Středa 27. května 2020, svátek má Valdemar
  • schránka
  • Přihlásit Můj účet
  • Středa 27. května 2020 Valdemar

Nevěřte e-mailům ani z parlamentu: jak snadné je podvrhnout adresu?

  15:50aktualizováno  21:29
Okamurův e-mail byl podvržený, potvrdil mluvčí parlamentu. Vytvořen byl nástrojem na rozesílání falešných mailů. Málokdo si uvědomuje, že samotný e-mailový protokol neobsahuje mechanismy pro ověření a podvrhnout odesílatele je tak velmi jednoduché. Podívejte se, jak to funguje.

Zfalšovat e-mail je překvapivě snadné | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Když čeští poslanci otevřeli tento týden elektronickou poštu, našli v ní nečekaný e-mail s předmětem „Nenechte dárky na poslední chvíli“. Podle adresy se zdálo, že je původcem poslanec za SPD Tomio Okamura (okamurat@psp.cz).

Místopředseda Sněmovny a šéf hnutí SPD Tomio Okamura je podepsaný pod e-mailem,...

Místopředseda Sněmovny a šéf hnutí SPD Tomio Okamura je podepsaný pod e-mailem, který přišel poslancům. Okamura odmítá, že by e-mail posílal.

„Takový e-mail z mého poslaneckého mailu neodešel. (...) Já nejsem ajťák, z mého pohledu je to práce politické konkurence,“ řekl pro iDNES.cz Tomio Okamura. Dále uvedl, že se obrátí na Sněmovnu, aby případ vyšetřila.

E-mail nepocházel z účtu poslance Okamury, ale z nástroje pro odesílání falešných e-mailů

Po ověření hlavičky e-mailu se skutečně ukázalo, že jde o podvržený e-mail: „Ano, toto lze ověřit v hlavičce poštovní zprávy a jednoznačně došlo k podvržení odesílatele, pro odeslání zprávy bylo využito služby na internetu přímo určené k odesílání tzv. fake mailů,“ uvedl pro Technet.cz ředitel tiskového odboru Poslanecké sněmovny Parlamentu ČR Roman Žamboch.

Každopádně z pohledu „ne-ajťáka“ může podvržení adresy e-mailu vypadat jako pokročilá „hackeřina“. Ve skutečnosti se dá e-mailová adresa zfalšovat až neuvěřitelně snadno. A protože toto není poprvé, kdy česká média řeší případ falešných nebo podvržených e-mailů, hodí se to zopakovat: e-mail může podvrhnout prakticky kdokoli.

Proč vlastně věříme e-mailu? Je to korespondenční lístek!

Napíšete e-mail. Někdo vám na e-mail odpoví. Vy odpovíte jemu. Během pracovní doby i volného času pracuje s e-mailem naprostá většina lidí, e-mail alespoň občas používá 93 % české internetové populace starší 16 let (zdroj).

Možná proto je tak nepříjemné si připustit, že když od někoho dostanete e-mail, může daná zpráva pocházet od někoho jiného. Prakticky od kohokoli. Na podvržení adresy odesílatele totiž nejsou potřeba žádné zvláštní schopnosti. Stačí vyplnit anonymní formulář a můžete komukoli poslat adresu z kterékoli jiné adresy. Odkaz na námi použitý formulář záměrně neuvádíme, je nicméně dostupný komukoli, anonymně a k jeho používání není potřeba žádná zvláštní znalost. Prostě postupujete, jako když odesíláte e-mail, jen můžete navíc vyplnit pole „adresa odesílatele“.

Zfalšovat e-mail je překvapivě snadné. Zde nejmenovaný český nástroj pro...

Zfalšovat e-mail je překvapivě snadné. Zde nejmenovaný český nástroj pro posílání libovolných e-mailů

Jak je možné, že můžete jen vyplnit cizí adresu jako adresu vlastní? Protokol SMTP, přes který e-maily chodí, totiž původně s žádnou verifikací nepočítal. Adresa odesílatele je tak jen další textový údaj, stejně jako předmět. Proto může kdokoli vyplnit jakoukoli adresu odesílatele a ta se pak příjemci zobrazí. Je to podobné, jako třeba u korespondenčního lístku. Tam také můžete jako zpáteční adresu napsat adresu, která vás napadne, korespondenční lístek hodit do schránky a pošta pochopitelně nebude ověřovat – nemá jak – zda jste uvedli správnou zpáteční adresu. Podrobnější popis problému najdete v našem předchozím článku na téma podvržení a zabezpečení e-mailu.

