Poznejte nebezpečnou poštu

20. 6. 2007

Sdílet

Není tedy možné bezprostředně ověřit, zda je ten, kdo se vydává za odesilatele, skutečně odesilatelem elektronického dopisu, zda je tento dopis určen pouze vám nebo ještě někomu dalšímu (existují sice standardní pole určující příjemce a příjemce kopie, ale ta se dají obejít),

Tento článek je návodem, jak poznat e-mail, jehož odesílatel vás chce podvést, okrást nebo zavirovat. Možná, že již tato krátká věta vás zcela odradí od jeho přečtení, ale přemýšlejte. Proč se neustále šíří e-mailové viry? Proč se daří okrádat uživatele pomocí falešných nabídek slev nebo zisků z mrtvých účtů? Je to právě proto, že jsou lidé ochotni uvěřit. a kliknout.
Elektronická pošta, neboli e-mail je jedna z nejstarších a dodnes nejoblíbenějších služeb celosvětové sítě internet. Je to off-line služba, což neznamená nic jiného, než že komunikace se neodehrává v reálném čase. Od okamžiku, kdy napíšete a odešlete e-mail, může uplynout i několik desítek hodin, než dorazí příjemci, a také několik desítek hodin, než si jej tento příjemce přečte.

Proč právě e-mailem
Není tedy možné bezprostředně ověřit, zda je ten, kdo se vydává za odesilatele, skutečně odesilatelem elektronického dopisu, zda je tento dopis určen pouze vám nebo ještě někomu dalšímu (existují sice standardní pole určující příjemce a příjemce kopie, ale ta se dají obejít), odkud ve skutečnosti přišel a velmi často ani není jasné, co je doopravdy jeho obsahem.

Původní elektronická pošta, která obsahovala de facto jen text, byla v tomto ohledu transparentnější, nicméně byla ochuzena o velký počet dodatečných funkcí, které jsou dnes pro
e-maily typické. Díky použití HTML ve zprávách, přikládání různých typů souborů a díky propojování obsahu ve zprávě elektronické pošty s obsahem, jenž se nachází například na nějakém serveru, bylo například umožněno posílat hezké a barevné bulletiny či pohlednice, nebo realizovat prostřednictvím elektronické pošty různé služby, které jsou běžně zajištěny prostřednictvím pošty konvenční. Nicméně se také objevilo mnoho rizik; dodnes někteří "uživatelé" stále používají e-maily proto, aby obelhali a okradli své oběti, slušné uživatele celosvětové sítě. Podmínky a technický stav e-mailové komunikace jim v tom velmi nahrávají.
Přestože prakticky každá zpráva, která elektronickou poštou v typickém, alespoň částečně zabezpečeném prostředí projde, je obvykle několikrát kontrolována antivirovým systémem a přestože jsou dnes tyto systémy velmi sofistikované a pravidelně aktualizované, největším rizikem, s nímž se může počítač a jeho obsah díky e-mailu setkat, je paradoxně uživatel. Přes futuristické vize automatických červů nebo podvodů je to totiž právě on, kdo musí skočit na cizí podfuk a obvykle něco udělat bohužel i přes péči toho nejdokonalejšího kontrolního a ochranného systému, který si můžete představit.

