Poznejte nebezpečnou poštu

Tento článek je návodem, jak poznat e-mail, jehož odesílatel vás chce podvést,
okrást nebo zavirovat. Možná, že již tato krátká věta vás zcela odradí od jeho

přečtení, ale přemýšlejte. Proč se neustále šíří e-mailové viry? Proč se daří

okrádat uživatele pomocí falešných nabídek slev nebo zisků z mrtvých účtů? Je

to právě proto, že jsou lidé ochotni uvěřit. a kliknout.

Elektronická pošta, neboli e-mail je jedna z nejstarších a dodnes

nejoblíbenějších služeb celosvětové sítě internet. Je to off-line služba, což

neznamená nic jiného, než že komunikace se neodehrává v reálném čase. Od

okamžiku, kdy napíšete a odešlete e-mail, může uplynout i několik desítek

hodin, než dorazí příjemci, a také několik desítek hodin, než si jej tento

příjemce přečte.



Proč právě e-mailem

Není tedy možné bezprostředně ověřit, zda je ten, kdo se vydává za odesilatele,

skutečně odesilatelem elektronického dopisu, zda je tento dopis určen pouze vám

nebo ještě někomu dalšímu (existují sice standardní pole určující příjemce a

příjemce kopie, ale ta se dají obejít), odkud ve skutečnosti přišel a velmi

často ani není jasné, co je doopravdy jeho obsahem.



Původní elektronická pošta, která obsahovala de facto jen text, byla v tomto

ohledu transparentnější, nicméně byla ochuzena o velký počet dodatečných

funkcí, které jsou dnes pro

e-maily typické. Díky použití HTML ve zprávách, přikládání různých typů souborů

a díky propojování obsahu ve zprávě elektronické pošty s obsahem, jenž se

nachází například na nějakém serveru, bylo například umožněno posílat hezké a

barevné bulletiny či pohlednice, nebo realizovat prostřednictvím elektronické

pošty různé služby, které jsou běžně zajištěny prostřednictvím pošty konvenční.

Nicméně se také objevilo mnoho rizik; dodnes někteří „uživatelé“ stále

používají e-maily proto, aby obelhali a okradli své oběti, slušné uživatele

celosvětové sítě. Podmínky a technický stav e-mailové komunikace jim v tom

velmi nahrávají.

Přestože prakticky každá zpráva, která elektronickou poštou v typickém, alespoň

částečně zabezpečeném prostředí projde, je obvykle několikrát kontrolována

antivirovým systémem a přestože jsou dnes tyto systémy velmi sofistikované a

pravidelně aktualizované, největším rizikem, s nímž se může počítač a jeho

obsah díky e-mailu setkat, je paradoxně uživatel. Přes futuristické vize

automatických červů nebo podvodů je to totiž právě on, kdo musí skočit na cizí

podfuk a obvykle něco udělat bohužel i přes péči toho nejdokonalejšího

kontrolního a ochranného systému, který si můžete představit.



Co všechno škodí

Existuje několik různých druhů nebezpečných

e-mailů, které se od sebe odlišují tím, o co usilují, jakých technik používají

a pro koho jsou určeny, tedy kdo bude jejich potenciální obětí.

E-mailem se šířící červy byly až donedávna bez výjimky specifické tím, že

existovaly jako přiložený soubor v konvenční zprávě elektronické pošty. Tento

soubor musel uživatel nějakým způsobem otevřít, což se neprovede automaticky,

ale obvykle po kliknutí na ikonku přílohy a většinou ještě vybráním ze seznamu.

Protože posílat v příloze spustitelné soubory se velmi rychle ukázalo jako

příliš nápadné a snadno odhalitelné, začaly se červi všelijak maskovat. Obvykle

tím, že samy sebe vydávají za jiný typ přílohy, než jakým ve skutečnosti jsou.

