Emailovi podvodnici maji novy hit. Zaslou vam emailem duveryhodne vypadajici formular, kde vas pozadaji o overeni identity k pristupu k vasemu bankovnimu uctu.
Pokud naletite, nemusite si toho vubec vsimnout a podvodnici ziskaji tolik
potrebny cas, aby vas pripravili o financni prostredky. Pojdme se podivat, jak
tento typ emailovych podvodu funguje.
S nejakym podvrzenym emailem uz se setkal urcite kazdy. Vedle vcelku
neskodnych dopisu, ktere si z prijemce jen delaji legraci a vedle dopisu
siricich vymyslene bachorky se zacaly Internetem sirit i emaily, jejichz
prostrednictvim se vas snazi nekdo pripravit o penize. Nejznamejsim typem
takovych dopisu je tzv. Nigerijsky spam, coz je anglicky psany dopis, v nemz
jste zadani o drobny prispevek na uhrazeni bankovnich poplatku nutnych pro
prevedeni milionu, o nez se s vami odesilatel rozdeli, az je dostane do bezpeci
v zahranici. Pokud uverite takovym dopisum, meli byste zkusit i klonovani penez
v kufru.
Jak na oblibe ziskavaji online platebni instrumenty, objevuji se na Internetu
dalsi typy podvodnych emailu. Jeden takovy nedavno zachytil i sefredaktor
politicky nekorektniho magazinu Zvedavec
Vladimir Stwora. Zachytil v tomhle kontextu neni to spravne
slovo, ale napsat, ze naletel, by bylo prilis krute.
Panu Stworovi jednoho dne prisel email s odesilatelem uvedenym jako
info@paypal.com a textem, ktery ho informoval, ze jeho ucet u
spolecnosti PayPal byl preveden do zabezpeceneho modu a ze by mel uvest pro
overeni sve identity svuj email, heslo, cislo uctu a cislo platebni karty. Pan
Stwora videl znameho odesilatele, znamy vzhled emailu, a tak informace vyplnil a
email odeslal. Teprve pote si vsiml, ze data neodchazeji na server PayPalu ale
nekam uplne jinam – ostrileny internetovy harcovnik se stal obeti podvodu.
Vzhledem k tomu, ze i v Ceske republice ziskava internetove bankovnictvi na
popularite, je otazkou, kdy podobny podvod napadne i nejakeho Cecha. Proto se
podivame na tento pripad podrobneji.
Jak mohl podvodnik vedet, ze pan Stwora ma ucet u PayPalu, a na jakou
emailovou adresu mu dopis zaslat? Moznosti jsou dve: bud nekde prohlasite, ze
jste klientem urcite banky a zanechate svuj email, anebo podvodnik odposlechne
komunikaci mezi vami a bankou. Email je nezabezpeceny komunikacni kanal, a
provedeni takoveho podvodu je mozne dokonce i pres zasifrovany email. Sifruje se
totiz jen obsah emailu, jeho hlavicky jiz nikoli. A prave z hlavicek muze
podvodnik zjistit to nejdulezitejsi: kdo pise komu.
Jak se podvodnik dostane k tomu, ze odposlechne vasi emailovou komunikaci s
bankou? Opet to muze byt snadne. Vas email neputuje z vaseho pocitace bezpecnou
linkou primo do banky, ale prochazi pres mnoho „prestupnich uzlu“ v otevrenem
prostredi Internetu. Podvodnik muze jednoduse obsadit nektery frekventovany uzel
a na nej nainstalovat sniffer – software pro zachycovani dat. Pokud se podvodnik
zajima jen o urcity typ dat, zada jejich specifikaci a po nejakem case si
informace jen vyzvedne. Podobne funguje treba antivirovy program, ktery chrani
vase emaily, nehleda adresy, ale viry. Podvodnik ovsem nemusi ani instalovat
sniffer, staci pokud se dostane k logsouboru (zaznamu o cinnosti) nektereho z
postovnich agentu na ceste mezi vami a bankou. Prave informace z hlavicek tyto
servery museji uchovavat ze zakona.
