Hlavní navigace

Pozor na podvodné emaily

Martin Kopta 19. 3. 2003

Emailoví podvodníci mají nový hit. Zašlou vám emailem důvěryhodně vypadající formulář, kde vás požádají o ověření identity k přístupu k vašemu bankovnímu účtu. Pokud naletíte, nemusíte si toho vůbec všimnout a podvodníci získají tolik potřebný čas, aby vás připravili o finanční prostředky. Pojďme se podívat, jak tento typ emailových podvodů funguje.

S nějakým podvrženým emailem už se setkal určitě každý. Vedle vcelku neškodných dopisů, které si z příjemce jen dělají legraci a vedle dopisů šířících vymyšlené báchorky se začaly Internetem šířit i emaily, jejichž prostřednictvím se vás snaží někdo připravit o peníze. Nejznámějším typem takových dopisů je tzv. Nigerijský spam, což je anglicky psaný dopis, v němž jste žádáni o drobný příspěvek na uhrazení bankovních poplatků nutných pro převedení milionů, o něž se s vámi odesílatel rozdělí, až je dostane do bezpečí v zahraničí. Pokud uvěříte takovým dopisům, měli byste zkusit i klonování peněz v kufru.

Jak na oblibě získávají online platební instrumenty, objevují se na Internetu další typy podvodných emailů. Jeden takový nedávno zachytil i šéfredaktor politicky nekorektního magazínu Zvědavec Vladimír Stwora. Zachytil v tomhle kontextu není to správné slovo, ale napsat, že naletěl, by bylo příliš kruté.

Panu Stworovi jednoho dne přišel email s odesílatelem uvedeným jako info@paypal.com a textem, který ho informoval, že jeho účet u společnosti PayPal byl převeden do zabezpečeného módu a že by měl uvést pro ověření své identity svůj email, heslo, číslo účtu a číslo platební karty. Pan Stwora viděl známého odesílatele, známý vzhled emailu, a tak informace vyplnil a email odeslal. Teprve poté si všiml, že data neodcházejí na server PayPalu ale někam úplně jinam – ostřílený internetový harcovník se stal obětí podvodu.

830

Vzhledem k tomu, že i v České republice získává internetové bankovnictví na popularitě, je otázkou, kdy podobný podvod napadne i nějakého Čecha. Proto se podíváme na tento případ podrobněji.

Jak mohl podvodník vědět, že pan Stwora má účet u PayPalu, a na jakou emailovou adresu mu dopis zaslat? Možnosti jsou dvě: buď někde prohlásíte, že jste klientem určité banky a zanecháte svůj email, anebo podvodník odposlechne komunikaci mezi vámi a bankou. Email je nezabezpečený komunikační kanál, a provedení takového podvodu je možné dokonce i přes zašifrovaný email. Šifruje se totiž jen obsah emailu, jeho hlavičky již nikoli. A právě z hlaviček může podvodník zjistit to nejdůležitější: kdo píše komu.

Jak se podvodník dostane k tomu, že odposlechne vaši emailovou komunikaci s bankou? Opět to může být snadné. Váš email neputuje z vašeho počítače bezpečnou linkou přímo do banky, ale prochází přes mnoho „přestupních uzlů“ v otevřeném prostředí Internetu. Podvodník může jednoduše obsadit některý frekventovaný uzel a na něj nainstalovat sniffer – software pro zachycování dat. Pokud se podvodník zajímá jen o určitý typ dat, zadá jejich specifikaci a po nějakém čase si informace jen vyzvedne. Podobně funguje třeba antivirový program, který chrání vaše emaily, nehledá adresy, ale viry. Podvodník ovšem nemusí ani instalovat sniffer, stačí pokud se dostane k logsouboru (záznamu o činnosti) některého z poštovních agentů na cestě mezi vámi a bankou. Právě informace z hlaviček tyto servery musejí uchovávat ze zákona.

Jak ovšem je možné, že email přišel z PayPalu? Jednoduše. Do hlavičky odesílatele emailu si můžete napsat jakoukoli adresu a dopis potom odeslat téměř odkudkoli (na světě existuje mnoho nezabezpečených odesílacích serverů, případně si můžete takový server nainstalovat na vlastní počítač). Podvrh mnohdy jako laici nepoznáte ani při detailním studiu hlaviček a pozdější zjišťování, odkud dopis skutečně byl rozeslán, je náročné a často nemožné.

Vytvoření samotného vzhledu emailu a textů tak, aby se co nejvíce podobaly identitě PayPalu je tak jednoduchý problém, že jej zvládne i školou povinný syn vaší účetní. Daleko zajímavější a na celém podvodu nejrizikovější je cesta vašich dat zpět k podvodníkovi. Tady mu totiž hrozí odhalení.

