Pozor na podvodné emaily

Emailoví podvodníci mají nový hit. Zašlou vám emailem důvěryhodně vypadající formulář, kde vás požádají o ověření identity k přístupu k vašemu bankovnímu účtu. Pokud naletíte, nemusíte si toho vůbec všimnout a podvodníci získají tolik potřebný čas, aby vás připravili o finanční prostředky. Pojďme se podívat, jak tento typ emailových podvodů funguje.

S nějakým podvrženým emailem už se setkal určitě každý. Vedle vcelku neškodných dopisů, které si z příjemce jen dělají legraci a vedle dopisů šířících vymyšlené báchorky se začaly Internetem šířit i emaily, jejichž prostřednictvím se vás snaží někdo připravit o peníze. Nejznámějším typem takových dopisů je tzv. Nigerijský spam, což je anglicky psaný dopis, v němž jste žádáni o drobný příspěvek na uhrazení bankovních poplatků nutných pro převedení milionů, o něž se s vámi odesílatel rozdělí, až je dostane do bezpečí v zahraničí. Pokud uvěříte takovým dopisům, měli byste zkusit i klonování peněz v kufru.

Jak na oblibě získávají online platební instrumenty, objevují se na Internetu další typy podvodných emailů. Jeden takový nedávno zachytil i šéfredaktor politicky nekorektního magazínu Zvědavec Vladimír Stwora. Zachytil v tomhle kontextu není to správné slovo, ale napsat, že naletěl, by bylo příliš kruté.

Panu Stworovi jednoho dne přišel email s odesílatelem uvedeným jako info@paypal.com a textem, který ho informoval, že jeho účet u společnosti PayPal byl převeden do zabezpečeného módu a že by měl uvést pro ověření své identity svůj email, heslo, číslo účtu a číslo platební karty. Pan Stwora viděl známého odesílatele, známý vzhled emailu, a tak informace vyplnil a email odeslal. Teprve poté si všiml, že data neodcházejí na server PayPalu ale někam úplně jinam – ostřílený internetový harcovník se stal obětí podvodu.

830

Vzhledem k tomu, že i v České republice získává internetové bankovnictví na popularitě, je otázkou, kdy podobný podvod napadne i nějakého Čecha. Proto se podíváme na tento případ podrobněji.

Jak mohl podvodník vědět, že pan Stwora má účet u PayPalu, a na jakou emailovou adresu mu dopis zaslat? Možnosti jsou dvě: buď někde prohlásíte, že jste klientem určité banky a zanecháte svůj email, anebo podvodník odposlechne komunikaci mezi vámi a bankou. Email je nezabezpečený komunikační kanál, a provedení takového podvodu je možné dokonce i přes zašifrovaný email. Šifruje se totiž jen obsah emailu, jeho hlavičky již nikoli. A právě z hlaviček může podvodník zjistit to nejdůležitější: kdo píše komu.

Jak se podvodník dostane k tomu, že odposlechne vaši emailovou komunikaci s bankou? Opět to může být snadné. Váš email neputuje z vašeho počítače bezpečnou linkou přímo do banky, ale prochází přes mnoho „přestupních uzlů“ v otevřeném prostředí Internetu. Podvodník může jednoduše obsadit některý frekventovaný uzel a na něj nainstalovat sniffer – software pro zachycování dat. Pokud se podvodník zajímá jen o určitý typ dat, zadá jejich specifikaci a po nějakém čase si informace jen vyzvedne. Podobně funguje třeba antivirový program, který chrání vaše emaily, nehledá adresy, ale viry. Podvodník ovšem nemusí ani instalovat sniffer, stačí pokud se dostane k logsouboru (záznamu o činnosti) některého z poštovních agentů na cestě mezi vámi a bankou. Právě informace z hlaviček tyto servery musejí uchovávat ze zákona.

Jak ovšem je možné, že email přišel z PayPalu? Jednoduše. Do hlavičky odesílatele emailu si můžete napsat jakoukoli adresu a dopis potom odeslat téměř odkudkoli (na světě existuje mnoho nezabezpečených odesílacích serverů, případně si můžete takový server nainstalovat na vlastní počítač). Podvrh mnohdy jako laici nepoznáte ani při detailním studiu hlaviček a pozdější zjišťování, odkud dopis skutečně byl rozeslán, je náročné a často nemožné.

