Páteční zpráva o podvodném e-mailu, který si kladl za cíl vylákat přihlašovací údaje od uživatelů bankovních služeb Citibank vzbudil velký rozruch nejenom v počítačové komunitě, ale i v masových médiích. Prakticky všechny sobotní deníky přinesly zprávu o této akci neznámých záškodníků.
Zatím není zřejmé, zda podvodníci byli úspěšní a podařilo se jim nějaké údaje od klientů vylákat. Na stránkách Citibank je ale umístěn velký banner odkazující na upozornění o podvodných e-mailech. Pop-up okno s upozorněním se otevře také při vstupu na stránku, ale to se s ohledem na ochranu před automaticky otevíranými okny, nemusí uživatelům zobrazit.
My jsme se pídili po možném původu tohoto e-mailu. Text je napsán poměrně dobrou češtinou, mimo jedné odsunuté tečky na konci věty nelze textu prakticky nic vytknout. Pro kódování je použita znaková sada UTF-8, což je patrně důvod, proč mnoha uživatelům došla zpráva s totálně pokaženou češtinou.
Pohledem do hlavičky e-mailu zjistíme další zajímavé věci. Moje zpráva byla odeslána z adresy softbank219004122084.bbtec.net (IP 219.4.122.84), což nemusí být nutně adresa odesílatele, ale serveru, ze kterého zpráva odcházela.
Zajímavý je časový údaj odeslání - v případě zprávy, která dorazila do mé schránky byl čas posunut o pět hodin dozadu, což by napovídalo, že k odeslání došlo z východního pobřeží USA, případně ze západněji položených zemí jižní Ameriky. To ale nesedí s geografickou lokací výše uvedené IP adresy, která směřuje někam do Japonska. Měl by proto některý z technicky zdatnějších čtenářů nějaké vysvětlení? Že by špatně nastavený čas na serveru? E-mailovým klientem byl program The Bat! verze 2.00.6.
V dalším pátrání jsme se zaměřili na obsah e-mailu. Za pozornost stojí datum, kterým je úvod zprávy opatřen. Je použit tzv. americký způsob zápisu, kdy je na první pozici uveden měsíc a až poté následuje den. Odkazované URL směřuje na adresu citi-online.czechrepubliblic-online.com. To působí dojmem, jako kdyby autor výběr domény přizpůsoboval zvolené subdoméně (nebo samozřejmě také obráceně). Datum registrace domény je přitom pouhý den před tím, než byly e-maily rozeslány (2. 3. 2006).
Doména byla registrována prostřednictvím služby joker.com s následujícími údaji:
DOMAIN czechrepublic-online.com
Registrar: JOKER.COM
Status: hold,infringe-3rd-parties
Owner
Name: Travis Godfrey
Organization:
Email: czechrepublic_online_com@fsmail.net
Address: 1630 Aliwood Way
Postalcode/City: 84010 Bountiful
State: --
Country: US
Administrative contact: czechrepublic_online_com@fsmail.net#0
Technical contact: czechrepublic_online_com@fsmail.net#0
Billing contact: czechrepublic_online_com@fsmail.net#0
Nameserver: ns1.my-dns-zone.com
ns2.my-dns-zone.com
Jménem a adresou se nemá cenu zabývat. S největší pravděpodobností jsou falešné. Zajímavý je status, který dává tušit, že proti existenci domény již byly podniknuty nějaké kroky. Jedinou stopou je tak e-mailová adresa, která by mohla být pravá. Po zadání fsmail.net do prohlížeče je uživatel přesměrován na britské stránky společnosti Wanadoo, která se patrně už dříve stala vlastníkem této domény a e-mailových služeb na ní poskytovaných.
Pátral jsem také na českém internetu a z tohoto zápisku na blogu Filipa Rožánka je zřejmé, že zprávy chodí z různých IP adres. Co to znamená? Pro jejich rozesílání je nejpravděpodobněji používán nějaký spyware, který mají ve svých počítačích nainstalovaný nic netušící uživatelé.
Co říci závěrem? Nedobrali jsme se celkem k ničemu, ale to se dalo očekávat. Ať už je původcem těchto e-mailů kdokoli, osobně ho tipuji spíše na zkušeného profesionála. Ostatně nemusí jít ani o člověka z České republiky. Možná by stálo za to prověřit, zda se podobný phishingový e-mail v poslední době neobjevil i v jiných jazykových mutacích.