Internetové podvody. Jak se bránit proti nejrůznějším podlým trikům na internetu

1. 11. 2005

Sdílet

Vymahači inkasa za dveřmi, soudní rozsudek v poštovní schránce a každý dennadávky v telefonu. Jako oběť krádeže identity máte na krku pěkný problém. Pro Marka K. (jméno bylo změn
Vymahači inkasa za dveřmi, soudní rozsudek v poštovní schránce a každý den
nadávky v telefonu. Jako oběť krádeže identity máte na krku pěkný problém. Pro
Marka K. (jméno bylo změněno) začala tato noční můra před dvanácti týdny.
Telefonovali mu rozzuření uživatelé Ebaye, kteří se úspěšně účastnili aukcí,
zaplatili, ale žádné zboží nedostali. Jako nabízející byl uveden Marek K. Jenže
on žádný účet na Ebay nemá. To mu však podvedení uživatelé nevěří a podávají na
něj trestní oznámení. Podvodník, na jehož konto peníze převedli, je dávno za
kopečky. Pomocí zfalšovaného průkazu se mu povedlo otevřít si bankovní konto na
cizí jméno.

Účet na Ebay na falešné jméno
Jak si mohl založit účet na cizí jméno? Úplně jednoduše: oběť před časem bez
většího přemýšlení umístila na svoji webovou stránku životopis včetně adresy a
data narození, jak to bývá běžné. A přesně tato data stačí, aby si člověk mohl
na Ebay otevřít konto. Marek K. nebude nakonec muset materiální škody uhradit.
Ale celý příběh ho stál velké množství času a nervů.

Stav konta: minus osmdesát tisíc
O mnoho lépe to nedopadlo ani v případě Petra M. (jméno změněno). Nevěřil svým
očím, když se na výpisu z jeho konta objevila částka minus 80 000 Kč. Co se
stalo? Matně si vzpomínal, že před několika dny dostal od banky e-mail, ve
kterém ho prosili, aby jako dodatečné bezpečnostní opatření vyplnil tajnou
otázku pro on-line bankovnictví. Kliknul na odkaz obsažený v e-mailu a zadal
požadovaná data, včetně čísla účtu, PIN a jako potvrzení TAN (číslo transakce).
Webová stránka vypadala úplně stejně jako ta, kterou používá jeho banka, takže
nepojal žádné podezření. Ve skutečnosti se však jednalo o přesnou kopii s velmi
podobně znějící webovou adresou, kterou založili podvodníci. Několik minut
poté, co Petr M. zadal data, toho jeden z podvodníků využil a vyprázdnil jeho
konto nebál se ani využít celý kontokorent. Když Petr M. krádež objevil a
informoval banku, účet podvodníků již neexistoval. Peníze byly pryč.

Jak se zachovat v takovém případě?
Co dělat, pokud se stanete obětí takovýchto podvodníků? Jako první byste měli
uvědomit provozovatele služby, v prvním případě Ebay, ve druhém vaši banku. Pak
byste měli podat trestní oznámení na policii. Kontakt na Ebay najdete na
www.ebay.de/kontakt. Zvolte "Sdělení o problémech s ostatními účastníky Ebay,
přestupky ohledně kontaktních dat/identita" a poté "Někdo používá moje jméno a
mojí adresu". Klikněte na "Dále" a na další stránce na "e-mail". Zde se
dostanete k formuláři. Váš e-mail bude zaslán pracovníkům, specializovaným na
takovéto případy. Ebay slibuje: "Pokud nám bude hodnověrně nahlášeno zneužití
identity, budeme postiženého či postižené v rámci našich možností provozovatele
aukcí podporovat, jak nejlépe budeme moci". V takových případech se údajně úzce
spolupracuje s vyšetřujícími úřady, kterým se předávají "v rámci právních
předpisů" všechny potřebné informace.

Tipy proti on-line podvodu
Abyste zůstali ušetřeni podobných hororových scénářů, nabídneme vám několik
tipů, jak se můžete proti podvodům na internetu efektivně bránit. Ať už se
jedná o trojské koně, phishing, krádež dat z osobních stránek, z internetové
kavárny nebo z firemní sítě ukážeme vám, v čem spočívá nebezpečí a co proti
němu podniknout.

Trojské koně
Co jsou trojské koně už asi víte: škodlivé programy, které se tváří jako
užitečný software. Dříve škodily především ničením dat. Dnes se ale jedná stále
častěji o jejich krádež.

Trojané: ochraňte si počítač
Svůj počítač byste měli co nejvíce izolovat. Jako soukromý uživatel sotva
chytíte nějakého specifického trojana (viz strana 68), který by měl jako cíl
přímo vás. Existuje však nepřeberné množství nespecifických trojanů, kteří
slídí po osobních datech. Tito škůdci se často rádi vyskytují ve spojení s
velkými událostmi. Takový byl například mailworm, který předstíral, že pochází
od FIFA a tvrdil, že jeho příloha obsahuje důležité informace ohledně nákupu
vstupenek. Kupodivu dost lidí, kteří si vstupenky skutečně chtěli koupit,
osudnou přílohu otevřelo. Totéž platí pro zfalšované faktury. Kdo dostává účty
on-line, zažije nejprve šok, když se ve fingovaném výpisu dočte něco o účtu za
několik desítek tisíc. A pokud je neopatrný, otevře údajný důkaz v příloze
netuší, že v tu chvíli zrovna aktivoval mailworm. E-mailoví červi a trojští
koni často obsahují keylogger, tedy program, který sleduje a zaznamenává
stisknuté klávesy, jež jste zadali v určité aplikaci. Data následně
nepozorovaně pošle autorovi. Toho pak zajímají všechna hesla, čísla kreditních
karet a osobní údaje.
V každém počítači by tedy měl být nainstalován antivirový program, ať už
placený nebo zdarma dostupný na internetu. Kdo za něj nechce platit, může pro
soukromé účely využít například Antivir Personal Edition Classic 6.31 nebo AVG
Anti-Virus Free Edition 7.

Specifický trojský kůň: malá cílová skupina
Existují i specifičtí trojané, kteří se obrací vždy na určitý okruh osob,
například na lékaře nebo advokáty. Na pracovní počítač často proniknou přes
e-mail. Při první výzvě se špionážní program nenápadně instaluje a od té doby
se spouští společně s Windows. Hledá údaje o pacientech, potažmo klientech na
pevném disku a posílá je autorovi trojana, který tyto informace může
nejrůznějšími způsoby zneužívat. Jedná-li se o údaje o adrese a datu narození,
může si podvodník například otevřít účet na Ebay. Mohl by je prodat i
kriminálním organizacím, které si cíleně vybírají především majetné zákazníky.

Nestačí jen ochránit počítač
Trojští koně se mohou zmocnit vaší identity, i když na vašem počítači vládne
maximální opatrnost. Především firmy a podnikatelé, spravující data zákazníků,
musí dbát na vysokou bezpečnost dat a konfigurovat své systémy tak, aby
počítače, z nichž přistupují k datům o zákaznících, nebyly připojené k
internetu. V případě specifických trojanů mohou být i antivirové programy
bezmocné. Kvůli minimálnímu rozšíření jsou tito škůdci v laboratořích výrobců
antivirů většinou neznámí, takže není možné připravit potřebné popisy. Proti
těmto škůdcům nejlépe pomůže heuristika antivirových programů nebo ještě lépe
technika, která typické chování trojanů rozpozná a zablokuje (viz vlevo). Vy
sami můžete udělat jen jedno: svá data svěřte jen málo firmám. Obzvláště datum
narození byste měli držet pod pokličkou, protože s jeho pomocí se například dá
otevřít konto ve webové aukční síni.

Phishing
Prostřednictvím phishingu (z anglických slov password fishing) číhají datoví
špioni taktéž na osobní a tajné informace uživatelů, ale nepoužívají k tomu
škodlivý program. Jednoduše oběť donutí vyzradit požadované informace
dobrovolně a často s tím slaví úspěch.

Svůdné e-maily
I přes častá varování se stále někteří uživatelé nechají autenticky působícími
e-maily svést ke klikání na linky ve zprávě. Na následujících internetových
stránkách pak zadávají osobní údaje. Příkladů lze bohužel najít až příliš
mnoho. Často se o pozdvižení starají e-maily, které vypadají, jakoby pocházely
od bankovních domů. Paradoxně varují před podvodníky a prosí uživatele, aby
klikli na odkaz a zde "vyplnili způsob doplňkové autorizace". Odkaz vypadá na
první pohled stejně, jako by vedl k webové stránce opravdové banky. Při
důkladném pohledu na URL však zjistíme, že se jedná o trik. Pokud se dostanete
na zmíněné stránky, podvod často ani na první pohled nepoznáte. Všechno je
dokonale napodobeno stránka působí autenticky. Ani originální poznámka "pozor
na podvodníky!" s varováním před zfalšovanými e-maily zde ironicky nechybí. Do
formuláře má zákazník mimo jiné zadat číslo konta, on-line PIN a TAN. Každého
by to mělo zarazit hned při přihlašování, nejpozději při zadávání TAN
každopádně při čtení varování "Pozor! Svůj TAN prosím v budoucnu nepoužívejte,
vedlo by to k zablokování konta".

Phishingové e-maily chtějí údaje o přihlášení na Ebay
Phishingové e-maily často přicházejí jakoby od Ebay. Většinou jsou v
angličtině, někdy ale mohou být i lokalizovány. Vzor je vždy stejný: na základě
obskurních událostí, jako porucha serveru nebo problémy s databankou, se údajně
ztratily informace. Adresát má kliknout na odkaz, který na první pohled vypadá
jako adresa Ebay. Na následující (zfalšované) stránce Ebay se má s uživatelským
jménem a heslem přihlásit a překontrolovat správnost svých osobních dat. Pokud
by to neudělal, bude účastnické konto zrušeno toto varování vytváří ještě
dodatečný tlak. Aby nevzniklo žádné podezření, přesměruje vás hackerská stránka
po zadání údajů na skutečnou stránku Ebay samozřejmě poté, co se zachycená data
uživatele uložila do vlastní databáze. Takto získané účty Ebay využívají
hackeři k nabídce drahého zboží pod cizím jménem, které si sice nechají
zaplatit, ale nikdy jej nedodají.

Efektivní ochrana proti phishingu: neklikat
Nejlepší ochranou proti phishingovým e-mailům je nedůvěra, pokud jste vyzýváni
ověřit zákaznická data u nějaké určité služby. Zásadně byste neměli vyvolávat
stránky s přihlášením přes odkaz v e-mailu, nýbrž zadávat adresu služby ručně
do adresového řádku prohlížeče (nebo stránku načíst přes záložku, kterou jste
sami vytvořili).

Sběrači dat
Říká se, že "Google ví všechno." Trefnější by však bylo tvrdit, že "Google ví
příliš mnoho." Tento vyhledávač totiž pročesává vše, co mu přijde pod ruku. Zda
se přitom jedná o chráněná data nebo ne, je vyhledávacímu robotu jedno.

Podvodníci využívají vyhledávače
Přes vyhledávač Google a podobné služby se dají zachytit datové pakety milionů
lidí: jméno, příjmení, adresa, telefonní číslo a datum narození stačí k získání
identity pro kriminální účely. Před několika lety by bylo ještě těžko
myslitelné, aby měl někdo problémy z toho, že na webu uvedl své datum narození.
Spousta lidí ho naivně dala na svoji vlastní stránku nebo do on-line
životopisu. Dnes s těmito údaji lze založit účet na Ebay, který nenechavcům
může přinést dost peněz a poškozenému pak řadu nepříjemností. Ebay je však
pouze jedním z příkladů, kde mohou podvodníci páchat škody.

Utajte svá data
Na osobních stránkách byste měli zásadně uvádět co nej-méně citlivých dat.
Objevit by se zde neměla především vaše adresa a hlavně datum narození. Adresa
se sice dá získat pomocí služeb jako www.checkdomain.com alespoň však krádež
identity ztížíte. On-line životopisy, u nichž se těmto údajům nelze vyhnout,
byste měli opatřit heslem, které pak uvedete v odpovědi na inzerát.
Jednodušší, i když méně bezpečné, je donutit vyhledávače, aby určité stránky
neiniciovaly. V tom případě si musíte založit textový soubor s názvem
robots.txt v hlavním adresáři vaší webové stránky.
Do prvního řádku napište "User-agent: *", čímž určíte, že instrukce platí pro
všechny vyhledávače. Na dalším řádku následuje příkaz "Disallow: /" s názvem
adresáře, ve kterém jsou uloženy stránky webového serveru, jež nemají být
iniciovány. Na konci řádku bude opět lomítko. Pro každý další adresář založíte
zvláštní řádek s "Disallow: /".
Pokud chcete celou webovou stránku vyjmout z indikace vyhledávači, nezadávejte
za příkazem žádný název adresáře. V následujícím příkladu by měly všechny
vyhledávače iniciovat kompletní webovou stránku s výjimkou adresářů "job offer"
(nabídka zaměstnání) a "database".
User-agent:*
Disallow: /job offer/
Disallow: /database/
Pokud chcete, aby vyhledávače do indexu nezahrnuly nic, pak musí robot.txt
vypadat následovně:
User-agent: *
Disallow: /
Pokud se vaše webová stránka již v indexu Googlu nebo jiných vyhledávačů
nachází, musíte chvíli vydržet, než se změna projeví. Vyhledávače zpravidla
zjišťují každé čtyři až osm týdnů, zda nedošlo k nějakým změnám. Adresáře pak z
indexu vymažou.
Metoda s robots.txt je jednodušší, avšak méně bezpečná. Vyhledávače totiž
nejsou povinné držet se instrukcí v souboru robot.txt, i když většina jich to
dělá. Kvůli chybám v softwaru se může v určitých případech stát, že soubor
robot.txt bude ignorován. Určité adresáře lze ochránit heslem zpravidla z
konfiguračního menu vaší webové stránky.

Zanechte co nejméně stop
Nad vlastní webovou stránkou máte kontrolu. Těžší je to ale v případech, kdy
zadáváte údaje na web tam, odkud je pak již sami nemůžete vymazat. Jedná se
například o webová fóra a návštěvní knihy. Mnozí lidé zde zanechají jméno,
e-mailovou adresu a další data, aniž by pomysleli na to, že i tyto údaje se
dají pomocí vyhledávačů najít. U Usenet-Newsgroups můžete alespoň zabránit
tomu, aby je Google Groups (http://groups.google.com) ukládal navěky a byly tak
přístupné pomocí vyhledávání. Toho dosáhnete příkazem "X-No-Archive: yes" v
prvním řádku zprávy.
Vedete-li blog, který je hostován poskytovatelem, jenž nenabízí přístup přes
FTP, nelze zabránit tomu, aby vyhledávače příspěvky neindikovaly. Soubor
robots.txt zde totiž není možné založit. Někde však lze použít heslo pro čtení.

Datové pasti
Chcete anonymně surfovat a použijete k tomu určený speciální nástroj. Přesně
tím ale můžete hackerům zprostředkovat svá data. Nebezpečí hrozí i při
používání internetu v kanceláři nebo v internetové kavárně.

Proxys: hackeři mohou naslouchat
Je mnoho programů, které by vám měly zaručit anonymní surfování po internetu.
Kvůli tomu vedou data přes proxy server. Server na druhé straně tak získá pouze
IP adresu proxy.
Někteří výrobci prohledávají pravidelně síť kvůli obecně přístupným proxy
serverům a vytvářejí seznamy, které pak automaticky nebo ručně ukládají.
Otevřené proxy servery tedy bez přihlašování mají tu nevýhodu, že vlastně nikdo
neví, komu patří a jak jsou konfigurovány. Některé z těchto serverů jsou
nastaveny tak, že průběžně ukládají všechny požadované obsahy. Ty se pak při
příštím zobrazení musí ukládat pouze v případě, že byly změněny. Když se
například chcete dostat ke svým e-mailům přes proxy server webmailu, může se
stát, že bude přečtené zprávy průběžně ukládat. Administrátor proxy nebo
hacker, který se do serveru nabourá, si je může přečíst nebo přímo
odposlouchávat datový provoz. Podvodník může vytvořit i vlastní proxy a doufat,
že se dostane do seznamů proxy serverů určitého programu, aby mohl odchytávat
datový provoz mezi uživateli.
Pro anonymní surfování je lepší používat takový software, jehož výrobce
garantuje důvěryhodnost používaných proxy serverů. Jedním z nich je například
neplacený nástroj JAP 00.05.007 (najdete na našem CD).

