Pátek 29. března 2024, svátek má Taťána
130 let

Lidovky.cz

Na internetu nevěřte ani vlastní matce, říká IT expert

Věda

  6:30aktualizováno  18:43
Americký profesor Dennis Galletta zkoumá, co uživatele internetu přiměje k reakci na podvodné emaily

Americký profesor Denis Galletta foto: Ondřej Němec, Lidové noviny

Naletět podvodníkům je na internetu je mnohem snazší, než jsme si ochotni připustit. Přední americký odborník na elektronickou komunikaci Dennis Galletta, který v květnu přednášel na pražské pobočce University of Pittsburgh, má svá tvrzení podložena nejnovějším, dosud nezveřejněným výzkumem.

Osobnost

Dennis Galletta

Narozen 1953 v Pennsylvánii.
V roce 1985 dokončil doktorské studium zaměřené na manažerské informační systémy a psychologii na University of Minnesota.

V současnosti přednáší na univerzitě v Pittsburghu i na Harvardově univerzitě.

Působil jako prezident Asociace pro informační systémy sdružující akademiky z celého světa.

Publikuje v mnoha odborných počítačových časopisech, působí též v edičních radách několika periodik.

Jeho výzkum je zaměřen na běžného uživatele počítače, na jeho zvyky a faktory ovlivňující produktivitu práce v oblasti informačních technologií.

Jak intenzivně využíváte elektronickou poštu?
Dostávám denně asi tak dvě stě emailů.

Máte kontakty na sebe uveřejněné na internetu, jsou snadno dostupné studentům, ale tím pádem k nim mají přístup i roboti vytvářející databáze adres pro zasílání různých nabídek. Chodí vám hodně spamů?
Vlastně ani ne. Máme na univerzitě velmi dobré protispamové filtry, takže nevyžádané pošty je docela malá část. Ovšem mezi nimi se kromě reklam najdou i podvodné a potenciálně nebezpečné maily.

Takže hlavní předmět vašeho zájmu, tzv. phishing, můžete zkoumat i ve vlastní emailové schránce. Můžete přiblížit, co vlastně phishing je?
Je to postup, jímž se podvodník snaží dostat k nějakým citlivým informacím, například k číslu vaší kreditní karty, k heslu používanému pro přístup k internetovému bankovnictví a podobně.

Kdy se phishing objevil?
Velmi brzy po nástupu internetu. E-mail byl populární službou už na počátku devadesátých let a pokusy vylákat například přihlašovací hesla se objevovaly už tenkrát, například v síti America Online. Ovšem docela dlouho trvalo, než se problematika začala seriózně zkoumat. První studie vyšla v roce 2006.

Co vědci zkoumali?
Na Harvardu a na univerzitě v Berkeley proběhly experimenty, v nichž se snažili zjistit, kdo dokáže odhadnout, která stránka je pravá a která podvržená. Ukázalo se, že některé podvržené weby vytvořené zkušenými profesionály dokázaly oklamat devět lidí z deseti. Mezi napálenými byli i velmi vzdělaní a zkušení uživatelé internetu.

Jaké postupy jsou při pokusu zmást uživatele nejúčinnější?
Efektivní podstrčení falešné adresy výzkumníci demonstrovali na webu Wells Fargo, čtvrté největší banky ve Spojených státech. Skutečná adresa webu této instituce je www.wellsfargo.com. Když však dojde k záměně písmena w za dvě jednoduchá v, nemusíte rozdíl postřehnout, a přitom jde o zcela jinou adresu. Tímto konkrétním fíglem se při výzkumu dalo oklamat devadesát procent lidí. Kdyby šlo o klienty banky Wells Fargo, na falešný odkaz by klikli, dostali by se na web, který by vypadal zcela stejně jako stránka banky, ovšem všechno, co by při pokusu o přihlášení se k účtu zadali, by šlo rovnou do databáze podvodníků. Tento výzkum proběhl v laboratorních podmínkách, ovšem i informace o skutečném phishingu jsou velmi zneklidňující. Nebezpečný je fakt, že přibližně čtvrtina uživatelů ignoruje, co odkaz vlastně říká. Proto se internetoví padouši vytvořením vizuálně podobné adresy, tedy registrací příslušné domény, často ani neobtěžují a jméno instituce, na niž útočí, uvedou jen v textu odkazu, jehož cílová adresa je však zcela jiná. To se sice dá snadno poznat přidržením myši nad odkazem nebo pohledem na stavový řádek e-mailového klienta, ovšem lidé tyto snadno dostupné informace přehlížejí.