Někdy lze podvržený e-mail odhalit

Protokol SMTP je starý téměř 50 let. Zatímco původní specifikace nepočítala s žádnou verifikací, od roku 2000 se situace pomalu lepší. Proto je dnes někdy možné podvrženého odesílatele odhalit.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) věnuje podvrženým e-mailům sérii doporučení (odkaz dočasně nedostupný): „Tato technika je velice jednoduchá a podvržené e-maily tak zvládne odesílat v podstatě kdokoliv. Odhalení podvrženého e-mailu vyžaduje od příjemce takové zprávy dávku obezřetnosti a kontrolu hlaviček e-mailu.“

To, zda je vaši adresu možné podvrhnout, záleží na tom, jak je nastavená vaše doména i jakého poštovního klienta používá příjemce.

Takto si třeba s naší podvrženou zprávou z adresy psp.cz poradil Outlook a Gmail:

Takto vypadá náš podvržený e-mail v klientovi Outlook. Všimněte si nápisu...
Takto vypadá náš podvržený e-mail v Gmailu. 1) ID zprávy umožňuje její...

Takto vypadá náš podvržený e-mail v klientovi Outlook (vlevo) a v Gmailu (vpravo)

Všimněte si nápisu SPFSOFTFAIL, který varuje před tím, že jde o podezřelý e-mail (nesedí validace Sender Policy Famework). To proto, že doména PSP.cz má SPF záznam v databázi domén.

Poslanci mohli na podvrženou zprávu snáze naletět, protože byl špatně nastavený antispamový filtr

Mimochodem, poslanci toto upozornění takto názorně nedostali: „Došlo k chybě nastavení antispamového filtru, který skutečnost, že se jedná o zprávu s nízkou reputací, vyhodnotil, ale nedopsal tuto informaci do subjektu, pouze do její hlavičky,“ uvedl Roman Žamboch, mluvčí PSP.

Přijímací (nebo tranzitní) domény mohou pomocí SPF zjistit, zda odesílaná zpráva pochází z adresy, která je spojena s doménou e-mailu, který je uveden jako adresa odesílatele. Pokud ne, může e-mail odmítnout, nebo – jako v našem případě – označit varováním. To znamená, že podvržení e-mailů poslanců je díky tomuto záznamu těžší. Přesto by šla bezpečnost e-mailů zajistit ještě lépe, a to implementací systému DMARC (Domain-based Message Authentication, Reporting and Conformance), který umožňuje lepší ochranu před falšováním adresy odesílatele a také před šířením spamu. DMARC umožňuje majiteli domény rozhodnout o tom, jak se ostatní e-mailové schránky mají vypořádat s podvrženým e-mailem.

Doména PSP.cz má zapnutou ochranu SPF, ale chybí jí DMARC (Domain-based Message...

Doména PSP.cz má zapnutou ochranu SPF, ale chybí jí DMARC (Domain-based Message Authentication, Reporting and Conformance) záznam i DKIM (DomainKeys Identified Mail) záznam.

Patří vaše doména mezi ty, které lze snadno podvrhnout? Můžete si to ověřit pomocí nástroje DMARCian.com. Řada populárních freemailů (Gmail.com, Seznam.cz, Volny.cz, Hotmail.com) nabízí podle tohoto nástroje pouze částečnou ochranu před podvržením adresy odesílatele.

Šifrovaná komunikace

Pro šifrování e-mailů můžete použít OpenPGP. Pro šifrovanou textovou komunikaci třeba WhatsApp nebo Signal. A pokud vám jde o dokonalé šifrování, tak máte prakticky jedinou možnost: jednorázovou šifru, kterou si s příjemcem předem sdělíte.

Pokud chcete mít jistotu ohledně identity odesílatele a příjemce, není e-mail ten nejlepší kanál. Pro bezpečnější komunikaci je vhodnější šifrovaná komunikace, která vyžaduje autentizaci a kterou není možné po cestě odposlouchávat (end-to-end encryption). Dobrým řešením je také elektronický podpis, který představuje další vrstvu autorizace.

Elektronický podpis také zajistí, že obsah e-mailu nebyl po odeslání změněn.

„Autenticita odesílatele může být v případě pochybností ověřena jiným kanálem, například telefonicky,“ připomínají stránky NÚKIB. „Samozřejmě ne na číslo uvedené v e-mailu, ale na správné číslo získané důvěryhodným způsobem.“ Důležité je vědět, že na obyčejné e-maily není radno příliš spoléhat.

Jestliže klasický e-mail se podobá korespondenčnímu lístku, který může kdokoli podepsat a kdokoli po cestě přečíst, tak šifrovaný e-mail nebo bezpečná komunikace skrze šifrované platformy (WhatsApp, Signal apod.) se podobají přímé lince mezi dvěma účastníky.

Aktualizace: Článek jsme rozšířili o vysvětlení některých pojmů a doplnili informaci o elektronických podpisech.

Autor:

Přechod na DVB-T2

Od 27. 11. probíhá postupný přechod na vysílací standard DVB-T2. Proces by měl být dokončen do poloviny roku 2020. Diváci si tak musí pořídit televizi s podporou kódování H.265 (HEVC) nebo starší televizi doplnit vhodným set-top boxem.

  • Nejčtenější

Statistik: V Česku epidemie nebyla a není. Proto nevíme, kdy „skončí“

Jak probíhalo šíření nákazy virem SARS-CoV-2, zatím zcela přesně zmapováno není. V každém případě však slovo epidemie...

Jihočeské testy mohou být plné falešných poplachů. Procenta nic neříkají

Čísla jsou jiná, ale výsledek může být stejný. Údajně pětiprocentní promoření obyvatelstva jižních Čech se neliší od...

Renovovaná Slovenská strela se po šedesáti letech vrátila na koleje

Šedesát let nejel unikátní železniční motorový vůz Slovenská strela po kolejích. Stalo se tak až v pondělí 25. května....

Až ráno si všimli, že ve vlaku chybí prezident. Přes noc vypadl z okna

Před 100 lety, 23. května 1920, vypadl francouzský prezident Paul Deschanel za jízdy z okna svého vlaku. Bizarní nehodu...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Microsoft rozsekal Office na kousky a dal je na web jako „tekuté komponenty“

Microsoft ukázal nový koncept, jak budou fungovat jednotlivé části Office na webu s novou filozofií. Využívá k tomu...

Virus se mění pod rukama. Přírodní izoláty se tak nechovají, vysvětluje Peková

Premium Do povědomí širší veřejnosti se molekulární bioložka a viroložka Soňa Peková z laboratoře Tilia dostala pro své neshody...

Svoboda na dvou kolech Čechy láká. Porovnali jsme nejpopulárnější skútry

Premium Skútr, to znamená hlavně svobodu pohybu namísto stání v kolonách. V porovnání s automobilem nabízí levnější a...

Mám už celé krize dost, hyperbola strachu je šílená, říká šéfkuchař Pohlreich

Premium Když vidíte sedět Zdeňka Pohlreicha v úplně prázdné restauraci Next Door v centru Prahy, kde jste si dřív bez rezervace...

  • Další z rubriky

Facebook ukázal svůj „nejvyšší soud“, bude mít poslední a konečné slovo

Exkluzivně Sociální síť Facebook dnes představila Dozorčí komisi, nezávislý orgán, který bude řešit stížnosti uživatelů a...

Tento poplatek neplaťte. Úřad za výzvou k platbě za registr nestojí

Do e-mailových, ale i datových schránek se v těchto dnech dostávají výzvy k zaplacení registrace firmy do rejstříku. Na...

Google chystá vlastní platební kartu. Dostane se k dalším datům i poplatkům

Apple se svou platební kartou, kterou představil před rokem, slaví poměrně úspěch. I to zřejmě přesvědčilo společnost...

Twitter v mnoha zemích končí se zasíláním příspěvků přes SMS

Na začátku fungování sociální sítě Twitter byl jeden z jejích pilířů zasílání příspěvků přes SMS. I proto zde byl limit...

Najdete na iDNES.cz