Jak ovsem je mozne, ze email prisel z PayPalu? Jednoduse. Do hlavicky
odesilatele emailu si muzete napsat jakoukoli adresu a dopis potom odeslat temer
odkudkoli (na svete existuje mnoho nezabezpecenych odesilacich serveru, pripadne
si muzete takovy server nainstalovat na vlastni pocitac). Podvrh mnohdy jako
laici nepoznate ani pri detailnim studiu hlavicek a pozdejsi zjistovani, odkud
dopis skutecne byl rozeslan, je narocne a casto nemozne.
Vytvoreni samotneho vzhledu emailu a textu tak, aby se co nejvice podobaly
identite PayPalu je tak jednoduchy problem, ze jej zvladne i skolou povinny syn
vasi ucetni. Daleko zajimavejsi a na celem podvodu nejrizikovejsi je cesta
vasich dat zpet k podvodnikovi. Tady mu totiz hrozi odhaleni.
V tomto pripade vyuzil podvodnik weboveho rozhrani pro odesilani emailu.
Takovych bran jsou na webu miliony, kolikrat jsou uplne nezabezpecene. Ve
zdrojovem kodu emailu je uvedena emailova adresa, na kterou se maji vase data
pres rozhrani zaslat. Jestli skutecne na teto adrese podvodnik na data ceka, to
je jina otazka. Muze bud vyuzit verejne postovni ucty (jako je email na Seznamu)
a k nim pres web prichazet prostrednictvim specialnich anonymizacnich serveru
(nebo si vytvori vlastni falesne identity), nebo email presmeruje treba pres
nekolik desitek verejnych emailovych sluzeb tak, aby co nejvice znejednodusil
odhaleni ciloveho emailu.
To ovsem stale predpokladame, ze email uvedeny ve zdroji podvodneho dopisu je
pravy. Odeslana formularova data zpracovava na cilovem serveru skript, a ten
vubec nemusi poslat vysledek na adresu, ktera je ve zdroji uvedena. Jak budou
data zpracovana, vi patrne jen autor skriptu (muze je poslat kamkoli, nebo
ulozit na serveru treba do databaze).
Pan Stwora byl patrne jednim z poslednich lidi takto napalenych
prostrednictvim teto cesty (priste podvodnik pouzije jine servery), protoze
skript mezitim nekdo vyradil z provozu a vraci chybovou stranku. Pokud ovsem
podvodnik mel k serveru se skriptem pristup, mohl skript upravit tak, aby sice
vracel chybovou stranku, ale data presto zpracoval – koncovy uzivatel podvrzenou
chybovou stranku nepozna.
Pokud by skript fungoval, presmeroval by uzivatele po zpracovani dat na
stranku PayPalu, takze byste ani nemuseli zpozorovat, ze jste zaslali sva data
na neprave misto. Ovsem pokud umi podvodnik data odposlouchavat cestou k cili,
nemusel vubec ziskat pristup k uctu pana Stwory emailem. Ani tento formular
nebyl odeslan zasifrovane, a proto bylo mozne data cestou odchytavat a patrani
na serveru se skriptem by bylo zbytecne.
Jak se tedy pozna podvrzeny email od nepodvrzeneho? Vase banka se snazi
zachovat vysokou miru bezpeci, proto vas nikdy nebude zadat o zaslani dat
emailem nebo pres webovy formular umisteny v emailu. Pokud bude nejaka data
pozadovat na webu, pak zasadne na sifrovanem kanalu s certifikatem. Tento kanal
poznate v adresnim radku podle toho, ze bude zacinat na
https://
a vas prohlizec vam nabidne moznost
overeni certifikatu vaseho protejsku v komunikaci. Takto posilana data v obsahu
komunikace jsou po ceste chranena sifrovanim.
V kazdem pripade, kdy si
nejste jisti, zda komunikujete opravdu bezpecne a s tim pravym partnerem,
citliva data neposilejte a zvolte kanal, kteremu duverujete (muzete
zatelefonovat nebo dojit do banky osobne). Pokud budete mit podezreni, ze jste
se stali obeti podobneho podvodu, prekonejte stud a oznamte to vcas bance a
zmente poskytnute udaje. V tomto pripade je na miste zablokovat kartu a zmenit
heslo k uctu. V Ceske republice nese za tento typ poskozeni odpovednost klient,
nikoli banka.