Původní červi ve spustitelných souborech (angl. executable, proto .exe) také

byly obvykle značně veliké. Pro uživatele, který má omezenou velikost přílohy

danou nastavením své schránky nebo pro člověka s pomalým připojením k internetu

bylo obtížné takovou zprávu vůbec stáhnout. Proto se škodlivé kódy začaly měnit

z podoby klasického spustitelného souboru do mnohem menší a pohodlnější formy

skriptů. Napomohlo jím v tom také to, že moderní e-mailové klienty, hlavně

drtivě převažující Outlook/Outlook Express, disponují, respektive disponovaly

bohatými možnostmi vykonávání různých typů skriptů a operací prostě jen na

povel obsahu doručené e-mailové zprávy.



To jsou tedy červi, jimi však výčet všeho zlého, co může e-mailem přijít,

zdaleka nekončí. Stálé nebezpečí představují zprávy rozesílané masově různými

individui po celém světě s cílem získat z uživatelů příjemců nějaký užitek.

Nejčastěji jsou okradeni o peníze, identitu nebo alespoň o čas. Především se

jedná o klasický podvod „nigerijského dopisu“, který z příjemce vyláká finanční

částku s vidinou bohatého zisku a pak mu samozřejmě jakýkoliv zisk odepře.

Další populární zlodějnou je zejména v poslední době phishing, tedy podvrhování

zpráv, které jakoby pocházely z různých důvěryhodných míst, z bank,

softwarových firem, portálů. Zatímco cílem scamu a nigerijských dopisů je

vylákat z oběti peníze, v případě phishingu jde především o osobní data o čísla

kreditních karet (a v konečném důsledku o peníze), dále pak o přihlašovací

údaje, jména a hesla pro různé internetové ale i jiné služby. Může se jednat o

e-mail, ICQ, o nejrůznější další místa, která jsou obvykle chráněná nějakým

způsobem autentizace a dostupná pouze oprávněným uživatelům, zatímco jejich

zpřístupnění komukoliv jinému může pro pravého uživatele představovat v lepším

případě problém, v tom horším pohromu znamenající ztrátu peněz, jiných

prostředků nebo prostě jen velmi důležitých informací představujících například

jeho on-line identitu.



Výčet nekončí

Ani tím ale výčet možných typů podvodů prostřednictvím e-mailu nekončí, protože

elektronická pošta je pro podobné aktivity přímo stvořená. Především je velice

jednoduché jejím prostřednictvím odeslat zprávu. SMTP server, který je k tomu

potřeba, se dá velmi jednoduše naprogramovat a poté, co se připojí k internetu,

může rozesílat velké množství zpráv na různé adresy. Také získat e-mailové

adresy není příliš obtížné. V minulosti autoři různých více či méně podvodných

zpráv nebo jen masových komerčních sdělení procházeli ručně webové stránky nebo

diskuze, hledali v nich adresy a ty pak zadávali do svých systémů. V poslední

době tuto práci za ně udělají automaty a takřka každý červ, který infikuje váš

počítač, je schopen velice spolehlivě najít všechny adresy, jež jsou na něm

uloženy i v případě, že by vás vůbec nenapadlo, že by tam snad mohly vůbec být.

E-mailovou komunikaci je obtížné filtrovat. Přestože techniky, které mají

rozpoznat legitimní komunikaci od různých podvodů a od spamu, tedy nevyžádané

pošty, jsou stále inteligentnější, odfiltrovat vše nebezpečné se nedaří a není

pravděpodobné, že by se to někdy vůbec stoprocentně podařilo. Neexistuje také

jednoznačná identifikace odesilatelů a příjemců elektronické pošty. Všechny

prozatímní pokusy zavést něco tskového ve standardizované podobě až doposud

zkrachovaly a jednotlivá proprietární řešení jsou dobrá pouze pro omezený,

většinou spíše malý okruh uživatelů v menších organizacích nebo v relativně

uzavřených celcích.



Jak se v tom vyznat

Pokud používáte elektronickou poštu s antispamovým filtrem a kvalitní,

aktualizovaný antivirový program, jste ve výhodě. Většina závadné komunikace se

totiž do vaší složky s doručenou poštou vůbec nedostane a pokud ano, tak

obvykle již vybavena patřičným upozorněním, tedy že nejde o legitimní zprávu,

ale s největší pravděpodobností o pokus o podvod. Pokud ale nějaká zpráva

filtrem projde až k vám, existuje vyšší pravděpodobnost, že se jedná o zprávu

nesmírně mazanou a velmi vychytralou, tedy i přes všechna opatření se paradoxně

zvyšuje šance, že na ni skočíte, uděláte to, co podvodník chce. Jak rozeznat

takovou závadnou komunikaci od té, která je v pořádku, si ukážeme v jiné části

tohoto článku. Kupodivu, to není příliš obtížné a občas se stačí pořádně

zamyslet nad poštou, kterou dostáváme a na kterou často nějakým způsobem

reagujeme ještě dříve, než bychom si ji pořádně přečetli a pochopili. V

konečném důsledku, se taková zbrklost pak obrátí v náš neprospěch.



Závěrem



Odesílání a přijímání elektronické pošty se pro většinu lidí stalo naprosto

přirozenou věcí. Tento vztah k elektronické poště je také příčinou toho, že se

z tohoto nástroje stal jeden z nejsnazších způsobů šíření virů. Hromadné

používání spustitelných dodatků, jakými jsou například filmy, kreslené klipy a

jiné multimediální programy umožnilo snadné šíření nebezpečného kódu

elektronickou poštou. Doufáme, že výše uvedené zásady zacházení s e-mailem, se

vám pevně vryjí do paměti.





Jak rozeznat nebezpečný e-mail od neškodného

Pro práci s elektronickou poštou používáme program Outlook 2003 s aktivovaným

antispamovým filtrem. Máme antivirus, který kontroluje veškerou příchozí poštu

a je považován za důvěryhodný (řekněme Nod32). V naší složce „Doručená pošta“

právě přistál e-mail. Jak máme poznat, zda se jedná o běžnou zprávu, která byla

skutečně určena nám, a nikoliv o něčí podlý pokus nás podvést? Snadno. Zkusme

se na zprávu pořádně podívat.



Krok 1: Od koho to je?

Zpráva může být v zásadě dvojího typu, pokud jde o uváděného odesilatele:

- odesilatelem je někdo, koho znám (běžně mi píše),

- odesílatele elektronicky neznám (běžně mi nepíše), ale mohl by mi napsat,

- odesílatele vůbec neznám (nevím o koho jde).

Pokud je proklamovaným původcem e-mailu někdo, koho znám nebo někdo, koho znám

a zatím s ním nejsem v elektronickém kontaktu, tedy mohl by mi napsat e-mail,

nabízí se otázka: odpovídá další obsah, především předmět a text e-mailu tomu,

co bych od tohoto člověka mohl očekávat? Především, je e-mail v jazyce, který

mohu předpokládat u toho, kdo tvrdí, že jej odeslal? Nebývá zvykem, aby se mnou

kolegové nebo spolužáci komunikovali anglicky. Ještě nepravděpodobnější je to

pochopitelně hebrejsky, nebo rusky. Platí tedy: Odpovídá předmět e-mailu a jeho

tělo předpokládanému původci? Nezapomeňte ale na to, že mnoho virů, ale i

spammerů se může vydávat za někoho, koho znáte.

V případě, že odesilatele vůbec neznám a tedy není možné spoléhat na porovnání

obsahu s tím, co bych od tohoto člověka očekával, zajímá mne rovnou obsah.



Krok 2: Co mi chce?

Přeskočíme předmět e-mailu jako takový a podívejme se na jeho text. Za

předpokladu, že textu rozumím, tedy že je v jazyce, který ovládám, přečtu si

jej, aniž bych otevíral přílohu. Pokud je text e-mailu v HTML a Outlook mi

oznámil že nestáhnul další komponenty, přečtu si co nejvíce toho, co přečíst

lze, ale na nic neklikám a nic nestahuji. Z hlediska běžného textového obsahu

jsou nejnebezpečnější zprávy, ve kterých se po mně chce, abych:

a)jakýmkoliv způsobem otevřel přílohu e-mailu:

- odkazuje na dokumenty, které jsou přiloženy,

- slibuje vtipnou animaci,

- obrázek populární herečky nahoře bez,

- nabízí aktualizaci softwaru,

- nabízí zajímavou utilitu nebo jakýkoliv program,

- cokoliv, co má obecnou platnost, bez udání upřesnění toho, co v příloze je.

b)explicitně požaduje, abych otevřel odkaz v e-mailu:

- na stránku se zajímavým vtipem,

- se slevovým kupónem do hypermarketu nebo obchodu,

- s informací pro zákazníky, dodavatele apod.

c)požaduje „doplnění informací“:

- buď prostřednictvím otevření stránky,

- nebo po spuštění programu v příloze e-mailu,

- odpovědí na e-mail,

- jakkoliv jinak.

„Doplnění informací“ je nebezpečné hlavně v případě, pokud se jedná o taková

data, která jsou nebo by i potenciálně mohla být soukromé povahy. Platí to i v

případě, že s tím, kdo e-mail odesílá, přesněji se za něj vydává, nejsem

explicitně domluven na tom, že mu takové informace tímto způsobem poskytnu.

d)Požaduje abych poskytnul pomoc:

- ve jménu boha nebo jiné autority,

- lidem, kteří nemohou opustit svou vlast (typicky africké země),

- umožnil převést peníze,

- nebo cokoliv jim podobného,

- fungoval jako prostředník.

Reakce na e-mail, který splňuje poslední (4.) bod, je jistým skokem na

nigerijský podvod. Jeho odesilatel vůbec nemusí být z Nigérie, ale jak

přesvědčila poslední aféra, klidně se může vydávat za Švýcara.

Obecně platí, že NIKDO, kdo vám kdykoliv vystavil jakékoliv přihlašovací údaje

za jakýmkoliv účelem, je NIKDY nebude po vás chtít zpátky. Pokud e-mail

odkazuje například na stránky, které vypadají jako eBay a na těchto stránkách

bude přihlašovací formulář pro „ověření“ identity, loginu a hesla, aniž jste si

takový e-mail vyžádali, nebo k němu dali sami podnět například aktivací účtu,

pak vězte, že se jedná o podvod. To neznamená, že stránky s tímto podvodem

nebudou vypadat velmi profesionálně a skoro by se chtělo říci „téměř jako ty

pravé“.



Krok 3: Jak to říká?

Obsah předmětu (subjektu) e-mailu jsme schválně nechali až nakonec. Autoři

nebezpečných zpráv vyvinuli velmi širokou škálu různých způsobů, jak vytvářet

předměty takovým způsobem, aby nebylo možné je jednoznačně a rychle

identifikovat. Některé z předmětů jako

Hi,

Re: Hi,

Your Software

a další se staly natolik „profláknutými“, že je možné zlou zprávu rozpoznat jen

na základě jejich přečtení. Mnoho jiných je ale stále dostatečně důvěryhodně

vypadajících, aby na ně potenciální uživatel skočil a četl dále. S určitou

měrou zobecnění platí že to, co není v mém rodném jazyce nebo v tom jazyce, v

němž běžně dostávám e-mail, je podezřelé. Pokud takový e-mail dostanu je

nejlepší jej vymazat bez přečtení (a bez otevření).

Někteří červi mohou s velkou měrou úspěchu kopírovat předměty již odeslaných

zpráv, zvláště v případě, že používáte starší verze Outlooku. V tom případě si

lze všimnout toho, že text e-mailu je v rozporu s předmětem, že jde o něco

úplně jiného, že se liší v použitém jazyce nebo třeba jen slohu. Dále je v

textu i předmětu dobré dávat obzvláště pozor na ty zprávy, které:

- jsou napsány více než jedním jazykem,

- pokud jsou napsány jazykem, který znám, pak pozor na ty, jež působí dojmem

„strojového překladu“. Tedy neskloňují, jejich obsah budí dojem, že je pouze

mechanicky skládán z jednotlivých slov za sebe. Jedná se o častý rys virů.



