Don’t Panic: Nenechajte sa vydierať podvodnými emailami

Don’t Panic nie je len legendárna fráza zo známej knihy Douglasa Adamsa Stopárov sprievodca po Galaxii, ale aj veľmi dobrá rada v prípade podvodných a vydieračských emailov. Začnime tými druhými.

Vydieračské emaily sú stále vynaliezavejšie a ich autori využívajú stále lepšie metódy sociálneho inžinierstva. Predstavte si, že dostanete z neznámej adresy mail a už v jeho predmete nájdete vlastné meno a vedľa neho prístupové heslo, ktoré ste svojho času skutočne používali a možno ešte aj používate do niektorých elektronických služieb.

Text v tele je v slovenčine a gramaticky takmer bezchybný. A čo je v ňom? Autor vám oznamuje, že na stránky s obsahom pre dospelých – teda pornostránky – nainštaloval špeciálny softvér, ktorý počas sledovania webu spôsobil to, že prehliadač fungoval pre útočníka ako vzdialená obrazovka a zároveň key logger.

Vďaka tomu dotyčný získal všetky vaše kontakty z emailu, Facebooku, WhatsAppu, Messengeru a ďalších podobných služieb. Zároveň ovládol zabudovanú kameru na vašom notebooku, takže teraz vlastní zaujímavé videá, na ktorých súčasne vidno vás a pornografický obsah, ktorý ste v danom čase sledovali. A tie do 48 hodín poputujú všetkým vašim známym, členom rodiny, priateľom. Samozrejme, dá sa tomu zabrániť. Stačí zaplatiť ekvivalent sumy 3-tisíc dolárov v bitcoinoch.

Hrozba vyzerá celkom reálne – najmä ak tie pornostránky naozaj občas pozeráte. V skutočnosti však vôbec nemusí byť akútna. Overiť si to môže každý sám, treba však vykonať osobný bezpečnostný audit. A ako na to? Stačí do svojho webového prehliadača napísať adresu https://haveibeenpwned. com. Do formulárového okienka, ktoré na nej nájdete, zadajte svoj e-mail. Služba vám na základe neho okamžite zistí, odkiaľ boli odcudzené vaše osobné údaje, samozrejme, vrátane mena a prihlasovacieho hesla.

V rôznych databázach s ukradnutými dátami je totiž podľa údajov Googlu stále približne 67 miliónov aktívnych prístupových hesiel, ktoré ich používatelia nezmenili napriek tomu, že o probléme vedia.

Uvedený príklad uvádzame z dvoch dôvodov – jednak preto, že nikto by si nemal myslieť, že ide o vzdialené problémy, ktoré sa ho netýkajú. Týkať sa môžu kohokoľvek, kdekoľvek a kedykoľvek. Druhý dôvod – keď vám podobný email príde, netreba prepadať panike, a už vonkoncom nie platiť. Zväčša vôbec nejde o reálnu hrozbu, ale iba o využívanie rôznych sofistikovaných metód na to, aby vám útočník nahnal strach.

Podobné je to aj s podvodnými emailami. Používateľ dostane email, ktorý vyzerá ako email od kolegu, či nadriadeného a jeho obsahom je výzva k nejakému úkonu – napríklad poslaniu prístupových práv, vyplneniu pracovného formulára, prípadne k uskutočneniu prevodu peňazí, pokiaľ prijímateľ pracuje na finančnom oddelení. Na prvý pohľad ide takmer vždy bežnú požiadavku, ktorá prvoplánovo nebudí podozrenie. Práve preto si to v strese mnohí nevšimnú, príkaz vyplnia automaticky, navyše ak ho dotyčný od nich urguje a žiada „ASAP“.

A ono to celkom funguje. Len pre zaujímavosť, podľa spoločnosti Kaspersky Lab v roku 2016 až 46 percent bezpečnostných incidentov, respektíve prienikov do infraštruktúry spoločností, zavinili zamestnanci neúmyselne práve podcenením základných bezpečnostných pravidiel. Takmer v štyridsiatich percentách prípadov boli útočníci úspešní vďaka metódam sociálneho inžinierstva, pomocou ktorých obete presvedčili o svojej dôveryhodnosti. Pri analýze incidentov spoločnosti konštatovali, že k viac než polovici z nich prišlo kvôli individuálnym ľudským zlyhaniam. Častokrát išlo v týchto prípadoch práve o podvodné emaily.

Toto riziko netreba podceňovať, komunikácia môže totiž pôsobiť naozaj dôveryhodne. Doplatil na to napríklad aj John Podesta, ktorý v roku 2016 šéfoval predvolebnej kampani Hillary Clintonovej, vtedajšej americkej prezidentskej kandidátky s reálnymi šancami vo voľbách uspieť. Ten dostal email, ktorý sa tváril ako oficiálny email spoločnosti Google, upozorňujúci na bezpečnostný incident, súvisiaci s Podestovým gmailom. Email spĺňal všetky atribúty štandardného bezpečnostného upozornenia, pričom aj pracovník IT oddelenia ho vyhodnotil ako štandardný a Podestovi odporučil urýchlenie zmeniť jeho prihlasovacie heslo do gmailu postupom, ktorý bol v emaile opísaný. Ten tak spravil a následne jeho email ovládli na Rusko napojení hekeri a informácie, ktoré z neho získali sa významnou mierou podieľa na neúspechu prezidentskej kandidátky Hillary Clintonovej. Pritom odhaliť podvodné emaily nie je až taký problém, stačí byť pozorný a všímať si niekoľko podozrivých vecí:

Vždy si skontrolujte odosielateľa e-mailu, tak, že si nepozriete len meno, ale si rozkliknete podrobné informácie, kde uvidíte aj jeho emailovú adresu. V prípade falošného mailu má zväčša pochybnú formu a odkazuje na neznáme servery.
V emaile od vás jeho odosielateľ, ktorý je vám podľa mena známy, súrne požaduje kontaktné údaje alebo iné citlivé informácie, ktoré by teoreticky mal mať, alebo ich podľa vás vôbec nepotrebuje. V tomto prípade, ak máte pochybnosti, radšej odosielateľa kontaktujte telefonicky.
Email vás informuje o tom, že si máte prevziať zásielku, stiahnuť dôležité súbory, vykonať súrnu bezpečnostnú aktualizáciu, ale aby to bolo možné, musíte sa verifikovať prihlasovacími údajmi.
Predmet alebo správa emailu obsahujú čudné znaky, anglické i slovenské vety.
Odosielateľ požaduje od vás z rôznych dôvodov okamžitú akciu (platbu, kliknutie, vyplnenie dotazníka, reset hesla).

Don’t Panic: Nenechajte sa vydierať podvodnými emailami

Zdieľajte tento článok, vyberte si svoju platformu!

Súvisiace príspevky

Ako sa seniori môžu zaregistrovať na bezplatné školenia digitálnych zručností

Projekt Digitálni seniori ožíva. Do polovice budúceho roka ich vyškolia viac ako 105-tisíc

Pozrite si riziká používania verejných wi-fi sietí na letiskách a 7 rád ako ich obmedziť

Viete ako sa vykrmuje a porciuje prasiatko? A prečo je to nebezpečné?

Google zavádza zdieľanie hesiel pre domácnosti

Sú platby cez NFC naozaj bezpečné? 6 spôsobov, ako zvýšiť bezpečnosť bezkontaktných platieb