Sobota 15. května 2021, svátek má Žofie
  • schránka
  • Přihlásit Můj účet
  • Sobota 15. května 2021 Žofie

Nevěřte e-mailům ani z parlamentu: jak snadné je podvrhnout adresu?

  15:50aktualizováno  21:29
Okamurův e-mail byl podvržený, potvrdil mluvčí parlamentu. Vytvořen byl nástrojem na rozesílání falešných mailů. Málokdo si uvědomuje, že samotný e-mailový protokol neobsahuje mechanismy pro ověření a podvrhnout odesílatele je tak velmi jednoduché. Podívejte se, jak to funguje.

Zfalšovat e-mail je překvapivě snadné | foto: montáž: Pavel Kasík, Technet.czProfimedia.cz

Když čeští poslanci otevřeli tento týden elektronickou poštu, našli v ní nečekaný e-mail s předmětem „Nenechte dárky na poslední chvíli“. Podle adresy se zdálo, že je původcem poslanec za SPD Tomio Okamura (okamurat@psp.cz).

Místopředseda Sněmovny a šéf hnutí SPD Tomio Okamura je podepsaný pod e-mailem,...

Místopředseda Sněmovny a šéf hnutí SPD Tomio Okamura je podepsaný pod e-mailem, který přišel poslancům. Okamura odmítá, že by e-mail posílal.

„Takový e-mail z mého poslaneckého mailu neodešel. (...) Já nejsem ajťák, z mého pohledu je to práce politické konkurence,“ řekl pro iDNES.cz Tomio Okamura. Dále uvedl, že se obrátí na Sněmovnu, aby případ vyšetřila.

E-mail nepocházel z účtu poslance Okamury, ale z nástroje pro odesílání falešných e-mailů

Po ověření hlavičky e-mailu se skutečně ukázalo, že jde o podvržený e-mail: „Ano, toto lze ověřit v hlavičce poštovní zprávy a jednoznačně došlo k podvržení odesílatele, pro odeslání zprávy bylo využito služby na internetu přímo určené k odesílání tzv. fake mailů,“ uvedl pro Technet.cz ředitel tiskového odboru Poslanecké sněmovny Parlamentu ČR Roman Žamboch.

Každopádně z pohledu „ne-ajťáka“ může podvržení adresy e-mailu vypadat jako pokročilá „hackeřina“. Ve skutečnosti se dá e-mailová adresa zfalšovat až neuvěřitelně snadno. A protože toto není poprvé, kdy česká média řeší případ falešných nebo podvržených e-mailů, hodí se to zopakovat: e-mail může podvrhnout prakticky kdokoli.

Proč vlastně věříme e-mailu? Je to korespondenční lístek!

Napíšete e-mail. Někdo vám na e-mail odpoví. Vy odpovíte jemu. Během pracovní doby i volného času pracuje s e-mailem naprostá většina lidí, e-mail alespoň občas používá 93 % české internetové populace starší 16 let (zdroj).

Možná proto je tak nepříjemné si připustit, že když od někoho dostanete e-mail, může daná zpráva pocházet od někoho jiného. Prakticky od kohokoli. Na podvržení adresy odesílatele totiž nejsou potřeba žádné zvláštní schopnosti. Stačí vyplnit anonymní formulář a můžete komukoli poslat adresu z kterékoli jiné adresy. Odkaz na námi použitý formulář záměrně neuvádíme, je nicméně dostupný komukoli, anonymně a k jeho používání není potřeba žádná zvláštní znalost. Prostě postupujete, jako když odesíláte e-mail, jen můžete navíc vyplnit pole „adresa odesílatele“.

Zfalšovat e-mail je překvapivě snadné. Zde nejmenovaný český nástroj pro...

Zfalšovat e-mail je překvapivě snadné. Zde nejmenovaný český nástroj pro posílání libovolných e-mailů

Jak je možné, že můžete jen vyplnit cizí adresu jako adresu vlastní? Protokol SMTP, přes který e-maily chodí, totiž původně s žádnou verifikací nepočítal. Adresa odesílatele je tak jen další textový údaj, stejně jako předmět. Proto může kdokoli vyplnit jakoukoli adresu odesílatele a ta se pak příjemci zobrazí. Je to podobné, jako třeba u korespondenčního lístku. Tam také můžete jako zpáteční adresu napsat adresu, která vás napadne, korespondenční lístek hodit do schránky a pošta pochopitelně nebude ověřovat – nemá jak – zda jste uvedli správnou zpáteční adresu. Podrobnější popis problému najdete v našem předchozím článku na téma podvržení a zabezpečení e-mailu.

Někdy lze podvržený e-mail odhalit

Protokol SMTP je starý téměř 50 let. Zatímco původní specifikace nepočítala s žádnou verifikací, od roku 2000 se situace pomalu lepší. Proto je dnes někdy možné podvrženého odesílatele odhalit.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) věnuje podvrženým e-mailům sérii doporučení (odkaz dočasně nedostupný): „Tato technika je velice jednoduchá a podvržené e-maily tak zvládne odesílat v podstatě kdokoliv. Odhalení podvrženého e-mailu vyžaduje od příjemce takové zprávy dávku obezřetnosti a kontrolu hlaviček e-mailu.“

To, zda je vaši adresu možné podvrhnout, záleží na tom, jak je nastavená vaše doména i jakého poštovního klienta používá příjemce.

Takto si třeba s naší podvrženou zprávou z adresy psp.cz poradil Outlook a Gmail:

Takto vypadá náš podvržený e-mail v klientovi Outlook. Všimněte si nápisu...
Takto vypadá náš podvržený e-mail v Gmailu. 1) ID zprávy umožňuje její...

Takto vypadá náš podvržený e-mail v klientovi Outlook (vlevo) a v Gmailu (vpravo)

Všimněte si nápisu SPFSOFTFAIL, který varuje před tím, že jde o podezřelý e-mail (nesedí validace Sender Policy Famework). To proto, že doména PSP.cz má SPF záznam v databázi domén.

Poslanci mohli na podvrženou zprávu snáze naletět, protože byl špatně nastavený antispamový filtr

Mimochodem, poslanci toto upozornění takto názorně nedostali: „Došlo k chybě nastavení antispamového filtru, který skutečnost, že se jedná o zprávu s nízkou reputací, vyhodnotil, ale nedopsal tuto informaci do subjektu, pouze do její hlavičky,“ uvedl Roman Žamboch, mluvčí PSP.

Přijímací (nebo tranzitní) domény mohou pomocí SPF zjistit, zda odesílaná zpráva pochází z adresy, která je spojena s doménou e-mailu, který je uveden jako adresa odesílatele. Pokud ne, může e-mail odmítnout, nebo – jako v našem případě – označit varováním. To znamená, že podvržení e-mailů poslanců je díky tomuto záznamu těžší. Přesto by šla bezpečnost e-mailů zajistit ještě lépe, a to implementací systému DMARC (Domain-based Message Authentication, Reporting and Conformance), který umožňuje lepší ochranu před falšováním adresy odesílatele a také před šířením spamu. DMARC umožňuje majiteli domény rozhodnout o tom, jak se ostatní e-mailové schránky mají vypořádat s podvrženým e-mailem.

Doména PSP.cz má zapnutou ochranu SPF, ale chybí jí DMARC (Domain-based Message...

Doména PSP.cz má zapnutou ochranu SPF, ale chybí jí DMARC (Domain-based Message Authentication, Reporting and Conformance) záznam i DKIM (DomainKeys Identified Mail) záznam.

Patří vaše doména mezi ty, které lze snadno podvrhnout? Můžete si to ověřit pomocí nástroje DMARCian.com. Řada populárních freemailů (Gmail.com, Seznam.cz, Volny.cz, Hotmail.com) nabízí podle tohoto nástroje pouze částečnou ochranu před podvržením adresy odesílatele.

Šifrovaná komunikace

Pro šifrování e-mailů můžete použít OpenPGP. Pro šifrovanou textovou komunikaci třeba WhatsApp nebo Signal. A pokud vám jde o dokonalé šifrování, tak máte prakticky jedinou možnost: jednorázovou šifru, kterou si s příjemcem předem sdělíte.

Pokud chcete mít jistotu ohledně identity odesílatele a příjemce, není e-mail ten nejlepší kanál. Pro bezpečnější komunikaci je vhodnější šifrovaná komunikace, která vyžaduje autentizaci a kterou není možné po cestě odposlouchávat (end-to-end encryption). Dobrým řešením je také elektronický podpis, který představuje další vrstvu autorizace.

Elektronický podpis také zajistí, že obsah e-mailu nebyl po odeslání změněn.

„Autenticita odesílatele může být v případě pochybností ověřena jiným kanálem, například telefonicky,“ připomínají stránky NÚKIB. „Samozřejmě ne na číslo uvedené v e-mailu, ale na správné číslo získané důvěryhodným způsobem.“ Důležité je vědět, že na obyčejné e-maily není radno příliš spoléhat.

Jestliže klasický e-mail se podobá korespondenčnímu lístku, který může kdokoli podepsat a kdokoli po cestě přečíst, tak šifrovaný e-mail nebo bezpečná komunikace skrze šifrované platformy (WhatsApp, Signal apod.) se podobají přímé lince mezi dvěma účastníky.

Aktualizace: Článek jsme rozšířili o vysvětlení některých pojmů a doplnili informaci o elektronických podpisech.

Autor:

Fagradalsfjall online

Sledujte živě aktivní sopku na Islandu. Erupce začala po týdnech otřesů 19. března a zláště pak v noci nabízí fascinující podívanou.

  • Nejčtenější

Jak dopadne pandemie covidu? Zřejmě nejhůře jak mohla, přitom ne špatně

Virus SARS-CoV-2 napříč světem zřejmě zdomácní. Pravděpodobnost, že by se ho podařilo vytlačit a získat proti němu...

Mohutný protiletadlový systém Jenisej zastavila hmotnost, ale i Chruščov

Vývoj samohybných protiletadlových systémů vybavených radiolokátorem byl pro konstruktéry velkou výzvou. Některé...

Co může Rusko nabídnout Česku jako nástupce gripenů a proč se tak nestane

Česko připravuje výběrové řízení na nové nadzvukové letouny, protože za šest let vyprší smlouva na pronájem JAS 39...

Bez panzerfaustů by to měli pražští povstalci mnohem těžší

Nenahraditelnou zbraní Pražského povstání se stala pancéřová pěst. Bez této účinné pěchotní protitankové zbraně by byl...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Fanoušci retra pláčou. Z Windows zmizí ikonka CRT monitoru, změní se i koš

Na podzim plánuje Microsoft vydat novou podzimní edici Windows 10, která přinese další pokračování přechodu na nový...

Lékařské špičky v kauze obřích pojistných podvodů. Hrozí jim až 10 let

Premium Uznávaní doktoři „léčili“ neexistující zranění. V kauze tří stovek pojistných podvodů za 50 milionů korun je obžalováno...

Revmatoidní artritida může zkrátit život až o 15 let, varuje imunoložka

Premium Morové rány, pandemie tuberkulózy či cholery jako příčiny smrti medicína už takřka pohřbila. Nebezpečí ale číhá i u...

Tisknu se k zemi. A rakety se blíží! Reportérka pod sprchou raket Hamasu

Premium Ležím na trávníku, příjemně teplý večer. Byla by to pohoda, ale je to peklo, místo hvězd totiž počítám na nebi zásahy...

  • Další z rubriky

Facebooková „rada moudrých“ může nově rozhodovat i o mazání příspěvků

Před necelým rokem zřídil Facebook speciální nezávislý poradní orgán, který se doposud zabýval obsahem, který smazali...

Google slibuje, že uživatele už nebude sledovat jednotlivě

Google příští rok v prohlížeči Chrome zakáže sledovací cookies, tedy soubory třetích stran, které umožňují mapovat...

K přihlášení ke službám Googlu budete brzy potřebovat mobil nebo otisk

Google se chystá zavést dvoufaktorové přihlašování k účtům, které uživatel v rámci jeho služeb využívá. V dohledné době...

Služební cesty od stolu ve 3D. Virtuální veletrhy mohou vypadat jako hra

Virtuální výstavy, konference a veletrhy byly v posledních měsících nezbytností. Pokud budou fungovat i po pandemii...

Čistá podlaha včetně všech rohů? S mopem Vileda Spin & Clean to zvládnete snadno
Čistá podlaha včetně všech rohů? S mopem Vileda Spin & Clean to zvládnete snadno

Přihlaste se o testování lehkého a praktického mopu od Viledy Spin & Clean. Zaujme nejen kulatou rotační hlavou, ale hlavně pak unikátní konstrukcí...

Bohuš Matuš se oženil v Krtkově světě. Vzal si o 30 let mladší Lucii

Bohuš Matuš (47) a Lucie Palkaninová (18) jsou manželé. Vzali se ve středu odpoledne v rodinném parku Krtkův svět v...

Televize NBC odmítá vysílat Zlaté glóby, Cruise kvůli porotě vrací trofeje

Americká televize NBC nebude příští rok vysílat slavnostní předávání Zlatých glóbů. Rozhodla se tak po vlně...

Zatím jsem spíš studentka než modelka, říká šestnáctiletá dcera Kubelkové

Ivu Kubelkovou (44) si všichni pamatují první vicemiss roku 1996 a několikanásobnou vítězku ankety o nejkrásnější...

Právníci Applu se snaží dokázat, že Epic Store prodává porno

Během soudního sporu mezi společnostmi Epic a Apple přišla řeč i na obchod s nezávislými hrami Itch.io, jehož klienta...

Twitch se stává Pornhubem pro děti, zaplavily ho streamerky v bikinách

Streamovací služba Twitch má poměrně přísná pravidla pro zobrazování sexuálního obsahu, některé uživatelky v nich však...