Krok 4: Otevřít?

Předchozí kroky se týkaly zpráv, které jsou zobrazeny v náhledovém okně

poštovního programu. Některé komponenty ale v případě Outlooku v tomto

náhledovém okně prostě zobrazit nelze a tak je nutné zprávu otevřít. Pokud

doručený e–mail budí z jakéhokoliv z předchozích důvodů nebo třeba jenom

intuitivně dojem, že není právě seriózní, neotevírejte jej v plném okně

doručené zprávy, pokud možno nedávejte povel ke stahování dalšího HTML obsahu,

neotevírejte žádnou přílohu žádného typu, neklikejte na žádný odkaz, který v

takovém e-mailu najdete a e-mail pokud možno ihned vymažte.

Jak se dostal až k nám?

Úspěšně jsme tedy identifikovali a odstranili nebezpečnou zprávu. Přestože je

možné, že nám ji poslalo skutečné trpící dítě v Angole nebo někdo, kdo nám

chtěl poskytnout spoustu peněz, učinili jsme tak s nejlepší vůlí se ochránit

před drtivou převahou těch ostatních, tedy podvodníků. Jak se to ale mohlo

stát? Jak mohlo dojít k tomu, že se nebezpečná zpráva dostala až k nám? Je to

poměrně snadné. Antivirový software se vyznačuje určitou dobou potřebnou k

aktualizaci a určitým nastavením. Je velmi pravděpodobné, že v období mezi

aktualizacemi nebude schopen identifikovat nákazu, kterou už je jeho novější

verze schopna odhalit. To platí zejména tehdy, je-li naše politika aktualizací

benevolentnější. Také antispamové filtry nejsou nejdokonalejší. Každé jejich

nastavení raději propustí zprávu, u níž si není systém jednoznačně jistý, že

nejde o nevyžádanou poštu, než aby ji zahodilo do příslušné složky nebo dokonce

úplně odstranilo z počítače pryč. Mnoho regulérních zpráv také ke svému

správnému fungování potřebuje skripty, které mohou ty zlé různým způsobem

zneužívat. A tak je dost možné, že se zpráva, která je nějakým způsobem

nebezpečná, dostane až k nám. To bohužel platí i pro některé zprávy, které jsou

opatřeny elektronickými certifikáty, neboť i takový Spam již byl zaznamenán.



Svět výjimek

Všechno, co jsme zde popsali, je tak trochu relativní a na všechny zprávy je

nutné pohlížet z kontextu toho, komu přicházejí. Je pravděpodobné, že například

humanitární pracovník bude dostávat čas od času e-maily z Angoly, je docela

možné, že člověk zabývající se softwarem bude mít v příloze pravidelně zdrojové

kódy programů nebo přímo spustitelné soubory, je jisté, že obchodník zabývající

se webem dostane mnoho zpráv s přiloženými odkazy kamsi na internet,

marketingový manažer pak zase e-maily, v nichž budou dokumenty s aktivním

skriptováním. Z tohoto pohledu se také musíme na všechna předchozí pravidla o

tom, co je a co není bezpečné, dívat a nebrat je jako nějaký nezpochybnitelný

fundament. Přesto je při jejich dodržení možné, že se pro nás elektronická

komunikace stane, byť za cenu jisté podezíravosti v každodenním životě, o něco

bezpečnější. Systémy, které nás mají chránit před nebezpečnou poštou,

antivirové aplikace, firewally, antispamy jsou sice velmi účinnými řešeními,

nicméně jejich funkčnost má svá omezení. A je smutným pravidlem, že se přes ně

dostane to, co je paradoxně nejvíce nebezpečné. Závěrem si připomeňme, že není

nejlepší nápad otevírat vše, co nám elektronickou poštou přijde, klikat na

všechny odkazy, ukládat všechny doručené přílohy. Většinou může být výsledek

přesně opačný, než bychom si přáli. Pokud ovšem dojde například k nekorektnímu

vyhodnocení obsahu e-mailu, je možné označit jeho původce za důvěryhodného

prostřednictvím ručního nastavení klienta nebo e–mailového systému.

