Nevěřte e-mailům ani z parlamentu: jak snadné je podvrhnout adresu?

  15:50aktualizováno  21:29
Okamurův e-mail byl podvržený, potvrdil mluvčí parlamentu. Vytvořen byl nástrojem na rozesílání falešných mailů. Málokdo si uvědomuje, že samotný e-mailový protokol neobsahuje mechanismy pro ověření a podvrhnout odesílatele je tak velmi jednoduché. Podívejte se, jak to funguje.

Zfalšovat e-mail je překvapivě snadné | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Když čeští poslanci otevřeli tento týden elektronickou poštu, našli v ní nečekaný e-mail s předmětem „Nenechte dárky na poslední chvíli“. Podle adresy se zdálo, že je původcem poslanec za SPD Tomio Okamura (okamurat@psp.cz).

Místopředseda Sněmovny a šéf hnutí SPD Tomio Okamura je podepsaný pod e-mailem,...

Místopředseda Sněmovny a šéf hnutí SPD Tomio Okamura je podepsaný pod e-mailem, který přišel poslancům. Okamura odmítá, že by e-mail posílal.

„Takový e-mail z mého poslaneckého mailu neodešel. (...) Já nejsem ajťák, z mého pohledu je to práce politické konkurence,“ řekl pro iDNES.cz Tomio Okamura. Dále uvedl, že se obrátí na Sněmovnu, aby případ vyšetřila.

E-mail nepocházel z účtu poslance Okamury, ale z nástroje pro odesílání falešných e-mailů

Po ověření hlavičky e-mailu se skutečně ukázalo, že jde o podvržený e-mail: „Ano, toto lze ověřit v hlavičce poštovní zprávy a jednoznačně došlo k podvržení odesílatele, pro odeslání zprávy bylo využito služby na internetu přímo určené k odesílání tzv. fake mailů,“ uvedl pro Technet.cz ředitel tiskového odboru Poslanecké sněmovny Parlamentu ČR Roman Žamboch.

Každopádně z pohledu „ne-ajťáka“ může podvržení adresy e-mailu vypadat jako pokročilá „hackeřina“. Ve skutečnosti se dá e-mailová adresa zfalšovat až neuvěřitelně snadno. A protože toto není poprvé, kdy česká média řeší případ falešných nebo podvržených e-mailů, hodí se to zopakovat: e-mail může podvrhnout prakticky kdokoli.

Proč vlastně věříme e-mailu? Je to korespondenční lístek!

Napíšete e-mail. Někdo vám na e-mail odpoví. Vy odpovíte jemu. Během pracovní doby i volného času pracuje s e-mailem naprostá většina lidí, e-mail alespoň občas používá 93 % české internetové populace starší 16 let (zdroj).

Možná proto je tak nepříjemné si připustit, že když od někoho dostanete e-mail, může daná zpráva pocházet od někoho jiného. Prakticky od kohokoli. Na podvržení adresy odesílatele totiž nejsou potřeba žádné zvláštní schopnosti. Stačí vyplnit anonymní formulář a můžete komukoli poslat adresu z kterékoli jiné adresy. Odkaz na námi použitý formulář záměrně neuvádíme, je nicméně dostupný komukoli, anonymně a k jeho používání není potřeba žádná zvláštní znalost. Prostě postupujete, jako když odesíláte e-mail, jen můžete navíc vyplnit pole „adresa odesílatele“.

Zfalšovat e-mail je překvapivě snadné. Zde nejmenovaný český nástroj pro...

