Spočítejte si...

Zavřít

Rhybaření vás může připravit o peníze v bance

Přišel vám e-mail od nějakého bankovního ústavu nebo poskytovatele připojení k internetu, kde bylo napsáno, že je potřeba, abyste firmě obratem poslali důležité informace, jako je vaše rodné číslo nebo číslo kreditní karty? Pokud ne, máte štěstí, které jiní nemají.

Na internetu se v poslední době objevil nový druh kriminality, který se označuje anglickým termínem „Pfishing“*. Jedná se o kradení senzitivních informací, v nejhorších případech i celých identit či přístupů k účtům, nepozorným a důvěřivým uživatelům.

Na počátku vše může vypadat naprosto nevinně a v pořádku. Na Nový rok vám přijde velmi věrohodně vypadající e-mail od vašeho bankovního ústavu, kde se dozvíte, že z důvodu obnovování databáze vás žádají, zda byste mohli na jejich webové stránce zkontrolovat správnost údajů.

Poté, co kliknete na uvedený odkaz, otevře se vám webová stránka ve stejné grafické úpravě, jakou mají stránky vašeho bankovního ústavu, a na ní přihlašovací okénko, kam zadáte svoje přihlašovací jméno a heslo. Stránka se zatváří, že vás přihlásila, a zobrazí pravděpodobně prázdný formulář (případně formulář plný špatných informací). Ty opravíte na správné a odešlete „bance“.

Spokojeni, jak jste pomohli společnosti vyřešit její problém, na věc zapomenete. Avšak právě jste poskytli své osobní informace lidem, kteří s nimi pravděpodobně naloží k vaší velké nespokojenosti a jejich velkému obohacení.

Výše popsaný útok na neopatrného uživatele může probíhat v nesčetných obměnách podle zručnosti útočníka – nebo celé skupiny útočníků. Tím nejprimitivnějším je žádost o zaslání informací jako odpovědi na příslušný e-mail. Ten může mít buď úplně prapodivnou adresu, nebo adresu podobnou adrese společnosti, za kterou se útočník vydává (např. místo info@american_express.com bude info@american_expres.com).

Jak stoupá schopnost útočníka, stoupá i kvalita napodobeniny falšovaných e-mailů společnosti. Ty nejlepší z nich byste pravděpodobně od normálních e-mailů nerozeznali. Správná grafická úprava, správná e-mailová adresa odesílatele**, podobný styl úpravy textu. Pouze ta žádost o osobní údaje je nějaká prapodivná. A možná i to, že zrovna vy s American Express nemáte nic do činění. Útočník vás samozřejmě nezná a rozesílá naslepo spoustu e-mailů ve snaze se trefit. Čili vám s největší pravděpodobností dojde e-mail od banky, u které nemáte účet.

Stejně jako roste kvalita falšovaných e-mailů, roste i kvalita stránek, na které odkazují. Zde ty nejprimitivnější napodobeniny poznáte už např. podle URL (webové adresy), která může vypadat i www.přijdešoprachy.cz (podvodník tiše doufá, že se na ni nepodíváte).

Pokročilejší technikou je maskování se za nepatrnou změnu. Například místo www.csas.cz (adresa České spořitelny) se může objevit www.scas.cz (adresa, kterou si zaregistruje podvodník). To už lze přehlédnout poměrně snadno.

Nejpokročilejší technikou je maskování webové adresy úplně. Po kliknutí na odkaz jste přeneseni na webovou stránku, jejíž adresa se jeví jako naprosto v pořádku (ve výše zmíněném případě to bude opravdu www.csas.cz), a přesto jste se dostali do pasti moderních lupičů. Zde je nutné podotknout, že této technice můžou podlehnout pouze uživatelé Internet Exploreru bez příslušné opravy, která se dá stáhnout na adrese http://support.microsoft.com/?…. Tam seženete i bližší popis výše zmiňované chyby.

Tip pro větší bezpečnost

Internetový prohlížeč Internet Explorer prohlásil za nebezpečný i německý Federální úřad pro bezpečnost v IT. Doporučujeme proto přechod na bezpečné prohlížeče, které jsou k dispozici zdarma. Na výběr jsou například Mozilla nebo Opera a jiné.

Jak se těmto útokům bránit, aniž by se z člověka stal paranoik?

Nejjednodušší obranou je v tomto případě držet se hesla důvěřuj, ale prověřuj. Pokud po vás chce nějaká společnost, jejímž jste zákazníkem, osobní údaje po e-mailu, raději si ověřte (nejlépe telefonicky), zda tuto zprávu opravdu odeslala. Často můžete společnosti právě touto cestou upozornit, že jejich klienti jsou v nebezpečí.

Pokud je součástí e-mailu odkaz na internetové stránky, zkontrolujte si, zda adresa sedí se skutečnou adresou společnosti, a odkaz ručně přepište do svého webového prohlížeče. Vyhnete se tím možnosti, že se dostanete někam, kam jste vůbec nechtěli.

cestovko

Nakonec ještě nutno dodat, že pokud jste klienty pouze domácích společností, šance, že budete takto napadeni, je poměrně nízká. Naopak u amerických a mezinárodních společností (jako je např. e-bay) prudce stoupá. Statistiky ukazují, že tomuto typu útoků podléhá asi 5 % napadených. Pokud si tedy budete dávat byť jen trochu pozor, máte velkou šanci že se vám nic nestane.

* Český překlad by zněl asi "rhybaření“, byť nevystihuje podstatu slova. V anglickém jazyce jde o spojení ‘P’ersonal (osobní) a fishing (rybaření). V češtině tedy „rybaření“, což už tak pěkně nezní.
** Tu lze v dnešní době zfalšovat tak snadno, že na ni nemá prakticky cenu hledět. Existují dokonce servery, ze kterých může kdokoliv odeslat e-mail tvářící se, že je odeslán někým jiným (např. FBI).

Anketa

Dostal/a jste již podezřelý e-mail z banky?

4 názory Vstoupit do diskuse
poslední názor přidán 13. 10. 2006 0:09