V oblasti výpočetní techniky se pojmem phishing označují kriminální aktivity, které jsou založeny na tzv. sociálním inženýrství. Jinak řečeno, proč se snažit ukrást požadované informace, když je, na vhodné požádání, uživatel sám prozradí? Líbivé věty založené na psychologických znalostech mohou uživatele přimět k prozrazení důvěrných informací, aniž by si oběť všimla, že se stalo něco špatného. Obecně se jedná o podvodné vydávání se za důvěryhodnou osobu či instutici za účelem získání citlivých informací jako jsou hesla, čísla kreditních karet a podobně. Nejčastěji je k tomuto záměru využíván e-mail, ale také webové stránky či telefonáty.

Samotný pojem phishing pochází z anglického termínu password harvesting (sklízení hesel). V českém jazyce se dá setkat také s pojmem rhybaření, což je překladateská slovní hříčka vyjadřující fakt, že pachatel předkládá chutné návnady a čeká kdo se chytí na udičku.

Jak poznat podvrh?

Metody rhybaření pro získání potřebných informací mohou být různé, buď očekávají přímo odpověď na zaslaný e-mail či spuštění přílohy e-mailu. Dále existují sofistikovanější postupy, kdy Vás, na základě e-mailu, přimějí navštívit podvrženou kopii stránky, kterou běžně navštěvujete. Přístupové údaje vyplněné na této kopii pak putují přímo k příslušnému rhybáři. Tyto metody jsou nejčastěji zkoušeny na bankách nebo internetových obchodech. Je tedy nutné umět poznat podvržený e-mail, ale také podvrženou stránku, protože se na ni můžete dostat i jinak než přes odkaz v e-mailu.

Podvodné e-maily

Jak poznat, že e-mail, který dorazil do schránky obsahuje lživé informace a je nebezpečný? Existuje řada příznaků, které jsou velmi podezřelé a při jejich spatření je nutné zvýšit pozornost:

• hypertextové odkazy vedou na úplně jinou adresu než je specifikováno v textu e-mailu
• je přítomna spustitelná příloha nebo na ní vede odkaz
• je vyžadováno okamžité sdělení citlivých údajů, jinak bude něco omezeno/zrušeno/nevydáno/...
• neočekávaný jazyk zprávy - například CIV Vám nebude zasílat výzvy v angličtině a podobně

Dále je nutné si uvědomit, že odesílatel uvedený v hlavičce e-mailu nemusí být nutně autorem zprávy! Jistotu dává pouze elektronický podpis.

Pokud si nejste jisti zda se jedná o podvržený požadavek v e-mailu, ověřte si pravost telefonicky u odesílatele zprávy.

Falešné www stránky

Při procházení sítě internet se můžete dostat na stránky, které se tváří jako důvěrné známé, ale ve skutečnosti jde pouze o zdařilou kopii. Zpravidla se na ně dostanete přes podstrčený odkaz v emailu. Jak poznat, že se nacházíte na špatné stránce?

• Adresa stránky (url) by obsahuje ip adresu (např. http://147.228.1.1/falesna_ebanka.html)
• Adresa stránky nějakým způsobem paroduje originál, např.
  • http://www.paypa1.com místo http://www.paypal.com (tj. jednička místo písmene el)
  • https://heslo-zcu.cz místo https://heslo.zcu.cz (heslo-zcu je úplně jiná doména než zcu)
• Je vyžadováno zádání citlivých údajů na nezabezpečené stránce (http místo https)
• Stránka je zabezpečena nedůvěryhodným certifikátem.

V žádném případě nelze spoléhat na vzhled stránky, protože okopírovat lze vše včetně různých animací či jazykových mutací! Jediné na co lze spoléhat je ověření komunikujícího protějšku certifikáty.

