Dokud budou existovat e-maily, nezmizí ani tento problém
Rybičky, rybičky, rybáři jedou! Nebojte se, nebudeme běhat z jedné strany místnosti na druhou a chytat zbloudilé šupináče. Vyplouváme na lov do hlubokých vod internetu.
Stalo se to zřejmě každému, kdo používá e-mail. Ráno se přihlásíte do své schránky a co tam na vás nečeká. Zpráva od starého kamaráda, se kterým jste přátelé na Facebooku, ale jinak nejste v kontaktu. Vzpomněl si na vás, když si prohlížel staré fotky. A jednu, na které jste spolu, vám teď posílá. Stačí kliknout na přiložený odkaz, který vede na Google Docs, kde na vás nasdílený snímek čeká. Stačí vyplnit přihlašovací údaje na Gmail.
Ti méně pozorní neváhají a přihlásí se. A fotka nikde. V lepším případě se právě stali obětí útočníka, který jejich účet využije jen jako prostředek k rozesílání dalších podobných zpráv nebo z něj vytáhne seznam všech jejich kontaktů. V horším případě o něj zrovna úplně přišli.
Říká se tomu phishing, česky volně rybaření. Útočník vás přivede na stránku tvářící se jako vstupní portál služby, kterou používáte. Přihlašovací údaje, které vyplníte, ale přistanou jemu na stole. A vy máte zaděláno na velký problém.
Scénář může mít nekonečně mnoho podob, e-mail vám může přijít od kamaráda, kolegy z práce, banky nebo třeba mobilního operátora. Ze strany útočníků nejde o nic složitého. Nastavit adresu odesílatele tak, aby se e-mail tvářil jako zpráva od někoho, koho znáte, je úkol na pár minut. A vytvořit falešnou přihlašovací stránku zvládnou šikovné prsty s trochou praxe třeba během obědové pauzy.
Nepoučitelní důvěřivci
Většina lidí vám bude tvrdit, že podezřelé e-maily nikdy neotevírá. Jenže smažte jen tak e-mail, který v předmětu upozorňuje, že vaše internetové bankovnictví bylo kvůli porušení podmínek užívání zablokováno.
V roce 2012 uspořádali odborníci z Kolumbijské univerzity malý test. Na dva tisíce e-mailových adres studentů a zaměstnanců opakovaně rozeslali phishingové e-maily nabízející iPady zdarma a obsahující PDF dokumenty nebo různé odkazy vedoucí na stránky požadující vyplnění přihlašovacích údajů. Nejúspěšnější se ukázaly být zprávy s nabídkou iPadů zdarma, na vložený odkaz kliklo v prvním kole 176 lidí. Všichni byli následně varováni, že se stali terčem phishingového útoku, a byli vyzváni k tomu, aby podobné e-maily příště ignorovali. O pár týdnů později, kdy stejná skupina lidí obdržela e-mail s podobnou nabídkou, se přesto našlo deset uživatelů, kteří e-mail znovu otevřeli a kliknuli na odkaz. Ve třetím kole se znovu nechali nachytat tři a až ve čtvrtém kole svítila na počítadle proklilů nula.
Letos přišel s podobným testem americký poskytovatel mobilních služeb a internetového připojení Verizon. Výsledek byl ve srovnání s pokusem Kolumbijské univerzity příznivější, rozhodně ale ne dobrý. Testem Kolumbijské univerzity v prvním kole rozesílání phishingových e-mailů neprošlo více než 18 % adresátů, Verizon nachytal 7,3 % oslovených uživatelů. Druhým kolem "útoku" Verizonu neprošlo 15 % těch, kteří se nechali oklamat už v prvním kole, Kolumbijská univerzita napodruhé nachytala 7,6 % těch, kdo neprošli prvním kolem testu.
Poskytovatelé internetových služeb uživatele varují, aby se svými přihlašovacími údaji zacházeli s extrémní opatrností a nevyplňovali je, pokud si nejsou stoprocentně jisti, že se skutečně přihlašují k dané službě. Jak se ale ukazuje, je to jako házet hrách na stěnu.
Zdroj: Quartz