Na druhé straně je ale také dobré kontrolovat činnost samotných ochranných

opatření. Čas od času je vhodné se podívat do složky určené pro nevyžádanou

poštu, zda náhodou nebylo odstraněno něco, co jsme ve skutečnosti potřebovali,

zda nedošlo k nechtěnému označení za virus něčeho, co jsme skutečně očekávali,

či zda některý kamarád nebyl nechtě prohlášen za spammera. Přestože k tomu

dochází poměrně zřídka, je to možné. Základní pravidlopřes tuto kulturní a

uživatelskou relevanci e-mailové komunikace však v dnešní době zní: není vhodné

důvěřovat všemu, protože přehnaná důvěra vede pomalu, ale jistě do pekel.



Typy nebezpečných e-mailových zpráv

1. Červi

- mohou být přílohou zpráv (nejčastěji),

- mohou být také hypertextovým odkazem ve zprávách,

- jejich distribuce je velmi jednoduchá.

2. Spam

- nevyžádaná pošta, nemusí nutně znamenat podvod,

- obvykle reklama na různé zboží nebo služby.



3. Hoax

Řetězový dopis, obvykle není příliš nebezpečný. Typicky vypadá jako „když tuto

zprávu pošlete deseti lidem, zachráníte jeden život“.

4. Scam

-několik typů e-mailů, asi nejznámější je „nigerijský podvod“,

- cílem je příjemce zprávy nějakým způsobem okrást, nebo jej poškodit.

5. Phishing

Snaha vylákat podvodným e-mailem přihlašovací jména a hesla k různým službám, k

elektronickému bankovnictví a podobně.



On-line identita

On-line Identita je vše, co vás identifikuje na internetu jako osobu a co je s

vámi nějakým způsobem svázáno. Typicky se jedná o přihlašovací jména do různých

informačních systémů a s nimi související hesla. Postiženy mohou být různé

chaty, diskusní servery, vaše schránka elektronické pošty, ICQ, číslo

internetového telefonu. Ztrátu identity „tvrdšího“ ražení pak představují

úspěšné krádeže certifikátů pro podepisování elektronické pošty nebo pro

přihlašování se do různého druhu zabezpečených aplikací, především bank a s

nimi souvisejících systémů.



Co vám e-mailem NIKDY nepřijde

Žádná firma nikdy nerozesílá elektronickou poštou aktualizace svého softwaru.

Jednu dobu se internetem šířil červ hrající si na e–mail od Microsoftu, který

sliboval nejnovější bezpečnostní záplatu. Vypadal skoro jako webová stránka

této firmy se soubory ke stažení a žádal o otevření přílohy. Microsoft vám

NIKDY nepošle žádný spustitelný soubor v příloze, ani formou přímého odkazu.

Všechny jeho bulletiny jsou podepsány pomocí programu PGP a tyto podpisy je

vždy možné dostatečným způsobem ověřit. Microsoft (ani jiná seriozní

společnost) vám také nikdy nepošle nevyžádaný e-mail, proto pokud vám e-mailem

přijde „nejnovější patch“, bez váhání a hlavně, bez otevření jej vymažte.



Elektronický štít

Před nevyžádanou a nebezpečnou poštou nás chrání:

- antivirus na poštovním serveru,

- antispamový filtr na poštovním serveru,

- antispamový filtr v klientu elektronické pošty,

- antivirový systém v přijímajícím počítači,

- v některých případech firewall přijímajícího počítače,

To znamená, že v optimálním případě máme pět ochranných vrstev. Nicméně ani

těchto pět vrstev nestačí a i přes ně může projít pošta, která je tím či oním

způsobem nebezpečná. Jak takovou poštu poznat a eliminovat, jak se nenechat

nachytat? Není to kupodivu příliš obtížné.

Přesto naprostá většina úspěšných pokusů o podvod, krádež dat nebo o zavirování

počítače může být přičtena na vrub chybě uživatele a nikoliv selhání ochranného

systému.