Možná jste již obdrželi e-mail ze známé e-mailové adresy, na kterém bylo něco podivného. Možná text zněl uměle, možná tam byl odkaz, který vedl na neznámou adresu a žádal od vás údaje. Věříme, že jste (i díky našim článkům o phishingu) na tento odkaz neklikli a ochránili tak své peníze i soukromí.
Problém nastane, pokud někdo zneužije vaši doménu k rozesílání phishingu nebo spoofingu. Za určitých okolností to není tak těžké a důsledky pro vás mohou být nepříjemné. Proto je třeba vědět, o co jde a jak se takovému riziku vyhnout.
Co je spoofing?
Spoofing je způsob kybernetického útoku, který spočívá v zakrytí skutečné identity útočníka důvěryhodnou nebo známou identitou. Cílem je využít důvěru a zmást vybranou oběť útoku. Zjednodušeně řečeno – podvodník chce rozeslat virus nebo odkaz na falešný web a na něm okrádat lidi o peníze nebo údaje. Proto si najde důvěryhodnou doménu, ze které e-maily rozesílá. Takovou doménou může být i ta vaše, pokud má například v úmyslu poškodit reputaci vaší firmy ve prospěch konkurence.
Takto může například účetní dostat do schránky e-mail od šéfa, že je třeba zaplatit fakturu. Pracovní e-mailová adresa šéfa sedí a účetní platbu provede. Jenže šéf o ničem neví. Přesně tak se to stalo před několika lety výrobci panenek Barbie, společnosti Mattel, která „díky“ spoofingu přišla o 3 miliony dolarů, které skončily někde v Číně.
Spoofing se kromě e-mailové adresy může týkat i zneužití telefonního čísla k zasílání podvodných SMS nebo phishingových hovorů ze známých čísel, kdy útočníci změní zobrazené číslo volajícího, aby adresát přijal hovor v domnění, že volajícího zná.
Jak k podvodu dochází? Příčin může být několik.
Jak funguje spoofing?
Nezabezpečené SMTP a SMPT relay servery
Pokud někdo zneužije doménu k rozesílání falešných e-mailů, základním problémem může být nezabezpečený SMTP port. O co jde? Server, který odesílá e-maily z vaší domény, přijímá přes SMTP port požadavky na odesílání e-mailů nejen ze stejné domény, ale i od třetích stran. Například pokud pověříte rozesíláním newsletteru marketingovou agenturu.
Pokud je SMPT port otevřený (tj. nezabezpečený, nechráněný), není vůbec těžké takový port najít. Existují služby, které prohledávají celý internet a poskytují tuto informaci komukoli. Často zcela zdarma.
Poté stačí útočníkovi zadat příslušné souřadnice na nechráněný SMTP port a může z dané adresy vesele rozesílat e-maily. Majitel e-mailové adresy o tom často ani nebude vědět. Odeslané e-maily se totiž neukládají v jeho e-mailové schránce.
Chybějící nebo nesprávný záznam SPF
SPF záznam je textový seznam (whitelist) předem určených IP adres (SMTP serverů), které jako jediné jsou oprávněny odesílat e-maily z vaší domény. Útočník, který zadá požadavek na váš server k odeslání podvodného e-mailu, bude tedy jednoduše zablokován, protože jeho IP adresa se v daném seznamu nenachází.
Cílem správného nastavení záznamu SPF je omezit možnost zfalšování odesílatele (spoofing) a zabránit tak spamu i phishingu.
Hacknuté e-mailové schránky
Pokud nezabezpečíte svou e-mailovou schránku dostatečně silným heslem nebo tímto heslem nechráníte zařízení (nejčastěji mobilní telefon), na kterém máte otevřený svůj e-mail, může dojít k získání přístupu k celému obsahu vašeho zařízení, včetně e-mailové schránky.
Podvodník může v takovém případě tento přístup zneužít k rozesílání obsahu podle libosti.
Nezabezpečené kontaktní formuláře
Kontaktní formulář je oblíbený a častý způsob, jak návštěvníkům webu umožnit kontaktovat majitele webu. Návštěvník napíše zprávu, zanechá na sobě e-mail a zprávu odešle okamžitě. Majiteli webu tato zpráva přijde do jeho e-mailu a jako odesílatel je uveden jeho vlastní web.
Pokud kontaktní formulář není řádně zabezpečen, útočník může změnit adresáta z majitele webu na kohokoli jiného. Tak může zprávu z důvěryhodného webu rozeslat i tisícům adresátů. E-mail může vypadat jako zpráva z vašeho oblíbeného e-shopu nebo banky, odesílatel bude stejný jako vždy, ale obsah může být falešný.
Můžete tak kliknout na virus nebo zadat platební údaje v domnění, že je váš e-shop potřebuje například k vrácení peněz. Ve skutečnosti o ně můžete v dobré víře přijít.
Někdy k takovému útoku stačí jen mírně pokročilá znalost jazyka HTML. Útočník může například do textového pole kontaktního formuláře (tj. části formuláře, kde píšete svou zprávu nebo vyplňujete své údaje) napsat kód, který se nazývá „injekce“ (injection). Takto vložený kód v podstatě přepíše původní kód (předkódované údaje) kontaktního formuláře. A e-maily se mohou bez problémů rozesílat. A to bez vědomí majitele webu.
Zavirovaný mobilní telefon nebo počítač
Pokud není antivirový program pravidelně aktualizován nebo spuštěn, můžete si zavirovat vlastní zařízení. Nejčastěji se virus může dostat do vašeho mobilního telefonu nebo počítače při návštěvě různých pochybných stránek, kliknutím na neznámé odkazy nebo otevřením příloh v e-mailech.
V takovém případě může útočník sledovat veškerou vaši komunikaci, ovládnout celé vaše zařízení a také z něj rozesílat pod vaším jménem podvodné e-maily.
Jak se vyhnout spoofingu?
Silné heslo a opatrný přístup
Silné heslo je základním opatřením v digitálním světě, ideálně pro všechny služby. A dvoufaktorová autentizace všude, kde je to možné. Pouhým dodržováním tohoto zlatého pravidla bezpečnosti na internetu můžete výrazně snížit riziko. A nic to nestojí.
Také se snažte vždy používat zabezpečené protokoly (HTTPS) pro webové stránky a vyhýbejte se přístupu na internet přes nezabezpečené veřejné wifi. Pokud musíte, připojujte se raději přes VPN službu.
Správné nastavení SPF, DKIM a DMARC záznamu
Pokud odesíláte e-maily od nás z Websupportu, můžete si SPF záznam nastavit rychle a snadno. Nejenže zabráníte zneužití, ale také zlepšíte doručitelnost svých e-mailů.
Stejně tak je užitečné mít zapnutou technologii DKIM. To znamená, že každý e-mail odeslaný z vašeho serveru bude předem ověřen a autorizován předem nastaveným způsobem. Žádný útočník zvenčí pak nebude schopen (nebo jen velmi obtížně) odesílat podvodné e-maily z vašeho účtu. U nás je v rámci hostingu automaticky zapnutá. Můžete si to snadno zkontrolovat.
Vypnutá technologie DMARC zase znamená, že SPF a DKIM nejsou plně využity.
DMARC je určitou nadstavbou pro SPF a DKIM, která tyto dvě opatření kombinuje. Specifikace DMARC se používá k informování serveru přijímajícího e-maily o tom, jak se má chovat při doručování zpráv z určité domény. Zjednodušeně řečeno, technologie DMARC má za úkol pomocí SPF a DKIM ověřit, zda příchozí e-mail byl skutečně odeslán z domény uvedené v hlavičce odesílatele.
DMARC také umí nastavit pravidla, jak zacházet s neověřenými e-maily, a průběžně informovat vás jako správce domény odesílatele o výsledcích.
