Nebezpečí v e-mailech
Všechny příchozí e-maily kontroluje antispam a antivirus. Další antivirus běží na počítači, na kterém e-maily čtete. To ale neznamená, že jsou bezpečné a nemůže se nic stát.
Příjemce e-mailu – člověk – totiž může všechny strojové ochrany, kontroly a zabezpečení ignorovat, vypnout, šikovně obejít. Proto se útočníci zaměřují na něj. Pošlou e-mail, ve kterém se pokusí příjemce zmanipulovat k tomu, aby sám udělal to, co neudělá počítač. Prozradil své heslo, vypnul zabezpečení počítače, otevřel zavirovanou přílohu. Pošlou takový e-mail na statisíce adres najednou. Je to levné a z toho množství obeslaných lidí jich na to pár určitě skočí.
Co se může stát?
Když člověk prozradí své heslo k e-mailu, dostane se útočník k jeho korespondenci, osobnímu adresáři se jmény a adresami dalších lidí. Může si číst jeho e-maily a získat hesla k účtům na sociálních sítích – Facebooku, Twitteru, Instagramu – a zmocnit se jich. Může použít účet k rozeslání další podvodných e-mailů nebo k rozeslání velkého množství nevyžádané reklamy (spamu). V takovém případě se e-mailový server fakulty (organizace) dostane na černou listinu (blacklist) rozesílačů spamu a e-maily všech lidí z fakulty začnou padat do spamu. Celá fakulta může mít pak problémy s e-mailem, obvykle na dva týdny.
Když člověk otevře zavirovanou přílohu, otevře útočníkovi cestu do svého počítače a také ke všem dokumentům na serverech, ke kterým má dotyčný přístup. Největším nebezpečím je dnes zavlečení ransomwaru – programu, který dokumenty na počítači příjemce e-mailu i na serverech zašifruje tak, že jsou nečitelné. A za jejich dešifrování požaduje výkupné. V nejhorším případě ransomware může ochromit chod celé organizace (viz případ nemocnice v Benešově).
Opravdu mě neochrání firewall, antivirus apod.?
Každý den vznikají nové varianty virů a podvodných e-mailů. Antivirové programy se je musí učit poznávat. Učí se rychle, ale i tak trvá několik hodin, než se naučí nový druh viru. Když útočník napíše novou variantu podvodného e-mailu a přibalí k němu jako přílohu nový druh viru, tak se stane, že spamový filtr takový e-mail do poštovní schránky propustí. A když příjemce zkusí přílohu otevřít, antivirový program nezasáhne, protože vir ještě nezná. Nebezpečné je, když útočník rozeslání nového viru načasuje schválně na brzké ranní hodiny v pondělí, aby na začátku pracovní doby už byly ve schránkách a antivirové programy na ně ještě nereagovaly. Říkáme tomu “nebezpečné pondělí”. K takové situaci dochází jen zřídka, ale stává se to. Proto musí být člověk stále (nejen v pondělí) obezřetný. I přes všechna technická opatření on je tou poslední ochrannou hrází svého počítače.
Phishing
Phishing (název vznikl zkreslením slova fishing – rybaření) jsou podvodné e-maily, které manipulují příjemce, aby své heslo k e-mailu (nebo třeba číslo platební karty) zadal na podvodné www stránce, na kterou vede z e-mailu odkaz. Nebo dokonce přímo poslal e-mailem v odpovědi.
Příklad:
Tento hypotetický phishing je velmi snadné poznat:
- podle adresy odesílatele – naše univerzita přeci nemá doménu @webmaster.cz
- tykat uživatelům není u nás zvykem
- je sice česky, ale s několika chybami
- podivný podpis
Odkaz na stránku, na kterou máte kliknout, je skrytý. To je u e-mailu v HTML formátu možné. Kam opravdu vede zjistíte, když na odkaz přesunete kurzor myši a chvíli počkáte:
Ve webmailu se odkaz objeví na dolním okraji okna:
Vidíte, že vede na server cizí organizace – další podezřelá věc.
Co se může objevit, když přesto někdo na odkaz klikne:
Na stránce je na první pohled podezřelé:
- že jste ji ještě nikdy neviděli
- není na ní logo/název organizace (univerzity)
Prostě jasný podvod.
Může se ale objevit i falešná stránka, která tu pravou napodobuje hodně zdařile:
Stránku cas.cuni.cz pravděpodobně vídáte často a výše uvedená falešná je jí hodně podobná.
Co byste si ale před vyplňováním svého hesla kdekoliv měli zkontrolovat a co by vás mělo varovat je URL stránky nahoře: bonusround.ca/cuni/cuni.php.
Stránka je na doméně bonusround.ca a to není univerzitní doména. Na konci URL je sice /cuni/cuni.php a cuni je univerzitní doména, ale to je tam jen proto, aby vás to zmátlo. Ve skutečnosti je to falešná napodobenina stránky cas.cuni.cz umístěná na serveru někde mimo univerzitní síť.
Podvodníci se vás mohou pokusit přimět ke kliknutí na odkaz a k vyplnění formuláře něčím jiným. Například v roce 2020 aktuálním “Našel jsem utajovaný dokument o koronaviru na stránkách Světové zdravotnické organizace – rychle, stáhni si ho a přečti, než ho smažou!”
A opět formulář pro zadání přihlašovacího jména a hesla. K jakému účtu? K pracovnímu e-mailu, k soukromému, k Office365…? Jestli vystrašený příjemce mailu začne zkoušet neúspěšně jedno heslo za druhým, tím líp pro útočníka.
Co dělat, když na phishing naletím?
Především – chybu může udělat každý a nikdo vás za ni nebude penalizovat. Důležité je, že si ji uvědomíte a hned začnete jednat, abyste zabránili škodám.
Musíte co nejrychleji
- informovat svého správce sítě, že k úniku hesla došlo
- uniklé heslo si co nejrychleji změnit
Správce sítě může dočasně zablokovat váš účet (aby se útočník nedostal k vašim datům a aby účet nezneužil – viz výše Co se může stát), zkontroluje, jestli k tomu náhodou už nedošlo a pomůže vám nastavit si nové heslo.
Mám phishing někam hlásit?
Ano prosím. I když správně rozpoznáte, že je to phishing, přepošlete ho na CSIRT-CUNI na adresu abuse@cuni.cz. Pokusíme se
- zjistit, nakolik je nebezpečný, kolik lidí ho dostalo
- zablokovat stránku s falešným přihlašovacím formulářem
- upravit nastavení spamového filtru, aby tento mail detekoval a nechodil lidem do doručené pošty
Můžete tak pomoci ostatním.
A co když si nejsem jistý?
Pokud si nejste jistý, zda jde o phishing nebo ne, přepošlete ho na CSIRT-CUNI na adresu abuse@cuni.cz k ověření. Bezpečně ověříme o co jde a odpovíme.
Zavirované přílohy
Zavirované soubory mohou přicestovat v e-mailu jako příloha nebo na ně je z e-mailu jen odkaz ke stažení. Motivace k otevření souboru může být stejná, jako u phishingu:
- výhrůžka, např. “toto je poslední výzva k zaplacení dluhu před exekucí, podrobnosti o platbě v přiložené faktuře”
- neodolatelná nabídka, např. “našla jsem tvůj profil na sociální síti, moc se mi líbíš a chtěla bych se s tebou seznámit, posílám několik svých fotek”
- časová tíseň, např. “vaše e-mail vyhrála v loterii 2.000.000 liber, vyplňte přiložený formulář a nárokujte svou výhru během jedné hodiny, jinak napsat dalšímu výherci”
- vydávání se za autoritu, např. “Komise EU pro regionální rozvoj vás žádá o vyplnění jednoduchého dotazníku”
Většinou bývá v textu podvodného e-mailu všechno najednou.
Indicie, které ukazují, že příloha by mohla být nebezpečná
- odesílatele neznáte a nemá důvod vám psát (např. nejste účetní, proč vám někdo posílá fakturu)
- soubor v příloze má dvě přípony, např. “faktura.jpg.exe” – na konci je sice “exe” = soubor typu program, který může být zavirovaný, ale před tím je ještě “.jpg” přípona, která je jen maskování programu za neškodný obrázek. Útočník chtěl využít toho, že Windows někdy připonu souboru skrývají. Přijemce uvidí jen “faktura.jpg” a řekne si “je to ok”. Skrývání přípon souborů si ve Windows raději vypněte.
- soubor má jinou ikonu, než soubor tohoto typu obvykle mívá (např. příloha má příponu .docx a ikona také jako Word dokument vypadá, ale trošku jinak. Ve skutečnosti má příloha přípony dvě – .docx.exe – a Windows tu poslední skrývají).
- soubor je zašifrovaný (většinou s příponou .zip) a heslo je v textu mailu. Přestože se v textu píše, že je příloha zašifrovaná kvůli bezpečnosti, je zašifrovaná jen kvůli tomu, aby ji nemohl zkontrolovat antivir poštovního serveru.
A co když si nejsem jistý?
Pokud si nejste jistý, zda je otevření přílohy bezpečné, můžete
- přeposlat mail s přílohou na CSIRT-CUNI na adresu abuse@cuni.cz – bezpečně ji otestujeme a odpovíme.
