Jak poznat podvodný e-mail?

 

Jak poznat podvodný e-mail?


Každý den přichází uživatelům po celém světě miliony e-mailů. Mezi nimi řada podvodných. Cílem útočníků jsou osobní a přihlašovací údaje nebo ještě častěji peníze. V rukou mají celý arzenál argumentů, jak nás přesvědčit. Představíme nejčastější praktiky útočníků a také to, jak se před nimi bránit.

Phishing – forma útoku založená na sociálním inženýrství neboli psychologické manipulaci. Útočník se vydává za důvěryhodnou autoritu s cílem získat citlivá data oběti. Více informací najdete v našem slovníku.
Scam – jednotné označení pro online podvod, jehož cílem je vylákat z oběti peníze nebo něco hodnotného. Typickým příklad jsou falešné obchody nebo zprávy o velkém dědictví, kdy musí oběť uhradit „administrativní poplatek“.
Spam  – označení jakékoli nevyžádané pošty. Více informací najdete v našem slovníku.

Základní rady pro vás shrnul Michal ve videu:

Zdědili jste miliony? Zaplatíte osobními údaji

Obdrželi jste nečekaně dobrou zprávu? E-mail níže koloval během tzv. první vlny koronavirové pandemie. Adresátovi sliboval přibližně 30 milionů korun z fiktivního fondu. Jedná se o typický scam. Často píše i “právník” vašeho zesnulého příbuzného z Afriky, který vám odkázal jmění. Obměnou jsou e-maily oznamující výhru luxusní ceny.

Ve všech případech si pisatel vyžádá osobní údaje, případně i informace o účtu či platební kartě, to vše pod záminkou provedení převodu.

Ukázka phishingu

Existuje i druhá, pro změnu ne zrovna šťastná, varianta, kdy útočník vyhrožuje smyšlenou exekucí. Součástí e-mailu bývá infikovaná faktura nebo podobný dokument. Přílohu nikdy neotevírejte!

Pokud obdržíte podobnou zprávu a nejste si dluhu vědomi, najděte si na internetu údajného věřitele nebo exekutora a zavolejte mu do kanceláře.

Ukázka podvodného e-mailu s exekucí

Pokud ukázkový e-mail prověříte zjistíte, že JUDr. Dohnal už v roce 2014 ukončil činnost (IČ není aktuální). Zákon č. 120/2001 je skutečně Zákon o soudních exekutorech a exekuční činnosti, ale odstavec ani § 446 v něm není (existuje §46, který popisuje náležitosti exekučního řízení, jeho znění je ovšem v rozporu uvedenou informací v e-mailu). Text  zaměňuje znak š za znak §.

Bohužel přísný úřední tón řadu lidí snadno vyděsí. Pravý exekutor musí být členem Exekutorské komory.

Mám nemravné video, zaplaťte

Vydírání je pro útočníky nesmírně efektivní postup. V případech níže útočník tvrdí, že je na vašem zařízení nainstalovaný malware a že díky tomu vás zachytil při sledování pornografických stránek. V textu je zmíněno, že máte dost výjimečný vkus (útočník v podstatě říká: „jsi perverzní a já to všem odhalím“). Obvykle slibuje, že za několik tisíc korun v bitcoinech odstraní ono neexistující video. Novější varianty útoků obsahují i návod, jak si bitcoiny nakoupit a vytvořit krytopeněženku.

Často tento typ podvodu obsahuje vaše heslo, případně přijde na oko přímo z vaší adresy – útočník se takto pokouší demonstrovat, že má skutečně přístup k vašemu e-mailu a může jej zneužít. Jde ale jen o trik. Hesla v takových případech pocházejí z nějaké dříve uniklé databáze. A e-mailovou schránku s jakýmkoli jménem lze vytvořit ve veřejně dostupných nástrojích za pár minut.

Jak podvod odhalit? Podívejte se do své odeslané pošty – podvodný mail v ní nenajdete. A pro jistotu doporučujeme změnit heslo.

Potřebujeme ověřit heslo, aneb chceme přístup k vašemu účtu

Dalším běžným typem podvodného e-mailu je ověření přístupu do banky, potvrzení zásilky, ověření přihlašovacích údajů.  V těchto případech útočníci často zneužívají jméno nějaké známé banky či spediční společnosti. Cílem je buď odcizit přihlašovací údaje k účtu nebo propašovat do počítače nějaký malware.   

Než kliknete na odkaz v takovém e-mailu, podívejte se, kam skutečně vede. Stačí na odkaz či tlačítko najet myší. Na ukázce níže vidíte, že odkaz skutečně nevede na oficiální stránky banky, nýbrž na jakýsi web haidos.gp, který má s bankou jen pramálo společného.

Pokud obdržíte podobný požadavek, zatelefonujte do banky, na poštu nebo do společnosti, kterou e-mail zmiňuje, a ověřte si, zda je požadavek legitimní. Kontakt si však raději na internetu najděte sami. Kontakty v podvodném e-mailu budou pravděpodobně podvržené.

Nevěřte svým očím

Útočníci často zneužívají tzv. homoglyfy. Jde o znaky, které vypadají podobně, ale ve skutečnosti pochází z jiných abeced. Typickým příkladem mohou být některé písmena z cyrilice či azbuky, která na první pohled připomínají latinku.

Jak fungují homoglyfy

Počítač ale vidí písmena jako kódy a rozpozná je. Před touto praktikou vás ochrání pouze spolehlivý bezpečnostní program a pravidelné aktualizace prohlížeče.

Píše vám skutečně kolega z práce? Adresy lze podvrhnout

Je velice snadné vytvořit e-mailovou adresu, která vypadá jako pravá – stačí změnit kus domény a rozdíl skoro nepoznáte. Ukázka níže je námi vytvořená a falešná, přestože obsahuje logo a na první pohled působí korektně.  Ve zprávě je chybně zapsaná doména @esetcz.cz. Neshoduje se jméno odesílatele a jméno v adrese a mail obsahuje gramatické chyby? To vše napoví, že jde o podvod.


Ve zprávě je chybně zapsaná doména @esetcz.cz. Neshoduje se jméno odesílatele a jméno v adrese a mail obsahuje gramatické chyby? To vše napoví, že jde o podvod.


Phishigový útok, který se vydával za zprávu z Pošty | Zdroj: irozhlas.cz


S podvody v adresách se lze setkat i v SMS. Příkladem může být zpráva níže, kdy na podzim útočníci zneužívali značku České pošty. Adresa ceskaposta-poslatexpress.com není oficiální stránka a jde tudíž o podvod. V tomto případě útočníci své oběti okradli o 79 Kč.

jak poznat podvod v emailu

 

Zdroj: ESET