Nebezpečí v e-mailech

Všechny příchozí e-maily kontroluje antispam a antivirus. Další antivirus běží na počítači, na kterém e-maily čtete. To ale neznamená, že jsou bezpečné a nemůže se nic stát.

Příjemce e-mailu – člověk – totiž může všechny strojové ochrany, kontroly a zabezpečení ignorovat, vypnout, šikovně obejít. Proto se útočníci zaměřují na něj. Pošlou e-mail, ve kterém se pokusí příjemce zmanipulovat k tomu, aby sám udělal to, co neudělá počítač. Prozradil své heslo, vypnul zabezpečení počítače, otevřel zavirovanou přílohu. Pošlou takový e-mail na statisíce adres najednou. Je to levné a z toho množství obeslaných lidí jich na to pár určitě skočí.

Co se může stát?

Když člověk prozradí své heslo k e-mailu, dostane se útočník k jeho korespondenci, osobnímu adresáři se jmény a adresami dalších lidí. Může si číst jeho e-maily a získat hesla k účtům na sociálních sítích – Facebooku, Twitteru, Instagramu – a zmocnit se jich. Může použít účet k rozeslání další podvodných e-mailů nebo k rozeslání velkého množství nevyžádané reklamy (spamu). V takovém případě se e-mailový server fakulty (organizace) dostane na černou listinu (blacklist) rozesílačů spamu a e-maily všech lidí z fakulty začnou padat do spamu. Celá fakulta může mít pak problémy s e-mailem, obvykle na dva týdny.

Když člověk otevře zavirovanou přílohu, otevře útočníkovi cestu do svého počítače a také ke všem dokumentům na serverech, ke kterým má dotyčný přístup. Největším nebezpečím je dnes zavlečení ransomwaru – programu, který dokumenty na počítači příjemce e-mailu i na serverech zašifruje tak, že jsou nečitelné. A za jejich dešifrování požaduje výkupné. V nejhorším případě ransomware může ochromit chod celé organizace (viz případ nemocnice v Benešově).

Opravdu mě neochrání firewall, antivirus apod.?

Každý den vznikají nové varianty virů a podvodných e-mailů. Antivirové programy se je musí učit poznávat. Učí se rychle, ale i tak trvá několik hodin, než se naučí nový druh viru. Když útočník napíše novou variantu podvodného e-mailu a přibalí k němu jako přílohu nový druh viru, tak se stane, že spamový filtr takový e-mail do poštovní schránky propustí. A když příjemce zkusí přílohu otevřít, antivirový program nezasáhne, protože vir ještě nezná. Nebezpečné je, když útočník rozeslání nového viru načasuje schválně na brzké ranní hodiny v pondělí, aby na začátku pracovní doby už byly ve schránkách a antivirové programy na ně ještě nereagovaly. Říkáme tomu “nebezpečné pondělí”. K takové situaci dochází jen zřídka, ale stává se to. Proto musí být člověk stále (nejen v pondělí) obezřetný. I přes všechna technická opatření on je tou poslední ochrannou hrází svého počítače.

Phishing

Phishing (název vznikl zkreslením slova fishing – rybaření) jsou podvodné e-maily, které manipulují příjemce, aby své heslo k e-mailu (nebo třeba číslo platební karty) zadal na podvodné www stránce, na kterou vede z e-mailu odkaz. Nebo dokonce přímo poslal e-mailem v odpovědi.

Příklad:

phish

Tento hypotetický phishing je velmi snadné poznat:

Odkaz na stránku, na kterou máte kliknout, je skrytý. To je u e-mailu v HTML formátu možné. Kam opravdu vede zjistíte, když na odkaz přesunete kurzor myši a chvíli počkáte:

odkaz pod myší

Ve webmailu se odkaz objeví na dolním okraji okna:

odkaz webmail

Vidíte, že vede na server cizí organizace – další podezřelá věc.

Co se může objevit, když přesto někdo na odkaz klikne:

phish-webmail

Na stránce je na první pohled podezřelé:

Prostě jasný podvod.

Může se ale objevit i falešná stránka, která tu pravou napodobuje hodně zdařile:

phish-cas

Stránku cas.cuni.cz pravděpodobně vídáte často a výše uvedená falešná je jí hodně podobná.

Co byste si ale před vyplňováním svého hesla kdekoliv měli zkontrolovat a co by vás mělo varovat je URL stránky nahoře: bonusround.ca/cuni/cuni.php.

Stránka je na doméně bonusround.ca a to není univerzitní doména. Na konci URL je sice /cuni/cuni.php a cuni je univerzitní doména, ale to je tam jen proto, aby vás to zmátlo. Ve skutečnosti je to falešná napodobenina stránky cas.cuni.cz umístěná na serveru někde mimo univerzitní síť.

Podvodníci se vás mohou pokusit přimět ke kliknutí na odkaz a k vyplnění formuláře něčím jiným. Například v roce 2020 aktuálním “Našel jsem utajovaný dokument o koronaviru na stránkách Světové zdravotnické organizace – rychle, stáhni si ho a přečti, než ho smažou!

phish-corona

A opět formulář pro zadání přihlašovacího jména a hesla. K jakému účtu? K pracovnímu e-mailu, k soukromému, k Office365…? Jestli vystrašený příjemce mailu začne zkoušet neúspěšně jedno heslo za druhým, tím líp pro útočníka.

Co dělat, když na phishing naletím?

Především – chybu může udělat každý a nikdo vás za ni nebude penalizovat. Důležité je, že si ji uvědomíte a hned začnete jednat, abyste zabránili škodám.

Musíte co nejrychleji

  1. informovat svého správce sítě, že k úniku hesla došlo
  2. uniklé heslo si co nejrychleji změnit

Správce sítě může dočasně zablokovat váš účet (aby se útočník nedostal k vašim datům a aby účet nezneužil – viz výše Co se může stát), zkontroluje, jestli k tomu náhodou už nedošlo a pomůže vám nastavit si nové heslo.

Mám phishing někam hlásit?

Ano prosím. I když správně rozpoznáte, že je to phishing, přepošlete ho na CSIRT-CUNI na adresu abuse@cuni.cz. Pokusíme se

Můžete tak pomoci ostatním.

A co když si nejsem jistý?

Pokud si nejste jistý, zda jde o phishing nebo ne, přepošlete ho na CSIRT-CUNI na adresu abuse@cuni.cz k ověření. Bezpečně ověříme o co jde a odpovíme.

Zavirované přílohy

Zavirované soubory mohou přicestovat v e-mailu jako příloha nebo na ně je z e-mailu jen odkaz ke stažení. Motivace k otevření souboru může být stejná, jako u phishingu:

Většinou bývá v textu podvodného e-mailu všechno najednou.

Indicie, které ukazují, že příloha by mohla být nebezpečná

A co když si nejsem jistý?

Pokud si nejste jistý, zda je otevření přílohy bezpečné, můžete

Podvody

Pro úplnost – kromě phishingu a transportu zavirovaných souborů se e-maily používají pro celou škálu dalších podvodů. Například:

Pokyn pro platbu do zahraničí

Nebezpečné je, že jde o útok cílený na konkrétního zaměstnance. Podvodník si najde dvojici “nadřízený – podřízený”, např. ředitele součásti a vedoucího ekonomického odboru. Jménem nadřízeného pak pošle podřízenému e-mail s žádostí o zadání platebního příkazu k převodu větší částky na cizí účet. Používá různé manipulativní techniky (“je to urgentní”, “co nejdříve”, “ještě dnes” apod.). Ve zpáteční adrese podvodného e-mailu je uvedeno správně jméno nadřízeného, někdy i správná e-mailová adresa.

Pokud se s tím setkáte:

Vyděračské e-maily

Vyděrač v e-mailu hrozí zveřejněním videa pořízeného webkamerou počítače uživatele. Požaduje zaplacení větší částky v Bitcoinech. Aby dodal výhrůžkám váhu, tak

Ve skutečnosti jen blafuje. Do vašeho počítači ani k jeho webkameře přístup nemá, nic nenatočil.

Pokud se s tím setkáte:

Dědictví, ulité peníze

Známé též jako “nigerijské dopisy”. Podvodník láká důvěřivou a chamtivou oběť na velkou finanční částku. Například:

Pokud se s tím setkáte:

Ignorujte to.

Když oběť odpoví a začne si s podvodníkem dopisovat, nikdy žádné peníze nedostane. Naopak podvodník dostane peníze z ní (“potřebuji 100$ na bankovní poplatky – co je to proti slíbeným milionům”). Příklad ze života – Děje se to znovu a znovu! Falešný lékař obral ženu z Olomoucka o miliony. A nemá-li peníze – poslechněte si reportáž Českého rozhlasu o penzistovi ze Šumavy, který si v Hongkongu odpykává trest za pašování drog.

A na závěr:

2020-03-14

2020-04-20, 2020-10-09, 2021-11-23 update