10 zásad ochrany před phishingem

Úspěšný útok

Alespoň stručně se zmíním o útoku, který z několika našich uživatelů vylákal přístupová jména a hesla. Pokud se nechcete trochu pobavit na cizí účet a zajímají vás jen slíbené zásady, směle pokročte k další části. Rozhodně se nejednalo o první rhybaření v našich vodách, nejstarší pokusy jsme zaznamenali počátkem srpna 2008. Ovšem na dopisy v angličtině či pseudočeské věty typu „Neučiníte-li to bude okamžitě učinit svou e-mailovou adresu deaktivován z naší databáze.“ samozřejmě nikdo nezabral.

Ani tentokrát nebyla jazyková úroveň zdaleka stoprocentní. Trochu mě uráží, že by si někdo takový dopis mohl spojovat se skutečnou správou sítě, nicméně zjevně se tak stalo a jak je vidět, alespoň trochu příčetná čeština k úspěchu stačí. Dopis s titulkem „www.tul.cz email attachment“, který dorazil v polovině března, obsahoval následující:

TUL

Ahoj,

Vzhledem k naší nové SECURTY aktualizace a odstranění všech nepoužitých účtů budete muset potvrdit svou e-mailu se přihlásíte ke svému účtu. Rádi bychom také vypnout všechny nepoužívané účty.

Co musíte udělat:

1. Přihlaste se ke svému účtu na adrese https://webma­il.tul.cz/hor­de/imp/login.php, kliknutím na URL.

2. Zadejte své uživatelské jméno a heslo.

3. Po přihlášení do nové bezpečnostní profil bude aktualizová na na váš účet.

Poté postupujte podle pokynů v dopise, bude váš účet nebude přerušena a bude pokračovat jako obvykle. Děkuji za vaši pozornost k této žádosti. Omlouváme se za způsobené nepříjemnosti.

Přihlaste se prosím ke svému účtu okamžitě a nadále používat jako normální účet a zároveň se těší naše nové aktualizace zabezpečení.

https://webma­il.tul.cz/hor­de/imp/login.php
Webmaster.
https://webma­il.tul.cz/hor­de/imp/login.php

Dopis byl v HTML, odkazy v něm zmiňované byly aktivní a samozřejmě vedly na pirátský server. Ten naprosto věrně imitoval vzhled skutečného univerzitního webmailu a po zadání jména a hesla uživatele přesměroval na pravý webmail. Pro nepříliš podezíravé oko vypadal zcela důvěryhodně.

Dopisů bylo rozesláno zhruba 600, několik málo uživatelů (většinou z administrativy) zareagovalo a poskytlo své přístupové údaje, přestože jsme se snažili co nejrychleji zablokovat přístup k serveru a rozšířit informaci o nebezpečí. Následovalo několik dnů hry na kočku a myš, kdy jsme zaváděli různá ochranná opatření a útočník je obcházel.

Účty byly zneužity k šíření spamu – vždy jednou denně, pokaždé s jiným účtem. Osobně mě poněkud překvapilo, že k rozesílání využíval webmailové rozhraní místo přímé SMTP komunikace. Přicházel z různých adres (Afrika, Španělsko) a na omezení reagoval dost inteligentně. Zdálo se, že rozesílání řídí člověk, který najde cestu a následně spustí distribučního robota.

Jak se chránit

Pokud si nechcete zahrát jednu z předních rolí v podobné historce, přinášíme vám několik zásad, jak se chovat při příchodu podezřelého dopisu:

1. Nebuďte důvěřiví a nenechte se oklamat tím, že dopis vypadá věrohodně. Počáteční pokusy byly hodně naivní, ale podvodníci se stále zlepšují. Působit „opravdově“ je základem jejich úspěchu.

2. Pokud dostanete mail, ve kterém správa sítě či nějakého informačního systému požaduje zadání uživatelského jména a hesla či jiných důvěrných údajů (číslo platební karty, číslo účtu a podobně), například za účelem obnovení či prodloužení účtu, skoro jistě jde o podvrh. Buďte vůči němu maximálně ostražití.

3. Hledejte příznaky podvodného dopisu uvedené v následující části. Pokud některý najdete, podle vlastního uvážení dopis buď smažte nebo nahlaste správcům systému, za který se vydává.

