Kategórie
Bezpečnosť Pre používateľov

Posielajú sa z vašej domény falošné e-maily? Ide o spoofing, ktorý treba riešiť

Čo je spoofing
Doba čítania: 8 min.

Možno ste už dostali e-mail zo známej e-mailovej adresy, na ktorom bolo niečo čudné. Možno text znel umelo, možno tam bol link, ktorý viedol na neznámu adresu a pýtal od vás údaje. Veríme, že ste (aj vďaka našim článkom o phishingu) na tento link neklikli a ochránili si peniaze aj súkromie.

Problém nastáva, ak niekto na rozposielanie phishingu alebo spoofing zneužije vašu doménu. Nie je to za určitých okolností až také ťažké a dôsledky pre vás môžu byť nepríjemné. Preto treba vedieť, o čo ide a ako sa takému riziku vyhnúť.

Obsah

  1. Čo je spoofing?
  2. Ako funguje spoofing?
    Nezabezpečené SMTP a SMPT relay servery
    Chýbajúci alebo nesprávny SPF záznam
    Hacknuté e-mailové schránky
    Nezabezpečené kontaktné formuláre
    Zavírený mobil alebo počítač
  3. Ako sa vyhnúť spoofingu?
    Silné heslo a obozretný prístup
    Správne nastavenie SPF, DKIM a DMARC záznamu
    Aktualizácia a antivírusové skenovanie
  4. Ako postupovať, keď k spoofingu dôjde?
    Kontrola a prečistenie zariadení
    Okamžitá zmena hesiel
    Oprava SPF/DKIM/DMARC záznamov
  5. Ktoré e-maily môžu byť podvodné?

Čo je spoofing?

Spoofing je spôsob kybernetického útoku, ktorý spočíva v zakrytí skutočnej identity útočníka dôveryhodnou alebo známou identitou. Cieľom je využiť dôveru a zmiasť vybranú obeť útoku. Ľudskou rečou – podvodník chce rozposlať vírus alebo link na falošný web a na ňom okrádať ľudí o peniaze alebo údaje. Preto si nájde dôveryhodnú doménu, z ktorej e-maily rozpošle. Takou doménou môže byť aj tá vaša, pokiaľ má napríklad v úmysle poškodiť reputáciu vašej firmy v prospech konkurencie.

Takto napríklad účtovníčke môže pristáť v mailboxe e-mail od šéfa, že treba uhradiť faktúru. Pracovná e-mailová adresa šéfa sedí a účtovníčka platbu prevedie. Akurát, že šéf o ničom nevie. Presne ako sa to stalo pred pár rokmi výrobcovi bábik Barbie, spoločnosti Mattel, ktorá „vďaka“ spoofingu prišla o 3 milióny dolárov, ktoré skončili niekde v Číne.  

Spoofing sa okrem e-mailovej adresy môže týkať aj zneužitia telefónneho čísla na posielanie podvodných SMS alebo phishingové telefonáty zo známych čísel, kedy útočníci zmenia zobrazované číslo volajúceho, aby adresát hovor prijal v dôvere, že volajúceho pozná.

Ako k podvodu dôjde? Príčin môže byť niekoľko.

Ako funguje spoofing?

Nezabezpečené SMTP a SMPT relay servery

Ak niekto zneužije doménu na rozposielanie falošných e-mailov, základným problémom môže byť nezabezpečený SMTP port. O čo ide? Server, ktorý odosiela e-maily z vašej domény, prijíma cez SMTP port požiadavky na zasielanie e-mailov nielen z tej istej domény, ale aj od tretích strán. Napríklad ak poveríte rozposielaním newslettera marketingovú agentúru.

Pokiaľ je SMPT port otvorený (rozumej nezabezpečený, nechránený), nájsť takýto port nie je vôbec ťažké. Existujú služby, ktoré skenujú celý internet a poskytnú komukoľvek túto informáciu. Často aj úplne zadarmo.

Potom už len útočníkovi stačí zadať príslušné koordináty na nechránený SMTP port a e-maily môže z danej adresy veselo posielať. Vlastník e-mailovej adresy o tom často ani nebude vedieť. Odoslané e-maily sa totiž neukladajú v jeho e-mailovej schránke.

Chýbajúci alebo nesprávny SPF záznam

SPF záznam je textový zoznam (whitelist) vopred určených IP adries (SMTP serverov), ktoré jediné sú oprávnené odosielať e-maily z vašej domény. Tým pádom útočník, ktorý zadá požiadavku na váš server o odoslanie podvodného e-mailu, bude skrátka zablokovaný, lebo jeho IP adresa sa v danom zozname nenachádza.

Cieľom správneho nastavenia SPF záznamu je obmedziť možnosť sfalšovať odosielateľa (spoofingu) a zamedziť tým spamu aj phishingu.

