Hlavní navigace

Phishing, který pracuje se strachem

Pavel Houser 17. 4. 2008

Vciťme se tentokrát do opačné role, než v jaké se obvykle u phishingu nacházíme. Jak mají postupovat autoři podvodných e-mailů, aby zasáhli co nejvíce obětí? Mohou apelovat na lidskou lačnost (levné zboží, nigerijské dopisy, „obrázky“ celebrit), mohou se vydávat za důvěryhodnou instituci typu banky nebo dodavatele softwaru, mohou využít nějaké aktuální události a prostě spoléhat na lidskou zvědavost.

Pavel Houser - karikatura

Ilustrace: Nenad Vitas

Pak je zde však další silná emoce, kterou podvodníci dosud nechávali spíše stranou: strach. Nemám na mysli vydírání nebo nabídku různých služeb výměnou „za ochranu“. Nedávno byl v USA proveden velmi úspěšný útok, který se tvářil jako e-mail od soudu. Došel ředitelům řady firem, byl napsán bez jazykových a dalších obvyklých chyb a oznamoval, že se mají seznámit s obviněním, které proti nim bylo vzneseno. Naletělo jich údajně docela dost (podrobnosti o případu SecurityWorld).

Tento případ byl samozřejmě v mnohém specifický. Nešlo o klasický masivní phishing, ale o útok šitý na míru. Taktéž zisk, který to útočníkům přineslo, se těžko vyčísluje – prostě obsah počítačů důležitých lidí. Těžko říct, co rozhodlo o tom, že útok byl tak úspěšný. Můžeme se spolu s komiksem Dilbert či Parkinsonovými zákony posmívat ředitelům všeho druhu. Možné je, že v USA jsou dnes ty všemožné regulační požadavky a „zajištění shody s předpisy“ používány v natolik přebujelé podobě, že pro vedoucí pracovníky představují noční můru a každou druhou noc se jim zdá o soudní obsílce. Ale může to být i prostě tak, že strach je obecně mocná emoce, která alespoň na chvíli zastře kritické uvažování a utopí lidský mozek v panice.

Otázka je, jak by podobný útok dopadl u nás. Nejsme sice zvyklí, že by s námi soudy komunikovaly prostřednictvím e-mailu, ale s elektronizací státní správy se to může změnit. Do té doby si alespoň můžeme říkat, že všechno zlé je k něčemu dobré.

I tak si ale myslím, že podobný útok by už dnes mohl být úspěšnější než metody, které tvůrci phishingu aktuálně používají. Otázkou je, zda k nákaze počítače stačí opravdu jen kliknout na odkaz, nebo zda je třeba provést ještě něco dalšího. Ve výše uvedeném případu si nešťastníci ještě instalovali do prohlížeče „plugin“, který jim měl umožnit prohlédnout si soudní materiály. To samozřejmě vyžaduje od útočníků více práce, kdyby se ale útok spojil s nějakou aktuální a dosud neopravenou zranitelností prohlížeče nebo operačního systému, pak by mohlo opravdu stačit jen kliknout.

Ruku na srdce; většina z nás se nejspíš necítí jednou nohou v kriminále, ale zato se potýkáme s všeprostupujícím nepořádkem, ať už u nás nebo na straně úřadů. Časově a psychicky náročné komunikace s úředníky se děsíme. Takový e-mail ze správy sociálního zabezpečení či finančního úřadu (samozřejmě z podvržené adresy), že dlužíte 19 korun a je třeba to speciálně řešit, by leckomu z nás nejspíš pořádně pocuchal nervy.

Ve formulářích často uvádíme kontaktní e-mail. Jasně, úřady takhle dnes nekomunikují, ale kdyby takový phishing byl provázen doložkou, že se jedná o zkušební projekt, který nám má ulehčit komunikaci, a že samozřejmě ještě bude následovat klasický dopis… No, pak bych se asi vyděsil a na odkaz klikl, jen abych měl tu proceduru co nejrychleji za sebou.

A myslím, že nejsem sám.

Našli jste v článku chybu?

17. 4. 2008 9:25

MoB (neregistrovaný)
Jediná možnost je konečně realizovat některou z nadstaveb nad SMTP - nevadí mi mazat stovky upozornění na fotky, PayPal (který nemám) a podobně, ale tohle je opravdu na pováženou. Přece si nebudu jako uživatel ověřovat každý šplecht, co přijde mejlem... jsme svědky totálního ochrnutí komunikace přes e-maily. Paralýza pokročila a je nutno přistoupit k operaci.

18. 4. 2008 16:50

Aha, mluvíte o nezabezpečeném e-mailu neopatřeném certifikátem (pro účely digitálního podpisu, případně navíc i zašifrování dat certifikátem protistrany). Certifikát si můžete vytvořit u řady důvěryhodných CA pro osobní účely často zcela zdarma a pak jej bez problémů používat. Pokud nedůvěřujete protistraně, přinuťte ji k témuž. Nastavení je otázka několika minut, podpora mezi e-mailovými klienty je dostatečná. Odsuzovat šmahem veškeré e-maily je hloupé.
Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět