Firmy ohrožují nebezpečné SPAMy. Obraťte se na policii, radí experti

Do e-mailových schránek podnikatelů začaly chodit desítky podezřelých nabídek. Podle expertů je cílem podvodných mailů přimět adresáty, aby se odhlásili ze zasílání dalších obtěžujících nabídek a dostali se tak na podvodnou stránku.



Léky na chrápání, hadice na zalévání v letních vedrech, zařízení na sledování kanceláře v době nepřítomnosti nebo zázračný přípravek na potenci. Desítky nabídek tohoto charakteru začaly v posledních měsících chodit do e-mailů malých firem a živnostníků.

Mají jedno společné. Na první pohled jsou podezřelé nesmyslností nabízeného zboží a služeb a také množstvím mailů, které podnikatele bombardují. Podle odborníků přitom může jít o velmi nebezpečné zprávy.

„Pokud se daný uživatel na podobné stránce dříve neregistroval, velmi pravděpodobně se jedná o takzvaný phishing. Phishing se v současnosti vyskytuje v různých formách a bývá stále propracovanější, se zaměřením na různé skupiny lidí nebo jednotlivce. V drtivé většině případů lze phishing rozpoznat podle domény, na kterou odkaz v emailu směřuje. Typicky se jedná o doménu neznámou, která nemá nic společného s nabízeným produktem nebo službou,” upozorňuje Michal Merta, odborník na IT bezpečnost společnosti Accenture.

Běžný postup přitom v obraně s těmito SPAMy nepomáhá. Antivirové programy je nezachycují, blokovat odesilatele je neúčinné, protože se falešné adresy odesílatelů střídají velmi rychle.

Blokování odesilatele nestačí 

„Existuje velké množství nástrojů, které výrazně pomohou zefektivnit boj proti phishingu. Ať už na úrovni síťové či přímo na koncovém zařízení. Blokování  domén odesílatelů je samo o sobě nedostatečné, i když se tato technika stále úspěšně používá v kombinaci s jinými opatřeními. Stejně tak je možno nastavit ochranu proti phishingu ve vašem prohlížeči,“ pokračuje Michal Merta.

Nicméně útočníci jsou podle něj velmi vynalézaví a hledají možnosti jak tyto ochrany obejít. „Nejlepší řešení tudíž je naučit uživatele, jak phishing rozeznat a co dělat v případě kliknutí na podvodný email,“ dodává Michal Merta.

Podezřelé na těchto e-mailech je také to, jak výrazně a okatě nabízejí možnost odhlásit se z příjmání těchto obtěžujících mailů. „E-maily obsahující reklamní sdělení obvykle obsahují možnost odhlášení. Protože ale firmy příliš nestojí o to, aby se lidé odhlašovali z odběru reklamních sdělení, je často možnost ‚odhlásit se‘ až na konci a malým písmem,“ upozorňuje bezpečnostní expert Avastu Ladislav Zezula.

GDPR je na podvodníky krátké

Navíc klasické newslettery mají často i určitou výpovědní lhůtu typu „Změny se projeví do několika dnů”. Příliš snadná možnost odhlášení od obtěžujících mailů proto vypadá podezřele. „Pokud uvedené e-maily obsahují nápadnou možnost se odhlásit, jde pravděpodobně o trik, který má donutit uživatele kliknout na odkaz na podvodnou stránku,“ dodává Ladislav Zezula.

Také podle něj je obrana složitá a zablokovat odesilatele nestačí. „Princip protokolu pro odesílání e-mailů sahá zpět do roku 1981, kdy byla vydána norma RFC 821. Jednou z vlastností normy SMTP pro odesílání e-mailů je fakt, že se nijak nekontroluje adresa odesílatele. Je ji tedy možné snadno zfalšovat, či dokonce generovat automaticky. Proto je blokování spamových e-mailů složité. Jedinou formou je dobrý spam filtr nebo antivirus,“ podotýká Ladislav Zezula.

Firmy a živnostníci si slibovali, že zlepšení v této oblasti přinese nové nařízení o ochraně osobních údajů, které pod zkratkou GDPR platí od letošního května. To mělo omezit zasílání nevyžádané pošty. Na SPAM je však krátké.

Experti: nepodceňujte rizika

„GDPR, stejně jako jakýkoliv jiný předpis nebo zákon, reguluje pouze instituce, které jsou dohledatelné. Jestliže jsou odesílatelé spamu nedohledatelní, tak je obtížné je právně nutit k vymazání e-mailu z databáze. Útočníci navíc cílové adresy vyhledávají na internetu a stahují je z různých volně dostupných datasetů z úniku dat a podobných zdrojů,“ zdůrazňuje Ladislav Zezula.

Podnikatelé by přitom podle expertů v žádném případě neměli riziko podcenit. „GDPR se primárně zabývá zpracováním a ochranou osobních údajů. Odesílatel vždy musí mít explicitní souhlas vlastníka emailu k tomu, aby mohl posílat marketingové materiály. Útočník v drtivé většině takovým souhlasem nedisponuje, a tímto GDPR porušuje. Z technického hlediska je bohužel útočníka těžké vypátrat, někdy i téměř nemožné. Nicméně vždy doporučujeme obrátit se na Policii ČR,“ uzavírá Michal Merta.

Dalibor Dostál

Co je to phishing

Phishing (někdy převáděno do češtiny jako rhybaření) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů, úřadů státní správy nebo od IT administrátorů. Principem phishingu je rozesílání e-mailových zpráv, které často vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je takřka identická s tou oficiální. Stránka může například napodobovat přihlašovací okno internetového bankovnictví. Uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze. Zdroj: Wikipedie

Doporučujeme