Poznejte nebezpečnou poštu

1. 1. 2005

Sdílet

Tento článek je návodem, jak poznat e-mail, jehož odesílatel vás chce podvést,okrást nebo zavirovat. Možná, že již tato krátká věta vás zcela odradí od jeho přečtení, ale přemý...
Tento článek je návodem, jak poznat e-mail, jehož odesílatel vás chce podvést,
okrást nebo zavirovat. Možná, že již tato krátká věta vás zcela odradí od jeho
přečtení, ale přemýšlejte. Proč se neustále šíří e-mailové viry? Proč se daří
okrádat uživatele pomocí falešných nabídek slev nebo zisků z mrtvých účtů? Je
to právě proto, že jsou lidé ochotni uvěřit. a kliknout.
Elektronická pošta, neboli e-mail je jedna z nejstarších a dodnes
nejoblíbenějších služeb celosvětové sítě internet. Je to off-line služba, což
neznamená nic jiného, než že komunikace se neodehrává v reálném čase. Od
okamžiku, kdy napíšete a odešlete e-mail, může uplynout i několik desítek
hodin, než dorazí příjemci, a také několik desítek hodin, než si jej tento
příjemce přečte.

Proč právě e-mailem
Není tedy možné bezprostředně ověřit, zda je ten, kdo se vydává za odesilatele,
skutečně odesilatelem elektronického dopisu, zda je tento dopis určen pouze vám
nebo ještě někomu dalšímu (existují sice standardní pole určující příjemce a
příjemce kopie, ale ta se dají obejít), odkud ve skutečnosti přišel a velmi
často ani není jasné, co je doopravdy jeho obsahem.

Původní elektronická pošta, která obsahovala de facto jen text, byla v tomto
ohledu transparentnější, nicméně byla ochuzena o velký počet dodatečných
funkcí, které jsou dnes pro
e-maily typické. Díky použití HTML ve zprávách, přikládání různých typů souborů
a díky propojování obsahu ve zprávě elektronické pošty s obsahem, jenž se
nachází například na nějakém serveru, bylo například umožněno posílat hezké a
barevné bulletiny či pohlednice, nebo realizovat prostřednictvím elektronické
pošty různé služby, které jsou běžně zajištěny prostřednictvím pošty konvenční.
Nicméně se také objevilo mnoho rizik; dodnes někteří "uživatelé" stále
používají e-maily proto, aby obelhali a okradli své oběti, slušné uživatele
celosvětové sítě. Podmínky a technický stav e-mailové komunikace jim v tom
velmi nahrávají.
Přestože prakticky každá zpráva, která elektronickou poštou v typickém, alespoň
částečně zabezpečeném prostředí projde, je obvykle několikrát kontrolována
antivirovým systémem a přestože jsou dnes tyto systémy velmi sofistikované a
pravidelně aktualizované, největším rizikem, s nímž se může počítač a jeho
obsah díky e-mailu setkat, je paradoxně uživatel. Přes futuristické vize
automatických červů nebo podvodů je to totiž právě on, kdo musí skočit na cizí
podfuk a obvykle něco udělat bohužel i přes péči toho nejdokonalejšího
kontrolního a ochranného systému, který si můžete představit.

Co všechno škodí
Existuje několik různých druhů nebezpečných
e-mailů, které se od sebe odlišují tím, o co usilují, jakých technik používají
a pro koho jsou určeny, tedy kdo bude jejich potenciální obětí.
E-mailem se šířící červy byly až donedávna bez výjimky specifické tím, že
existovaly jako přiložený soubor v konvenční zprávě elektronické pošty. Tento
soubor musel uživatel nějakým způsobem otevřít, což se neprovede automaticky,
ale obvykle po kliknutí na ikonku přílohy a většinou ještě vybráním ze seznamu.
Protože posílat v příloze spustitelné soubory se velmi rychle ukázalo jako
příliš nápadné a snadno odhalitelné, začaly se červi všelijak maskovat. Obvykle
tím, že samy sebe vydávají za jiný typ přílohy, než jakým ve skutečnosti jsou.
Původní červi ve spustitelných souborech (angl. executable, proto .exe) také
byly obvykle značně veliké. Pro uživatele, který má omezenou velikost přílohy
danou nastavením své schránky nebo pro člověka s pomalým připojením k internetu
bylo obtížné takovou zprávu vůbec stáhnout. Proto se škodlivé kódy začaly měnit
z podoby klasického spustitelného souboru do mnohem menší a pohodlnější formy
skriptů. Napomohlo jím v tom také to, že moderní e-mailové klienty, hlavně
drtivě převažující Outlook/Outlook Express, disponují, respektive disponovaly
bohatými možnostmi vykonávání různých typů skriptů a operací prostě jen na
povel obsahu doručené e-mailové zprávy.

