Internetové podvody. Jak se bránit proti nejrůznějším podlým trikům na internetu

19. 3. 2007

Sdílet

Vymahači inkasa za dveřmi, soudní rozsudek v poštovní schránce a každý den nadávky v telefonu. Jako oběť krádeže identity máte na krku pěkný problém. Pro Marka K. (jméno bylo změněno) začala tato noční můra před dvanácti týdny. Telefonovali mu rozzuření uživatelé Ebaye, kteří se úspěšně účastnili aukcí, zaplatili, ale žádné zboží nedostali.

Vymahači inkasa za dveřmi, soudní rozsudek v poštovní schránce a každý den nadávky v telefonu. Jako oběť krádeže identity máte na krku pěkný problém. Pro Marka K. (jméno bylo změněno) začala tato noční můra před dvanácti týdny. Telefonovali mu rozzuření uživatelé Ebaye, kteří se úspěšně účastnili aukcí, zaplatili, ale žádné zboží nedostali. Jako nabízející byl uveden Marek K. Jenže on žádný účet na Ebay nemá. To mu však podvedení uživatelé nevěří a podávají na něj trestní oznámení. Podvodník, na jehož konto peníze převedli, je dávno za kopečky. Pomocí zfalšovaného průkazu se mu povedlo otevřít si bankovní konto na cizí jméno.

Účet na Ebay na falešné jméno
Jak si mohl založit účet na cizí jméno? Úplně jednoduše: oběť před časem bez většího přemýšlení umístila na svoji webovou stránku životopis včetně adresy a data narození, jak to bývá běžné. A přesně tato data stačí, aby si člověk mohl na Ebay otevřít konto. Marek K. nebude nakonec muset materiální škody uhradit. Ale celý příběh ho stál velké množství času a nervů.

Stav konta: minus osmdesát tisíc
O mnoho lépe to nedopadlo ani v případě Petra M. (jméno změněno). Nevěřil svým očím, když se na výpisu z jeho konta objevila částka minus 80 000 Kč. Co se stalo? Matně si vzpomínal, že před několika dny dostal od banky e-mail, ve kterém ho prosili, aby jako dodatečné bezpečnostní opatření vyplnil tajnou otázku pro on-line bankovnictví. Kliknul na odkaz obsažený v e-mailu a zadal požadovaná data, včetně čísla účtu, PIN a jako potvrzení TAN (číslo transakce). Webová stránka vypadala úplně stejně jako ta, kterou používá jeho banka, takže nepojal žádné podezření. Ve skutečnosti se však jednalo o přesnou kopii s velmi podobně znějící webovou adresou, kterou založili podvodníci. Několik minut poté, co Petr M. zadal data, toho jeden z podvodníků využil a vyprázdnil jeho konto nebál se ani využít celý kontokorent. Když Petr M. krádež objevil a informoval banku, účet podvodníků již neexistoval. Peníze byly pryč.

Jak se zachovat v takovém případě?
Co dělat, pokud se stanete obětí takovýchto podvodníků? Jako první byste měli uvědomit provozovatele služby, v prvním případě Ebay, ve druhém vaši banku. Pak byste měli podat trestní oznámení na policii. Kontakt na Ebay najdete na www.ebay.de/kontakt. Zvolte "Sdělení o problémech s ostatními účastníky Ebay, přestupky ohledně kontaktních dat/identita" a poté "Někdo používá moje jméno a mojí adresu". Klikněte na "Dále" a na další stránce na "e-mail". Zde se dostanete k formuláři. Váš e-mail bude zaslán pracovníkům, specializovaným na takovéto případy. Ebay slibuje: "Pokud nám bude hodnověrně nahlášeno zneužití identity, budeme postiženého či postižené v rámci našich možností provozovatele aukcí podporovat, jak nejlépe budeme moci". V takových případech se údajně úzce spolupracuje s vyšetřujícími úřady, kterým se předávají "v rámci právních předpisů" všechny potřebné informace.

Tipy proti on-line podvodu
Abyste zůstali ušetřeni podobných hororových scénářů, nabídneme vám několik tipů, jak se můžete proti podvodům na internetu efektivně bránit. Ať už se jedná o trojské koně, phishing, krádež dat z osobních stránek, z internetové kavárny nebo z firemní sítě ukážeme vám, v čem spočívá nebezpečí a co proti němu podniknout.

Trojské koně
Co jsou trojské koně už asi víte: škodlivé programy, které se tváří jako užitečný software. Dříve škodily především ničením dat. Dnes se ale jedná stále častěji o jejich krádež.

Trojané: ochraňte si počítač
Svůj počítač byste měli co nejvíce izolovat. Jako soukromý uživatel sotva chytíte nějakého specifického trojana (viz strana 68), který by měl jako cíl přímo vás. Existuje však nepřeberné množství nespecifických trojanů, kteří slídí po osobních datech. Tito škůdci se často rádi vyskytují ve spojení s velkými událostmi. Takový byl například mailworm, který předstíral, že pochází od FIFA a tvrdil, že jeho příloha obsahuje důležité informace ohledně nákupu vstupenek. Kupodivu dost lidí, kteří si vstupenky skutečně chtěli koupit, osudnou přílohu otevřelo. Totéž platí pro zfalšované faktury. Kdo dostává účty on-line, zažije nejprve šok, když se ve fingovaném výpisu dočte něco o účtu za několik desítek tisíc. A pokud je neopatrný, otevře údajný důkaz v příloze netuší, že v tu chvíli zrovna aktivoval mailworm. E-mailoví červi a trojští koni často obsahují keylogger, tedy program, který sleduje a zaznamenává stisknuté klávesy, jež jste zadali v určité aplikaci. Data následně nepozorovaně pošle autorovi. Toho pak zajímají všechna hesla, čísla kreditních karet a osobní údaje.
V každém počítači by tedy měl být nainstalován antivirový program, ať už placený nebo zdarma dostupný na internetu. Kdo za něj nechce platit, může pro soukromé účely využít například Antivir Personal Edition Classic 6.31 nebo AVG Anti-Virus Free Edition 7.

Specifický trojský kůň: malá cílová skupina
Existují i specifičtí trojané, kteří se obrací vždy na určitý okruh osob, například na lékaře nebo advokáty. Na pracovní počítač často proniknou přes e-mail. Při první výzvě se špionážní program nenápadně instaluje a od té doby se spouští společně s Windows. Hledá údaje o pacientech, potažmo klientech na pevném disku a posílá je autorovi trojana, který tyto informace může nejrůznějšími způsoby zneužívat. Jedná-li se o údaje o adrese a datu narození, může si podvodník například otevřít účet na Ebay. Mohl by je prodat i kriminálním organizacím, které si cíleně vybírají především majetné zákazníky.

Nestačí jen ochránit počítač
Trojští koně se mohou zmocnit vaší identity, i když na vašem počítači vládne maximální opatrnost. Především firmy a podnikatelé, spravující data zákazníků, musí dbát na vysokou bezpečnost dat a konfigurovat své systémy tak, aby počítače, z nichž přistupují k datům o zákaznících, nebyly připojené k internetu. V případě specifických trojanů mohou být i antivirové programy bezmocné. Kvůli minimálnímu rozšíření jsou tito škůdci v laboratořích výrobců antivirů většinou neznámí, takže není možné připravit potřebné popisy. Proti těmto škůdcům nejlépe pomůže heuristika antivirových programů nebo ještě lépe technika, která typické chování trojanů rozpozná a zablokuje (viz vlevo). Vy sami můžete udělat jen jedno: svá data svěřte jen málo firmám. Obzvláště datum narození byste měli držet pod pokličkou, protože s jeho pomocí se například dá otevřít konto ve webové aukční síni.

Phishing
Prostřednictvím phishingu (z anglických slov password fishing) číhají datoví špioni taktéž na osobní a tajné informace uživatelů, ale nepoužívají k tomu škodlivý program. Jednoduše oběť donutí vyzradit požadované informace dobrovolně a často s tím slaví úspěch.

Svůdné e-maily
I přes častá varování se stále někteří uživatelé nechají autenticky působícími e-maily svést ke klikání na linky ve zprávě. Na následujících internetových stránkách pak zadávají osobní údaje. Příkladů lze bohužel najít až příliš mnoho. Často se o pozdvižení starají e-maily, které vypadají, jakoby pocházely od bankovních domů. Paradoxně varují před podvodníky a prosí uživatele, aby klikli na odkaz a zde "vyplnili způsob doplňkové autorizace". Odkaz vypadá na první pohled stejně, jako by vedl k webové stránce opravdové banky. Při důkladném pohledu na URL však zjistíme, že se jedná o trik. Pokud se dostanete na zmíněné stránky, podvod často ani na první pohled nepoznáte. Všechno je dokonale napodobeno stránka působí autenticky. Ani originální poznámka "pozor na podvodníky!" s varováním před zfalšovanými e-maily zde ironicky nechybí. Do formuláře má zákazník mimo jiné zadat číslo konta, on-line PIN a TAN. Každého by to mělo zarazit hned při přihlašování, nejpozději při zadávání TAN každopádně při čtení varování "Pozor! Svůj TAN prosím v budoucnu nepoužívejte, vedlo by to k zablokování konta".

