Hlavní obsah

Podvodný e-mail může přijít i z vaší vlastní adresy

Právo, Jindřich Ginter

Nevěřte úplně všemu, co přijde z e-mailu blízké osoby, od kamaráda či od kolegů z práce. Zpráva i ze známé adresy může být totiž falešná, aniž se přitom do ní hacker dostal: jen zfalšoval hlavičku e-mailu. Většinou chce útočník lidi zmanipulovat, aby zaplatili.

Foto: Steve Marcus, Reuters

Ilustrační foto

Článek

„Naše asistentka dostala nedávno e-mail, který na první pohled vypadal, že ho posílám já, s příkazem k proplacení v přepočtu téměř 20 tisíc korun na uvedený účet. Bylo jí to divné, protože i když jsem jeden ze šéfů, tyto příkazy nevydávám, a zarazil ji také strohý styl, pro mne netypický,“ popsal Právu čtyřicetiletý Robert z Prahy, spolumajitel marketingové agentury.

Nedávno zase spoustu lidí poplašil e-mail, který vypadal, že přišel z jejich vlastní adresy.

Hackeři požadovali tisíce korun

„Jak jste asi pravděpodobně uhodli, váš účet byl napaden, protože jsem vám právě poslal e-mail z vašeho účtu. Prozatím máme přístup k vašim vzkazům, účtům na sociálních médiích a příspěvkům. Jsme si vědomi vašich malých i velkých tajemství. Ano, máte je,“ psali v e-mailu hackeři a požadovali 250 dolarů (cca 5500 korun) prostřednictvím bitcoinové platby.

Ve skutečnosti se ale hackeři do daného e-mailu nedostali, jen to tak vypadalo. „E-maily v těchto případech většinou narušeny nejsou. Jen někdo využil nedokonalosti e-mailových protokolů a dokázal podstrčit za odesílatele jinou adresu. Jde přitom o celkem snadný postup, který lze najít na běžném internetu,“ potvrdil Právu specialista na počítačovou bezpečnost a šifrování Zbyněk Malý ze společnosti Anect.

A jak útočník přišel na danou e-mailovou adresu? „Díky tomu, že se jako uživatel registrujete na různých fórech, e-shopech a sociálních sítích, přičemž ne všechny tyto databáze jsou dostatečně chráněné, stačí, aby se hacker dostal do daných serverů a tuto databázi kontaktů zkopíroval,“ vysvětluje Malý.

To, že je e-mail podvržený, byť přišel naoko ze známé adresy, lze většinou zjistit. „Je nutné nechat si zobrazit tzv. hlavičku e-mailu. V části nazvané Received čili přijaté je označena adresa serveru, který poštu skutečně odeslal,“ radí Malý.

V případě firemních e-mailů se dá útokům zabránit dostatečně kvalitním nastavením filtru. U soukromých adres mají sice provozovatelé těchto e-mailových serverů spamové filtry také, ovšem ty nejsou nastaveny tak důmyslně jako u firemních.

Používat selský rozum

Může se stát, že se takovýto podvržený e-mail k příjemci dostane, proto se vyplatí používat i selský rozum a zamyslet se, zda mne například opravdu banka informuje o dluhu e-mailem a přikládá odkaz na kontrolu splátkového kalendáře. Banky tyto informace zasílají výhradně doporučenou poštou, tudíž jde o podvrh.

Ve firemním prostředí se pak dále doporučuje využívat elektronický podpis, neboť e-mail s tímto podpisem se teoreticky nedá podvrhnout.

V případě soukromých či veřejných e-mailových služeb je vhodné ověřit si pravdivost dané zprávy zpětným dotazem.

„Nedoporučuji ovšem použít možnost odpovědět, nýbrž ručně vyplnit kontakt odesílatele a ověřit si, zda je e-mail pravdivý,“ uzavřel Malý.

Co se píše ve falešných zprávách
Smyšlená zpráva z banky, finančního ústavu nebo platebního portálu, jež obvykle obsahuje text, který uživatele zavede na falešnou stránku pro přihlášení se do účtu.
Prosba o pomoc od kamaráda.
Platební příkaz. Falešný „ředitel“ urgentně vydá své účetní pokyn k zadání platby na cizí účet.

Reklama

Související články

Výběr článků

Načítám