Názorná ukázka jak phishing funguje

• Do e-mailové schránky dorazil následující e-mail:

• Co je na e-mailu podezřelého
  • Nemá-li majitel e-mailové schránky účet u PayPal, není důvod aby jej firma PayPal upozorňovala na bezpečnostní problém.
  • V případě bezpečnostních problémů je žádná firma jistě nebude řešit po e-mailu.
  • E-mailová adresa nepatří organizaci, která upozorňuje na problém (freemailová adresa na seznam.cz)
  • Hypertextový odkaz vede na stránky, které nemají s PayPal nic společného (zde se text "PayPal" dokonce vůbec nevyskytuje).
• Dejme tomu, že to uživatel přehlédne a na uvedený odkaz klikne. Stránka, na kterou se dostane vypadá následovně:

• A takto vypadá originální stránka:

• Stránky na první pohled vypadají velmi podobně (viditelný obsah stránky tedy není vhodné prostředek pro rozlišování podvrhů).
• Při pohledu na URL podvržené stránky si lze všimnout několika věcí
  • Stránka není zabezpečená - v URL je pouze http místo https, chybí ikonky visacích zámků a pozadí URL není podbarvené žlutě (jak to vypadá v jiných prohlížečích než Mozilla Firefox je ukázáno na samostatné stránce). Přenášená data tedy nejsou šifrována, což je u přístupových údajů vždy podezřelé.
  • Něco podobného textu "www.PayPal.com" se v adrese vyskytuje, ale malé písmenko "el" je nahrazeno velkým měkkým "I". Některým lidem totiž stačí vidět známý text v adrese a jsou uchlácholeni. Zahlédnutí takovéhoto triku je vždy podezřelé.
  • Stránka je na serveru www.fawnbeaty.com, protože vše za následujícím lomítkem už jen upřesňuje co má server zobrazit. Firma PayPal těžko nechá řešit bezpečnostní problém jinou firmu - opět podezřelá záležitost.
• Z pedagogických důvodů se ještě podívejme jak je to s důvěryhodností originální stránky. Po kliknutí na ikonku visacího zámku se zobrazí následující dialog:

• • V záložce zabezpečení je napsáno, že této webové stránce lze věřit, protože prohlížeč ověřil její identitu. Toto tvrzení je založeno na ověření pravosti a platnosti certifikátu stránky prohlížečem. Aby bylo možné ověřit pravost, musí mít prohlížeč importovaný kořenový certifikát certifikační autority, která vydala certifikát příslušné webové stránce. V tomto případě jde o mezinárodní certifikační autoritu VeriSign, Inc., jejíž certifikát je uložen v každém prohlížeči už při jeho naistalování. Pro lepší porozumění této problematice je vhodné si přečíst detailnější vyprávění o certifikátech.
  • Po kliknutí na tlačítko Zobrazit se zobrazí informace o certifikátu:

• • Certifikát byl vydán k adrese www.paypal.com (toto kontroluje prohlížeč a v případě neshody se zobrazí varovné hlášení), což je v pořádku.
  • Vlastníkem je Paypal Inc, což je také v pořádku. Vychytralí podvodníci si také mohou nechat vydat certifikáty pro podvržené webové stránky, ale vlastníkem jsou pak oni nebo jejich společnosti - ale ne organizace jejíž webové stránky napodobují.
  • Certifikát vydala důvěryhodná certifikační autorita.
  • Certifikát je platný i časově (v době návštěvy stránky).
• Pokud by nějaký uživatel zadal své přístupové údaje do podvržené stránky, předal by je přímo podvodníkům, kteří by je pak mohli zneužít. V tomto případě k přímému finančnímu obohacení.

Výběr z phishingových e-mailů doručených do univerzitních schránek

Pro zvýšení bezpečnosti jsou nalezené podvržené stránky obvykle odstraněny, takže je téměř nemožné poskytnout online příklad takovéto podvržené stránky. Odkazy v následujících příkladech tedy nejsou zpravidla funkční, přesto na ně raději neklikejte.

E-mail rozesílaný 29.5.2013 některým uživatelům

Varianta phishingu vydávající se za zprávu od HelpDesku ZČU.

Subject: Důležité upozornění od Helpdesku
Date: 	  Wed, 29 May 2013 12:41:10 +0100
From: 	  Západočeská univerzita <helpdesk@zcu.cz>
To: 	  undisclosed-recipients:;

Západočeská univerzita

Plánované údržby a upgrade

To je Vám oznámit, že naše webmail server byl naplánován na modernizaci
a údržbu, je zlepšit schopnost identifikovat a blokovat spam, phishing
pokusy a antivirové funkce pro lepší on-line služeb.

Aby se zabránilo váš e-mailový účet byl ukončen v průběhu tohoto
upgradu, laskavě klikněte na odkaz níže a postupujte podle pokynů pro
upgrade.

KLIKNĚTE ZDE:
hxxp://access-page.mypressonline.com/web-account/maillogin-verify/form.php

Váš e-mail přístup bude zakázat, pokud nedodržíte výše.

My Omlouváme se za způsobené komplikace.

Děkujeme, že používáte naše online služby.

Webmail správce.

Západočeská univerzita
Univerzitní 8, Pilsen, Czech republic


Copyright © 1991 - 2013 UWB Plzeň

Co je zde podezřelé?

• Jazyk sdělení. Automatický překlad zprávy je velmi nepřesvědčivý - na české univerzitě lze předpokládat lepší vyjadřovací schopnosti.
• Odkaz vede zcela mimo ZČU, tj. není v doméně zcu.cz.
• Blokování existujících účtů kvůli povýšení verze systému je naprosto nelogické (i pro IT laiky)

E-mail rozesílaný 17.2.2012 některým uživatelům

Varianta phishingu vydávající se za zprávu od HelpDesku ZČU.

Subject: Vážený uživateli
Date:    Mon, 21 Mar 2011 10:00:01 +0100
To: 	  undisclosed-recipients: ;
From:    "helpdesk@zcu.cz" <helpdesk091@peoplepc.com>
Reply-To:"helpdesk@zcu.cz" <acupgrade@superposta.com>
 
Vážený uživateli

Naším cílem je poskytovat kvalitní podporu pro naše zákazníky.
Takže můžeme nejlépe pomoci, odpovědět na následující poté, co jste obdrželi.

V současné době provádí údržbu a aktualizaci našich
Služby účtů databáze, a jako výsledek této vaší
Účty musí být modernizovány.

Omlouváme se za způsobené potíže.

Pokud se tak nestane do 72 hodin bude okamžitě
vypnuté svůj účet z naší databáze.

Prosím, vyplňte formulář níže.

Název účtu:.
heslo:.

Přístupové Členové se dohodli, aby nás následovaly přijatelný Use Policy
Podmínky používání
(C) 1995-2011, Všechna práva vyhrazena
Veškerý obsah na tomto je k dispozici.
"Poštovním účtem PODPORA WEBMAIL ©
ABN 31088377860 Všechna práva vyhrazena

________________________________________
PeoplePC Online
A better way to Internet
http://www.peoplepc.com

Co je zde podezřelé?

• Jazyk sdělení. Automatický překladač se sice snažil, ale některá místa mu opravdu nešla. Na české univerzitě lze předpokládat lepší vyjadřovací schopnosti.
• Stresování uživatele odepřením služby (takto se uživatelská podpora nechová).
• Někdo chce sdělit Vaše heslo - na to nemá nikdo nárok, ani pracovníci HelpDesku.
• Adresa odesílatele (From) i adresa pro odpověď (Reply-To) není ze ZČU, "helpdesk@zcu.cz" je jen popisek pro adredy z freemailových serverů.
• V zápatí je automatická reklama na odesílající freemailový server, tj. zpráva nejspíš nebude z helpdesku.

E-mail rozesílaný 21.3.2011 některým uživatelům Webmailu

Obzvlášť zákeřná varianta phishingu cílená na uživatele ZČU.

Subject: Váš e-mail úcet byl pozastaven
Date:    Mon, 21 Mar 2011 10:00:01 +0100
To: 	  undisclosed-recipients: ;
From:    "ZCU" <security@zcu.cz>

Vážený zákazníku,
Je nám líto Vás informovat, že nejsme schopni ověřit totožnost svého účtu.
V zájmu ochrany zabezpečení vašeho účtu.
Máme ukončena svůj WEB MAIL účet zasedání.
Za účelem vyřešení této situace.
Máme prosit, abyste klikli na odkaz níže SECURE POTVRDIT případné nálezy.

*MailScanner has detected a possible fraud attempt from "www.ccvsw.de" claiming 
to be* http://www.webmail.zcu.cz <http://www.ccvsw.de/templates/webkdc.zcu.cz.htm>

Děkujeme, že jste si vybrali ZČU Webmail.
ZČU e-mailové služby.

Poznámka: Tučně označený text vložil univerzitní poštovní server, aby zvýraznil, že zobrazený text a hypertextový odkaz vedou na odlišná místa. V prostředí webmailu je tento text ještě navíc červený.

Pokud jste klikli na uvedenou adrese, mohli jste vidět následující formulář:

Co je zde podezřelé?

• Jazyk sdělení. Automatický překladač se sice snažil, ale některá místa mu opravdu nešla. Na české univerzitě lze předpokládat lepší vyjadřovací schopnosti
• Stresování uživatele odepřením služby (takto se uživatelská podpora nechová)
• Rozdílný cíl hyperlinkového odkazu a zobrazované části + upozornění poštovního serveru na tento jev
• Podvržená stránka sice vypadá stejně jako originál, ale je v doméně .de místo .zcu.cz
• Podvrženou stránku nelze ověřit, protože nemá certifikát ZČU (resp. tady je dokonce pouze http)

Při zadávání hesla je potřeba si vždy ověřit na jakou stránku přistupujeme - musí být splněny všechny následující podmínky

• musí být zabezpečená (https) - musíte zkontrolovat sami
• certifikát musí odpovídat dané adrese (URL) - zkontroluje prohlížeč
• musíte být na správné stránce (neco.zcu.cz) - musíte zkontrolovat sami

E-mail rozesílaný 17.3.2011 některým uživatelům Webmailu

Snaha o vylákání přístupových údajů přes webový formulář.

Subject: Důležité upozornění
Date: 	Thu, 17 Mar 2011 17:47:49 +0100 (CET)
To: 	undisclosed-recipients: ;
From: 	"Toufik Saada" <saada@u-pec.fr>

DGTFX byl detekován virus ve schránce. Váš účet Webmail / Mailbox musí být povýšen do naší nové 
zajištěné DGTFX antivirus, aby nedošlo k poškození našich stránkách a sítě. Klikněte na odkaz 
níže zabezpečit Váš e-mail a aby se zabránilo šíření viru do 48 hodin.

Klikněte zde: http://webstand.com.br/formgenerator/use/upgrade/form11.html

Omlouváme se za všechny incoveniences bychom způsobily vy.

Poznámka: Vaše heslo je šifrován pomocí klíčů RSA 1024 bitů pro Vaši bezpečnost

Děkujeme za vačo spolupráci-operaci

WEBMAIL INTERNET tým podpory
Potvrdit váš účet WEBMAIL

Na uvedené adrese je pak následující formulář:

Co je zde podezřelé?

• Jazyk sdělení. Automatický překladač se sice snažil, ale některá místa mu opravdu nešla. Na české univerzite lze přepokládat lepší vyjadřovací schopnosti
• Někdo chce znát Vaše heslo a další údaje. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo.
• Zadávat heslo Orion na webové stránky v brazilské doméně je podezřelé
• Adresa odesílatele saada@u-pec.fr nemá se ZČU nic společného.
• Vyhrožování nutností reakce do 48 hodin.
• Stresování odepřením služby a možností zavirování počítače uživatele (takto se uživatelská podpora nechová)

E-mail rozesílaný 9.1.2011 některým uživatelům Webmailu

Zpráva po uživateli vyžaduje zaslání uživatelského jména a hesla spolu s datem narození, jinak nebude možné přijímat/odesílat emaily a nebude moci být zprovozněna poslední antivirová ochrana. Navíc, pokud se s odesláním požadovaných dat bude otálet dojde ke zrušení poštovní schránky.

Subject: Dear Account Owner
Date: Sun, 09 Jan 2011 08:58:08 -0600
From: Webmail Upgrading Team <info@webmail.org>
Reply-To: upgradingcenter@sify.com

Dear Account Owner,

  It has come to our notice that your email has not passed the
verification/Update process that we are presently working on.
  We are currently upgrading our data base and
e-mail account center .We are deleting all
Webmail email account to create more space for new
accounts. To prevent your account from closing
you will have to update it so that we will know that
it's a present used account.
***********************************************
CONFIRM YOUR EMAIL IDENTITY BELOW
Email Username : ......... .....
EMAIL Password : ...............
Date of Birth : ................
************************************************

 ****IMPORTANT :
This updating is compulsory as a result of our recent server changes. If
you fail to update your email address you will soon be unable to
receive/send mails.Also your email will not be equipped with the latest
anti-virus system in our new servers.
This will make your email and PC vulnerable to virus attacks from the
internet.

****HOW TO UPDATE:
  To update simply send the above to upgrading admin as appropriate.Failure
to do so immediately will lead to SUSPENSION of your WEBMAIL ACCOUNT.

Thanks for your co-operation,
Customer Care Team

Co je zde podezřelé?

• Jazyk sdělení. Na české univerzitě by jistě byla posílána také česká verze.
• Někdo chce znát Vaše heslo. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo.
• Adresa odesílatele info@webmail.org ani příjemce odpovědi upgradingcenter@sify.com nemá se ZČU nic společného.
• Vyhrožování nutností okamžité reakce.
• Stresování odepřením služby a možností zavirování počítače uživatele (takto se uživatelská podpora nechová)

E-mail rozesílaný 2.12.2010 některým uživatelům freemailových schránek

Zpráva po uživateli vyžaduje zaslání uživatelského jména a hesla pod průhlednou záminkou modernizace poštovní schránky.

Subject: Re-Reative
Date: Čtvrtek, 2 Prosinec, 2010 07:42 CET
From: Email Correo Remote Please Login Your Account <seznam89@hotmail.com>

Vážení E-mail uživatele, @ seznam.cz, @ email.cz, @ spoluzaci.cz, @ firmy.cz, @ stream.cz, @ post.cz

Máme docasne omezený prístup k citlivým všechny funkce úctu v našem e-mailové úcty. V zájmu obnovení 
svého úctu prístup, musíte odpovedet na tento e-mail ihned s Vaším
uživatelské jméno a heslo :(______________) :(_______________).

Vzhledem k mnohem nevyžádané / spamové e-maily mužete prijímat denne, v soucasné dobe modernizaci všech 
e-mailových úctu spam filtr pro omezení nevyžádané e-maily pro bezpecnost duvodu a na modernizaci naší 
nove vylepšené e-mailového úctu funkcí, aby zajistily nemáte zkušenosti prerušení provozu.

Musíte odpovedet na tento e-mail ihned se svým uživatelským jménem a heslem, aby nám upgrade svého 
e-mailového úctu správne. Confirmtion odkaz bude posílat k vám Re-Aktivace e-mailový úcet, jakmile jsme 
obdrželi Vaši odpoved a jste k Kliknete na "Potvrdit E-mail", odkaz na váš mail
Úcet pole a zadejte toto potvrzení císlo: 1265-6778-8250-8393-5727.

Dekujeme za pochopení.
Technická podpora Copyright 2010. 

Co je zde podezřelé?

• Jazyk sdělení. Na první pohled je vidět automatický překlad z angličtiny do češtiny, tímto způsobem by žádná technická podpora neoslovila své uživatele.
• Někdo chce znát Vaše heslo. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo.
• Adresa odesílatele seznam89@hotmail.zcu.cz nesouvisí s technickou podporou.
• Vyhrožování nutností okamžité reakce.

E-mail rozesílaný 26.11.2009 některým uživatelům sítě WEBnet

Zpráva po uživateli požaduje zaslání jména, příjmení, ID (loginu) a hesla, pod záminkou úpravy databáze. V závěru se ještě vyhrožuje, že pokud nebudou údaje zaslány do 48 hodin, dojde ke zrušení konta.

Subject: ZCU WEBMAIL ACCOUNT MAINTENANCE
Date: Wed, 25 Nov 2009 19:52:39 -0300 (CLST)
From: ZCU ACCOUNT MAINTENANCE <zcu@customercare.cc.tc>
Reply-To: customercare@cc.tc

Dear 'ZCU Webmail' E-mail User,

We are currrently upgrading our database and all account need
to be verified.To complete your account activation with us, you
are required to reply to this message and enter correctly the
informations that is required from you.
Fill in your password in the space provided (********)
You are required to reply to this e-mail within the next 48 hours.
Failure to get back to us, your e-mail account will be
de-activated from our database.

Full Name:
ID:
Password:

verified at https://webmail.zcu.cz
Thank you for using ZCU Webmail Copyright 2009 © ZCU Web Team.

Co je zde pozdezřelé?

• Jazyk sdělení. Proč by se na české univerzitě měly rozesílat zprávy pouze v angličtině?
• Někdo chce znát Vaše heslo. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo.
• Odesílatel není ze ZČU - jinak by adresa odesílatele končila zcu.cz. Zde je odesílatel zcu@customercare.cc.tc
• Odpověď by byla zaslána mimo ZČU na adresu customercare@cc.tc.
• Vyhrožování zrušením schránky v případě, že údaje nebudou zaslány.

E-mail rozesílaný 15.9.2009 některým uživatelům sítě WEBnet

Zpráva po uživateli požaduje zaslání jména, příjmení, loginu a hesla, pod záminkou zvýšení prostoru e-mailové schránky. V závěru se ještě vyhrožuje, že pokud nebudou údaje zaslány, dojde k zablokování konta z bezpečnostních důvodů. Zajímavé je také zápatí e-mailu - zdařile vytvořený copyright, se kterým si dal někdo práci.

Subject: WEBMASTER
Date: Tue, 15 Sep 2009 07:27:52 -0700 (PDT)
From: "webmaster" <webmaster@zcu.cz>
Reply-to: webmail_alert@mail2webmaster.com
To: undisclosed-recipients:;
  
Attention All
Your Webmail Quota Has Exceeded The Set Quota/Limit Which Is 20GB.
Your Are Currently Running On 23GB Due To Hidden Files And Folder On
Your Mailbox.
Please you are to follow the Below information to Validate Your Mailbox
And Increase Your Quota.

First Name:
Last Name:
Username/ID:
Password:


Failure to follow this process to Validate Your Quota may result in loss
Of important information in your Mailbox/Or Cause Limited Access To It.

*Important*
Please provide all these information completely and correctly otherwise
due to security reasons we may have to close your account temporarily.We
have been sending this notice to all our email account owners and this
is the last notice/verification exercise.


WEBMASTER
University of West Bohemia in Pilsen
Univerzitni 8, 306 14 Plzen, Czech Republic
Copyright © 2009 University of West Bohemia. All rights reserved.

Co je zde pozdezřelé?

• Jazyk sdělení. Proč by se na české univerzitě měly rozesílat zprávy pouze v angličtině?
• Někdo chce znát Vaše heslo. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo.
• Odpověď by byla zaslána mimo ZČU na adresu webmail_alert@mail2webmaster.com.
• Vyhrožování odstavením schránky v případě, že údaje nebudou zaslány.
• Zmiňovaná velikost e-mailové schránky 20GB

E-mail rozesílaný 3.6.2009 některým uživatelům sítě WEBnet

Zpráva po uživateli požaduje zaslání loginu, hesla a dalších údajů, pod záminkou vylepšení uživatelského konta.

Subject: UP-GRADE YOUR E-MAIL ACCOUNT 
Date: Wed, 3 Jun 2009 13:48:13 -0600 (MDT)
From: THE ZCU ACCOUNT HELP TEAM <accounthelp@zcu.cz>
Reply-to: accounthelp2@auto.lt
To: MISSING_MAILBOX@MISSING_DOMAIN

Dear valued customer,

We are currently performing maintenance for our
Digital Webmail Customers. We intend upgrading
our Digital Webmail Security Server for better
online services.

In order to ensure you do not experience service
interruption,Please you must reply to this email
immediately and enter your

Email Username:
Email password :
Country:
State:
Date of Birth:
Sex:

and Check out your new features and enhancements
with your new and improved Zcu Account,To
enable us upgrade your Zcu Account for better
online services please reply to this mail.

Thank You For Using Zcu Account

Co je zde pozdezřelé?

• Jazyk sdělení. Proč by se na české univerzitě měly rozesílat zprávy pouze v angličtině?
• Někdo chce znát Vaše heslo. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo.
• Odpověď by byla zaslána mimo ZČU na adresu accounthelp2@auto.lt.

E-mail rozesílaný 14.4.2009 některým uživatelům sítě WEBnet

Zpráva po uživateli požaduje zaslání orion loginu, hesla a telefonního čísla pod pohrůžkou zablokování uživatelského konta.

Subject: Warning Notice!!!
Date: Tue, 14 Apr 2009 15:40:16 +0800
From: zcu.cz <zcu.cz-web.admin@zcu.cz>
Reply-To: upgradteam6@gmail.com
To: user@zcu.cz

You email account needs to be upgraded to our new
F-Secure® HTK4S anti-virus/anti-spam 2009 version.


Click reply tab, Fill the columns below and send
back to us or your account will be suspended
temporarily from our services.