4. Zadejte do vyhledávače věc (subjekt) dopisu. Podvodníci opakují úspěšné triky a možná už se o podobných dopisech ví.

5. Pokud stále máte pocit, že by dopis mohl být pravý, ověřte si jej z jiných zdrojů. Podívejte se na web příslušné instituce, případně zavolejte na zákaznickou linku. Pokud by skutečně probíhala akce apokalyptických rozměrů (masové obnovování hesel), jistě bude oznamována všemi možnými cestami.

6. Nikdy nepoužívejte kontaktní informace z dopisu. Odkazy bývají falešné (vedou jinam než se zdá), používají se drobné triky typu adresa odesilatele (zobrazovaná poštovními klienty) odlišná od adresy pro odeslání odpovědi a podobně. Neklikejte na odkazy, neodpovídejte na dopis.

7. Chcete-li kontaktovat danou instituci, používejte adresy, které znáte. Napište ručně do svého prohlížeče známou adresu webu, vyberte ji ze svých záložek nebo si ji nechte vyhledat svým obvykle používaným vyhledávačem. Na stránkách si dohledejte kontakty – telefonní čísla či mailové adresy.

8. Nestyďte se zeptat. Domníváte-li se, že je žádost reálná, neváhejte obrátit se na zákaznickou podporu a ověřit si ji. Je lepší ztratit trochu času nadbytečným dotazem, než komplikovaně řešit následky poskytnutí citlivých údajů podvodníkovi.

9. Nenechte se vystresovat. Pokud by prodloužení účtů, změna přihlašovacího mechanismu apod. byly skutečné, uživatelé rozhodně budou informováni s velkým předstihem, aby měli dostatek času na provedení příslušných úkonů. Nenechte se vyprovokovat k unáhleným rozhodnutím.

10. Jestliže naletíte, snažte se co nejrychleji minimalizovat škody. Změňte si heslo (standardní cestou!). Pokud jde o peníze, okamžitě kontaktujte danou finanční instituci, ohlaste incident a ve spolupráci s ní se pokuste zmírnit dopady. V tomto případě je třeba jednat rychle.

Pokud se budete držet těchto zásad, snad se vyvarujete problémů. Zaručit se samozřejmě nedá nic – pohybujeme se na půdě manipulací a psychologických hrátek, kde nelze vymezit pevné obrysy.

Jak poznat podvodný dopis

Rozpoznání podvodného dopisu za vás nedokáže udělat žádný program. Ten nanejvýš upozorní, že cílová adresa odkazu je v databázi neseriózních. Rozhodnutí, zda určitý dopis je či není pravý, za vás nikdo neudělá. Zde přinášíme několik typických příznaků, podle nichž lze poznat podvodný dopis.

       

• Jazykové problémy. Píše vám česká instituce anglicky? Je jazyková úroveň bídná, zjevně text nepsal rodilý mluvčí? Pak je to podvod.

• Falešné odkazy. Najeďte kurzorem na odkaz uvedený v dopise. Poštovní klient zobrazí (zpravidla ve stavovém řádku v dolní části okna) cílovou adresu, na niž odkaz skutečně vede. Pokud se liší od adresy napsané v dopise, je to podvod.

• Zasílání důvěrných informací mailem. Elektronická pošta nebývá šifrována a nikdo seriózní nebude chtít, abyste mu posílali důvěrné informace v otevřené podobě. Pokud po vás dopis požaduje odeslání jména, hesla apod. elektronickou poštou, je podvodný.

Pokud dopis obsahuje některý z těchto příznaků, zaručeně se jedná o phishing. Opačně to bohužel neplatí, protože dopis může být jazykově v pořádku, nechce informace elektronickou poštou a falešný odkaz může být maskován. Pokud nic nenajdete, je čas na esoteričtější úvahy. Například zda se forma výrazněji neliší od způsobu, jakým s vámi dotyčná instituce obvykle komunikuje (zde stojí za zmínku pravidlo formulované Danielem Dočekalem: banka nikdy nic neposílá e-mailem), zda považujete popsanou situaci za pravděpodobnou a podobně.

Tenhle problém musíme řešit každý sám a spolehnout se můžeme jen na svůj zdravý rozum. Nezapomeňte, nikomu nevěřte. Ani nám ne…