Phishing, který pracuje se strachem

Vciťme se tentokrát do opačné role, než v jaké se obvykle u phishingu nacházíme. Jak mají postupovat autoři podvodných e-mailů, aby zasáhli co nejvíce obětí? Mohou apelovat na lidskou lačnost (levné zboží, nigerijské dopisy, „obrázky“ celebrit), mohou se vydávat za důvěryhodnou instituci typu banky nebo dodavatele softwaru, mohou využít nějaké aktuální události a prostě spoléhat na lidskou zvědavost.

Ilustrace: Nenad Vitas

Pak je zde však další silná emoce, kterou podvodníci dosud nechávali spíše stranou: strach. Nemám na mysli vydírání nebo nabídku různých služeb výměnou „za ochranu“. Nedávno byl v USA proveden velmi úspěšný útok, který se tvářil jako e-mail od soudu. Došel ředitelům řady firem, byl napsán bez jazykových a dalších obvyklých chyb a oznamoval, že se mají seznámit s obviněním, které proti nim bylo vzneseno. Naletělo jich údajně docela dost (podrobnosti o případu SecurityWorld).

Tento případ byl samozřejmě v mnohém specifický. Nešlo o klasický masivní phishing, ale o útok šitý na míru. Taktéž zisk, který to útočníkům přineslo, se těžko vyčísluje – prostě obsah počítačů důležitých lidí. Těžko říct, co rozhodlo o tom, že útok byl tak úspěšný. Můžeme se spolu s komiksem Dilbert či Parkinsonovými zákony posmívat ředitelům všeho druhu. Možné je, že v USA jsou dnes ty všemožné regulační požadavky a „zajištění shody s předpisy“ používány v natolik přebujelé podobě, že pro vedoucí pracovníky představují noční můru a každou druhou noc se jim zdá o soudní obsílce. Ale může to být i prostě tak, že strach je obecně mocná emoce, která alespoň na chvíli zastře kritické uvažování a utopí lidský mozek v panice.

Otázka je, jak by podobný útok dopadl u nás. Nejsme sice zvyklí, že by s námi soudy komunikovaly prostřednictvím e-mailu, ale s elektronizací státní správy se to může změnit. Do té doby si alespoň můžeme říkat, že všechno zlé je k něčemu dobré.

I tak si ale myslím, že podobný útok by už dnes mohl být úspěšnější než metody, které tvůrci phishingu aktuálně používají. Otázkou je, zda k nákaze počítače stačí opravdu jen kliknout na odkaz, nebo zda je třeba provést ještě něco dalšího. Ve výše uvedeném případu si nešťastníci ještě instalovali do prohlížeče „plugin“, který jim měl umožnit prohlédnout si soudní materiály. To samozřejmě vyžaduje od útočníků více práce, kdyby se ale útok spojil s nějakou aktuální a dosud neopravenou zranitelností prohlížeče nebo operačního systému, pak by mohlo opravdu stačit jen kliknout.

Ruku na srdce; většina z nás se nejspíš necítí jednou nohou v kriminále, ale zato se potýkáme s všeprostupujícím nepořádkem, ať už u nás nebo na straně úřadů. Časově a psychicky náročné komunikace s úředníky se děsíme. Takový e-mail ze správy sociálního zabezpečení či finančního úřadu (samozřejmě z podvržené adresy), že dlužíte 19 korun a je třeba to speciálně řešit, by leckomu z nás nejspíš pořádně pocuchal nervy.

Ve formulářích často uvádíme kontaktní e-mail. Jasně, úřady takhle dnes nekomunikují, ale kdyby takový phishing byl provázen doložkou, že se jedná o zkušební projekt, který nám má ulehčit komunikaci, a že samozřejmě ještě bude následovat klasický dopis… No, pak bych se asi vyděsil a na odkaz klikl, jen abych měl tu proceduru co nejrychleji za sebou.

A myslím, že nejsem sám.

Tento text je již více než dva měsíce starý. Chcete-li na něj reagovat v diskusi, pravděpodobně vám již nikdo neodpoví. Pro řešení aktuálních problémů doporučujeme využít naše diskusní fórum.