COVID-19 #1.2: Tipy, ako rozpoznať phishingový e-mail a podvod

Meno odosielateľa

Podvrhnúť meno odosielateľa vôbec nie je ťažké a ide o prvý krok, ktorý útočníci urobia, keď sa chcú vydávať za iné osoby. V niektorých prípadoch však pozabudnú na to, že uvedené meno sa im nezhoduje s menom z ich e-mailovej adresy alebo s menom, ktoré uvádzajú v správe. Na príklade č. 1 vidíme, že zatiaľ čo odosielateľovo meno je Dr Annika, meno v jeho adrese korešponduje s Margaret Caul, meno v spätnej adrese so Shirinda Clark a meno v správe je Dr Grahams Charles. Rovnako tak sa v v e-mailovej adrese odosielateľa v príklade č. 2 objavuje meno Chris, zatiaľ čo v samotnej správe Dr. Robert Kuhlman.

Pokiaľ vám však príde „serióznejšia“ správa, v ktorej sa síce mená budú zhodovať, ale nič vám nehovoria, použite Google a vypátrajte danú osobu či vôbec existuje, prípadne porovnajte kontaktné údaje.

Adresa odosielateľa

Podvodníci zneužívajú nepozornosť obetí tým, že si vytvoria falošné domény, ktoré sa líšia od tých bezpečných len nepatrnou zmenou. Zvyčajne ide o pridanie alebo zámenu domény prvej alebo druhej úrovne, interpunkčného znamienka alebo podobne vyzerajúcich písmen – typicky veľké i (I) a malé L (l).

Na ukážkach č. 3 a 4 vidíme podvrhnutú doménu prvej úrovne @who.com, resp. oboch úrovní @cdc-gov.org. V časti adresy za zavináčom preto kontrolujte, či vám správa prišla zo skutočnej domény danej inštitúcie, a teda @who.int a @cdc.gov.

Sofistikovanejšie podvody však vedia podvrhnúť aj oficiálne domény. Ako môžete vidieť na ukážke č. 5, falošná správa prišla z adresy cdc-covid19@cdc.gov, ktorá na prvý pohľad vyzerá legitímne. Po rozkliknutí hlavičky e-mailu však vidíme IP adresu 193[.]105[.]188[.]10, ktorá odhaľuje pravú doménu odosielateľa – veloxserv[.]net. Podvodník v tomto prípade použil príkaz HELO cdc.gov, ktorým e-mailovému serveru povedal, aby so správou zaobchádzal ako keby pochádzala z domény cdc.gov. V prípade podozrenia preto kontrolujte aj hlavičky e-mailov či sa v nich nenachádza práve tento príkaz.

Stretnúť sa môžete ale aj s prípadmi, keď vám podvodný e-mail príde zo služieb Gmail, Yahoo, Hotmail alebo rôznych domén, ktoré v sebe nesú odkazy na koronavírus.

Pravopis

Slovensko má oproti Spojeným štátom alebo Rusku výhodu v tom, že zahraniční útočníci nevedia dokonale napodobniť náš jazyk. Pokiaľ sa nejedná o cielený útok alebo útok domácich podvodníkov, zlým pravopisom a strojovo preloženými vetami viete odhaliť podvrhnuté správy hneď.

Na príklade č. 7 phishingovej správy, ktorú zachytil ESET na Slovensku vidíme nedokonalý preklad vo vetách „Teraz vypredaní položka“ a „Pohybujete medzi mnohými ľuďmi?“. Menej povšimnuteľné chyby sú už v ukážke č. 8 v slove „epidemii“ (správne epidémii) a vo vete „účinné rúško na tvár, tiež ju používajte“ (správne ho používajte).

Podvodníci sa v týchto prípadoch vyhli zlému strojovému prekladu tým, že použili kratšie vety, s ktorými taký Google prekladač nemá až taký problém.

V prípade anglicky a inak písaných správ sa riaďte vyššie/nižšie uvedenými radami.

Naliehavá správa

Nikdy nereagujte na správy, ktoré po vás žiadajú okamžitú reakciu. Hoci by sa odosielateľ tváril ako váš šéf, neodpovedajte mu na správu, nezdieľajte s ním žiadne osobné ani citlivé údaje a hlavne nevykonávajte žiadne platby, ktoré po vás žiada. Všetky takéto správy si radšej overte s danou osobou telefonicky alebo iným dôveryhodným kanálom.