V tomto případě využil podvodník webového rozhraní pro odesílání emailů. Takových bran jsou na webu miliony, kolikrát jsou úplně nezabezpečené. Ve zdrojovém kódu emailu je uvedena emailová adresa, na kterou se mají vaše data přes rozhraní zaslat. Jestli skutečně na této adrese podvodník na data čeká, to je jiná otázka. Může buď využít veřejné poštovní účty (jako je email na Seznamu) a k nim přes web přicházet prostřednictvím speciálních anonymizačních serverů (nebo si vytvoří vlastní falešné identity), nebo email přesměruje třeba přes několik desítek veřejných emailových služeb tak, aby co nejvíce znejednodušil odhalení cílového emailu.

To ovšem stále předpokládáme, že email uvedený ve zdroji podvodného dopisu je pravý. Odeslaná formulářová data zpracovává na cílovém serveru skript, a ten vůbec nemusí poslat výsledek na adresu, která je ve zdroji uvedena. Jak budou data zpracována, ví patrně jen autor skriptu (může je poslat kamkoli, nebo uložit na serveru třeba do databáze).

Pan Stwora byl patrně jedním z posledních lidí takto napálených prostřednictvím této cesty (příště podvodník použije jiné servery), protože skript mezitím někdo vyřadil z provozu a vrací chybovou stránku. Pokud ovšem podvodník měl k serveru se skriptem přístup, mohl skript upravit tak, aby sice vracel chybovou stránku, ale data přesto zpracoval – koncový uživatel podvrženou chybovou stránku nepozná.

Pokud by skript fungoval, přesměroval by uživatele po zpracování dat na stránku PayPalu, takže byste ani nemuseli zpozorovat, že jste zaslali svá data na nepravé místo. Ovšem pokud umí podvodník data odposlouchávat cestou k cíli, nemusel vůbec získat přístup k účtu pana Stwory emailem. Ani tento formulář nebyl odeslán zašifrovaně, a proto bylo možné data cestou odchytávat a pátrání na serveru se skriptem by bylo zbytečné.

Jak se tedy pozná podvržený email od nepodvrženého? Vaše banka se snaží zachovat vysokou míru bezpečí, proto vás nikdy nebude žádat o zaslání dat emailem nebo přes webový formulář umístěný v emailu. Pokud bude nějaká data požadovat na webu, pak zásadně na šifrovaném kanálu s certifikátem. Tento kanál poznáte v adresním řádku podle toho, že bude začínat na https:// a váš prohlížeč vám nabídne možnost ověření certifikátu vašeho protějšku v komunikaci. Takto posílaná data v obsahu komunikace jsou po cestě chráněna šifrováním. Nesmíte ovšem data napsat do adresy cílové stránky – ani na webu nejsou hlavičky šifrovány, protože servery po cestě by nemohly zjistit, kam vlastně data poslat.

V každém případě, kdy si nejste jisti, zda komunikujete opravdu bezpečně a s tím pravým partnerem, citlivá data neposílejte a zvolte kanál, kterému důvěřujete (můžete zatelefonovat nebo dojít do banky osobně). Pokud budete mít podezření, že jste se stali obětí podobného podvodu, překonejte stud a oznamte to včas bance a změňte poskytnuté údaje. V tomto případě je na místě zablokovat kartu a změnit heslo k účtu. V České republice nese za tento typ poškození odpovědnost klient, nikoli banka.

Anketa

Naletěli jste někdy na nějaký podvodný email?

Našli jste v článku chybu?

27. 11. 2014 10:58

Color (neregistrovaný)

Tento @ je podvod a záštitu děla česká pošta zase výhružky atd

25. 12. 2013 16:53

Radek Koukal (neregistrovaný)

| Manželku týral 22 let, u soudu dostal podmínku. Žena s ním stále žije 9. července 2013 16:12 Nadávky, chytání pod krkem i brutální bití, to vše dvaadvacet let snášela nyní šestačtyřicetiletá žena ze Žďáru nad Sázavou od svého stejně starého chotě. Soud ho za to potrestal podmínkou. Násilí se odehrávalo i před zraky dvou dětí. Přes všechno příkoří žena s mužem dál žije. Radek Koukal ženě způsobil i několik vážnějších zranění, například jí zlomil prsteníček levé ruky a předloktí. Žena o agresivn…

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Z tohoto konopí dělají léčivé masti

Z tohoto konopí dělají léčivé masti

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV