Skip to content


«
»

Stručný návod jak poznat podvodné a zavirované emaily

Virus leze z e-mailu

V poslední době se množí podvodné e-mailové zprávy, které jsou doručovány i do Česka. Co je horší, útočníci se již naučili česky, či používají překladače do té míry efektivně, že text zprávy je tak dobrý, že na první letmý pohled podvodný e-mail nerozpoznáme. Přicházíme tedy s návodem, jak na to.

Aniž bychom chtěli kohokoliv strašit, tak je nutno zmínit, že útočníci přicházejí se stále se zdokonalující formou útoku. Data napadeného počítače nejen že šifrují, ale dnes je šifrují za pomocí unikátních klíčů. Tedy každý napadený počítač je po napadení zašifrován unikáním, řekněme, heslem a to jeho dešifrování značně komplikuje (prodražuje) ba až znemožňuje.

Jak tedy postupovat, aby se problém se zašifrovanými daty netýkal právě nás? První pravidlo je a mělo by být: nejednat zbrkle.

Nejednat zbrkle (1.)

Efekt podvodných e-mailů může sázet na „psychologii“ úleku, kdy se příjemce vyděsí, co mu to přišlo za potvrzení, vždyť si nic neobjednával. Nebo si nepůjčoval žádné peníze atd. V tu chvíli buď v rámci úleku a nebo ve snaze získat více informací otevře přílohu e-mailu a na neštěstí je již zaděláno.

Naše redakce dostala dvě verze poslední vlny útočných potvrzení o koupi v existujícím českém e-shopu a zajímavý je jeden rozdíl. U jednoho e-mailu byla příloha nazvána bill754EJH.zip, kdy „bill“ je anglicky účet. Druhá e-mailová zpráva obsahovala přílohu, která již používala češtinu: „ucet454EHA.zip“.

Nic jsem si neobjednal(a), tedy nereaguji (2.)

Další pravidlo je poměrně jednoduché, ale nesmírně efektivní. A aplikovat jej můžeme i na jakýkoliv jiný „neškodlivý“ email. Prostě pokud jste si nic neobjednali, nijak nereagujte. I v praxi je přeci zřejmé, že dokud nezaplatíte, žádná e-shop po vás objednávku nebude vymáhat.

Je dobré si všímat detailů (3.)

Například poslední vlna potvrzení o vymyšlených nákupech v textu e-mailové zprávy zmiňovala variabilní symbol složený z alfanumerických znaků (tedy číslic, ale i písmen). A variabilní symbol znaky obsahovat nemůže.

Další podivností je kontaktní osoba, která má jméno na Českou republiku dosti exotické. Na tyto detaily se ale nemůžeme spoléhat bezmezně. Nyní v nich útočníci nepatrně chybovali, pro příště se již mohou opět zdokonalit.

Podvodný zavirovaný e-mail

Všimněte si zvláštní e-mailové adresy odesílatele, kontaktní osoby a variabilního symbolu

V obou emailech, které máme k dispozici byl v aktuální vlně zmíněn jako způsob platby platební karta. Opět, drtivá většina českých e-shopů pokud již tento způsob platby podporuje, přesměrovává na platební bránu nějaké české banky. To znamená, že pokud byste takto platili, určitě byste o tom museli vědět.

Nespoléhat se bezmezně na svůj antivirový program (4.)

Tato rada bude svého druhu možná smutným konstatováním. Nicméně ani fakt, že vám příchozí e-mailovou poštu nebo všechny soubory, které spouštíte kontroluje antivirový program, nemusí být zárukou, že si nezavirujete počítač. Při našem testu s přílohou podvodného e-mailu jej dokázalo detekovat pouze 9 z 56 antivirů (viz analýza zde). Uspěly tentokráte antiviry AVG, Avast, ESET NOD32 a Symantec. Zcela přesně ale hrozbu dokázali identifikovat pouze AVG a ESET. Ostatní antiviry měly spíše pouze podezření.

Přiložený ZIP archív navíc obsahuje zase další ZIP archív. Jedná se tedy o dvojnásobně zakomprimovaný soubor. Nejspíše z úvodu obejití antivirových programů.

Výsledek analýzy zavirované přílohy e-mailu

Sken přílohy ukázal, že pouze 9 z 56 antivirů dokázalo hrozbu odhalit

Používejte správce souborů (5.)

Pokud se vám tip na používání správce souborů zdá zvláštní nebo mimo, hned vysvětlíme. Podvodné emaily své zavirované přílohy rády komprimují do archívu ZIP. Když daný archív rozbalíte, získáte soubor, který se často velmi zdárně tváří jako některý z rozšířených formátů dokumentů. Může se jednat o zdánlivý dokument PDF, Word (DOC), Excel (XLS) atd. Toto je ale pouze zdánlivé. Podvodníci totiž často používají metodu dvojité přípony souboru. Místo, aby se soubor jmenoval „objednavka.doc“ se jmenuje například „objednavka.doc.bat“. Soubory s příponou .BAT jsou na počítači spustitelné a pokusem o jejich otevření tak vlastně nevědomky zavirujete počítač sami.

Případně použijí reálnou příponu souboru, ale nahradí její ikonku, takže v Průzkumníku ve Windows se vám soubor jeví jako něco jiného než je.

Správce souborů FreeCommander XE

Jeden z bezplatných správců souborů, program FreeCommander XE

Doporučit můžeme třeba program FreeCommander XE.

V našem případě posledního útoku byl v příloze e-mailu schován soubor s příponou .SCR. Ta se ve Windows používá pro spořiče obrazovky.

Obsah zavirovaného archívu

Za dvojí komprimací ZIP se skrývá soubor .SCR

Obecně je dobré…

Jako poslední je nutno zmínit, že tyto podvodné zavirované e-maily chodí zejména na e-mailové adresy, ke kterým se útočníci dostanou. To znamená, že je moudré svou e-mailovou adresu přímo nezveřejňovat na Internetu. Což je i dobrá rada vzhledem k ochraně proti nevyžádané poště (spamu).

Radou možná hodně obecnou, ale fungující je pravidelně si zálohovat důležitá data. Pokud by se vám nedej Bůh počítač zaviroval (a v tomto případě zašifroval) zůstanou vám alespoň nějaká data. Jinak přijdete o vše (či většinu) co máte ve svém PC.

Rubrika: Bezpečnost. Tagy: .

0 reakcí

Mějte přehled o nových komentářích, přihlašte se k odběru RSS kanálu komentářů tohoto příspěvku.

Některé HTML je povoleno

(vyžadováno)

(vyžadováno, nebude nikde zobrazeno)