Spamování České spořitelny

Na hodně webech jsem četl názor, ať už si ta Česká spořitelna strčí ty svoje dementní emaily do zadnice. Jenže on je problém v tom, že Česká spořitelna žádné emaily nerozesílá, a tudíž si je nemá kam strkat. Pro neznalé věci - před nedávnem se u nás začala šířit vlna emailů, ve kterých naleznete nějaký přiblbý text a následně odkaz na cizí stránky, kde máte zadat své platební údaje. Tyto údaje jsou pak odeslány vychcánkům a ti vám hned vybrakují účet. Trochu odborněji se tomu říká phishing, česky snad rhybaření.

Samozřejmě, že se ti zmetci snaží vše zamaskovat tak, aby to vypadalo, že se jedná o skutečný email a skutečný web od České spořitelny. Proto je v těle emailu odkaz na http://www.csas.cz/neco, který ovšem nevede na adresu, kterou vidíte, ale vede někam úplně jinam. Text odkazu a cíl odkazu zkrátka nemusí být totožný. Další věc je pak tamější web, který obvykle vypadá na chlup stejně jako originál. Pokud se spamer snaží, tak dokonce zaregistruje i podobnou doménu. Nabízí se třeba doména www.csas.cc. Zkuste si pak včimnout toho jednoho rozdílného písmenka…

Důležitý je ale samotný email, ve kterém donutíte čtenáře kliknout na tento odkaz. Text emailu musí být laděn do nějaké oficiální zprávy České spořitelny. Třeba, že mají problém s daty, že měli nějaké výpadky proudu a všichni uživatelé musí pro jistotu projít ověřením účtu. Musí to vypadat alespoň trochu důvěryhodně (samozřejmě důvěryhodně pro laika, který tomu vůbec nerozumí). Tady měla Česká pojišťovna štěstí, protože ti, kdo ty emaily rozesílali, nechali strojově do češtiny přeložit nějaký cizí text, takže z toho vznikla slátanina, které nikdo nemohl uvěřit - třeba začátek těch emailů byl: “drahoušek zákazník”.

Poslední problém je adresa schránky, odkud byl email odeslán. Pokud by byl email odeslán z franta@seznam.cz, asi by to moc úspěšné nebylo. Ideální by bylo, kdyby byla adresa emailu shodná s oficiální adresou České spořitelny. Jenže to asi nebude tak jednoduché, že? Právě že je… Email je co se týče bezpečnosti naprosto katastrofální. Pro člověka, který má i naprosto minimální znalosti nějakého webové programovacího jazyka, není problém napsat program, který bude rozesílat emaily s libovolným odesílatelem. Zvládl by to můj patnáctiletý bratranec (bez nadsázky).

Zkrátka pokud si usmyslím, že chci někomu “poslat email od Paroubka”, není to žádný problém. Napíšu si na to jednoduchý (opravdu jednoduchý) program, do kolonky “odesílatel” vepíšu “jirka@paroubek.cz“ a mému kamarádovi zkrátka dojde email od Paroubka (v kolonce odesílatel prostě bude “jirka@paroubek.cz“). Jakožto laik prakticky nemá šanci zjistit, jestli to poslal Paroubek nebo ne. Z toho tedy vyplývá, že ačkoliv je v hlavičce emailu uveden odesílatel csas.cz, Česká spořitelna to opravdu neposílala.

Nejhorší je, že tihleti zmrdi ani nepotřebují vlastní servery, ze kterých by ty emaily rozesílali. Stačí jim hacknout nějaký web, umístit na něj svůj program na rozesílání emailů a než na to majitel serveru stačí přijít, rozešle třeba několik tisíc emailů. Klidně i víc. Docela dobrý job. Pokud se to udělá pořádně (“správná” emailová adresa, důvěryhodný text emailu, vhodně napodobená doména, identický design, …), věřím, že se může úspěšnost pohybovat již v řádu procentech, což v konečném počtu udělá slušný balík.

Třeba pokud bych rozeslal email jednomu milionu lidí, z toho by účet u mé banky mělo sto tisíc lidí a jen jedno procento se nechalo nachytat, mám údaje od tisíců lidí. Slušný, ne?

Teď ještě krátce k internetovému bankovnictví. Musíme totiž rozlišovat v zásadě dva druhy plateb (asi, v tomhle se nevyznám). Jedna je klasické internetové bankovnictví, ve kterém si vyřizujete příkazy k úhradě, inkasa a podobně. Potom můžete přes internet platit kreditkou (ze stejného účtu). V případě internetového bankovnictví obvykle problém není, protože ten je jištěn více způsoby než jen heslem. Já ho mám třeba jištěného ještě přes SMS. Zkrátky kdyby někdo znal mé heslo, stejně si nepomůže, protože jakoukoliv transakci musím schválit přes mobil. Musel by mi tedy ještě ukrást mobil nebo alespoň změnit číslo, na které se bude SMS odesílat. To se přiznám, že nevím, jak je jištěno - buď to zase musím potvrdit na svém mobilu nebo se to musí vyřídit přímo v bance.

Jenže horší jsou ty kreditky. Pokud platíte přes internet formou kreditní karty, žádné hrubší ověření vás nečeká. Potřebujete znát akorát číslo kreditky, CVC kód a datum expirace, přičemž CVC kód není někdy nezbytný a datum expirace se přinejhorší dá uhádnout, možností je málo. Žádné další ověření formou SMS není, takže pokud z vás ten prevít vytáhne číslo kreditky, máte po účtě a zbývá vám už jen možnost vytáhnout ty peníze zpátky od banky. S tím zkušenosti nemám a zajímalo by mě, jak by ta banka postupovala.

Rozhodně tedy platí, že žádná normální banka po vás nebude chtít ověření hesla a už vůbec vás o to nebude žádat emailem a pravděpodobně by to ani nedělala přes internet.