Ohlídejte si e-mail. Nejen vaši adresu může zfalšovat každý

aktualizováno  9:12
Elektronická pošta je stále nejpoužívanější formou internetové komunikace. Málokdo ale tuší, že její zabezpečení je často velmi špatné. Poslat vaším jménem e-mail dokáže kdokoli. A nemusí k tomu ani znát vaše heslo.

Adresa odesílatele e-mailu není většinou potvrzené políčko a není radno mu bezmezně důvěřovat | foto: Profimedia.cz

Kdyby vám přišel pohled, na kterém by byla rukou napsaná zpáteční adresa „Kancelář Prezidenta ČR“, určitě okamžitě poznáte, že nejde o reálného odesílatele, ale o podezřelý podvod nebo vtípek. U elektronické obdoby korespondenčního lístku ale máme neurčitý pocit, že adresa odesílatele je „ověřená počítačem“.

Bohužel je to omyl, který vás může stát peníze nebo pověst. Kdokoliv (říkejme mu útočník, ale může to být i vtipálek) vám může poslat zprávu s prakticky libovolnou e-mailovou adresou odesílatele.

  • Útočník nemusí znát heslo uživatele, jehož adresu falšuje.
  • Útočník nemusí být hacker, nemusí umět programovat ani nepotřebuje speciální techniku.
  • Útočník může uvést existující i neexistující adresu.
  • Útočník může poslat zprávu, která se tváří jako zpráva od banky, firmy či jednotlivce. Napodobit může libovolnou doménu.

Nebezpečí zneužití: podvody, spam i sociální inženýrství

Samotné podvržení adresy ovšem neznamená, že by se útočník dostal k e-mailům na tuto adresu zaslaných. Z toho vyplývá, že útočník musí nějak zařídit, aby odpověď nebyla nutná.

Existuje celá řada scénářů, ve kterých hraje hlavní či vedleší roli právě podvržení odesílatele e-mailové adresy (též e-mail spoofing).

  1. Falešná zpráva od banky či jiné finanční instituce. Obvykle obsahuje obsah, který uživatele zavede na falešnou estránku pro přihlášení.
  2. Na míru ušitý podvod využívající konkrétní údaje o oběti. Taková podvržená zpráva se může tvářit jako e-mail od kamaráda, který žádá o laskavost (obvykle urgentní převod peněz nějakou anonymní cestou). Může jít také o způsob, jak oběti „doporučit“ stažení malware či šmírovací aplikace. E-mail bude opět obsahovat odkaz, takže nevyžaduje odpověď.
  3. Snaha o vydávání se za konkrétní osobu za účelem vnesení zmatku do komunikace, sabotáže, pomluvy apod. Někdy může útočník zkusit doplnit jinou „reply-to“ adresu a tak se dostat i k odpovědi na e-mail.
  4. Rozesílání spamu z vaší e-mailové adresy na neexistující adresy. Vám pak chodí upozornění na nedoručitelné zprávy, čímž se taková zpráva dostane k vám. V takovém případě je důležité nevyděsit se: neznamená to, že někdo hackl vaši schránku a rozesílá z ní zprávy. Prostě vaši adresu podvrhl.
  5. Vtípek v podobě zaslání zprávy z podvržené adresy (jako 3).

V současnosti neexistuje dokonalá obrana proti těmto scénářům útoku. Spamové filtry a další bezpečnostní opatření (viz DMARC, SPF a DKIM dále) jsou schopny mnohé z těchto útoků detekovat a eliminovat, i tak je nezbytná jistá míra opatrnosti.

Jak podvržení adresy odesílatele e-mailu funguje

Adresa odesílatele, stejně jako jakýkoli jiný aspekt e-mailové zprávy, je z pohledu počítačového systému pro rozesílání e-mailů (tzv. mailserver) obyčejný text. Políčko „FROM“ (odesílatel) není při odeslání nikterak kontrolováno a záleží čistě na vašem e-mailovém programu, co do tohoto políčka doplní.

Jedna ze služeb, která umožňuje posílat e-maily z libovolné adresy

Obyčejné poštovní programy ani webmaily nedávají uživatelům možnost toto políčko změnit, zkrátka proto, že by to bylo nepraktické. To ale neznamená, že políčko změnit nejde. V praxi k tomu lze využít některou z webových služeb na jednoduché podvržení adresy (nebudeme je zde odkazovat) nebo, pro pokročilejší, vlastní program na vlastním serveru, který rovněž může posílat e-maily s naprosto libovolnou adresou odesílatele.

Lze falešnou adresu odesílatele nějak poznat?

Teoreticky můžete rozpoznat, že adresu někdo podvrhl, ale není to jednoduché ani stoprocentní. Vyžaduje to zobrazit tzv. „hlavičku“ e-mailu (header), což není něco, čím se běžný uživatel zabývá. V hlavičce je možné v oddílu „Received:“ vystopovat, kterými servery se e-mail dostal k vám. Teoreticky tedy můžete najít stopy po odesílateli zprávy. Spíše ale najdete odkaz na nějaký server pro odesílání anonymních zpráv, nebo dokonce nevinnou oběť malwaru, jejíž počítač se proměnil v rozesílač spamu.

Všimnout si můžete také podezřelého textu e-mailu, který může vybočovat z toho, na co jste zvyklí. Například když po vás chce banka změnu hesla nebo vás e-mailem varuje, že máte nezaplacený dluh. Většina českých i světových bank přitom výslovně uvádí, že vás přes e-mail nebude v takovýchto záležitostech kontaktovat. Obvykle vám pošlou dopis. Banky a další instituce jsou si totiž dobře vědomy, jak neověřený - a tedy podvržitelný - je e-mailový „podpis“ v podobě adresy odesílatele.

Situace se lepší - moderní služby umožní částečné ověření

Naštěstí se blýská na lepší časy. Mnohé e-mailové služby se snaží podvržení adresy bránit různými prostředky. Jedním z nejpoužívanějších je Domain-based Message Authentication, Reporting and Conformance (zkráceně DMARC), systém pro validaci e-mailových adres, nebo alespoň domén. DMARC funguje od roku 2012 a doplňuje dva starší mechanismy, Sender Policy Framework a DomainKeys Identified Mail. Tyto kontrolní prostředky zajišťují, že adresa odesílatele je shodná s doménou, ze které byl e-mail odeslán. Pokud shodný není, může být e-mail s falšovanou adresou odmítnut nebo alespoň označen jako podezřelý.

Ukázka domény bez DMARC záznamů

Záznamy DMARC pro doménu

Pomocí nástroje dmarcian.com si můžete ověřit, zda má ta která doména své DMARC záznamy a jaké chování doporučuje v případě, že nelze pravost daného e-mailu ověřit pomocí SPF nebo DKIM. Například doména Facebook.com má nastaveno striktní „reject“ - instruuje tedy přijímající e-mailový server, aby v případě rozporu takovou pochybně podepsanou zprávu odmítl. Naopak doména fb.com, rovněž vlastněná Facebookem, nemá nastavenu hodnotu pro odmítnutí nebo karanténu, takže může projít pouze s varováním.

PGP a GnuGP

Podepsané a šifrované zprávy

Pokročilí uživatelé mohou sáhnout k vysokému zabezpečení pomocí kombinace veřejného a soukromého klíče, například pomocí GnuPG (implementace OpenPGP).

Pokud se někdo pokusí podvrhnout adresu z domény, která vyžaduje ověření pomocí DMARC záznamu, bude IP adresa jeho mailového serveru brzy po pokusu o podvrh zablokována. Lze tedy říci, že toto opatření do značné míry omezilo podvrhy e-mailových adres odesílatele. Zdaleka ne všechny domény ale takové ověření umožňují.

Dalším krokem kupředu je šifrování e-mailů pomocí Transport Layer Security (TLS), což umožňuje zabezpečené posílání e-mailu v případě, že odesílající i přijímající služba tuto funkci podporuje. Pomáhá tak zabránit odposlouchávání mailů na cestě mezi servery. Nejde o dokonalé řešení, navíc jej nepodporují všichni poskytovatelé.

Pokud e-mail není zašifrovaný, Gmail zobrazí varování v podobě otevřeného červeného zámku

Přestože je tedy podvržení e-mailové adresy v běžné situaci těžší, než tomu bývalo před deseti lety, stále je to používaný způsob útoku. Výsledkem může být trapas, únik informací nebo finanční škoda. Nejlepší obranou je vědět, že podvržení e-mailové adresy je jednodušší, než se může zdát.

Aktualizace: Do článku jsme doplnili stručné informace o šifrování e-mailu.

Autor:
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 16 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 15 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 16 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 31 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Jarní bouře ničila před 100 lety Prahu. Napáchala obří škody

v diskusi je 10 příspěvků

27. března 2024

Prahou prošla před 100 lety, 27. března 1924, neobvykle silná jarní bouřka. V části hlavního města...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...