To jsou tedy červi, jimi však výčet všeho zlého, co může e-mailem přijít,
zdaleka nekončí. Stálé nebezpečí představují zprávy rozesílané masově různými
individui po celém světě s cílem získat z uživatelů příjemců nějaký užitek.
Nejčastěji jsou okradeni o peníze, identitu nebo alespoň o čas. Především se
jedná o klasický podvod "nigerijského dopisu", který z příjemce vyláká finanční
částku s vidinou bohatého zisku a pak mu samozřejmě jakýkoliv zisk odepře.
Další populární zlodějnou je zejména v poslední době phishing, tedy podvrhování
zpráv, které jakoby pocházely z různých důvěryhodných míst, z bank,
softwarových firem, portálů. Zatímco cílem scamu a nigerijských dopisů je
vylákat z oběti peníze, v případě phishingu jde především o osobní data o čísla
kreditních karet (a v konečném důsledku o peníze), dále pak o přihlašovací
údaje, jména a hesla pro různé internetové ale i jiné služby. Může se jednat o
e-mail, ICQ, o nejrůznější další místa, která jsou obvykle chráněná nějakým
způsobem autentizace a dostupná pouze oprávněným uživatelům, zatímco jejich
zpřístupnění komukoliv jinému může pro pravého uživatele představovat v lepším
případě problém, v tom horším pohromu znamenající ztrátu peněz, jiných
prostředků nebo prostě jen velmi důležitých informací představujících například
jeho on-line identitu.

Výčet nekončí
Ani tím ale výčet možných typů podvodů prostřednictvím e-mailu nekončí, protože
elektronická pošta je pro podobné aktivity přímo stvořená. Především je velice
jednoduché jejím prostřednictvím odeslat zprávu. SMTP server, který je k tomu
potřeba, se dá velmi jednoduše naprogramovat a poté, co se připojí k internetu,
může rozesílat velké množství zpráv na různé adresy. Také získat e-mailové
adresy není příliš obtížné. V minulosti autoři různých více či méně podvodných
zpráv nebo jen masových komerčních sdělení procházeli ručně webové stránky nebo
diskuze, hledali v nich adresy a ty pak zadávali do svých systémů. V poslední
době tuto práci za ně udělají automaty a takřka každý červ, který infikuje váš
počítač, je schopen velice spolehlivě najít všechny adresy, jež jsou na něm
uloženy i v případě, že by vás vůbec nenapadlo, že by tam snad mohly vůbec být.
E-mailovou komunikaci je obtížné filtrovat. Přestože techniky, které mají
rozpoznat legitimní komunikaci od různých podvodů a od spamu, tedy nevyžádané
pošty, jsou stále inteligentnější, odfiltrovat vše nebezpečné se nedaří a není
pravděpodobné, že by se to někdy vůbec stoprocentně podařilo. Neexistuje také
jednoznačná identifikace odesilatelů a příjemců elektronické pošty. Všechny
prozatímní pokusy zavést něco tskového ve standardizované podobě až doposud
zkrachovaly a jednotlivá proprietární řešení jsou dobrá pouze pro omezený,
většinou spíše malý okruh uživatelů v menších organizacích nebo v relativně
uzavřených celcích.