Phishingové e-maily chtějí údaje o přihlášení na Ebay
Phishingové e-maily často přicházejí jakoby od Ebay. Většinou jsou v angličtině, někdy ale mohou být i lokalizovány. Vzor je vždy stejný: na základě obskurních událostí, jako porucha serveru nebo problémy s databankou, se údajně ztratily informace. Adresát má kliknout na odkaz, který na první pohled vypadá jako adresa Ebay. Na následující (zfalšované) stránce Ebay se má s uživatelským jménem a heslem přihlásit a překontrolovat správnost svých osobních dat. Pokud by to neudělal, bude účastnické konto zrušeno toto varování vytváří ještě dodatečný tlak. Aby nevzniklo žádné podezření, přesměruje vás hackerská stránka po zadání údajů na skutečnou stránku Ebay samozřejmě poté, co se zachycená data uživatele uložila do vlastní databáze. Takto získané účty Ebay využívají hackeři k nabídce drahého zboží pod cizím jménem, které si sice nechají zaplatit, ale nikdy jej nedodají.

Efektivní ochrana proti phishingu: neklikat
Nejlepší ochranou proti phishingovým e-mailům je nedůvěra, pokud jste vyzýváni ověřit zákaznická data u nějaké určité služby. Zásadně byste neměli vyvolávat stránky s přihlášením přes odkaz v e-mailu, nýbrž zadávat adresu služby ručně do adresového řádku prohlížeče (nebo stránku načíst přes záložku, kterou jste sami vytvořili).

Sběrači dat
Říká se, že "Google ví všechno." Trefnější by však bylo tvrdit, že "Google ví příliš mnoho." Tento vyhledávač totiž pročesává vše, co mu přijde pod ruku. Zda se přitom jedná o chráněná data nebo ne, je vyhledávacímu robotu jedno.

Podvodníci využívají vyhledávače
Přes vyhledávač Google a podobné služby se dají zachytit datové pakety milionů lidí: jméno, příjmení, adresa, telefonní číslo a datum narození stačí k získání identity pro kriminální účely. Před několika lety by bylo ještě těžko myslitelné, aby měl někdo problémy z toho, že na webu uvedl své datum narození. Spousta lidí ho naivně dala na svoji vlastní stránku nebo do on-line životopisu. Dnes s těmito údaji lze založit účet na Ebay, který nenechavcům může přinést dost peněz a poškozenému pak řadu nepříjemností. Ebay je však pouze jedním z příkladů, kde mohou podvodníci páchat škody.

Utajte svá data
Na osobních stránkách byste měli zásadně uvádět co nej-méně citlivých dat. Objevit by se zde neměla především vaše adresa a hlavně datum narození. Adresa se sice dá získat pomocí služeb jako www.checkdomain.com alespoň však krádež identity ztížíte. On-line životopisy, u nichž se těmto údajům nelze vyhnout, byste měli opatřit heslem, které pak uvedete v odpovědi na inzerát.
Jednodušší, i když méně bezpečné, je donutit vyhledávače, aby určité stránky neiniciovaly. V tom případě si musíte založit textový soubor s názvem robots.txt v hlavním adresáři vaší webové stránky.
Do prvního řádku napište "User-agent: *", čímž určíte, že instrukce platí pro všechny vyhledávače. Na dalším řádku následuje příkaz "Disallow: /" s názvem adresáře, ve kterém jsou uloženy stránky webového serveru, jež nemají být iniciovány. Na konci řádku bude opět lomítko. Pro každý další adresář založíte zvláštní řádek s "Disallow: /".
Pokud chcete celou webovou stránku vyjmout z indikace vyhledávači, nezadávejte za příkazem žádný název adresáře. V následujícím příkladu by měly všechny vyhledávače iniciovat kompletní webovou stránku s výjimkou adresářů "job offer" (nabídka zaměstnání) a "database".
User-agent:*
Disallow: /job offer/
Disallow: /database/
Pokud chcete, aby vyhledávače do indexu nezahrnuly nic, pak musí robot.txt vypadat následovně:
User-agent: *
Disallow: /
Pokud se vaše webová stránka již v indexu Googlu nebo jiných vyhledávačů nachází, musíte chvíli vydržet, než se změna projeví. Vyhledávače zpravidla zjišťují každé čtyři až osm týdnů, zda nedošlo k nějakým změnám. Adresáře pak z indexu vymažou.
Metoda s robots.txt je jednodušší, avšak méně bezpečná. Vyhledávače totiž nejsou povinné držet se instrukcí v souboru robot.txt, i když většina jich to dělá. Kvůli chybám v softwaru se může v určitých případech stát, že soubor robot.txt bude ignorován. Určité adresáře lze ochránit heslem zpravidla z konfiguračního menu vaší webové stránky.

Zanechte co nejméně stop
Nad vlastní webovou stránkou máte kontrolu. Těžší je to ale v případech, kdy zadáváte údaje na web tam, odkud je pak již sami nemůžete vymazat. Jedná se například o webová fóra a návštěvní knihy. Mnozí lidé zde zanechají jméno, e-mailovou adresu a další data, aniž by pomysleli na to, že i tyto údaje se dají pomocí vyhledávačů najít. U Usenet-Newsgroups můžete alespoň zabránit tomu, aby je Google Groups (http://groups.google.com) ukládal navěky a byly tak přístupné pomocí vyhledávání. Toho dosáhnete příkazem "X-No-Archive: yes" v prvním řádku zprávy.
Vedete-li blog, který je hostován poskytovatelem, jenž nenabízí přístup přes FTP, nelze zabránit tomu, aby vyhledávače příspěvky neindikovaly. Soubor robots.txt zde totiž není možné založit. Někde však lze použít heslo pro čtení.

Datové pasti
Chcete anonymně surfovat a použijete k tomu určený speciální nástroj. Přesně tím ale můžete hackerům zprostředkovat svá data. Nebezpečí hrozí i při používání internetu v kanceláři nebo v internetové kavárně.

Proxys: hackeři mohou naslouchat
Je mnoho programů, které by vám měly zaručit anonymní surfování po internetu. Kvůli tomu vedou data přes proxy server. Server na druhé straně tak získá pouze IP adresu proxy.
Někteří výrobci prohledávají pravidelně síť kvůli obecně přístupným proxy serverům a vytvářejí seznamy, které pak automaticky nebo ručně ukládají. Otevřené proxy servery tedy bez přihlašování mají tu nevýhodu, že vlastně nikdo neví, komu patří a jak jsou konfigurovány. Některé z těchto serverů jsou nastaveny tak, že průběžně ukládají všechny požadované obsahy. Ty se pak při příštím zobrazení musí ukládat pouze v případě, že byly změněny. Když se například chcete dostat ke svým e-mailům přes proxy server webmailu, může se stát, že bude přečtené zprávy průběžně ukládat. Administrátor proxy nebo hacker, který se do serveru nabourá, si je může přečíst nebo přímo odposlouchávat datový provoz. Podvodník může vytvořit i vlastní proxy a doufat, že se dostane do seznamů proxy serverů určitého programu, aby mohl odchytávat datový provoz mezi uživateli.
Pro anonymní surfování je lepší používat takový software, jehož výrobce garantuje důvěryhodnost používaných proxy serverů. Jedním z nich je například neplacený nástroj JAP 00.05.007 (najdete na našem CD).

Nebezpečí v kanceláři: kolegové čtou také
Zvláště vysoké nebezpečí špionáže hrozí v sítích, kde všichni účastníci sdílejí jeden přístup k internetu. Některé neplacené programy (jako Ethereal 0.10.12 společně s ovladačem Winpcap 3.0) stačí k tomu, abyste mohli odposlouchávat, na které aukci na Ebay kolega něco nabízí nebo ve kterém chatu se pohybuje. Jediným předpokladem je síť spojená pomocí hubů. Naštěstí se huby již tolik nepoužívají. Lepší volbou dnes jsou switche. Od hubů se totiž odlišují v jednom zásadním bodě: všímají si, na jakém portu switche je počítač s určitou síťovou adresou připojen. Počítač B tak nepozná na rozdíl od hubu když si počítač A vyměňuje data s počítačem C.
Existují způsoby, jak jednotlivé počítače v sítích se switchi odposlouchávat. Program Ettercap změní routovací pravidla napadeného počítače tak, že všechna data běží přes mezistanici, kterou je počítač špiona a na níž je tak možné data rovněž přečíst. I bezpečná spojení HTTPS se dají s určitou snahou zmanipulovat tak, aby špion viděl data v nešifrovaném textu. Takovým útokům se jako jednotliví uživatelé nemůžeme bránit, může nás ochránit pouze síťový administrátor, který vše permanentně hlídá pomocí speciálního softwaru.
Své e-maily však můžete před zvědavými pohledy uchránit: používejte kódovací nástroj jako třeba PGP Desktop 9.0. Program je k dispozici i v sharewarové verzi, u niž se po třiceti dnech řada funkcí vypne, ale kódování e-mailů funguje dál.

Datoví špioni číhají v internetových kavárnách
Jisté riziko představuje zadávání přihlašovacích údajů na cizím počítačí v internetové kavárně. Jen málo internetových kaváren používá speciální software, který po každé session vrátí systém do předem definovaného základního stavu a smaže přitom všechna osobní data.
Internet Explorer (IE) může být nastaven tak, aby ukládal všechny hodnoty zadané do polí formulářů včetně hesel. Již při zadání prvního písmene se v rámečku s uživatelskými jmény u populárních služeb jako třeba GMX otevře lišta se všemi uloženými identifikacemi, které začínají tímto písmenem. Související heslo je sice maskováno hvězdičkami, log-in ale umožňuje. Všechna uživatelská jména včetně hesel uložená v IE se dají rozšifrovat freewarovým programem Protected Storage Passview (najdete jej také na našem CD). Můžete jej vyzkoušet na svém prohlížeči.
U počítače umístěného v internetové kavárně navíc nikdy nevíte, nakolik vážně bere provozovatel bezpečnostní update. Některé z těchto veřejně přístupných počítačů jsou přehlceny spywarem. Často jsou zde i keyloggery, které protokolují všechny stisknuté klávesy. Pokud si nejste jisti, zda se po vašem sezení všechna data smažou, měli byste se vyhnout přihlašování na webové služby.
Ti z vás, kteří se ani na cestách nechtějí vzdát prohlížení e-mailu, si mohou zdarma založit další účet a nechat si na něj zprávy ze své hlavní poštovní schránky převádět. Ne všichni provozovatelé ale tuto funkci nabízejí bezplatně.

Pět podlých triků a jak se proti nim bránit
1Phishing: Podvodníci rozesílají e-maily, které vypadají jako by pocházely od banky nebo od Ebay. Adresáti jsou pod nějakou záminkou vyzývání, aby kliknuli na uvedený odkaz. Ten je pak zavede na webovou stránku, která vypadá podobně jako ta pravá. Zde mají oběti zadat svoje přihlašovací údaje.
Ochrana: Neklikejte na odkazy v e-mailech, ale zadávejte vám známou adresu služby do prohlížeče ručně.
2Trojské koně: Trojské koně neposílají na vaši adresu jen nakažené e-maily. Spolupracují s keyloggery, které zaznamenají heslo a pošlou ho zadavateli.
Ochrana: Nainstalujte si antivirový program a stále ho udržujete v aktualizovaném stavu.
3Obsah homepage: Podvodníci pátrají po osobních stránkách, na nichž autor uvádí adresu a datum narození. Tyto údaje pak využijí při zakládání různých kont a jménem oběti draží věci, které nevlastní.
Ochrana: Adresu a datum narození zadávejte pouze tehdy, pokud je to bezpodmínečně nutné a pouze v oblasti chráněné heslem.
4Krádež dat v internetové kavárně: Na špatně chráněných počítačích v internetových kavárnách číhají bezpečnostní mezery a trojské koně navíc zde prohlížeč může ukládat identifikační údaje.
Ochrana: Nepoužívejte v internetových kavárnách webové služby, k nimž se musíte přihlašovat.
5Odposlouchávání proxy-serverů: Podvodníci napadnou proxy servery, vyhodnocují dočasně uložená data a odposlouchávají datový provoz.
Ochrana: Nezadávejte žádná osobní data a identifikační údaje, pokud používáte proxy například v případě anonymního surfování.