Co všechno škodí
Existuje několik různých druhů nebezpečných
e-mailů, které se od sebe odlišují tím, o co usilují, jakých technik používají a pro koho jsou určeny, tedy kdo bude jejich potenciální obětí.
E-mailem se šířící červy byly až donedávna bez výjimky specifické tím, že existovaly jako přiložený soubor v konvenční zprávě elektronické pošty. Tento soubor musel uživatel nějakým způsobem otevřít, což se neprovede automaticky, ale obvykle po kliknutí na ikonku přílohy a většinou ještě vybráním ze seznamu. Protože posílat v příloze spustitelné soubory se velmi rychle ukázalo jako příliš nápadné a snadno odhalitelné, začaly se červi všelijak maskovat. Obvykle tím, že samy sebe vydávají za jiný typ přílohy, než jakým ve skutečnosti jsou. Původní červi ve spustitelných souborech (angl. executable, proto .exe) také byly obvykle značně veliké. Pro uživatele, který má omezenou velikost přílohy danou nastavením své schránky nebo pro člověka s pomalým připojením k internetu bylo obtížné takovou zprávu vůbec stáhnout. Proto se škodlivé kódy začaly měnit z podoby klasického spustitelného souboru do mnohem menší a pohodlnější formy skriptů. Napomohlo jím v tom také to, že moderní e-mailové klienty, hlavně drtivě převažující Outlook/Outlook Express, disponují, respektive disponovaly bohatými možnostmi vykonávání různých typů skriptů a operací prostě jen na povel obsahu doručené e-mailové zprávy.

To jsou tedy červi, jimi však výčet všeho zlého, co může e-mailem přijít, zdaleka nekončí. Stálé nebezpečí představují zprávy rozesílané masově různými individui po celém světě s cílem získat z uživatelů příjemců nějaký užitek. Nejčastěji jsou okradeni o peníze, identitu nebo alespoň o čas. Především se jedná o klasický podvod "nigerijského dopisu", který z příjemce vyláká finanční částku s vidinou bohatého zisku a pak mu samozřejmě jakýkoliv zisk odepře. Další populární zlodějnou je zejména v poslední době phishing, tedy podvrhování zpráv, které jakoby pocházely z různých důvěryhodných míst, z bank, softwarových firem, portálů. Zatímco cílem scamu a nigerijských dopisů je vylákat z oběti peníze, v případě phishingu jde především o osobní data o čísla kreditních karet (a v konečném důsledku o peníze), dále pak o přihlašovací údaje, jména a hesla pro různé internetové ale i jiné služby. Může se jednat o e-mail, ICQ, o nejrůznější další místa, která jsou obvykle chráněná nějakým způsobem autentizace a dostupná pouze oprávněným uživatelům, zatímco jejich zpřístupnění komukoliv jinému může pro pravého uživatele představovat v lepším případě problém, v tom horším pohromu znamenající ztrátu peněz, jiných prostředků nebo prostě jen velmi důležitých informací představujících například jeho on-line identitu.

Výčet nekončí
Ani tím ale výčet možných typů podvodů prostřednictvím e-mailu nekončí, protože elektronická pošta je pro podobné aktivity přímo stvořená. Především je velice jednoduché jejím prostřednictvím odeslat zprávu. SMTP server, který je k tomu potřeba, se dá velmi jednoduše naprogramovat a poté, co se připojí k internetu, může rozesílat velké množství zpráv na různé adresy. Také získat e-mailové adresy není příliš obtížné. V minulosti autoři různých více či méně podvodných zpráv nebo jen masových komerčních sdělení procházeli ručně webové stránky nebo diskuze, hledali v nich adresy a ty pak zadávali do svých systémů. V poslední době tuto práci za ně udělají automaty a takřka každý červ, který infikuje váš počítač, je schopen velice spolehlivě najít všechny adresy, jež jsou na něm uloženy i v případě, že by vás vůbec nenapadlo, že by tam snad mohly vůbec být.
E-mailovou komunikaci je obtížné filtrovat. Přestože techniky, které mají rozpoznat legitimní komunikaci od různých podvodů a od spamu, tedy nevyžádané pošty, jsou stále inteligentnější, odfiltrovat vše nebezpečné se nedaří a není pravděpodobné, že by se to někdy vůbec stoprocentně podařilo. Neexistuje také jednoznačná identifikace odesilatelů a příjemců elektronické pošty. Všechny prozatímní pokusy zavést něco tskového ve standardizované podobě až doposud zkrachovaly a jednotlivá proprietární řešení jsou dobrá pouze pro omezený, většinou spíše malý okruh uživatelů v menších organizacích nebo v relativně uzavřených celcích.

Jak se v tom vyznat
Pokud používáte elektronickou poštu s antispamovým filtrem a kvalitní, aktualizovaný antivirový program, jste ve výhodě. Většina závadné komunikace se totiž do vaší složky s doručenou poštou vůbec nedostane a pokud ano, tak obvykle již vybavena patřičným upozorněním, tedy že nejde o legitimní zprávu, ale s největší pravděpodobností o pokus o podvod. Pokud ale nějaká zpráva filtrem projde až k vám, existuje vyšší pravděpodobnost, že se jedná o zprávu nesmírně mazanou a velmi vychytralou, tedy i přes všechna opatření se paradoxně zvyšuje šance, že na ni skočíte, uděláte to, co podvodník chce. Jak rozeznat takovou závadnou komunikaci od té, která je v pořádku, si ukážeme v jiné části tohoto článku. Kupodivu, to není příliš obtížné a občas se stačí pořádně zamyslet nad poštou, kterou dostáváme a na kterou často nějakým způsobem reagujeme ještě dříve, než bychom si ji pořádně přečetli a pochopili. V konečném důsledku, se taková zbrklost pak obrátí v náš neprospěch.

Závěrem

Odesílání a přijímání elektronické pošty se pro většinu lidí stalo naprosto přirozenou věcí. Tento vztah k elektronické poště je také příčinou toho, že se z tohoto nástroje stal jeden z nejsnazších způsobů šíření virů. Hromadné používání spustitelných dodatků, jakými jsou například filmy, kreslené klipy a jiné multimediální programy umožnilo snadné šíření nebezpečného kódu elektronickou poštou. Doufáme, že výše uvedené zásady zacházení s e-mailem, se vám pevně vryjí do paměti.


Jak rozeznat nebezpečný e-mail od neškodného
Pro práci s elektronickou poštou používáme program Outlook 2003 s aktivovaným antispamovým filtrem. Máme antivirus, který kontroluje veškerou příchozí poštu a je považován za důvěryhodný (řekněme Nod32). V naší složce "Doručená pošta" právě přistál e-mail. Jak máme poznat, zda se jedná o běžnou zprávu, která byla skutečně určena nám, a nikoliv o něčí podlý pokus nás podvést? Snadno. Zkusme se na zprávu pořádně podívat.

Krok 1: Od koho to je?
Zpráva může být v zásadě dvojího typu, pokud jde o uváděného odesilatele:
odesilatelem je někdo, koho znám (běžně mi píše),
odesílatele elektronicky neznám (běžně mi nepíše), ale mohl by mi napsat,
odesílatele vůbec neznám (nevím o koho jde).
Pokud je proklamovaným původcem e-mailu někdo, koho znám nebo někdo, koho znám a zatím s ním nejsem v elektronickém kontaktu, tedy mohl by mi napsat e-mail, nabízí se otázka: odpovídá další obsah, především předmět a text e-mailu tomu, co bych od tohoto člověka mohl očekávat? Především, je e-mail v jazyce, který mohu předpokládat u toho, kdo tvrdí, že jej odeslal? Nebývá zvykem, aby se mnou kolegové nebo spolužáci komunikovali anglicky. Ještě nepravděpodobnější je to pochopitelně hebrejsky, nebo rusky. Platí tedy: Odpovídá předmět e-mailu a jeho tělo předpokládanému původci? Nezapomeňte ale na to, že mnoho virů, ale i spammerů se může vydávat za někoho, koho znáte.
V případě, že odesilatele vůbec neznám a tedy není možné spoléhat na porovnání obsahu s tím, co bych od tohoto člověka očekával, zajímá mne rovnou obsah.

Krok 2: Co mi chce?
Přeskočíme předmět e-mailu jako takový a podívejme se na jeho text. Za předpokladu, že textu rozumím, tedy že je v jazyce, který ovládám, přečtu si jej, aniž bych otevíral přílohu. Pokud je text e-mailu v HTML a Outlook mi oznámil že nestáhnul další komponenty, přečtu si co nejvíce toho, co přečíst lze, ale na nic neklikám a nic nestahuji. Z hlediska běžného textového obsahu jsou nejnebezpečnější zprávy, ve kterých se po mně chce, abych:
a) jakýmkoliv způsobem otevřel přílohu e-mailu:
odkazuje na dokumenty, které jsou přiloženy,
slibuje vtipnou animaci,
obrázek populární herečky nahoře bez,
nabízí aktualizaci softwaru,
nabízí zajímavou utilitu nebo jakýkoliv program,
cokoliv, co má obecnou platnost, bez udání upřesnění toho, co v příloze je.
b) explicitně požaduje, abych otevřel odkaz v e-mailu:
na stránku se zajímavým vtipem,
se slevovým kupónem do hypermarketu nebo obchodu,
s informací pro zákazníky, dodavatele apod.
c) požaduje "doplnění informací":
buď prostřednictvím otevření stránky,
nebo po spuštění programu v příloze e-mailu,
odpovědí na e-mail,
jakkoliv jinak.
"Doplnění informací" je nebezpečné hlavně v případě, pokud se jedná o taková data, která jsou nebo by i potenciálně mohla být soukromé povahy. Platí to i v případě, že s tím, kdo e-mail odesílá, přesněji se za něj vydává, nejsem explicitně domluven na tom, že mu takové informace tímto způsobem poskytnu.
d) Požaduje abych poskytnul pomoc:
ve jménu boha nebo jiné autority,
lidem, kteří nemohou opustit svou vlast (typicky africké země),
umožnil převést peníze,
nebo cokoliv jim podobného,
fungoval jako prostředník.
Reakce na e-mail, který splňuje poslední (4.) bod, je jistým skokem na nigerijský podvod. Jeho odesilatel vůbec nemusí být z Nigérie, ale jak přesvědčila poslední aféra, klidně se může vydávat za Švýcara.
Obecně platí, že NIKDO, kdo vám kdykoliv vystavil jakékoliv přihlašovací údaje za jakýmkoliv účelem, je NIKDY nebude po vás chtít zpátky. Pokud e-mail odkazuje například na stránky, které vypadají jako eBay a na těchto stránkách bude přihlašovací formulář pro "ověření" identity, loginu a hesla, aniž jste si takový e-mail vyžádali, nebo k němu dali sami podnět například aktivací účtu, pak vězte, že se jedná o podvod. To neznamená, že stránky s tímto podvodem nebudou vypadat velmi profesionálně a skoro by se chtělo říci "téměř jako ty pravé".

Krok 3: Jak to říká?
Obsah předmětu (subjektu) e-mailu jsme schválně nechali až nakonec. Autoři nebezpečných zpráv vyvinuli velmi širokou škálu různých způsobů, jak vytvářet předměty takovým způsobem, aby nebylo možné je jednoznačně a rychle identifikovat. Některé z předmětů jako
Hi,
Re: Hi,
Your Software
a další se staly natolik "profláknutými", že je možné zlou zprávu rozpoznat jen na základě jejich přečtení. Mnoho jiných je ale stále dostatečně důvěryhodně vypadajících, aby na ně potenciální uživatel skočil a četl dále. S určitou měrou zobecnění platí že to, co není v mém rodném jazyce nebo v tom jazyce, v němž běžně dostávám e-mail, je podezřelé. Pokud takový e-mail dostanu je nejlepší jej vymazat bez přečtení (a bez otevření).
Někteří červi mohou s velkou měrou úspěchu kopírovat předměty již odeslaných zpráv, zvláště v případě, že používáte starší verze Outlooku. V tom případě si lze všimnout toho, že text e-mailu je v rozporu s předmětem, že jde o něco úplně jiného, že se liší v použitém jazyce nebo třeba jen slohu. Dále je v textu i předmětu dobré dávat obzvláště pozor na ty zprávy, které:
jsou napsány více než jedním jazykem,
pokud jsou napsány jazykem, který znám, pak pozor na ty, jež působí dojmem "strojového překladu". Tedy neskloňují, jejich obsah budí dojem, že je pouze mechanicky skládán z jednotlivých slov za sebe. Jedná se o častý rys virů.

Krok 4: Otevřít?
Předchozí kroky se týkaly zpráv, které jsou zobrazeny v náhledovém okně poštovního programu. Některé komponenty ale v případě Outlooku v tomto náhledovém okně prostě zobrazit nelze a tak je nutné zprávu otevřít. Pokud doručený e--mail budí z jakéhokoliv z předchozích důvodů nebo třeba jenom intuitivně dojem, že není právě seriózní, neotevírejte jej v plném okně doručené zprávy, pokud možno nedávejte povel ke stahování dalšího HTML obsahu, neotevírejte žádnou přílohu žádného typu, neklikejte na žádný odkaz, který v takovém e-mailu najdete a e-mail pokud možno ihned vymažte.
Jak se dostal až k nám?
Úspěšně jsme tedy identifikovali a odstranili nebezpečnou zprávu. Přestože je možné, že nám ji poslalo skutečné trpící dítě v Angole nebo někdo, kdo nám chtěl poskytnout spoustu peněz, učinili jsme tak s nejlepší vůlí se ochránit před drtivou převahou těch ostatních, tedy podvodníků. Jak se to ale mohlo stát? Jak mohlo dojít k tomu, že se nebezpečná zpráva dostala až k nám? Je to poměrně snadné. Antivirový software se vyznačuje určitou dobou potřebnou k aktualizaci a určitým nastavením. Je velmi pravděpodobné, že v období mezi aktualizacemi nebude schopen identifikovat nákazu, kterou už je jeho novější verze schopna odhalit. To platí zejména tehdy, je-li naše politika aktualizací benevolentnější. Také antispamové filtry nejsou nejdokonalejší. Každé jejich nastavení raději propustí zprávu, u níž si není systém jednoznačně jistý, že nejde o nevyžádanou poštu, než aby ji zahodilo do příslušné složky nebo dokonce úplně odstranilo z počítače pryč. Mnoho regulérních zpráv také ke svému správnému fungování potřebuje skripty, které mohou ty zlé různým způsobem zneužívat. A tak je dost možné, že se zpráva, která je nějakým způsobem nebezpečná, dostane až k nám. To bohužel platí i pro některé zprávy, které jsou opatřeny elektronickými certifikáty, neboť i takový Spam již byl zaznamenán.

Svět výjimek
Všechno, co jsme zde popsali, je tak trochu relativní a na všechny zprávy je nutné pohlížet z kontextu toho, komu přicházejí. Je pravděpodobné, že například humanitární pracovník bude dostávat čas od času e-maily z Angoly, je docela možné, že člověk zabývající se softwarem bude mít v příloze pravidelně zdrojové kódy programů nebo přímo spustitelné soubory, je jisté, že obchodník zabývající se webem dostane mnoho zpráv s přiloženými odkazy kamsi na internet, marketingový manažer pak zase e-maily, v nichž budou dokumenty s aktivním skriptováním. Z tohoto pohledu se také musíme na všechna předchozí pravidla o tom, co je a co není bezpečné, dívat a nebrat je jako nějaký nezpochybnitelný fundament. Přesto je při jejich dodržení možné, že se pro nás elektronická komunikace stane, byť za cenu jisté podezíravosti v každodenním životě, o něco bezpečnější. Systémy, které nás mají chránit před nebezpečnou poštou, antivirové aplikace, firewally, antispamy jsou sice velmi účinnými řešeními, nicméně jejich funkčnost má svá omezení. A je smutným pravidlem, že se přes ně dostane to, co je paradoxně nejvíce nebezpečné. Závěrem si připomeňme, že není nejlepší nápad otevírat vše, co nám elektronickou poštou přijde, klikat na všechny odkazy, ukládat všechny doručené přílohy. Většinou může být výsledek přesně opačný, než bychom si přáli. Pokud ovšem dojde například k nekorektnímu vyhodnocení obsahu e-mailu, je možné označit jeho původce za důvěryhodného prostřednictvím ručního nastavení klienta nebo e--mailového systému.
Na druhé straně je ale také dobré kontrolovat činnost samotných ochranných opatření. Čas od času je vhodné se podívat do složky určené pro nevyžádanou poštu, zda náhodou nebylo odstraněno něco, co jsme ve skutečnosti potřebovali, zda nedošlo k nechtěnému označení za virus něčeho, co jsme skutečně očekávali, či zda některý kamarád nebyl nechtě prohlášen za spammera. Přestože k tomu dochází poměrně zřídka, je to možné. Základní pravidlopřes tuto kulturní a uživatelskou relevanci e-mailové komunikace však v dnešní době zní: není vhodné důvěřovat všemu, protože přehnaná důvěra vede pomalu, ale jistě do pekel.