Zajímavostí je, že od února 2024 se od poskytovatelů e-mailových služeb, jako jsou Gmail a Yahoo, vyžaduje, aby odesílatelé, kteří odesílají hromadné e-maily (více než 5000 denně), měli povinně nastavený záznam DMARC.
Aktualizace a antivirové skenování
Někdy jsme tak zaneprázdněni, že ignorujeme hlášky o nutnosti aktualizace (update) antivirových klientů, prohlížečů, operačních systémů, aplikací a kdo ví čeho ještě. Klikneme na Později a pokračujeme v práci. To je přesně ten moment, kdy může být náš systém zranitelný.
Pokud se pravidelně staráme o čistotu našeho auta nebo domu, nezapomínejme ani na „čistotu“ našich zařízení a systémů. Právě pravidelnými aktualizacemi zajišťujeme jejich ochranu před nejnovějšími hrozbami.
Toto základní pravidlo platí o to více pro antivirový program. Konkrétně pro jeho aktualizaci a pravidelné spouštění skenování vašeho zařízení. Pokud to váš antivirový program nedělá automaticky, zapněte tuto funkci ručně. Nebo ho vyměňte za lepší.
Většina antivirových programů obsahuje také bránu firewall, která (pokud je správně nakonfigurována) chrání vaše zařízení před útoky zvenčí tím, že filtruje přístupy k jednotlivým portům nebo používaným programům, stejně jako před únikem dat z vašeho zařízení směrem ven.
Jak postupovat, když dojde ke spoofingu?
Pokud si zákazník vašeho webu nebo e-shopu stěžuje, že mu z vašeho e-mailu přišly nějaké podezřelé zprávy (gratulujeme vám k uvědomělým zákazníkům), doporučujeme vám nejprve zjistit, co se stalo. Konkrétně, zda ke zneužití domény došlo v důsledku úniku přihlašovacích údajů jednoho nebo více zaměstnanců nebo neoprávněného přístupu k IT systémům z jiného důvodu.
Pokud se jedná o zneužití zaměstnaneckého účtu, můžete přejít ke kroku 2.
1) Kontrola a vyčištění zařízení
Kontrola potenciálně dotčených zařízení je prvním klíčovým krokem. Nejprve je nutné dotčená zařízení převést do offline režimu a zkontrolovat, zda došlo k neoprávněnému přístupu do systémů nebo k infikování virem (malwarem). K tomu vám pomohou různá bezpečnostní řešení (antivirové systémy) a vaše přístupové záznamy (logs). Pokud si s tím nevíte rady, obraťte se na IT odborníka.
Okamžitá změna hesel
Před opětovným uvedením zařízení do provozu je nutné změnit hesla k vaší e-mailové schránce, administračnímu rozhraní vašeho webu a zejména k samotným zařízením. Pokud máte zřízené také přístupové účty vašich zaměstnanců nebo jakékoli servisní účty k serverům, nechte resetovat všechny přístupy a hesla. A poučte zaměstnance, aby si nastavili nové (nové!) a silné heslo.
Oprava záznamů SPF/DKIM/DMARC
Dalším krokem, který můžete poměrně rychle provést, je zkontrolovat správnost nastavení a zapnutí záznamů SPF, DKIM, DMARC. Můžete to udělat sami nebo nás kontaktovat na naší zákaznické podpoře, rádi vám pomůžeme.
Které e-maily mohou být podvodné?
Falešné e-maily jsou díky technologiím s umělou inteligencí stále těžší rozpoznat na první pohled. Všímejte si zejména, zda:
- text působí jako strojový překlad z jiného jazyka, často má naléhavý tón,
- e-mail obsahuje četné gramatické nebo pravopisné chyby,
- má banka/škola/e-shop vůbec důvod posílat e-mail s daným obsahem a případně si to přímo u nich ověřte.
Vždy buďte opatrní, důvěřujte svým instinktům a neklikejte na nic bez rozmyslu.