Následky krádeže hesla – případová studie

Měli jsme možnost se zblízka seznámit s jedním případem zneužití ukradených přístupových údajů k e-mailové schránce služby Gmail.com. Přišlo nám důležité ukázat uživatelům, k čemu může být zneužit jejich e-mailový účet při ztrátě údajů, jak může být zneužita přirozená lidská snaha pomáhat a na jaké kroky by neměli zapomenout, pokud už se jim něco podobného stane, či ještě lépe, jak být aspoň částečně připraveni.

V pátek 4. dubna se na nás obrátila uživatelka e-mailové schránky umístěné na službě Gmail.com s tím, že všem jejím kontaktům, které měla na této službě, chodí následující zpráva a to jak v českém, tak i v anglickém jazyce.

Blog_1

Útočník ve zprávě tvrdí, že se majitelka účtu dostala do problémů na konferenci ve Velké Británii, kde měla být údajně okradena a jejím jménem žádá o pomoc. Všimněte si, že e-mailová zpráva je odesílána z e-mailové adresy oběti, ale útočník si zároveň založil e-mailovou adresu se stejným prefixem na doméně yahoo.com. Tuto falešnou adresu má nastavenu jako adresu pro odpovědi a přijímá v ní odpovědi lidí, kteří se na tento podvod nachytali. Pokud se vám zdá, že nevydařená čeština by měla být dostatečným varováním, tak v tomto případě to naopak může být považováno za výhodu. Majitelka napadené e-mailové schránky je totiž původem ze zahraničí a i když umí česky velmi dobře, pro její přátele může být pochopitelné, že se ve velkém rozčílení a nervozitě může dopustit gramatických chyb. Útočník navíc z její e-mailové korespondence zjistil, že komunikuje také v anglickém jazyce a proto zároveň posílal jejím zahraničním kontaktům i anglickou verzi.

Blog_2

Na uživatelku se naštěstí někteří přátelé začali obracet i telefonicky s dotazem, kolik potřebuje peněz a kam jí je mají zaslat. Díky tomu se o problému dozvěděla a zkontrolovala obsah svého e-mailového účtu. Jak jinak, celý obsah její schránky byl smazán, všechny zprávy a kontakty byly pryč, aby nemohla své kontakty před podvodem varovat. Jazyk stránky byl navíc změněn z angličtiny na arabštinu, čímž útočník velice znepříjemnil jakékoliv zacházení s ní.

Mezitím útočník přitvrdil a již jednou osloveným lidem začal zasílat další variantu zprávy.

Blog_3

Aby nemohl útočník komunikovat s oběťmi prostřednictvím podvodné e-mailové schránky u yahoo.com, požádali jsme společnost Yahoo o pomoc při řešení této situace. Do dnešního dne však bohužel nemáme žádnou odpověď. Kdo naopak výborně reagoval na žádost uživatelky o pomoc, byla společnost Google, která uživatelce obnovila veškerou ztracenou korespondenci, v rozsahu, v jakém to bylo možné. Kontakty uložené v aplikaci jsou však již navždy ztraceny.

Zatím není zcela jasné, jakým způsobem útočník získal heslo k e-mailovému účtu na službě Gmail.com. Heslo k účtu nebylo zcela triviální a rozhodně nevybočovalo z toho, jakým způsobem s hesly pracuje většina uživatelů. Jednalo se o kombinaci slova a čísel, což sice zdaleka není ideální heslo, na druhou stranu je dost složité na to, aby bylo možné „rozlousknout“ jej on-line útokem hrubou silou, tedy kombinováním výstupu ze slovníku s náhodnými číselnými posloupnostmi. Při offline útoku by takovéto heslo bylo pravděpodobně prolomeno během krátké doby, avšak to by útočník nejdříve musel získat otisky hesel. Uživatelka již také podala trestní oznámení. Uvidíme tedy, zda se dočkáme nějakého zajímavého rozuzlení.

Druhý příběh

Bohužel toto není jediný případ tohoto druhu podvodu, o kterém máme informace. V tom druhém se „veřejné sbírce“ na údajně okradeného kamaráda podařilo zabránit až bezpečákům v jedné nejmenované společnosti, kde se udál podobný scénář.

Jako majitelé e-mailových účtů bychom měli těmto podvodům předcházet používáním kvalitních hesel, kontrolováním, zda při přihlašování používáme vždy https, vyvarováním se používání nedůvěryhodných počítačů a také pravidelnou údržbou našich osobních počítačů a dalších zařízení, která používáme pro přístup k našim e-mailovým schránkám a dalším účtům.

Jak ukazuje výše popsaný případ, není také od věci mít někde zálohu kontaktů, abychom mohli své známé a přátele varovat, pokud již k takovéto události dojde. V takovém případě je potřeba potenciální oběti co nejdříve informovat o tomto podvodu (uživatelka to vyřešila automatickou odpovědí na všechny přišlé zprávy), změnit přístupové údaje ke schránce (pokud je však nezměnil útočník, v tomto případě měla dotyčná uživatelka štěstí), kontaktovat provozovatele schránky s žádostí o obnovu ze zálohy a také požádat provozovatele případné falešné adresy, sloužící pro další komunikaci s oběťmi, o její zablokování. Určitě je dobré také podat trestní oznámení.

V roli lidí, kteří takovouto žádost obdrží bychom si vždy měli klást následující otázky:

  • opravdu jsem pro odesílatele tak důležitý, že si v nouzi vzpomněl zrovna na mne?
  • proč se mnou komunikuje anglicky, když celý život komunikujeme česky?
  • nemáme snad v dané zemi zastupitelský úřad, který by mu měl pomoci zprostředkovat kontakt a získat tak pomoc například od příbuzných?

Pokud si nejste jisti, pokuste se dotyčného kontaktovat pomocí jiného kanálu, než je jeho hacknutá e-mailová schránka.

Autor:

Komentáře (2)

  1. Dan Lukes říká:

    Ja v tom, s dovolenim, vidim jeste dve jina pouceni.

    Zaprve, jestlize sva kriticka data (zde kontakty) ukladate u nekoho jineho, ujistete se, zda jsou spolehlive zalohovana, a zda se v pripade potreby k tem zaloham take dostante. Zde se k starsim zaloham kotaktu evidentne dostat nedalo. Pokud vam vzdalene uloziste zalohovani a pristup k zaloham neresi, musite zalohovat nekde jinde a nejak jinak.

    Za druhe, hacknuta emailova schranka a pristup ke kontaktum utok tohoto typu jen trochu usnadnila. Nebyva vetsinou zas az takovy problem zjistit pratele konkretni osoby a emailove kontakty na ne. Obzvlast pokud mate v oblibe socialni site a verejne tam zpristupnujete co zrovna delate a s kym se zrovna pratelite. Takze zjistit a obeslat pratele emailem s padelanou odesilaci adresou neni podmineno hacknutim nejakeho uctu. Kazdy, kdo cte emaily by mel mit neustale na pameti, ze zadny konkretni email nemusel byt odeslat tim, kdo sam sebe za odesilatele toho emailu oznacuje – a podle toho pristupovat k jejich obsahu.

    Ale predevsim, jestlize jste opravdu pratele a dobre se znate, tak by odesilatel nemel mit problem napsat email tak, aby z nej prijemce dokazal rozpoznat „osobni rukopis“.

    Ale ano, samozrejme, ze muzete na zoufalou prosbu odpovedet poslanim penez i tehdy, kdyz si nejste jisti, zda je autenticka. V tom pripade ale posilejte jen takovou castku penez, kterou byste jinak byli ochotni venovat na charitu a jste tedy smireni s tim, ze se nevrati.

  2. Martin Bugner říká:

    Hezký ukázkový případ, kde mne však překvapuje zjištění, že řešíte i záležitosti týkající se Google.

    Jinak si dovolím poznámku, že u služby, která je poskytována zdarma lze určitou míru nejistoty očekávat, proto se docela podivuji nad obnovením dat prázdného účtu.
    Uživatelce bych navíc doporučil zavést si dvoufázovou autentizaci.

Zanechte komentář