Zfalšovat e-mail je překvapivě snadné. Zde nejmenovaný český nástroj pro posílání libovolných e-mailů

Jak je možné, že můžete jen vyplnit cizí adresu jako adresu vlastní? Protokol SMTP, přes který e-maily chodí, totiž původně s žádnou verifikací nepočítal. Adresa odesílatele je tak jen další textový údaj, stejně jako předmět. Proto může kdokoli vyplnit jakoukoli adresu odesílatele a ta se pak příjemci zobrazí. Je to podobné, jako třeba u korespondenčního lístku. Tam také můžete jako zpáteční adresu napsat adresu, která vás napadne, korespondenční lístek hodit do schránky a pošta pochopitelně nebude ověřovat – nemá jak – zda jste uvedli správnou zpáteční adresu. Podrobnější popis problému najdete v našem předchozím článku na téma podvržení a zabezpečení e-mailu.

Někdy lze podvržený e-mail odhalit

Protokol SMTP je starý téměř 50 let. Zatímco původní specifikace nepočítala s žádnou verifikací, od roku 2000 se situace pomalu lepší. Proto je dnes někdy možné podvrženého odesílatele odhalit.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) věnuje podvrženým e-mailům sérii doporučení (odkaz dočasně nedostupný): „Tato technika je velice jednoduchá a podvržené e-maily tak zvládne odesílat v podstatě kdokoliv. Odhalení podvrženého e-mailu vyžaduje od příjemce takové zprávy dávku obezřetnosti a kontrolu hlaviček e-mailu.“

To, zda je vaši adresu možné podvrhnout, záleží na tom, jak je nastavená vaše doména i jakého poštovního klienta používá příjemce.

Takto si třeba s naší podvrženou zprávou z adresy psp.cz poradil Outlook a Gmail:

Takto vypadá náš podvržený e-mail v klientovi Outlook. Všimněte si nápisu...
Takto vypadá náš podvržený e-mail v Gmailu. 1) ID zprávy umožňuje její...

Takto vypadá náš podvržený e-mail v klientovi Outlook (vlevo) a v Gmailu (vpravo)

Všimněte si nápisu SPFSOFTFAIL, který varuje před tím, že jde o podezřelý e-mail (nesedí validace Sender Policy Famework). To proto, že doména PSP.cz má SPF záznam v databázi domén.

Poslanci mohli na podvrženou zprávu snáze naletět, protože byl špatně nastavený antispamový filtr

Mimochodem, poslanci toto upozornění takto názorně nedostali: „Došlo k chybě nastavení antispamového filtru, který skutečnost, že se jedná o zprávu s nízkou reputací, vyhodnotil, ale nedopsal tuto informaci do subjektu, pouze do její hlavičky,“ uvedl Roman Žamboch, mluvčí PSP.

Přijímací (nebo tranzitní) domény mohou pomocí SPF zjistit, zda odesílaná zpráva pochází z adresy, která je spojena s doménou e-mailu, který je uveden jako adresa odesílatele. Pokud ne, může e-mail odmítnout, nebo – jako v našem případě – označit varováním. To znamená, že podvržení e-mailů poslanců je díky tomuto záznamu těžší. Přesto by šla bezpečnost e-mailů zajistit ještě lépe, a to implementací systému DMARC (Domain-based Message Authentication, Reporting and Conformance), který umožňuje lepší ochranu před falšováním adresy odesílatele a také před šířením spamu. DMARC umožňuje majiteli domény rozhodnout o tom, jak se ostatní e-mailové schránky mají vypořádat s podvrženým e-mailem.

Doména PSP.cz má zapnutou ochranu SPF, ale chybí jí DMARC (Domain-based Message...

Doména PSP.cz má zapnutou ochranu SPF, ale chybí jí DMARC (Domain-based Message Authentication, Reporting and Conformance) záznam i DKIM (DomainKeys Identified Mail) záznam.

Patří vaše doména mezi ty, které lze snadno podvrhnout? Můžete si to ověřit pomocí nástroje DMARCian.com. Řada populárních freemailů (Gmail.com, Seznam.cz, Volny.cz, Hotmail.com) nabízí podle tohoto nástroje pouze částečnou ochranu před podvržením adresy odesílatele.

Šifrovaná komunikace

Pro šifrování e-mailů můžete použít OpenPGP. Pro šifrovanou textovou komunikaci třeba WhatsApp nebo Signal. A pokud vám jde o dokonalé šifrování, tak máte prakticky jedinou možnost: jednorázovou šifru, kterou si s příjemcem předem sdělíte.

Pokud chcete mít jistotu ohledně identity odesílatele a příjemce, není e-mail ten nejlepší kanál. Pro bezpečnější komunikaci je vhodnější šifrovaná komunikace, která vyžaduje autentizaci a kterou není možné po cestě odposlouchávat (end-to-end encryption). Dobrým řešením je také elektronický podpis, který představuje další vrstvu autorizace.

Elektronický podpis také zajistí, že obsah e-mailu nebyl po odeslání změněn.

„Autenticita odesílatele může být v případě pochybností ověřena jiným kanálem, například telefonicky,“ připomínají stránky NÚKIB. „Samozřejmě ne na číslo uvedené v e-mailu, ale na správné číslo získané důvěryhodným způsobem.“ Důležité je vědět, že na obyčejné e-maily není radno příliš spoléhat.

Jestliže klasický e-mail se podobá korespondenčnímu lístku, který může kdokoli podepsat a kdokoli po cestě přečíst, tak šifrovaný e-mail nebo bezpečná komunikace skrze šifrované platformy (WhatsApp, Signal apod.) se podobají přímé lince mezi dvěma účastníky.

Aktualizace: Článek jsme rozšířili o vysvětlení některých pojmů a doplnili informaci o elektronických podpisech.

Autor:
 

Nejčtenější

Unikla hesla rekordních 773 milionů uživatelů. Najdete tam to svoje?

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Více než miliarda unikátních kombinací e-mailu a hesla unikla na web v zatím rekordní databázi přístupových údajů....

Nájemný vrah doplatil na svůj koníček, udaly jej chytré sportovní hodinky

Mark Fellows na snímku z desetikilometrového závodu v Manchesteru v roce 2015

Britský běžec a cyklista Mark Fellows byl odsouzen k doživotnímu trestu za dvojnásobnou vraždu. K jeho odhalení a...

Čeští vývojáři vylepšili vláček pro koleje z IKEA. Uhání až 90 cm/s

Intelino tým

Vypadá jako obyčejný vláček, ale můžete ho ovládat přes aplikaci v mobilu nebo jen pokládáním barevných terčíků na...

SpaceX začíná zkoušky „superrakety“. Bude se lesknout jako zrcadlo

Stavba pokusné rakety konceptu Starship na raketodromu SpaceX v jižním Texasu.

Fanouškům kosmonautiky přichystal šéf společnosti SpaceX Elon Musk na přelomu roku nečekaný dárek: nové plány na stavbu...

Tito lidé neexistují. Počítač si je vymyslel, napodobí rasu i vlasy

Fotografie neexistujících celebrit generované neuronovou sítí Nvidia na základě...

Podívejte se na fotky lidí, které jste nikdy nepotkali a nepotkáte. Počítač si je totiž vymyslel. Generativní...

Další z rubriky

Unikla hesla rekordních 773 milionů uživatelů. Najdete tam to svoje?

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Více než miliarda unikátních kombinací e-mailu a hesla unikla na web v zatím rekordní databázi přístupových údajů....

Facebook dal velkým firmám přístup i k vašim jménům a soukromým zprávám

Facebook hodlá spustit vlastní kryptoměnu.

Microsoft, Amazon, Spotify a další velké firmy měly přístup k soukromým údajům uživatelů Facebooku. A to i poté, co...

Zemřel jeden z „otců internetu“. V 29 letech nakreslil schéma první sítě

Lawrence Roberts (1937 - 2018) v roce 2001 získal Cenu Charlese Drapera za...

Lawrence Roberts, jeden z vědců, kteří velkou měrou přispěli k rozvoji počítačové sítě internet, zemřel. Bylo mu 81...

Najdete na iDNES.cz