Upozornění ČNB na podvodné e-maily

Česká národní banka upozorňuje veřejnost, že v souvislosti s posledním útokem (tzv. „phishing“) na klienty České spořitelny, se začínají objevovat podvodné e-maily, které se zobrazují jako odeslané z adresy csas@cnb.cz. Nepoučený příjemce může dostat elektronickou poštu zprávu od jiného odesilatele, než který je ve zprávě deklarován, ale přitom to nemusí odhalit. Protože ani zásilky s odesílací adresou v doméně cnb.cz nemusejí pocházet od odesilatele z České národní banky, která je držitelkou domény cnb.cz, Česká národní banka žádá veřejnost, aby na takové e-mailové zprávy nereagovala.

V následujícím textu je detailněji popsána problematika podvodných e-mailů a možnosti jejich rozpoznání.

Co může být podvrženo

• Obálková adresa odesilatele (někdy bývá posledním předávacím nebo koncovým uzlem transformována do hlavičky Return-Path:).
• Hlavičková adresa odesilatele (v hlavičce From:, resp. Sender:).
• Hlavičková adresa příjemců (v hlavičce To:, popř. Cc:).
• Síťové identity předávacích uzlů předcházejících uzlu přijímajícímu e-poštu z Internetu (tj. obsahy hlaviček Received: kromě prvních v pořadí, tj. chronologicky posledních, příslušných předávacím uzlům mimo Internet).
• Pokud není zpráva zajištěna zaručeným elektronickým podpisem (vydaným oprávněnou autoritou), může být obsah libovolné části zprávy při průchodu libovolným předávacím uzlem zcela neodhalitelně zkrácen, rozšířen nebo všelijak změněn.

Jak poznat podvrh

• Pokud MDA (Mail Delivery Agent = program provádějící konečné doručení zprávy do cílové schránky) propaguje hlavičky Received:, tak kontrolou jejich obsahu: z Internetu musí být zpráva přijata pouze od předávacích uzlů specifikovaných v SPF (Sender Policy Framework, viz RFC 4408), tj. buď od MX-serveru domény cnb.cz (podle MX-záznamu v DNS) nebo pokud jde o rozesílací službu internetového webu ČNB, tak pod adresou z takového webového hostu (seznam IP-adres je v TXT-záznamu DNS pro cnb.cz uvozeném v=spf1).
• Zasláním kontrolní odpovědi se žádostí o potvrzení na (možná podvrženou) adresu odesilatele. Byla-li adresa podvržena, tak odpověď bude zaslána skutečnému držiteli takto podvržené adresy. Samozřejmě v případě odchytávání pošty na předávacím uzlu ani tato možnost neposkytuje úplnou záruku.

Možný způsob jednoduchého falšování hlavičkových adres

V hlavičkách obsahujících elektronické adresy, které používají programy typu MUA (Mail User Agent = program, jehož prostřednictvím se zprávy interpretují a zadávají k odeslání), tj. zejména From:, To: a Cc:, mohou být kromě skutečných adres uvedena i "plná" jména (full name, display name ap.), která byla původně navržena, aby posloužila adresátovi/příjemci lépe označit protistranu. Některé programy typu MUA pak v běžném režimu prezentují pouze tato jména, nikoliv skutečné adresy. Je-li tedy obsahem takového "plného" jména e-adresa (samozřejmě jiná než skutečná adresa), může to snadno vést ke zmatení a nechtěné odpovědi na jinou adresu.

Formát adresních hlaviček

Proto je velmi žádoucí při použití MUA prezentujícího pouze plné jméno zkontrolovat před odesláním zprávy, na jaké adresy se skutečně pošle.

Pavlína Bolfová, mluvčí ČNB