Nebezpečí v kanceláři: kolegové čtou také
Zvláště vysoké nebezpečí špionáže hrozí v sítích, kde všichni účastníci sdílejí
jeden přístup k internetu. Některé neplacené programy (jako Ethereal 0.10.12
společně s ovladačem Winpcap 3.0) stačí k tomu, abyste mohli odposlouchávat, na
které aukci na Ebay kolega něco nabízí nebo ve kterém chatu se pohybuje.
Jediným předpokladem je síť spojená pomocí hubů. Naštěstí se huby již tolik
nepoužívají. Lepší volbou dnes jsou switche. Od hubů se totiž odlišují v jednom
zásadním bodě: všímají si, na jakém portu switche je počítač s určitou síťovou
adresou připojen. Počítač B tak nepozná na rozdíl od hubu když si počítač A
vyměňuje data s počítačem C.
Existují způsoby, jak jednotlivé počítače v sítích se switchi odposlouchávat.
Program Ettercap změní routovací pravidla napadeného počítače tak, že všechna
data běží přes mezistanici, kterou je počítač špiona a na níž je tak možné data
rovněž přečíst. I bezpečná spojení HTTPS se dají s určitou snahou zmanipulovat
tak, aby špion viděl data v nešifrovaném textu. Takovým útokům se jako
jednotliví uživatelé nemůžeme bránit, může nás ochránit pouze síťový
administrátor, který vše permanentně hlídá pomocí speciálního softwaru.
Své e-maily však můžete před zvědavými pohledy uchránit: používejte kódovací
nástroj jako třeba PGP Desktop 9.0. Program je k dispozici i v sharewarové
verzi, u niž se po třiceti dnech řada funkcí vypne, ale kódování e-mailů
funguje dál.

Datoví špioni číhají v internetových kavárnách
Jisté riziko představuje zadávání přihlašovacích údajů na cizím počítačí v
internetové kavárně. Jen málo internetových kaváren používá speciální software,
který po každé session vrátí systém do předem definovaného základního stavu a
smaže přitom všechna osobní data.
Internet Explorer (IE) může být nastaven tak, aby ukládal všechny hodnoty
zadané do polí formulářů včetně hesel. Již při zadání prvního písmene se v
rámečku s uživatelskými jmény u populárních služeb jako třeba GMX otevře lišta
se všemi uloženými identifikacemi, které začínají tímto písmenem. Související
heslo je sice maskováno hvězdičkami, log-in ale umožňuje. Všechna uživatelská
jména včetně hesel uložená v IE se dají rozšifrovat freewarovým programem
Protected Storage Passview (najdete jej také na našem CD). Můžete jej vyzkoušet
na svém prohlížeči.
U počítače umístěného v internetové kavárně navíc nikdy nevíte, nakolik vážně
bere provozovatel bezpečnostní update. Některé z těchto veřejně přístupných
počítačů jsou přehlceny spywarem. Často jsou zde i keyloggery, které
protokolují všechny stisknuté klávesy. Pokud si nejste jisti, zda se po vašem
sezení všechna data smažou, měli byste se vyhnout přihlašování na webové služby.
Ti z vás, kteří se ani na cestách nechtějí vzdát prohlížení e-mailu, si mohou
zdarma založit další účet a nechat si na něj zprávy ze své hlavní poštovní
schránky převádět. Ne všichni provozovatelé ale tuto funkci nabízejí bezplatně.

Pět podlých triků a jak se proti nim bránit
1Phishing: Podvodníci rozesílají e-maily, které vypadají jako by pocházely od
banky nebo od Ebay. Adresáti jsou pod nějakou záminkou vyzývání, aby kliknuli
na uvedený odkaz. Ten je pak zavede na webovou stránku, která vypadá podobně
jako ta pravá. Zde mají oběti zadat svoje přihlašovací údaje.
Ochrana: Neklikejte na odkazy v e-mailech, ale zadávejte vám známou adresu
služby do prohlížeče ručně.
2Trojské koně: Trojské koně neposílají na vaši adresu jen nakažené e-maily.
Spolupracují s keyloggery, které zaznamenají heslo a pošlou ho zadavateli.
Ochrana: Nainstalujte si antivirový program a stále ho udržujete v
aktualizovaném stavu.
3Obsah homepage: Podvodníci pátrají po osobních stránkách, na nichž autor uvádí
adresu a datum narození. Tyto údaje pak využijí při zakládání různých kont a
jménem oběti draží věci, které nevlastní.
Ochrana: Adresu a datum narození zadávejte pouze tehdy, pokud je to
bezpodmínečně nutné a pouze v oblasti chráněné heslem.
4Krádež dat v internetové kavárně: Na špatně chráněných počítačích v
internetových kavárnách číhají bezpečnostní mezery a trojské koně navíc zde
prohlížeč může ukládat identifikační údaje.
Ochrana: Nepoužívejte v internetových kavárnách webové služby, k nimž se musíte
přihlašovat.
5Odposlouchávání proxy-serverů: Podvodníci napadnou proxy servery, vyhodnocují
dočasně uložená data a odposlouchávají datový provoz.
Ochrana: Nezadávejte žádná osobní data a identifikační údaje, pokud používáte
proxy například v případě anonymního surfování.