Jak se v tom vyznat
Pokud používáte elektronickou poštu s antispamovým filtrem a kvalitní,
aktualizovaný antivirový program, jste ve výhodě. Většina závadné komunikace se
totiž do vaší složky s doručenou poštou vůbec nedostane a pokud ano, tak
obvykle již vybavena patřičným upozorněním, tedy že nejde o legitimní zprávu,
ale s největší pravděpodobností o pokus o podvod. Pokud ale nějaká zpráva
filtrem projde až k vám, existuje vyšší pravděpodobnost, že se jedná o zprávu
nesmírně mazanou a velmi vychytralou, tedy i přes všechna opatření se paradoxně
zvyšuje šance, že na ni skočíte, uděláte to, co podvodník chce. Jak rozeznat
takovou závadnou komunikaci od té, která je v pořádku, si ukážeme v jiné části
tohoto článku. Kupodivu, to není příliš obtížné a občas se stačí pořádně
zamyslet nad poštou, kterou dostáváme a na kterou často nějakým způsobem
reagujeme ještě dříve, než bychom si ji pořádně přečetli a pochopili. V
konečném důsledku, se taková zbrklost pak obrátí v náš neprospěch.

Závěrem

Odesílání a přijímání elektronické pošty se pro většinu lidí stalo naprosto
přirozenou věcí. Tento vztah k elektronické poště je také příčinou toho, že se
z tohoto nástroje stal jeden z nejsnazších způsobů šíření virů. Hromadné
používání spustitelných dodatků, jakými jsou například filmy, kreslené klipy a
jiné multimediální programy umožnilo snadné šíření nebezpečného kódu
elektronickou poštou. Doufáme, že výše uvedené zásady zacházení s e-mailem, se
vám pevně vryjí do paměti.


Jak rozeznat nebezpečný e-mail od neškodného
Pro práci s elektronickou poštou používáme program Outlook 2003 s aktivovaným
antispamovým filtrem. Máme antivirus, který kontroluje veškerou příchozí poštu
a je považován za důvěryhodný (řekněme Nod32). V naší složce "Doručená pošta"
právě přistál e-mail. Jak máme poznat, zda se jedná o běžnou zprávu, která byla
skutečně určena nám, a nikoliv o něčí podlý pokus nás podvést? Snadno. Zkusme
se na zprávu pořádně podívat.

Krok 1: Od koho to je?
Zpráva může být v zásadě dvojího typu, pokud jde o uváděného odesilatele:
- odesilatelem je někdo, koho znám (běžně mi píše),
- odesílatele elektronicky neznám (běžně mi nepíše), ale mohl by mi napsat,
- odesílatele vůbec neznám (nevím o koho jde).
Pokud je proklamovaným původcem e-mailu někdo, koho znám nebo někdo, koho znám
a zatím s ním nejsem v elektronickém kontaktu, tedy mohl by mi napsat e-mail,
nabízí se otázka: odpovídá další obsah, především předmět a text e-mailu tomu,
co bych od tohoto člověka mohl očekávat? Především, je e-mail v jazyce, který
mohu předpokládat u toho, kdo tvrdí, že jej odeslal? Nebývá zvykem, aby se mnou
kolegové nebo spolužáci komunikovali anglicky. Ještě nepravděpodobnější je to
pochopitelně hebrejsky, nebo rusky. Platí tedy: Odpovídá předmět e-mailu a jeho
tělo předpokládanému původci? Nezapomeňte ale na to, že mnoho virů, ale i
spammerů se může vydávat za někoho, koho znáte.
V případě, že odesilatele vůbec neznám a tedy není možné spoléhat na porovnání
obsahu s tím, co bych od tohoto člověka očekával, zajímá mne rovnou obsah.

