Don’t Panic: Nenechajte sa vydierať podvodnými emailami

Don’t Panic nie je len legendárna fráza zo známej knihy Douglasa Adamsa Stopárov sprievodca po Galaxii, ale aj veľmi dobrá rada v prípade podvodných a vydieračských emailov.  Začnime tými druhými.

Vydieračské emaily sú  stále vynaliezavejšie a ich autori využívajú stále lepšie metódy sociálneho inžinierstva. Predstavte si, že dostanete z neznámej adresy mail a už v jeho predmete nájdete vlastné meno a vedľa neho prístupové heslo, ktoré ste  svojho času skutočne používali a možno ešte aj používate do niektorých elektronických služieb.

Text v tele je v slovenčine a gramaticky takmer bezchybný. A čo je v ňom? Autor vám oznamuje, že na stránky s obsahom pre dospelých – teda pornostránky – nainštaloval špeciálny softvér, ktorý počas sledovania webu spôsobil to, že prehliadač fungoval pre útočníka ako vzdialená obrazovka a zároveň key logger.

Vďaka tomu dotyčný získal všetky vaše kontakty z emailu, Facebooku, WhatsAppu, Messengeru a ďalších podobných služieb. Zároveň ovládol zabudovanú kameru na vašom notebooku, takže teraz vlastní zaujímavé videá, na ktorých súčasne vidno vás a pornografický obsah, ktorý ste v danom čase sledovali. A tie do 48 hodín poputujú všetkým vašim známym, členom rodiny, priateľom. Samozrejme, dá sa tomu zabrániť. Stačí zaplatiť ekvivalent sumy 3-tisíc dolárov v bitcoinoch.

Hrozba vyzerá celkom reálne – najmä ak tie pornostránky naozaj občas pozeráte. V skutočnosti však vôbec nemusí byť akútna. Overiť si to môže každý sám, treba však vykonať osobný bezpečnostný audit. A ako na to? Stačí do svojho webového prehliadača napísať adresu https://haveibeenpwned. com. Do formulárového okienka, ktoré na nej nájdete, zadajte svoj e-mail. Služba vám na základe neho okamžite zistí, odkiaľ boli odcudzené vaše osobné údaje, samozrejme, vrátane mena a prihlasovacieho hesla.

V rôznych databázach s ukradnutými dátami je totiž podľa údajov Googlu stále približne 67 miliónov aktívnych prístupových hesiel, ktoré ich používatelia nezmenili napriek tomu, že o probléme vedia.

Uvedený príklad uvádzame z dvoch dôvodov – jednak preto, že nikto by si nemal myslieť, že ide o vzdialené problémy, ktoré sa ho netýkajú. Týkať sa môžu kohokoľvek, kdekoľvek a kedykoľvek. Druhý dôvod – keď vám podobný email príde, netreba prepadať panike, a už vonkoncom nie platiť. Zväčša vôbec nejde o reálnu hrozbu, ale iba o využívanie rôznych sofistikovaných metód na to, aby vám útočník nahnal strach.

Podobné je to aj s podvodnými emailami. Používateľ dostane email, ktorý vyzerá ako email od kolegu, či nadriadeného a jeho obsahom je výzva k nejakému úkonu – napríklad poslaniu prístupových práv, vyplneniu pracovného formulára, prípadne k uskutočneniu prevodu peňazí, pokiaľ prijímateľ pracuje na finančnom oddelení. Na prvý pohľad ide takmer vždy bežnú požiadavku, ktorá prvoplánovo nebudí podozrenie. Práve preto si to v strese mnohí nevšimnú, príkaz vyplnia automaticky, navyše ak ho dotyčný od nich urguje a žiada „ASAP“.

A ono to celkom funguje. Len pre zaujímavosť, podľa spoločnosti Kaspersky Lab v roku 2016 až 46 percent bezpečnostných incidentov, respektíve prienikov do infraštruktúry spoločností, zavinili zamestnanci neúmyselne práve podcenením základných bezpečnostných pravidiel. Takmer v štyridsiatich percentách prípadov boli útočníci úspešní vďaka metódam sociálneho inžinierstva, pomocou ktorých obete presvedčili o svojej dôveryhodnosti. Pri analýze incidentov spoločnosti konštatovali, že k viac než polovici z nich prišlo kvôli individuálnym ľudským zlyhaniam. Častokrát išlo v týchto prípadoch práve o podvodné emaily.

Toto riziko netreba podceňovať, komunikácia môže totiž pôsobiť naozaj dôveryhodne. Doplatil na to napríklad aj John Podesta, ktorý v roku 2016 šéfoval predvolebnej kampani Hillary Clintonovej, vtedajšej americkej prezidentskej kandidátky s reálnymi šancami vo voľbách uspieť. Ten dostal email, ktorý sa tváril ako oficiálny email spoločnosti Google, upozorňujúci na bezpečnostný incident, súvisiaci s Podestovým gmailom. Email spĺňal všetky atribúty štandardného bezpečnostného upozornenia, pričom aj pracovník IT oddelenia ho vyhodnotil ako štandardný a Podestovi odporučil urýchlenie zmeniť jeho prihlasovacie heslo do gmailu postupom, ktorý bol v emaile opísaný. Ten tak spravil a následne jeho email ovládli na Rusko napojení hekeri a informácie, ktoré z neho získali sa významnou mierou podieľa na neúspechu prezidentskej kandidátky Hillary Clintonovej. Pritom odhaliť podvodné emaily nie je až taký problém, stačí byť pozorný a všímať si niekoľko podozrivých vecí:

  • Vždy si skontrolujte odosielateľa e-mailu, tak, že si nepozriete len meno, ale si rozkliknete podrobné informácie, kde uvidíte aj jeho emailovú adresu. V prípade falošného mailu má zväčša pochybnú formu a odkazuje na neznáme servery.
  • V emaile od vás jeho odosielateľ, ktorý je vám podľa mena známy, súrne požaduje kontaktné údaje alebo iné citlivé informácie, ktoré by teoreticky mal mať, alebo ich podľa vás vôbec nepotrebuje. V tomto prípade, ak máte pochybnosti, radšej odosielateľa kontaktujte telefonicky.
  • Email vás informuje o tom, že si máte prevziať zásielku, stiahnuť dôležité súbory, vykonať súrnu bezpečnostnú aktualizáciu, ale aby to bolo možné, musíte sa verifikovať prihlasovacími údajmi.
  • Predmet alebo správa emailu obsahujú čudné znaky, anglické i slovenské vety.
  • Odosielateľ požaduje od vás z rôznych dôvodov okamžitú akciu (platbu, kliknutie, vyplnenie dotazníka, reset hesla).