- pro zkušenější – použít stránku https://virustotal.com, přes kterou je možné soubor nechat otestovat cca 60 různými antiviry (ale pozor – nedělejte to, pokud soubor může obsahovat citlivé informace)
- počkat s otevřením do druhého dne (viz výše odstavec o nebezpečném pondělí)
Podvody
Pro úplnost – kromě phishingu a transportu zavirovaných souborů se e-maily používají pro celou škálu dalších podvodů. Například:
Pokyn pro platbu do zahraničí
Nebezpečné je, že jde o útok cílený na konkrétního zaměstnance. Podvodník si najde dvojici “nadřízený – podřízený”, např. ředitele součásti a vedoucího ekonomického odboru. Jménem nadřízeného pak pošle podřízenému e-mail s žádostí o zadání platebního příkazu k převodu větší částky na cizí účet. Používá různé manipulativní techniky (“je to urgentní”, “co nejdříve”, “ještě dnes” apod.). Ve zpáteční adrese podvodného e-mailu je uvedeno správně jméno nadřízeného, někdy i správná e-mailová adresa.
Pokud se s tím setkáte:
- Neposílejte peníze bez dalšího ověření (osobně, telefonem, ne e-mailem!) – dodržujte nastavené interní procesy a nenechte se zmanipulovat k jejich porušení!
- Neobávejte se, že došlo ke kompromitaci e-mailu zaměstnance (“nadřízeného”) – zatím ve všech známých případech útočník jen podvrhl zpáteční adresu, do jeho e-mailu se ve skutečnosti nedostal.
- podezřelý e-mail nám přepošlete k analýze na abuse@cuni.cz
Vyděračské e-maily
Vyděrač v e-mailu hrozí zveřejněním videa pořízeného webkamerou počítače uživatele. Požaduje zaplacení větší částky v Bitcoinech. Aby dodal výhrůžkám váhu, tak
- jako adresu odesílatele podvrhne vlastní adresu příjemce
- uvede heslo uživatele k jeho vlastnímu počítači (někdy)
Ve skutečnosti jen blafuje. Do vašeho počítači ani k jeho webkameře přístup nemá, nic nenatočil.
Pokud se s tím setkáte:
- buďte si jisti, že se do vašeho počítače hacker nedostal. Jen rozeslal e-mail plošně (jako spam) a spoléhá na to, že zlomek procenta lidí se vyděsí a opravdu zaplatí.
- pokud uvedl v e-mailu heslo, možná jste ho kdysi spolu se svou e-mailovou adresou použili při registraci v e-shopu nebo freemailu, ze kterého unikla v minulosti databáze zákazníků / uživatelů a kterou našel na Internetu. Ve skutečnosti nemá přístup do vašeho počítače ani k webkameře. Pokud víte, kde jste to heslo použili, změňte si ho. Ale většinou jde o heslo hodně let staré a už nepoužívané.
- pokud ale používáte “jedno heslo všude” (pro e-mail, pracovní počítač, domácí počítač, e-shopy, elektronické bankovnictví) a ve vyděračském dopise je to heslo uvedené, máte nejvyšší čas si všude nastavit jiná a různá hesla
Dědictví, ulité peníze
Známé též jako “nigerijské dopisy”. Podvodník láká důvěřivou a chamtivou oběť na velkou finanční částku. Například:
- Zemřel pohádkově bohatý šejk Novák a zoufalý právník hledá nějakého dědice. A protože v saharské Africe je Nováků málo, začal hledat i v České republice a je si jistý, že jste to vy.
- Miliardář umírá, chce věnovat svůj majetek na charitu a hledá někoho, kdo by to zařídil. Našel na Internetu vás. Můžete si nechat slušnou provizi.
- Zamilovala se do vás vdova po americkém generálovi. Sice byste se za ní musel odstěhovat do Nigerie, ale protože si zesnulý manžel ulil pár milionů dolarů, žili byste si jako v bavlnce.
Pokud se s tím setkáte:
Ignorujte to.
Když oběť odpoví a začne si s podvodníkem dopisovat, nikdy žádné peníze nedostane. Naopak podvodník dostane peníze z ní (“potřebuji 100$ na bankovní poplatky – co je to proti slíbeným milionům”). Příklad ze života – Děje se to znovu a znovu! Falešný lékař obral ženu z Olomoucka o miliony. A nemá-li peníze – poslechněte si reportáž Českého rozhlasu o penzistovi ze Šumavy, který si v Hongkongu odpykává trest za pašování drog.
A na závěr:
- buďte obezřetní, žádná technická ochrana není 100% účinná
- když si nejste jistí, zeptejte se
- chybovat je lidské, ale utajení chyby může způsobit velké škody
2020-03-14
2020-04-20, 2020-10-09, 2021-11-23 update