Hlavní navigace

Phishing, který pracuje se strachem

Pavel Houser 17. 4. 2008

Vciťme se tentokrát do opačné role, než v jaké se obvykle u phishingu nacházíme. Jak mají postupovat autoři podvodných e-mailů, aby zasáhli co nejvíce obětí? Mohou apelovat na lidskou lačnost (levné zboží, nigerijské dopisy, „obrázky“ celebrit), mohou se vydávat za důvěryhodnou instituci typu banky nebo dodavatele softwaru, mohou využít nějaké aktuální události a prostě spoléhat na lidskou zvědavost.

Pavel Houser - karikatura

Ilustrace: Nenad Vitas

Pak je zde však další silná emoce, kterou podvodníci dosud nechávali spíše stranou: strach. Nemám na mysli vydírání nebo nabídku různých služeb výměnou „za ochranu“. Nedávno byl v USA proveden velmi úspěšný útok, který se tvářil jako e-mail od soudu. Došel ředitelům řady firem, byl napsán bez jazykových a dalších obvyklých chyb a oznamoval, že se mají seznámit s obviněním, které proti nim bylo vzneseno. Naletělo jich údajně docela dost (podrobnosti o případu SecurityWorld).

Tento případ byl samozřejmě v mnohém specifický. Nešlo o klasický masivní phishing, ale o útok šitý na míru. Taktéž zisk, který to útočníkům přineslo, se těžko vyčísluje – prostě obsah počítačů důležitých lidí. Těžko říct, co rozhodlo o tom, že útok byl tak úspěšný. Můžeme se spolu s komiksem Dilbert či Parkinsonovými zákony posmívat ředitelům všeho druhu. Možné je, že v USA jsou dnes ty všemožné regulační požadavky a „zajištění shody s předpisy“ používány v natolik přebujelé podobě, že pro vedoucí pracovníky představují noční můru a každou druhou noc se jim zdá o soudní obsílce. Ale může to být i prostě tak, že strach je obecně mocná emoce, která alespoň na chvíli zastře kritické uvažování a utopí lidský mozek v panice.

Otázka je, jak by podobný útok dopadl u nás. Nejsme sice zvyklí, že by s námi soudy komunikovaly prostřednictvím e-mailu, ale s elektronizací státní správy se to může změnit. Do té doby si alespoň můžeme říkat, že všechno zlé je k něčemu dobré.

I tak si ale myslím, že podobný útok by už dnes mohl být úspěšnější než metody, které tvůrci phishingu aktuálně používají. Otázkou je, zda k nákaze počítače stačí opravdu jen kliknout na odkaz, nebo zda je třeba provést ještě něco dalšího. Ve výše uvedeném případu si nešťastníci ještě instalovali do prohlížeče „plugin“, který jim měl umožnit prohlédnout si soudní materiály. To samozřejmě vyžaduje od útočníků více práce, kdyby se ale útok spojil s nějakou aktuální a dosud neopravenou zranitelností prohlížeče nebo operačního systému, pak by mohlo opravdu stačit jen kliknout.

Ruku na srdce; většina z nás se nejspíš necítí jednou nohou v kriminále, ale zato se potýkáme s všeprostupujícím nepořádkem, ať už u nás nebo na straně úřadů. Časově a psychicky náročné komunikace s úředníky se děsíme. Takový e-mail ze správy sociálního zabezpečení či finančního úřadu (samozřejmě z podvržené adresy), že dlužíte 19 korun a je třeba to speciálně řešit, by leckomu z nás nejspíš pořádně pocuchal nervy.

MIF16

Ve formulářích často uvádíme kontaktní e-mail. Jasně, úřady takhle dnes nekomunikují, ale kdyby takový phishing byl provázen doložkou, že se jedná o zkušební projekt, který nám má ulehčit komunikaci, a že samozřejmě ještě bude následovat klasický dopis… No, pak bych se asi vyděsil a na odkaz klikl, jen abych měl tu proceduru co nejrychleji za sebou.

A myslím, že nejsem sám.

Našli jste v článku chybu?
Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě