Článek
„Naše asistentka dostala nedávno e-mail, který na první pohled vypadal, že ho posílám já, s příkazem k proplacení v přepočtu téměř 20 tisíc korun na uvedený účet. Bylo jí to divné, protože i když jsem jeden ze šéfů, tyto příkazy nevydávám, a zarazil ji také strohý styl, pro mne netypický,“ popsal Právu čtyřicetiletý Robert z Prahy, spolumajitel marketingové agentury.
Nedávno zase spoustu lidí poplašil e-mail, který vypadal, že přišel z jejich vlastní adresy.
Hackeři požadovali tisíce korun
„Jak jste asi pravděpodobně uhodli, váš účet byl napaden, protože jsem vám právě poslal e-mail z vašeho účtu. Prozatím máme přístup k vašim vzkazům, účtům na sociálních médiích a příspěvkům. Jsme si vědomi vašich malých i velkých tajemství. Ano, máte je,“ psali v e-mailu hackeři a požadovali 250 dolarů (cca 5500 korun) prostřednictvím bitcoinové platby.
Ve skutečnosti se ale hackeři do daného e-mailu nedostali, jen to tak vypadalo. „E-maily v těchto případech většinou narušeny nejsou. Jen někdo využil nedokonalosti e-mailových protokolů a dokázal podstrčit za odesílatele jinou adresu. Jde přitom o celkem snadný postup, který lze najít na běžném internetu,“ potvrdil Právu specialista na počítačovou bezpečnost a šifrování Zbyněk Malý ze společnosti Anect.
A jak útočník přišel na danou e-mailovou adresu? „Díky tomu, že se jako uživatel registrujete na různých fórech, e-shopech a sociálních sítích, přičemž ne všechny tyto databáze jsou dostatečně chráněné, stačí, aby se hacker dostal do daných serverů a tuto databázi kontaktů zkopíroval,“ vysvětluje Malý.
To, že je e-mail podvržený, byť přišel naoko ze známé adresy, lze většinou zjistit. „Je nutné nechat si zobrazit tzv. hlavičku e-mailu. V části nazvané Received čili přijaté je označena adresa serveru, který poštu skutečně odeslal,“ radí Malý.
V případě firemních e-mailů se dá útokům zabránit dostatečně kvalitním nastavením filtru. U soukromých adres mají sice provozovatelé těchto e-mailových serverů spamové filtry také, ovšem ty nejsou nastaveny tak důmyslně jako u firemních.
Používat selský rozum
Může se stát, že se takovýto podvržený e-mail k příjemci dostane, proto se vyplatí používat i selský rozum a zamyslet se, zda mne například opravdu banka informuje o dluhu e-mailem a přikládá odkaz na kontrolu splátkového kalendáře. Banky tyto informace zasílají výhradně doporučenou poštou, tudíž jde o podvrh.
Ve firemním prostředí se pak dále doporučuje využívat elektronický podpis, neboť e-mail s tímto podpisem se teoreticky nedá podvrhnout.
V případě soukromých či veřejných e-mailových služeb je vhodné ověřit si pravdivost dané zprávy zpětným dotazem.
„Nedoporučuji ovšem použít možnost odpovědět, nýbrž ručně vyplnit kontakt odesílatele a ověřit si, zda je e-mail pravdivý,“ uzavřel Malý.
| Co se píše ve falešných zprávách |
|---|
| Smyšlená zpráva z banky, finančního ústavu nebo platebního portálu, jež obvykle obsahuje text, který uživatele zavede na falešnou stránku pro přihlášení se do účtu. |
| Prosba o pomoc od kamaráda. |
| Platební příkaz. Falešný „ředitel“ urgentně vydá své účetní pokyn k zadání platby na cizí účet. |