Typy nebezpečných e-mailových zpráv
1. Červi
mohou být přílohou zpráv (nejčastěji),
mohou být také hypertextovým odkazem ve zprávách,
jejich distribuce je velmi jednoduchá.
2. Spam
nevyžádaná pošta, nemusí nutně znamenat podvod,
obvykle reklama na různé zboží nebo služby.
3. Hoax
Řetězový dopis, obvykle není příliš nebezpečný. Typicky vypadá jako "když tuto zprávu pošlete deseti lidem, zachráníte jeden život".
4. Scam
několik typů e-mailů, asi nejznámější je "nigerijský podvod",
cílem je příjemce zprávy nějakým způsobem okrást, nebo jej poškodit.
5. Phishing
Snaha vylákat podvodným e-mailem přihlašovací jména a hesla k různým službám, k elektronickému bankovnictví a podobně.

On-line identita
On-line Identita je vše, co vás identifikuje na internetu jako osobu a co je s vámi nějakým způsobem svázáno. Typicky se jedná o přihlašovací jména do různých informačních systémů a s nimi související hesla. Postiženy mohou být různé chaty, diskusní servery, vaše schránka elektronické pošty, ICQ, číslo internetového telefonu. Ztrátu identity "tvrdšího" ražení pak představují úspěšné krádeže certifikátů pro podepisování elektronické pošty nebo pro přihlašování se do různého druhu zabezpečených aplikací, především bank a s nimi souvisejících systémů.

Co vám e-mailem NIKDY nepřijde
Žádná firma nikdy nerozesílá elektronickou poštou aktualizace svého softwaru. Jednu dobu se internetem šířil červ hrající si na e--mail od Microsoftu, který sliboval nejnovější bezpečnostní záplatu. Vypadal skoro jako webová stránka této firmy se soubory ke stažení a žádal o otevření přílohy. Microsoft vám NIKDY nepošle žádný spustitelný soubor v příloze, ani formou přímého odkazu. Všechny jeho bulletiny jsou podepsány pomocí programu PGP a tyto podpisy je vždy možné dostatečným způsobem ověřit. Microsoft (ani jiná seriozní společnost) vám také nikdy nepošle nevyžádaný e-mail, proto pokud vám e-mailem přijde "nejnovější patch", bez váhání a hlavně, bez otevření jej vymažte.

Elektronický štít
Před nevyžádanou a nebezpečnou poštou nás chrání:
antivirus na poštovním serveru,
antispamový filtr na poštovním serveru,
antispamový filtr v klientu elektronické pošty,
antivirový systém v přijímajícím počítači,
v některých případech firewall přijímajícího počítače,
To znamená, že v optimálním případě máme pět ochranných vrstev. Nicméně ani těchto pět vrstev nestačí a i přes ně může projít pošta, která je tím či oním způsobem nebezpečná. Jak takovou poštu poznat a eliminovat, jak se nenechat nachytat? Není to kupodivu příliš obtížné.
Přesto naprostá většina úspěšných pokusů o podvod, krádež dat nebo o zavirování počítače může být přičtena na vrub chybě uživatele a nikoliv selhání ochranného systému.

Autor článku