Krok 2: Co mi chce?
Přeskočíme předmět e-mailu jako takový a podívejme se na jeho text. Za
předpokladu, že textu rozumím, tedy že je v jazyce, který ovládám, přečtu si
jej, aniž bych otevíral přílohu. Pokud je text e-mailu v HTML a Outlook mi
oznámil že nestáhnul další komponenty, přečtu si co nejvíce toho, co přečíst
lze, ale na nic neklikám a nic nestahuji. Z hlediska běžného textového obsahu
jsou nejnebezpečnější zprávy, ve kterých se po mně chce, abych:
a)jakýmkoliv způsobem otevřel přílohu e-mailu:
- odkazuje na dokumenty, které jsou přiloženy,
- slibuje vtipnou animaci,
- obrázek populární herečky nahoře bez,
- nabízí aktualizaci softwaru,
- nabízí zajímavou utilitu nebo jakýkoliv program,
- cokoliv, co má obecnou platnost, bez udání upřesnění toho, co v příloze je.
b)explicitně požaduje, abych otevřel odkaz v e-mailu:
- na stránku se zajímavým vtipem,
- se slevovým kupónem do hypermarketu nebo obchodu,
- s informací pro zákazníky, dodavatele apod.
c)požaduje "doplnění informací":
- buď prostřednictvím otevření stránky,
- nebo po spuštění programu v příloze e-mailu,
- odpovědí na e-mail,
- jakkoliv jinak.
"Doplnění informací" je nebezpečné hlavně v případě, pokud se jedná o taková
data, která jsou nebo by i potenciálně mohla být soukromé povahy. Platí to i v
případě, že s tím, kdo e-mail odesílá, přesněji se za něj vydává, nejsem
explicitně domluven na tom, že mu takové informace tímto způsobem poskytnu.
d)Požaduje abych poskytnul pomoc:
- ve jménu boha nebo jiné autority,
- lidem, kteří nemohou opustit svou vlast (typicky africké země),
- umožnil převést peníze,
- nebo cokoliv jim podobného,
- fungoval jako prostředník.
Reakce na e-mail, který splňuje poslední (4.) bod, je jistým skokem na
nigerijský podvod. Jeho odesilatel vůbec nemusí být z Nigérie, ale jak
přesvědčila poslední aféra, klidně se může vydávat za Švýcara.
Obecně platí, že NIKDO, kdo vám kdykoliv vystavil jakékoliv přihlašovací údaje
za jakýmkoliv účelem, je NIKDY nebude po vás chtít zpátky. Pokud e-mail
odkazuje například na stránky, které vypadají jako eBay a na těchto stránkách
bude přihlašovací formulář pro "ověření" identity, loginu a hesla, aniž jste si
takový e-mail vyžádali, nebo k němu dali sami podnět například aktivací účtu,
pak vězte, že se jedná o podvod. To neznamená, že stránky s tímto podvodem
nebudou vypadat velmi profesionálně a skoro by se chtělo říci "téměř jako ty
pravé".

Krok 3: Jak to říká?
Obsah předmětu (subjektu) e-mailu jsme schválně nechali až nakonec. Autoři
nebezpečných zpráv vyvinuli velmi širokou škálu různých způsobů, jak vytvářet
předměty takovým způsobem, aby nebylo možné je jednoznačně a rychle
identifikovat. Některé z předmětů jako
Hi,
Re: Hi,
Your Software
a další se staly natolik "profláknutými", že je možné zlou zprávu rozpoznat jen
na základě jejich přečtení. Mnoho jiných je ale stále dostatečně důvěryhodně
vypadajících, aby na ně potenciální uživatel skočil a četl dále. S určitou
měrou zobecnění platí že to, co není v mém rodném jazyce nebo v tom jazyce, v
němž běžně dostávám e-mail, je podezřelé. Pokud takový e-mail dostanu je
nejlepší jej vymazat bez přečtení (a bez otevření).
Někteří červi mohou s velkou měrou úspěchu kopírovat předměty již odeslaných
zpráv, zvláště v případě, že používáte starší verze Outlooku. V tom případě si
lze všimnout toho, že text e-mailu je v rozporu s předmětem, že jde o něco
úplně jiného, že se liší v použitém jazyce nebo třeba jen slohu. Dále je v
textu i předmětu dobré dávat obzvláště pozor na ty zprávy, které:
- jsou napsány více než jedním jazykem,
- pokud jsou napsány jazykem, který znám, pak pozor na ty, jež působí dojmem
"strojového překladu". Tedy neskloňují, jejich obsah budí dojem, že je pouze
mechanicky skládán z jednotlivých slov za sebe. Jedná se o častý rys virů.