Vytvoření samotného vzhledu emailu a textů tak, aby se co nejvíce podobaly identitě PayPalu je tak jednoduchý problém, že jej zvládne i školou povinný syn vaší účetní. Daleko zajímavější a na celém podvodu nejrizikovější je cesta vašich dat zpět k podvodníkovi. Tady mu totiž hrozí odhalení.

V tomto případě využil podvodník webového rozhraní pro odesílání emailů. Takových bran jsou na webu miliony, kolikrát jsou úplně nezabezpečené. Ve zdrojovém kódu emailu je uvedena emailová adresa, na kterou se mají vaše data přes rozhraní zaslat. Jestli skutečně na této adrese podvodník na data čeká, to je jiná otázka. Může buď využít veřejné poštovní účty (jako je email na Seznamu) a k nim přes web přicházet prostřednictvím speciálních anonymizačních serverů (nebo si vytvoří vlastní falešné identity), nebo email přesměruje třeba přes několik desítek veřejných emailových služeb tak, aby co nejvíce znejednodušil odhalení cílového emailu.

To ovšem stále předpokládáme, že email uvedený ve zdroji podvodného dopisu je pravý. Odeslaná formulářová data zpracovává na cílovém serveru skript, a ten vůbec nemusí poslat výsledek na adresu, která je ve zdroji uvedena. Jak budou data zpracována, ví patrně jen autor skriptu (může je poslat kamkoli, nebo uložit na serveru třeba do databáze).

Pan Stwora byl patrně jedním z posledních lidí takto napálených prostřednictvím této cesty (příště podvodník použije jiné servery), protože skript mezitím někdo vyřadil z provozu a vrací chybovou stránku. Pokud ovšem podvodník měl k serveru se skriptem přístup, mohl skript upravit tak, aby sice vracel chybovou stránku, ale data přesto zpracoval – koncový uživatel podvrženou chybovou stránku nepozná.

Pokud by skript fungoval, přesměroval by uživatele po zpracování dat na stránku PayPalu, takže byste ani nemuseli zpozorovat, že jste zaslali svá data na nepravé místo. Ovšem pokud umí podvodník data odposlouchávat cestou k cíli, nemusel vůbec získat přístup k účtu pana Stwory emailem. Ani tento formulář nebyl odeslán zašifrovaně, a proto bylo možné data cestou odchytávat a pátrání na serveru se skriptem by bylo zbytečné.

CIF16

Jak se tedy pozná podvržený email od nepodvrženého? Vaše banka se snaží zachovat vysokou míru bezpečí, proto vás nikdy nebude žádat o zaslání dat emailem nebo přes webový formulář umístěný v emailu. Pokud bude nějaká data požadovat na webu, pak zásadně na šifrovaném kanálu s certifikátem. Tento kanál poznáte v adresním řádku podle toho, že bude začínat na https:// a váš prohlížeč vám nabídne možnost ověření certifikátu vašeho protějšku v komunikaci. Takto posílaná data v obsahu komunikace jsou po cestě chráněna šifrováním. Nesmíte ovšem data napsat do adresy cílové stránky – ani na webu nejsou hlavičky šifrovány, protože servery po cestě by nemohly zjistit, kam vlastně data poslat.

V každém případě, kdy si nejste jisti, zda komunikujete opravdu bezpečně a s tím pravým partnerem, citlivá data neposílejte a zvolte kanál, kterému důvěřujete (můžete zatelefonovat nebo dojít do banky osobně). Pokud budete mít podezření, že jste se stali obětí podobného podvodu, překonejte stud a oznamte to včas bance a změňte poskytnuté údaje. V tomto případě je na místě zablokovat kartu a změnit heslo k účtu. V České republice nese za tento typ poškození odpovědnost klient, nikoli banka.

Anketa

Naletěli jste někdy na nějaký podvodný email?

44 názorů Vstoupit do diskuse
poslední názor přidán 27. 11. 2014 10:58

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »