Zbytnie poleganie na jednej metodzie anonimizacji
Najczęstszym błędem jest myślenie, że sama usługa anonimowej poczty wystarczy, by ukryć tożsamość. Ludzie wybierają np. ProtonMail czy TorBox i uważają, że to już zapewnia pełne bezpieczeństwo. Tymczasem każdy system ma słabe punkty. ProtonMail, choć szyfrowany, może zostać zmuszony do ujawnienia danych logowania, jeśli otrzyma nakaz sądowy. Tor z kolei bywa podatny na ataki typu timing attack. Rozwiązanie? Warstwy. Korzystaj z VPN przed połączeniem się z siecią Tor, używaj tymczasowych kont mailowych i nigdy nie łącz się z tych samych urządzeń czy lokalizacji.
Warto też pamiętać, że niektóre przeglądarki – nawet te w trybie prywatnym – przeciekają dane typu canvas fingerprinting. Testowano przypadki, gdzie osoby używały Tora, ale jednocześnie logowały się na swoje zwykłe konta społecznościowe, co kompletnie niwelowało ich wysiłki. Oddzielaj życie anonimowe od rzeczywistego radykalnie, inaczej drobny błąd spali całą operację.
Niedbałość w zarządzaniu metadanymi
Nawet jeśli treść wiadomości jest zaszyfrowana, metadane często zdradzają więcej, niż się wydaje. Dane takie jak godzina wysłania, rozmiar załącznika czy styl pisania mogą być wykorzystane do identyfikacji. Jeden z głośnych przypadków dotyczył dziennikarza śledczego, który używał anonimowej poczty, ale za każdym razem wysyłał maile o podobnej porze dnia i z charakterystycznymi błędami ortograficznymi. To wystarczyło, by zespół śledczy powiązał go z kontem.
Jak tego uniknąć? Zmieniaj godziny aktywności, używaj narzędzi do czyszczenia metadanych z plików (np. MAT2 dla dokumentów) i uważaj na styl pisania. Narzędzia jak TAILS OS automatycznie usuwają część metadanych, ale nie wszystkie. Najlepiej pisać maile w trybie offline, a dopiero potem przesyłać je przez odpowiednie kanały.
Ignorowanie kontekstu technicznego
Wiele osób zapomina, że anonimowość poczty to nie tylko oprogramowanie, lecz także sprzęt i nawyki. Przykład? Wysyłanie maili z tej samej kafejki internetowej co zwykle albo korzystanie z publicznego Wi-Fi, do którego już kiedyś logowano się z prywatnego konta. Albo – co częste – używanie smartfona do anonimowej komunikacji, mimo że urządzenie ma wbudowany GPS, numer IMEI i dziesiątki innych identyfikatorów.
Rozsądnym rozwiązaniem jest oddzielny laptop przeznaczony wyłącznie do takich działań, najlepiej z czystym systemem typu TAILS uruchamianym z pendrive’a. Telefon? Tylko specjalnie przygotowany, bez kart SIM i z usuniętymi modułami lokalizacyjnymi. I oczywiście fizyczna ostrożność – kamery miejskie rozpoznają twarze sprawniej niż kiedykolwiek.
Używanie słabych haseł i brak uwierzytelnienia dwuskładnikowego
Paradoksalnie, ludzie często dbają o zaawansowane metody szyfrowania, ale potem zabezpieczają swoje anonimowe konta hasłem qwerty123. Jeśli ktoś zhakuje serwer pocztowy (a nawet najlepsze padają ofiarą ataków), słabe hasła otwierają drogę do danych. W 2020 roku wyciek z anonimowej platformy ujawnił setki użytkowników właśnie przez powtarzanie tych samych haseł co na innych kontach.
Dlatego zawsze: generator haseł typu KeePassXC, unikalne hasło dla każdej usługi i uwierzytelnianie dwuskładnikowe (2FA) – choć tutaj uwaga! Nie SMS, tylko aplikacje typu Authy lub nawet lepiej: klucze sprzętowe YubiKey. Pamiętaj, że niektóre metody 2FA wymagają podania numeru telefonu, co od razu niszczy anonimowość.
Przesadna pewność siebie i brak testów
Działa? To znaczy, że jest bezpieczne – to podejście wielu użytkowników. Tymczasem większość błędów wychodzi dopiero pod presją. Zanim wyślesz coś ważnego, przetestuj swój system. Wyślij maile testowe do zaufanego konta i sprawdź, jakie dane wyciekają. Użyj narzędzi takich jak Wireshark do monitorowania ruchu lub Mailvelope do analizy nagłówków.
Niektórzy hackerzy robią tzw. dry runs – symulują atak na samych siebie, by znaleźć luki. Jeśli nie wiesz, jak to zrobić, przynajmniej przeczytaj raporty z błędów innych. W 2019 roku popularna platforma PrivNote miała lukę, która pozwalała przejąć notatki przez prosty skrypt. Wystarczyło śledzić fora techniczne, by się przed tym uchronić.
Anonimowość to proces, nie stan. Każdy błąd może być kosztowny, ale świadomość słabych punktów pozwala ich uniknąć. Nie chodzi o paranoję, tylko o wyrobienie nawyków, które stają się drugą naturą. I jeszcze jedno: czasem najlepszą anonimową pocztą jest ta, której w ogóle nie wysłano.
