Nástrahy číhají všude a e-mailová schránka rozhodně není výjimkou. Takzvané phishingové útoky (v češtině se dříve používal krásný pojem rhybaření) jsou e-maily, jejichž odesílatel se vydává za někoho jiného a snaží se z nás pokoutně vylákat peníze pomocí sociálního inženýrství, nebo do počítače dostat malware.
Aby se virus dostal skrze e-mailovou schránku do počítače je mnohdy bohužel dosti jednoduché: stačí zprávu otevřít a bezmyšlenkovitě kliknout na odkaz nebo přílohu. Před tímto typem kybernetického útoku navíc nejste v bezpečí doma ani ve firemním prostředí, ba naopak: právě na korporace se útočníci zaměřují nejčastěji.
Stačí si představit modelovou situaci: přijde vám e-mail od banky a žádá vás o změnu hesla či opětovné přihlášení skrze odkaz v e-mailu. A nebo ještě hůře, děláte účetnictví pro firmu střední velikosti, chodí vám řada různých faktur každý měsíc, často od společností, které dobře znáte. Jsou v příloze ve formátu .pdf. Přijde vám další e-mail, automaticky jej rozkliknete, přílohu otevřete. A nestačíte se divit…
Psali jsme o digitálních kompetencích:
- Pozor, chybí ajťáci: technickým oborům se daří, ale studenti nejsou
- Nahradí stroj v práci i vás? Každé druhé zaměstnání je ohroženo automatizací
- Digitální domorodci a kde je najít? Cesta k digitální gramotnosti vede přes vzdělání
Jednoduchý a rychlý podvod, útočník ani nemusí umět programovat
Co se zdálo jako faktura od dodavatele je ve skutečnosti falešná zpráva od útočníka. Tomu se podařilo dobře, alespoň zběžně, napodobit komunikaci vašeho odběratele a napodobit jeho e-mailovou adresu: stačí, pokud místo odběratel@email.cz má kupříkladu obděratel@email.cz; v rychlosti to snadno přehlédnete.
Takto pokročilá metoda vyžaduje určitou znalost firmy, na níž útok cílí, i odběratele a to, jak obvykle vypadá proces vyřizování faktur ve firmě.
I tak je to však pro útočníka o mnoho jednodušší, než se pokoušet prolomit firewall kybernetickým útokem.
E-mail může vypadat jako opravdový. Odeslat zprávu tak, aby vypadala jako od někoho cizího není vůbec těžké. Metoda spoofing je těžko odhalitelná a vyžaduje pokročilejší znalosti. I proto letos naletěli poslanci falešnému mailu od vtipálka vydávajícího se za Tomia Okamuru.
Jiným druhem útoků je vylákání vašich osobních informací nebo přihlašovacích údajů například k vašemu online bankingu. K tomu se využívá oficiálně vypadající e-mail od příslušné korporace, který vybízí k přihlašování. Přihlašovací stránka připomíná oficiální web podniku, je však na odlišné adrese a velmi často vypadá nedodělaně, neprofesionálně nebo lze jinak rozpoznat jeho falešnou podstatu.
Tam už na vás čeká formulář k vyplnění. Jakmile přihlašovací jméno a heslo zadáte, útočník má plný přístup. Pokud tedy nemáte kupříkladu tzv. dvoufázové ověření a nepotřebujete zadávat SMS kód ze smartphonu: tím se dokážete snáze chránit proti obdobnému typu útoků.
Některé antivirové a bezpečnostní programy dokáží phishing odhalit.
Samozřejmě, nejčastějším a nejprimitivnějším typem e-mailového útoku je zpráva od „nigerijského prince na útěku“ nebo jiný druh pohádky, kdy vás e-mail žádá o zaslání několika desítek nebo stovek dolarů na cizí bankovní účet pro „ověření zájmu“ a pak vám prý onen princ zašle na účet miliony dolarů.
Nepříliš překvapivě se jedná o naprostý podvod – internetový podvodník jen shrábne jednoduše vydělané peníze.
Znalost pravidel bezpečné internetové komunikace patří k důležitým schopnostem digitálně gramotného člověka. Právě zvyšování digitální gramotnosti je v nejlepším zájmu každého z nás: s tím, jak umělá inteligence pokročila a robotika postupně „sebere“ některé pracovní pozice, stane se schopnost práce s internetem a zařízeními čím dál důležitější. Nejde nutně o programování nebo další pokročilé funkce, ale i jen o pouhou schopnost stroje správně, bezpečně a samostatně obsluhovat.
O zvýšení digitální gramotnosti v ČR usilují projekty DigiStrategie 2020 a DigiKatalog. Doporučit lze pro prohloubení znalostí tipy a články z oficiálního webu PortálDigi, který pokrývá oblast digitálních kompetencí a v budoucnu nabídne i autoevaluační nástroj pro měření hloubky znalostí dle evropského rámce DIGCOMP 2.0.
Jak rozpoznat falešný e-mail? A co dělat, když jej obdržíte?
- Neosobní pozdrav
Pokud se e-mail tváří jako oficiální od banky, lze snadno poznat, že vás neosloví jménem. To je důvod k podezřívavosti. Pokud vás e-mail neoslovuje jménem, zpozorněte a koukněte na adresu odesílatele a další možné chyby.
- Špatná adresa
Alfa a omega phishingových útoků. E-mailové adresy, které se tváří jako pravé, ale nejsou. Příklad? Česká spořitelna odesílá své e-maily adresou csas@csas.cz. Falešný e-mail by například mohl přijít z adresy csas@cssa.cz nebo csas@sporitelna.cz – záleží, jakou doménu by se podařilo zločinci ukrást a skrze ni e-mail odeslat. Vždy je dobré odesílatele kontrolovat klidně i vícekrát.
Bohužel, adresu odesílatele je do jisté míry možné zfalšovat. Buďte tedy na pozoru a raději hleďte i po dalších varovných znacích.
- Překlepy a gramatické chyby
Přestože sofistikovanost podvodů se zvyšuje, tak pokud e-mail necílí přímo na vás, je pravděpodobné, že v něm budou gramatické, jazykové, stylistické a jiné chyby; i ty jsou jasným znamením, že onen oficiálně se tvářící e-mail zřejmě nebude tak úplně oficiální.
- Obsahuje neznámé přílohy
Nikdy nestahovat přílohy od neznámého odesílatele, obzvláště mají-li koncovku .exe, .docx nebo podobně. Dostat tímto způsobem do zařízení třeba ransomware je velmi jednoduché a nebezpečné – u Wordu kupříkladu stačí povolit skripty, v případě exe jen jediný dvojklik na danou aplikaci. V bezpečí však zdaleka nejste ani u jiných druhů souborů.
- Chce po vás kliknout na odkaz
Někdy může jít o nevinnou a skutečnou záležitost (po registraci na web máte kliknout na ověřovací odkaz, které registraci dokončí), mnohdy však jde o důvod k obavám, obzvláště, je-li údajným odesílatelem vaše banka. Už jen samotné kliknutí může do vašeho počítače dostat malware; podezřelým odkazům je tedy dobré se vyhnout.
Jasným znakem falešného e-mailu je také to, když na odkaz najedete myší – ale pozor, neklikejte. Vlevo dole se vám ukáže náhled skutečně adresy, na kterou vás odkaz přesměrovává. Je-li podezřelý – velmi dlouhý, podivně přesměrovaný nebo na úplně jinou adresu – vyhněte se mu.
- Firmy po vás nebudou chtít přístupové údaje
Pokud po vás chce vaše banka nebo jiný podnik vaše přihlašovací údaje ke službě, jde vždy o podvod. Firmy je nepotřebují, nemají k tomu důvod. V takovém případě jde vždy o pokus o vylákání vašich osobních údajů.
- Urgentní nebo výhružný jazyk
Útočník vás chce dostat pod časový přes a vystresovat vás. Je-li jazyk, kterým je e-mail psaný, výhružný či velmi urgentní, automaticky předpokládejte nekalý úmysl. Zastavte se, zamyslete se a nenechte se do podvodu vmanipulovat.
Důležitá kompetence digitální éry
Možností, jak může útočník oběť napadnout skrze e-mail, je nespočet. Bránit se lze zdravým rozumem, znalostí varovných signálů a tím, že nebudete automaticky odklikávat všechny e-maily. Jedná se o důležitou digitální kompetenci moderní doby: takovou, za kterou vás každý zaměstnavatel vždy pochválí.