Krok 4: Otevřít?
Předchozí kroky se týkaly zpráv, které jsou zobrazeny v náhledovém okně
poštovního programu. Některé komponenty ale v případě Outlooku v tomto
náhledovém okně prostě zobrazit nelze a tak je nutné zprávu otevřít. Pokud
doručený e--mail budí z jakéhokoliv z předchozích důvodů nebo třeba jenom
intuitivně dojem, že není právě seriózní, neotevírejte jej v plném okně
doručené zprávy, pokud možno nedávejte povel ke stahování dalšího HTML obsahu,
neotevírejte žádnou přílohu žádného typu, neklikejte na žádný odkaz, který v
takovém e-mailu najdete a e-mail pokud možno ihned vymažte.
Jak se dostal až k nám?
Úspěšně jsme tedy identifikovali a odstranili nebezpečnou zprávu. Přestože je
možné, že nám ji poslalo skutečné trpící dítě v Angole nebo někdo, kdo nám
chtěl poskytnout spoustu peněz, učinili jsme tak s nejlepší vůlí se ochránit
před drtivou převahou těch ostatních, tedy podvodníků. Jak se to ale mohlo
stát? Jak mohlo dojít k tomu, že se nebezpečná zpráva dostala až k nám? Je to
poměrně snadné. Antivirový software se vyznačuje určitou dobou potřebnou k
aktualizaci a určitým nastavením. Je velmi pravděpodobné, že v období mezi
aktualizacemi nebude schopen identifikovat nákazu, kterou už je jeho novější
verze schopna odhalit. To platí zejména tehdy, je-li naše politika aktualizací
benevolentnější. Také antispamové filtry nejsou nejdokonalejší. Každé jejich
nastavení raději propustí zprávu, u níž si není systém jednoznačně jistý, že
nejde o nevyžádanou poštu, než aby ji zahodilo do příslušné složky nebo dokonce
úplně odstranilo z počítače pryč. Mnoho regulérních zpráv také ke svému
správnému fungování potřebuje skripty, které mohou ty zlé různým způsobem
zneužívat. A tak je dost možné, že se zpráva, která je nějakým způsobem
nebezpečná, dostane až k nám. To bohužel platí i pro některé zprávy, které jsou
opatřeny elektronickými certifikáty, neboť i takový Spam již byl zaznamenán.

Svět výjimek
Všechno, co jsme zde popsali, je tak trochu relativní a na všechny zprávy je
nutné pohlížet z kontextu toho, komu přicházejí. Je pravděpodobné, že například
humanitární pracovník bude dostávat čas od času e-maily z Angoly, je docela
možné, že člověk zabývající se softwarem bude mít v příloze pravidelně zdrojové
kódy programů nebo přímo spustitelné soubory, je jisté, že obchodník zabývající
se webem dostane mnoho zpráv s přiloženými odkazy kamsi na internet,
marketingový manažer pak zase e-maily, v nichž budou dokumenty s aktivním
skriptováním. Z tohoto pohledu se také musíme na všechna předchozí pravidla o
tom, co je a co není bezpečné, dívat a nebrat je jako nějaký nezpochybnitelný
fundament. Přesto je při jejich dodržení možné, že se pro nás elektronická
komunikace stane, byť za cenu jisté podezíravosti v každodenním životě, o něco
bezpečnější. Systémy, které nás mají chránit před nebezpečnou poštou,
antivirové aplikace, firewally, antispamy jsou sice velmi účinnými řešeními,
nicméně jejich funkčnost má svá omezení. A je smutným pravidlem, že se přes ně
dostane to, co je paradoxně nejvíce nebezpečné. Závěrem si připomeňme, že není
nejlepší nápad otevírat vše, co nám elektronickou poštou přijde, klikat na
všechny odkazy, ukládat všechny doručené přílohy. Většinou může být výsledek
přesně opačný, než bychom si přáli. Pokud ovšem dojde například k nekorektnímu
vyhodnocení obsahu e-mailu, je možné označit jeho původce za důvěryhodného
prostřednictvím ručního nastavení klienta nebo e--mailového systému.
Na druhé straně je ale také dobré kontrolovat činnost samotných ochranných
opatření. Čas od času je vhodné se podívat do složky určené pro nevyžádanou
poštu, zda náhodou nebylo odstraněno něco, co jsme ve skutečnosti potřebovali,
zda nedošlo k nechtěnému označení za virus něčeho, co jsme skutečně očekávali,
či zda některý kamarád nebyl nechtě prohlášen za spammera. Přestože k tomu
dochází poměrně zřídka, je to možné. Základní pravidlopřes tuto kulturní a
uživatelskou relevanci e-mailové komunikace však v dnešní době zní: není vhodné
důvěřovat všemu, protože přehnaná důvěra vede pomalu, ale jistě do pekel.

Typy nebezpečných e-mailových zpráv
1. Červi
- mohou být přílohou zpráv (nejčastěji),
- mohou být také hypertextovým odkazem ve zprávách,
- jejich distribuce je velmi jednoduchá.
2. Spam
- nevyžádaná pošta, nemusí nutně znamenat podvod,
- obvykle reklama na různé zboží nebo služby.

3. Hoax
Řetězový dopis, obvykle není příliš nebezpečný. Typicky vypadá jako "když tuto
zprávu pošlete deseti lidem, zachráníte jeden život".
4. Scam
-několik typů e-mailů, asi nejznámější je "nigerijský podvod",
- cílem je příjemce zprávy nějakým způsobem okrást, nebo jej poškodit.
5. Phishing
Snaha vylákat podvodným e-mailem přihlašovací jména a hesla k různým službám, k
elektronickému bankovnictví a podobně.

On-line identita
On-line Identita je vše, co vás identifikuje na internetu jako osobu a co je s
vámi nějakým způsobem svázáno. Typicky se jedná o přihlašovací jména do různých
informačních systémů a s nimi související hesla. Postiženy mohou být různé
chaty, diskusní servery, vaše schránka elektronické pošty, ICQ, číslo
internetového telefonu. Ztrátu identity "tvrdšího" ražení pak představují
úspěšné krádeže certifikátů pro podepisování elektronické pošty nebo pro
přihlašování se do různého druhu zabezpečených aplikací, především bank a s
nimi souvisejících systémů.

Co vám e-mailem NIKDY nepřijde
Žádná firma nikdy nerozesílá elektronickou poštou aktualizace svého softwaru.
Jednu dobu se internetem šířil červ hrající si na e--mail od Microsoftu, který
sliboval nejnovější bezpečnostní záplatu. Vypadal skoro jako webová stránka
této firmy se soubory ke stažení a žádal o otevření přílohy. Microsoft vám
NIKDY nepošle žádný spustitelný soubor v příloze, ani formou přímého odkazu.
Všechny jeho bulletiny jsou podepsány pomocí programu PGP a tyto podpisy je
vždy možné dostatečným způsobem ověřit. Microsoft (ani jiná seriozní
společnost) vám také nikdy nepošle nevyžádaný e-mail, proto pokud vám e-mailem
přijde "nejnovější patch", bez váhání a hlavně, bez otevření jej vymažte.

Elektronický štít
Před nevyžádanou a nebezpečnou poštou nás chrání:
- antivirus na poštovním serveru,
- antispamový filtr na poštovním serveru,
- antispamový filtr v klientu elektronické pošty,
- antivirový systém v přijímajícím počítači,
- v některých případech firewall přijímajícího počítače,
To znamená, že v optimálním případě máme pět ochranných vrstev. Nicméně ani
těchto pět vrstev nestačí a i přes ně může projít pošta, která je tím či oním
způsobem nebezpečná. Jak takovou poštu poznat a eliminovat, jak se nenechat
nachytat? Není to kupodivu příliš obtížné.
Přesto naprostá většina úspěšných pokusů o podvod, krádež dat nebo o zavirování
počítače může být přičtena na vrub chybě uživatele a nikoliv selhání ochranného
systému.