Hacknuté e-mailové schránky

Ak si e-mailovú schránku nezabezpečíte dostatočne silným heslom alebo si takým heslom neochránite zariadenie (najčastejšie mobilný telefón), kde máte otvorený svoj e-mail, môže dôjsť k získaniu prístupu k celému obsahu vášho zariadenia, vrátane e-mailovej schránky.

Podvodník v takom prípade môže tento prístup zneužiť na rozposielanie obsahu podľa ľubovôle.

Nezabezpečené kontaktné formuláre

Kontaktný formulár je obľúbený a častý spôsob, ako návštevníkom webu umožniť kontaktovať majiteľa webu. Návštevník napíše správu, nechá na seba e-mail a správu odošle okamžite. Majiteľovi webu táto správa príde do jeho e-mailu a ako odosielateľ je uvedený jeho vlastný web.

Ak kontaktný formulár nie je riadne zabezpečený, útočník vie zmeniť adresáta z majiteľa webu na kohokoľvek. Tak môže správu z dôveryhodného webu rozposlať aj tisíckam adresátov. E-mail sa môže tváriť ako správa z vášho obľúbeného e-shopu alebo banky, odosielateľ bude taký ako vždy, avšak obsah môže byť falošný.

A tak môžete kliknúť na vírus alebo zadať platobné údaje v domnienke, že ich váš e-shop potrebuje napríklad na to, aby vám vrátil peniaze. V skutočnosti o ne v dobrej viere môžete prísť.

Niekedy na takýto útok môže stačiť len mierne pokročilá znalosť HTML jazyka. Útočník napríklad môže napísať do textového poľa kontaktného formulára (teda časti formulára, kde píšete svoju správu alebo vypĺňate svoje údaje) kód, ktorému sa hovorí „injekcia“ (injection). Takto vložený kód v podstate prepíše pôvodný kód (predkódované údaje) kontaktného formulára. A e-maily sa môžu bez problémov rozposielať. Bez toho, aby o tom majiteľ webu vedel.

Zavírený mobil alebo počítač

Ak nie je antivírusový program pravidelne aktualizovaný alebo spustený, môžete si zavíriť vaše zariadenia. Najčastejšie sa vírus môže dostať do vášho mobilu či počítača pri návšteve rôznych pofidérnych stránok, kliknutím na neznáme odkazy alebo otvorením príloh v e-maili.

V takom prípade môže útočník sledovať všetku vašu komunikáciu, ovládnuť celé vaše zariadenie a taktiež z neho rozposielať pod vašou hlavičkou podvodné e-maily.

Ako sa vyhnúť spoofingu?

1. Silné heslo a obozretný prístup

Silné heslo je základným opatrením v digitálnom svete, ideálne do všetkých služieb. A dvojfaktorová autentifikácia všade, kde sa to dá. Už len týmto zlatým pravidlom bezpečnosti na internete viete pomerne výrazne znížiť riziko. A nič to nestojí.

Taktiež skúste vždy používať zabezpečené protokoly (HTTPS) pre webové stránky a vyhnúť sa prístupu na internet cez nezabezpečenú, verejnú wifi. Ak musíte, vždy sa radšej pripájajte cez VPN službu.

2. Správne nastavenie SPF, DKIM a DMARC záznamu

Ak odosielate e-maily od nás z Websupportu, SPF záznam si viete nastaviť rýchlo a ľahko. Nielenže zabránite zneužitiu, ale zlepšíte tým aj doručiteľnosť vašich e-mailov.

Rovnako je užitočné mať zapnutú DKIM technológiu. To znamená, že sa bude overovať a autorizovať každý e-mail odoslaný z vášho serveru vopred predvoleným spôsobom. Žiadny útočník zvonka potom nebude vedieť (alebo len veľmi ťažko) odoslať podvodné e-maily z vášho konta. U nás ju v rámci hostingu máte zapnutú automaticky. Môžete si to jednoducho skontrolovať.

Vypnutá DMARC technológia zase znamená nevyužitie SPF a DKIM naplno.

DMARC je určitou nadstavbou pre SPF a DKIM, ktorá tieto dve opatrenia kombinuje. DMARC špecifikácia sa používa na informovanie servera prijímajúceho e-maily o tom, ako sa má zachovať pri doručení správ z určitej domény. V jednoduchosti, DMARC technológia má za úlohu s pomocou SPF a DKIM overiť, či prichádzajúci e-mail bol naozaj odoslaný z domény, ktorá je uvedená v hlavičke odosielateľa.

DMARC vie taktiež nastaviť pravidlá, ako naložiť s neoverenými e-mailami a priebežne vás ako správcu domény odosielateľa informovať o výsledkoch.

Pre zaujímavosť, od februára 2024 je požadované od poskytovateľov e-mailových služieb ako Gmail a Yahoo, aby odosielatelia, ktorí odosielajú hromadné e-maily (nad 5000 denne) mali povinne nastavený DMARC záznam.

3. Aktualizácia a antivírusové skenovanie

Niekedy sme natoľko zaneprázdnení, že hlášky o potrebe aktualizácie (update) antivírusových klientov, prehliadačov, operačných systémov, aplikácií a kto vie čoho ešte ignorujeme. Odklikneme Neskôr a pracujeme ďalej. To je presne moment, kedy môže byť náš systém zraniteľný.

Ak sa pravidelne staráme o čistotu nášho auta či domu, nezabúdajme aj na „čistotu“ našich zariadení a systémov. Práve pravidelnými aktualizáciami zabezpečujeme ich ochranu proti najnovším hrozbám.

O to viac toto základné pravidlo platí pri antivírusovom programe. Konkrétne pri jeho aktualizácii a pravidelnom spustení skenovania vášho zariadania. Ak to váš antivírus nerobí automaticky, zapnite si túto funkcionalitu manuálne. Alebo ho vymeňte za lepší.

Väčšina antivírusových programov obsahuje aj bránu firewall, ktorá (ak je správne nakonfigurovaná) chráni vaše zariadenie pred útokmi zvonka tým, že filtruje prístupy k jednotlivým portom alebo používaným programom, ako aj pred únikom dát z vášho zariadenia smerom von.

Ako postupovať, keď k spoofingu dôjde?

Pokiaľ sa vám zákazník vášho webu alebo e-shopu sťažuje, že mu z vášho e-mailu prišli nejaké podozrivé správy (gratulujeme vám k uvedomelým zákazníkom), odporúčame vám v prvom rade zistiť, čo sa stalo. Konkrétne, či k zneužitiu domény došlo v dôsledku uniknutých prihlasovacích údajov jedného alebo viacerých zamestnancov, alebo neoprávneného prístupu k IT systémom z iného dôvodu.

Ak sa jedná o zneužitie zamestnaneckého účtu, môžete skočiť na krok 2.

1. Kontrola a prečistenie zariadení

Kontrola potencionálne dotknutých zariadení je prvý kľúčový krok. Najskôr je potrebné dotknuté zariadenia previesť do offline režimu a preveriť, či došlo k neoprávnenému prístupu do systémov alebo k infikovaniu vírusom (malvérom). S tým pomôžu rôzne bezpečnostné riešenia (antivírusové systémy) a vaše prístupové záznamy (logy). Ak si s tým neviete rady, obráťte sa na IT odborníka.

2. Okamžitá zmena hesiel

Pred uvedením zariadení späť do prevádzky je nutné zmeniť heslá do vašej e-mailovej schránky, administrátorského rozhrania vášho webu a najmä samotných zariadení. Ak máte zriadené aj prístupové účty vašich zamestnancov, či akékoľvek servisné účty k serverom, dajte zresetovať všetky prístupy a heslá. A zamestnancov poučte, aby si nastavili nové (nové!) a silné heslo.

3. Oprava SPF/DKIM/DMARC záznamov

Ďalší krok, ktorý môžete pomerne rýchlo urobiť, je skontrolovať správnosť nastavenia a zapnutie SPF, DKIM, DMARC záznamov. Môžete to urobiť sami alebo nás kontaktovať na našej zákazníckej podpore, veľmi radi vám pomôžeme.  

Ktoré e-maily môžu byť podvodné?

Falošné maily aj vďaka technológiám s umelou inteligenciou je čoraz ťažšie rozpoznať na prvý pohľad. Všímajte si najmä, či:

  • text pôsobí ako strojový preklad z iného jazyka, často má naliehavý tón,
  • e-mail má početné gramatické alebo pravopisné chyby,
  • vám vôbec banka/škola/e-shop má dôvod e-mail s daným obsahom posielať a prípadne si to priamo u nich overte.

Vždy buďte obozretní, dôverujte svojim inštinktom, a neklikajte na nič bez rozmyslenia. Nezaškodí si ani z času na čas zopakovať základné pravidlá, ako rozpoznať falošný e-mail.   

*Tento obsah nebol ani sčasti vytvorený žiadnou AI a má len informačný charakter.

Vypočujte si na záver podcast o tom, ako zavádzať pozitívne zmeny vo firmách:

Autor: Simona Uhrinová

Simona je fanúšička digitálneho sveta a kyberbezpečnosti, copywriterka a IT právnička. Je vášnivá cestovateľka s láskou k dobrovoľníctvu, zdravému životnému štýlu, neštandardným víziám, a večná začiatočníčka v programovaní. Motto: "Life is 10 % what happens to you and 90 % how you react to it." Charles R. Swindoll

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *