Si emailurile se violeaza

Iniþiere în afaceri online, episodul 23
"Cineva mi-a spart contul de email !" E o acuzaþie pe care o auzim din ce în ce mai des în ultima perioadã. Foarte puþini oameni ºtiu cum sã reactioneze atunci când au certitudinea cã o altã persoanã le acceseazã emailurile. Din pãcate, printre oamenii care nu ºtiu sã reacþioneze se aflã ºi autoritãþile publice îndrituite de lege sã rezolve astfel de probleme. În articolul de astãzi, analizãm fenomenul "email hacking" sau accesul neautorizat la conturile de email ale unor utilizatori de internet.
Av. Alin Popescu

Existã multe categorii de utilizatori ale cãror conturi de email sunt predispuse la încercãri de acces neautorizat. Pentru fiecare categorie în parte, citirea emailurilor poate produce consecinþe diferite: concedierea, divulgarea unor informaþii confidenþiale, etc.

Tentaþiile angajatorilor
De regulã, mulþi angajatori sunt tentaþi sã le citeascã emailurile propriilor salariaþi, din dorinþa de a evita scurgerile de informaþie. Din pãcate pentru ei, patronii nu pot sã se foloseascã de astfel de informaþii chiar dacã reuºesc sã le obþinã. Chiar dacã ar avea cunoºtinþã de fapte ale angajaþilor în urma citirii mesajelor acestora, ar fi foarte greu sã-ºi dovedeascã acuzaþiile. Motivul: nu se pot folosi în instanþã de probe prelevate prin sãvârºirea unor infracþiuni (violarea secretului corespondenþei).

Codul Penal, prin intermediul art. 195, precizeazã: " Deschiderea unei corespondenþe adresate altuia ori interceptarea unei convorbiri sau comunicãri efectuate prin telefon, telegraf sau prin alte mijloace de transmitere la distanþã, fãrã drept, se pedepseºte cu închisoare de la 6 luni la 3 ani.". Legea nr. 161 din 2003, în capitolul III, dedicat prevenirii ºi combaterii criminalitãþii informatice, sancþioneazã, de asemenea, "interceptarea, fãrã drept, a unei transmisii de date informatice care nu este publicã ºi care este destinatã unui sistem informatic, provine dintr-un asemenea sistem sau se efectueazã în cadrul unui sistem informatic". Fapta mai sus menþionatã constituie infracþiune ºi se pedepseºte cu închisoare de la 2 la 7 ani.

Rãmâne, bineînteles, posibilitatea angajatorului sã "caute motive" salariatului cu pricina pentru a-l determina pe acesta sã renunþe la locul sãu de muncã. În România unii anajatori prevãd chiar în regulamente de ordine interioarã obligaþia propriilor salariaþi de a accepta scanarea emailurilor personale. Considerãm cã o astfel de practicã este la limita legalitãþii ºi poate avea, în cazul folosirii emailurilor ca probã în instanþã, consecinþe diverse în funcþie de modul în care este redactat regulamentul în cauzã.

Love bytes
Potrivit statisticilor, mulþi oameni încearcã deseori sã acceseze contul de email al partenerilor de viaþã. In unele cazuri, emailurile unui cuplu pot deveni posibile probe pentru un viitor proces de divorþ. Cel puþin la nivel personal, emailurile pot declanºa dorinþa unui utilizator de a-ºi pãrãsi partenerul de viaþã. În instanta însã, un email nu este suficient. Acelaºi articol 195 al Codului Penal limiteazã prezentarea în justiþie, ca probe, a unor emailuri compromiþãtoare. Nimeni nu se poate folosi de probe prelevate ca urmare a sãvârºirii unei infracþiuni.

Uite parola, nu-i parola
Pãstrãm în conturile noastre de email oportunitãþi de afaceri, adrese, numere de telefon, planuri personale ºi multe alte informaþii. Într-un fel, e ca ºi cum am avea o bibliotecã plinã cu dosare confidenþiale. La un moment dat, informaþiile respective sunt fãcute publice, fãrã ca noi sã ne explicãm în ce fel s-a realizat acest lucru. Cum sã reacþionãm în astfel de situaþii? Cui sã ne adresãm mai întâi? Fapta respectiva este o infractiune, iar cercetarea ei este de competenta politiei si a procurorului. Totuºi, vã sfãtuim ca, înainte de a merge la poliþie, sã încercaþi sã gândiþi logic.

Cele mai multe servicii de email ne atenþioneazã chiar de la înregistrare. "Contul dumneavoastrã de email va fi protejat prin intermediul unei parole. Vã sfãtuim sã nu dezvãluiþi nimãnui aceastã parolã. Noi nu suntem rãspunzãtori pentru consecinþele dezvãluirii parolei." Toate serviciile de email vã prezintã acest text din cel putin douã motive.

