quanto no que enviamos, e está vinculado a muitos, senão à maioria, dos serviços que usamos.
Dependemos dele para receber códigos de uso único, confirmar ações e redefinir senhas. É também onde nos comunicamos com contadores, gerentes de banco, médicos e outros prestadores de serviços, além de ser usado para comunicação pessoal.
Com o tempo, isso transforma nosso e-mail em algo mais do que apenas mais uma conta. Ele se torna um ponto central de acesso, conectado a múltiplas partes de nossas vidas.
O SEU E-MAIL É A SUA IDENTIDADE
Toda vez que você usa o seu e-mail para fazer login em um serviço, está conectando outra conta diretamente a ele. Com o tempo, mais e mais serviços se tornam vinculados a essa mesma identidade, e o seu e-mail se transforma no lugar que conecta todos eles.
Como resultado, uma única conta de e-mail acaba controlando o acesso a muitas contas diferentes, em serviços que não têm nenhuma relação entre si.
Se alguém obtiver acesso ao seu e-mail, poderá usar fluxos padrão, redefinições de senha, confirmações de login e e-mails de verificação para acessar esses serviços conectados.
Além disso, a pessoa ganha acesso a uma grande quantidade de informações pessoais, incluindo registros médicos, detalhes financeiros, endereços, contatos e comunicações privadas.
Uma busca direcionada pode revelar padrões, trazer à tona dados sensíveis e até ajudar a identificar possíveis senhas ou construir caminhos de ataque mais eficazes.
A AMEAÇA DE UM E-MAIL COMPROMETIDO É REAL
Recentemente, uma pessoa entrou em contato conosco após ser notificada pela operadora do seu cartão de crédito sobre uma cobrança fraudulenta.
Como consultores de cibersegurança, frequentemente auxiliamos na investigação de uma ampla gama de incidentes cibernéticos.
Isso não é incomum. Fraudes com cartão de crédito acontecem o tempo todo, seja por roubo físico do cartão ou pela exposição dos dados na internet. Mas o que chamou a atenção neste caso foi a origem da cobrança.
A transação estava vinculada a uma cidade onde a pessoa havia morado cerca de um ano antes, referente a um ingresso de show de alto valor comprado por meio de um site que ela não reconheceu de início.
Após investigar, ela percebeu que já havia usado aquele site uma vez no passado e tinha se esquecido disso.
Por fim, descobrimos que ela havia feito login lá anteriormente usando seu e-mail e um código de uso único, que é uma prática muito comum. Não há senha para lembrar, não há conta para gerenciar, apenas um login rápido que leva direto à compra.
Assim que conectamos a atividade a esse método de login, o foco mudou para o e-mail dela.
Se alguém pudesse acessar o seu e-mail, fosse por meio de uma senha comprometida ou burlando fluxos padrão de recuperação, poderia solicitar um código de login e entrar na conta sem precisar de mais nada.
Perguntamos se a conta de e-mail tinha a autenticação multifator ativada, mas ela não estava familiarizada com o conceito. Naquele momento, a preocupação já não era apenas o cartão de crédito.
O e-mail continha anos de informações, endereços anteriores, detalhes financeiros, serviços utilizados e comunicações em andamento. Era o suficiente para mapear suas atividades e identificar alvos adicionais.
Também é muito provável que o endereço de e-mail dela tenha aparecido em vazamentos de dados anteriores. Isso é comum e permite que os invasores conectem um endereço de e-mail a múltiplos serviços e direcionem seus esforços.
Para manter as suas contas seguras, vale seguir as práticas elencadas a seguir:
USE AUTENTICAÇÃO MULTIFATOR
Os profissionais de cibersegurança não conseguem enfatizar o suficiente a importância da autenticação multifator (MFA).
Isso se aplica primeiramente à sua conta de e-mail, mas não deve parar por aí. Qualquer conta da qual você dependa, especialmente aquelas vinculadas a informações financeiras, pessoais ou sensíveis, deve estar com o recurso ativado.
Muitas pessoas hesitam em ativar a MFA porque não querem vincular seu número de telefone à conta. Essa é uma preocupação válida.
A abordagem recomendada é usar um aplicativo de autenticação, como o Google Authenticator, Microsoft Authenticator ou aplicativos semelhantes.
Ele gera códigos de uso único no seu próprio dispositivo e não depende do seu número de telefone.
Embora a configuração possa parecer estranha no início, é um processo que se faz uma única vez, e existem muitos guias simples que explicam o passo a passo.
Uma busca simples como "como configurar um aplicativo de autenticação" guiará você pelo processo e explicará a lógica por trás dele. Faça isso uma vez e ficará fácil aplicar em todos os outros lugares.
USE MÚLTIPLAS CONTAS DE E-MAIL
Usar o mesmo e-mail em todos os lugares unifica tudo em uma única identidade, embora os serviços que você usa não sejam todos iguais.
Alguns serviços têm um peso real, outros são menos importantes e alguns são simplesmente descartáveis. A melhor prática é usar diferentes contas de e-mail com base na sensibilidade, criando seu próprio sistema de qual e-mail usar dependendo do serviço.
Independentemente de como você escolha estruturar isso, deve ativar a autenticação multifator em todas as contas.
SEJA INTENCIONAL COM LOGINS DE UM CLIQUE
Opções como "Continuar com o Google" ou "Continuar com a Apple" permitem que você conecte sua identidade instantaneamente e pule totalmente a criação de uma conta. Embora convenientes, elas não devem ser o padrão para todos os serviços.
Quando você usa essas opções, não está apenas fazendo login. Está concedendo ao serviço acesso a partes da sua conta.
Isso pode incluir seu nome, endereço de e-mail, foto de perfil e, às vezes, seus contatos ou outros detalhes do perfil.
Não pule a tela de permissões; reserve um momento para revisar quais informações estão sendo solicitadas antes de aprovar a conexão.
SE VOCÊ ADMINISTRA UMA EMPRESA, CONSIDERE FAZER ISTO
Para donos de empresas, é aconselhável orientar os funcionários a não usarem suas contas corporativas para nada que não seja relacionado ao trabalho.
Vimos muitos casos em que endereços de e-mail corporativos aparecem em bancos de dados de vazamentos populares.
Os funcionários tendem a usá-los para serviços pessoais, o que pode atrair atenção extra para o domínio da sua empresa como um alvo.
USE UM GERENCIADOR DE SENHAS
Um gerenciador de senhas é uma ferramenta que armazena e gera senhas para suas contas. Usar um ajuda a simplificar o processo de registro.
Você não precisa inventar senhas exclusivas nem se lembrar delas, enquanto segue as melhores práticas de usar uma senha forte e diferente para cada conta.
A maioria dos gerenciadores de senhas funciona da mesma maneira. Você cria uma senha mestre forte e a ferramenta armazena o restante para você.
Quando você entra em um site, ele pode preencher automaticamente suas credenciais ou sugerir uma nova senha forte ao criar uma conta.
O aplicativo "Senhas" integrado da Apple é um exemplo com o qual muitos usuários já estão familiarizados, ao lado de outros gerenciadores de senhas comumente usados.
A configuração é simples: escolha um gerenciador de senhas confiável, instale-o no seu navegador e no celular e crie sua senha mestre.
A partir daí, comece a salvar seus logins existentes e a atualizar senhas fracas ou reutilizadas à medida que avança.
Como qualquer ferramenta, exige um curto período de adaptação, mas, uma vez implementado, elimina a necessidade de lembrar senhas e melhora significativamente sua segurança geral. Você pode até acabar adorando.
Para donos de empresas: existem planos corporativos que permitem gerenciar e impor práticas de senha adequadas em suas equipes.
Essa é uma maneira prática de treinar os funcionários a usarem senhas de forma segura e reduzir os riscos para o seu negócio.
TENHA CUIDADO COM O QUE VOCÊ ENVIA POR E-MAIL
O e-mail é frequentemente usado para enviar informações confidenciais, documentos, dados financeiros, identificação ou dados pessoais, sem que se pense muito a respeito. Isso cria um risco significativo em múltiplos níveis.
O risco não está apenas do seu lado. Uma vez que você envia algo, perde o controle sobre aquilo. Se a sua conta ou a conta do destinatário for comprometida, essa informação fica exposta.
Quando houver informações sensíveis envolvidas, evite enviá-las em texto simples ou como um anexo comum.
Em vez disso, use um link seguro fornecido pela organização, como um portal para documentos médicos, financeiros ou outros documentos confidenciais, ou pergunte como eles preferem receber arquivos criptografados.
Se essa opção não for oferecida, vale a pena solicitar.
Seu e-mail é, provavelmente, um dos seus ativos mais valiosos. Trate-o com o nível de proteção que ele exige.
— Por Reut Hackmon, fundador do Guidance Group