Prílohy

V súvislosti s koronavírusom vám najčastejšie prídu správy, ktoré vás budú informovať o aktuálnej situácii vo svete alebo o pokynoch, ako sa ochrániť pred nákazou. Tieto informácie vám odosielateľ bude zasielať v prílohe formou PDF/DOCX dokumentov, archívov RAR/ZIP alebo spustiteľných súborov EXE. Takéto správy ignorujte a neotvárajte. Potrebné informácie si vyhľadajte na oficiálnych stránkach ministerstva zdravotníctva, úradu verejného zdravotníctva alebo na telefonických linkách.

V prípade, že ste sa dostali k takému dokumentu iným spôsobom, jeho bezpečnosť môžete posúdiť napríklad aj tým, že vás po otvorení vyzve obrázok na povolenie makier alebo stiahnutie programu cez vložený odkaz.

Odkazy

Odkazy na podvrhnuté stránky možno zakryť rôznymi spôsobmi. Od hypertextových odkazov „Klikni sem“, cez tlačidlá a skracovače linkov ako bit.ly až po QR kódy. Nenechajte sa oklamať ani linkami na legitímne webstránky, ktoré v skutočnosti môžu odkazovať na tie falošné.

Na príklade č. 17 vidíme v správe link na oficiálny web Centra pre kontrolu a prevenciu chorôb (CDC). Avšak po tom, čo naň prejdeme kurzorom, zobrazí sa odkaz na neznámu webstránku healing-yui223.com.

Ku každému odkazu uvedenom v e-maile preto pristupujte skepticky a do svojich existujúcich účtov sa nikdy cez ne neprihlasujte – hoci by sa stránka podobala na prihlasovaciu stránku danej služby.

Šifrované spojenie

Nielen na podvrhnutých stránkach sa môžete stretnúť s tým, že danému webu chýba šifrované spojenie. V prípade, že takýmto webom poskytnete svoje prihlasovacie údaje, osobné údaje alebo údaje z bankomatovej karty, všetky dáta putujú z vášho prehliadača na webový server v čitateľnej podobe a môže ich tak zachytiť nielen samotný správca webu, ale aj tretia strana pri tzv. man-in-the-middle útokoch.

V URL adresách webstránok preto kontrolujte, či sa začínajú šifrovanou predponou https alebo nešifrovanou http. Nešifrované spojenie odhalíte aj tak, že vám pri URL adrese webstránky v prehliadači chýba zelený zámok.

Podvodné obchody a súťaže

Útočníci zneužívajú aktuálny nedostatok zdravotníckych pomôcok v bežných kamenných a online obchodoch tým, že vytvárajú vlastné podvodné e-shopy, o ktorých následne informujú e-mailovými správami, na sociálnych sieťach alebo inou formou reklamy.

Pokiaľ ste na internete natrafili na podobný obchod, overte si jeho dôveryhodnosť napríklad tým, že si vyhľadáte jeho recenzie na nákupných portáloch ako Heureka.sk, či priamo na webstránke skontrolujete kontaktné údaje na prevádzkovateľa, obchodné podmienky, šifrované spojenie alebo samotný dizajn webstránky. Takéto obchody zvyknú tiež prijímať platby len elektronickou formou (kreditná karta alebo PayPal), takže osobný odber alebo dobierku môžete vylúčiť.

Príkladom podvodného obchodu je huglo.sk, resp. huglo.cz pred ktorým varuje aj Slovenská obchodná inšpekcia. Podľa jej informácií zákazníkom po zaplatení neprišiel objednaný tovar a nepodarilo sa im ani skontaktovať sa s predajcom žiadnym spôsobom uvedeným na webe.

Indikátorom podvodu v tomto prípade mohlo byť to, že hoci má webstránka doménu .sk, jej prevádzkovateľom je firma ROPETA LTD so sídlom vo Veľkej Británii, pričom adresa slovenskej pobočky sa na webstránke nenachádza. Slovenská verzia má naviac na svojom webe množstvo pravopisných chýb, ktoré sa prelínajú s češtinou alebo pripomínajú strojový preklad. Ako vidíte na priložených ukážkach, najväčšou indíciou sú ale samotné recenzie obchodu.

Ďalšími takýmito stránkami sú napríklad smartrepublic.sk alebo yen.sk.

Už tradične sa na Slovensku môžete stretnúť aj s falošnými súťažami na Facebooku alebo Instagrame. Príkladom bola stránka Zdravotníctvo, ktorá spustila súťaž o respirátory. V takýchto prípadoch vás podvodník bude typicky kontaktovať súkromnou správou s informáciou o výhre a bude od vás žiadať osobné údaje ako meno, adresa a telefónne číslo spolu s informáciami z vašej kreditnej karty – údajne pre overenie totožnosti. V žiadnom prípade neposkytujte žiadne takéto údaje nikomu na sociálnych sieťach.