Tereza MalkusováPodobné e-mailové podvody, včetně těch aktuálních, označujeme jednotným pojmem – scamy. V tomto konkrétním případě, kdy útočník vydírá potenciální oběti intimními fotkami nebo videem, mluvíme o sextortion, což je přesně případ, se kterým se často setkáváme.
Útočník v textu tvrdí, že hacknul váš počítač a natočil vás při sledování pornografických stránek. Občas náznakem zmíní, že máte neobvyklý vkus (ještě si řekneme, proč). Nabízí, že výměnou za nemalou částku takové video smaže a vy už o něm neuslyšíte.
Mění se jazyk i forma
V poslední době jsme byli svědky výrazného vývoje tohoto typu scamu. Například tento e-mail je z minulého roku a pravděpodobně přišel do schránky i nejednomu z našich čtenářů.
V předmětu jste se mohli dočíst, že váš účet byl „trhlý“, chyběly některé znaky a obecně jste museli místy zapojit fantazii, abyste sdělení pochopili. Přesto i takový e-mail vyděsil některé uživatele dost na to, aby zaplatili.
Ve zprávě z února tohoto roku už útočníci zkoušeli pro zvýšení důrazu své výhružky tvrdit, že adresátům píší z jejich vlastních e-mailů. A opravdu v hlavičce uživatel viděl svou adresu jako odesílatele. Takto chtěli útočníci ilustrovat, že skutečně mají přístup do počítače. Jinak se ale scam od toho z roku 2018 výrazně nelišil.
A konečně začátkem dubna, respektive minulý týden, našli čeští uživatelé ve schránkách e-mail psaný dobrou češtinou, výkupné bylo uvedeno v korunách a dokonce byl součástí i QR kód pro zjednodušení platby.
Jaké triky využívají hackeři, abyste jim uvěřili?
Uvedené příklady podvodných e-mailů ilustrují trend, kdy se postupně zdokonaluje použitý jazyk. Dříve stačila ledabyle přeložená výhružka, nyní si útočníci musí dát trochu větší práci s tím, aby dostali z adresátů to, co chtějí. Peníze.
Na druhou stranu ve všech ukázkách podvodníci využili principy tzv. sociálního inženýrství. Co to znamená? V tomto případě se vás například snaží dostat pod časový a emoční tlak, protože pak je pravděpodobnější, že racionální argumenty přehlédnete.
V podvodných e-mailech se také obvykle pracuje se strachem a studem. Například tvrdí, že vás zachytil sledovat pornografický web, čímž se obecně nikdo nechlubí. Často také naznačí, že máte podivný vkus. Tyto detaily mají vyhlédnutou oběť přimět, aby se styděla a byla tak ochotnější vyděrači vyhovět.
Útočník se také pokusí dokázat, že skutečně má přístup k vašemu účtu. Běžně se využívá několik triků, například odesílá informaci z vašeho účtu nebo v textu uvede vaše heslo. To ale v žádném případě nelze považovat za důkaz.
Váš e-mail a heslo mohl hacker získat z úniku dat dávno předtím, než scam rozeslal.
Zfalšovat adresu odesílatele, aby vypadala jako vaše, není pro zkušenější uživatele nic těžkého. Velmi podobné je to i s hesly. V minulosti několikrát unikly uživatelským e-shopům nebo velkým cloudovým službám e-maily a hesla. Obvykle jsou tato data k mání na tzv. darknetu.
Ostatně každý si může jednoduše ověřit, zda byla jeho vlastní data kompromitována či nikoliv. Na stránce haveibeenpwned.com lze po zadání e-mailové adresy zjistit, zda tento účet byl součástí některého z úniků.
V souvislosti s podvodným e-mailem, který se aktuálně šíří Českem, jsme připravili 5 základních kroků, jak se v podobných situacích zachovat.
Uverejnil používateľ ESET Štvrtok 4. apríla 2019
Lucie Mudráková