ORION LOGIN:
HESLO:
PHONE NUMBER:


www.zcu.cz  Web-Administrative Upgrade Team

Co je zde pozdezřelé?

• Jazyk sdělení. Proč by se na české univerzitě měly rozesílat zprávy pouze v angličtině?
• Někdo chce znát Vaše heslo. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo.
• Odpověď by byla zaslána mimo ZČU na freemailovou adresu upgradteam6@gmail.com.

E-mail rozesílaný 9.6.2006 některým uživatelům KKY

Zpráva informuje o nutnosti potvrdit e-mailový účet, jinak bude zablokován. Pro potvrzení prý stačí kliknout na zobrazý odkaz.

Dear Valued Member, 

According to our terms of services, you will have to confirm your e-
mail by the following link, or your account will be suspended within
24 hours for security reasons.

http://www.kky.zcu.cz/confirm.php?account=jozinzbazin@kky.zcu.cz
(http://161.246.71.20/ConfirmationSheet.pif)

After following the instructions in the sheet, your account will not
be interrupted and will continue as normal.

Thank you for your attention to this request. We apologize for any 
inconvenience.

Sincerely, Kky Abuse Department

Co je zde pozdezřelé?

• Všimněte si zejména jiného odkazu uvedeného v závorce. Pokud čtete e-maily pouze v textovém formátu, je e-mail zobrazen přesně jako v ukázce a rozdíl je ihned vidět. E-maily zpracované jako html stránka nezobrazí odkaz v závorce, po kliknutí se dostanete na adresu uvedenou v závorce. Na uvedené adrese je spustitelný soubor a když potvrdíte jeho otevření ... vydali jste se na pospas majiteli spuštěného souboru.
• Jazyk sdělení. Proč by se na české univerzitě měly rozesílat zprávy pouze v angličtině?
• Zkratka Katedry kybernetiky má být KKY, ale je chybně napsána jako Kky
• Z bezpečnostních důvodů by Vám bylo konto zablokováno hned, pro odblokování byste musel zajít osobně na HelpDesk.

E-mail zaslaný 16.6.2006 uživatelům seznam.cz

Zpráva se snaží přimět čtenáře zaslat jeho jméno a heslo na adresu autora této zprávy.

Vážení uživatelé Emailu,
V těchto dnech spouštíme na Emailu významnou novinku, která zrychlí vaši práci s poštou.
Tuto novinku nazýváme Bezpečně a rychle.

Provádíme změny ohledně bezpečnosti a rychlosti našich stránek. Dne 12.7.2006 se budou 
stránky seznam rekonstruovat.

Bro bezpečnost dat. Nám zašlete své uživatelské jméno a heslo. Jinak se automaticky po 
opravě sistému vaše e-mailová schránka zruší.

Děkujeme za pochopení.
Váš
seznam.

Co je zde podezřelé?

• Někdo chce znát Vaše heslo. Nikdo jiný než Vy, a tím se myslí opravdu nikdo, nemá nárok znát Vaše heslo!
• Vysoký počet pravopisných chyb a překlepů, který je typický pro phishing

E-mail zaslaný 3.10.2006 některým uživatelům sítě WEBnet

E-mail informuje o novém typu viru, který se šíří jako příloha e-mailu a který byl detekován v e-mailech odeslaných z Vašeho počítače. Dále se zde uvádí, že virus odstraníte spuštěním souboru v příloze.

Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).


Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail
addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service

Co je zde podezřelé?

• V textu je uvedeno, že viry objevil firewall - to je nesmysl, firewall v žádném případě neprovádí kontrolu došlé pošty
• Bezpečnostní záplaty nejsou v žádném případě zasílány e-mailem.

Odkazy

• http://antiphising.org/ - server zabývající se phishingem a obranou proti němu (v AJ)
• http://www.phishtank.com - komunita bojující s phishingovými servery, měsíční statistiky hlášených případů (v AJ)
• http://www.security-portal.cz/clanky/phishing-1.html - pohled na sociálně-psychologickou stránku phishingu
• http://www.security-portal.cz/clanky/phishing-2.html - pohled na technickou stránku phishingu
• http://www.lupa.cz/clanky/phishing-novy-trend-v-podvodnych-dopisech/ - povídání o phishingu od P. Satrapy