În primul rând, statistic vorbind, cele mai multe accesãri neautorizate ale unor conturi de email se fac de cãtre persoane care au aflat parola contului, direct sau indirect, chiar de la proprietarul acestuia. Textul de atenþionare are în acelaºi timp ºi o altã valoare: unii furnizori de email declarã cã nu e treaba lor sã ancheteze astfel de cazuri. În situaþia în care utilizatorul reclamã la furnizorul serviciului de email faptul cã s-a produs o accesare neautorizatã a contului sãu, va primi un rãspuns clasic deja: "Probabil cã aþi dezvãluit parola contului. Din pãcate nu putem face nimic sã vã ajutãm".

Fãrã soluþii minune
În fata unui astfel de raspuns, ar trebui sã ºtiþi sã reacþionaþi. Fapta în sine se probeazã foarte greu. Pentru început, ar trebui sã înþelegeþi câteva lucuri esenþiale despre lumea hackerilor. Nu existã un program minune care dã accesul direct ºi imediat la un cont de email. Cu ani in urmã, se folosea metoda forþei brute, prin intermediul cãreia se încercau miliarde de parole pânã când se gãsea parola potrivitã. Acum, marea majoritate a furnizorilor de servicii de email au implementat soluþii de securitate care blocheazã accesul la contul respectiv în momentul în care se introduce o parolã greºitã de mai multe ori la rând.

Existã ºi situaþii în care accesul neautorizat la un cont de email poate fi dovedit extrem de simplu. Dacã s-a folosit o metodã care �lasã urme�, acestea ar trebui sã poatã fi prelevate (dacã nu cumva au fost ºterse de atacatori) prin intermediul rapoartelor de trafic înregistrate de serverul de email. Se poate afla, spre exemplu, adresa IP a computerului de la care s-a realizat accesul, urmând ca ulterior, pe baza unui mandat emis de autoritãþile competente, sã se identifice cât mai exact computerul-suport al infracþiunii. În cazul fericit în care computerul este al unui utilizator casnic, lucrurile pot evolua, în sensul identificãrii fãptuitorului. Aceste situaþii sunt însã extrem de rare.

De regulã, avem de-a face cu atacuri puse la cale din cafenele internet (infractori mai puþin inteligenþi) sau cu atacuri realizate prin intermediul unor computere zombie, controlate de la distanþã.

Ce se întâmplã în realitate
Politia este greu de impresionat. Pe bunã dreptate uneori, pentru cã multe persoane strigã mai întâi "Hoþul !" ºi ulterior îºi aduc aminte cã au dezvãluit chiar ele parole de acces. La fel de celebre sunt situaþiile in care primul poliþist pe care partea vãtãmatã îl întâlneºte nu înþelege care este infracþiunea reclamatã. O astfel de atitudine este de naturã sã descumpãneascã utilizatorul lezat. Din pãcate, efectivele actuale ale Politiei Romane sunt departe de a acoperi cerinþa tot mai mare de oameni pregãtiþi, care sã preia ºi sã investigheze astfel de fapte.

În situaþia conturilor gratuite de email, gãzduite de obicei pe servere celebre din strãinãtate: Gmail.com, Yahoo.com, lucrurile se complicã ºi mai tare. În aceste cazuri, problemele abundã atunci când este nevoie sã se dovedeascã accesul neautorizat. Utilizatorul trebuie sã-ºi probeze calitatea de "proprietar" al contului pentru a putea reclama accesul neautorizat. În anticiparea acestui moment, este util (deºi nu suficient întotdeauna) sã completaþi toate câmpurile formularului de înregistrare (adresa alternativã de email, întrebarea secretã, rãspunsul secret, etc.). În unele cazuri, faptul cã utilizatorul ºtie ce informaþii a completat la înregistrare este echivalent cu recunoaºterea calitãþii sale de "proprietar" al contului. O problemã cu mult mai gravã este nepãsarea marilor servicii de furnizare de email. Uneori, cererile utilizatorilor sunt ignorate ºi aceastã situaþie se continuã prin lipsa de cooperare dintre furnizori si autoritãtile care ancheteazã astfel de cazuri.

Reþineti aºadar cã parola contului de email ar trebui sã vã fie cunoscutã doar dumneavoastrã. Dacã o dezvãluiþi, trebuie sã vã asumaþi consecinþele.


Verificati numele de domeniu
În ultimele luni, aflarea parolei de acces la un cont de email se face prin intermediul siteurilor clonã. Utilizatorul primeºte un email care conþine un link pe care este invitat sã îl urmeze pentru a-si accesa propriul cont de email. Siteul pe care îl acceseazã este însã o clonã a furnizorului de email (simpla analizãa a numelui de domeniu este de naturã a demasca înºelãtoria), iar informaþia introdusã de utilizator este transmisã cãtre persoanele care au realizat siteul.

Trimite banii ºi ai parola
O altã înºelãtorie cunoscutã este "trimite banii ºi ai parola". Utilizatorul este atras de un anunþ tentant, publicat pe diferite websiteuri, prin care i se explicã faptul cã, în schimbul unei sume modice poate sã beneficieze de serviciile unui expert în "ecuperarea parolelor" de email. Dupã ce se face plata serviciului însã, expertul dispare, iar utilizatorul este pus în faþa faptului împlinit. Nu poate anunþa autoritãþile pentru cã tocmai a solicitat unei alte persoane sã facã o infracþiune.