Je potřeba více osvěty?
Určitě. Je třeba více zvažovat následky. Lidé ve čtyřiceti procentech případů neodhadnou, co je legitimní požadavek a co ne.

Nelze problém vyřešit technickou ochranou?
Ani v případě, kdy při přechodu na podvrženou adresu prohlížeč upozornění na neplatnost bezpečnostních certifikátů, není chování běžných lidí příliš odlišné. Náš výzkum ukázal, že většina lidí varování ignoruje, odklikne volbu pokračovat a na stránku stejně přejde. Lidé odchovaní různými výstrahami operačních systémů jsou zvyklí varování nebrat vážně, často je ani nečtou. V jednom z pokusů ze zkušebního vzorku čítajícího přes dvacet lidí každý alespoň jednou špatně vyhodnotil situaci a falešnou stránku považoval za pravou.

Co lidi přiměje reagovat na podvodný e-mail?
Ve studii z roku 2007 provedené na technické univerzitě MIT a University of Indiana se testoval vliv identity domnělého odesílatele. Výzkumníci si o lidech účastnících se experimentu zjistili mnoho osobních informací z jejich stránek na Myspace, což tehdy byl jeden z nejpopulárnějších komunitních serverů. Údaje o svých zálibách, preferencích i o přátelích a kontaktech na ně, především jejich e-mailových adresách, dotyční zveřejnili zcela dobrovolně často dlouho před začátkem pokusů. Vybaveni tímto seznamem vědci rozeslali zkoumanému vzorku studentů e-mail s předmětem "Koukni se na tohle". V těle dopisu byl jen hypertextový odkaz. Když na něj zkoumané osoby klikly, dostaly se na stránku, která po nich chtěla jejich přihlašovací jméno do univerzitní sítě a a heslo. Reakce lidí se lišila podle toho, kdo byl uveden jako odesílatel. Když byl v položce Od: někdo z jejich přátel, polovina osob své údaje zadala. Odesílatel e-mailu však může být někdo zcela jiný, tato položka se dá bez velkých technických znalostí snadno změnit. V kontrolní skupině, která dostala e-mail od osoby, kterou neznala, na odkaz kliklo a následně své údaje odevzdalo šestnáct procent osob. To se zdá málo, ale ve skutečnosti je to strašně vysoké číslo, vždyť reagovali na strašně primitivní výzvu, která se ani nesnažila nijak kamuflovat. Naletěl každý šestý student, tedy nadprůměrně zdatný uživatel počítače. A takové výsledky dal výzkum starý jen tři roky!

Myslíte, že se lidé od té doby nepoučili?
Je to možná ještě horší. Mám k dispozici ještě nezveřejněná data z našeho výzkumu provedeného na 595 osobách a z nich plyne, že pokud se odesílatel vydává za osobu, kterou příjemce zná, své přihlašovací údaje odevzdá 72 procent lidí. Průzkum provedený na elitní vojenské akademii West Point ukázal, že z tamních studentů takovou chybu udělá dokonce osm z deseti. Přitom sedmdesát procent dat bylo shromážděno během dvanácti hodin od rozeslání e-mailu. Útočník může uživatelská hesla nashromáždit velmi rychle, následně zruší svůj účet a zamete stopy.

Jak studenti na výsledky testů reagovali?
Mnoho jich bylo rozzlobeno. Žádali, aby jejich profesor byl propuštěn. Říkali: zneužili jste mé soukromé informace, nabourali jste se mi do e-mailové schránky. Nikdo se přitom nikam nevloupal, jen šli na veřejnou stránku na Myspace! K získání těchto informací nebylo potřeba udělat nic zvláštního. Dnes Myspace v popularitě předběhl Facebook, to je nový zlatý důl, zde se dá s minimální námahou získat ohromné množství údajů, které mohou otupit vaši ostražitost.

Kdo na takové podvody nejčastěji naletí?
Podle našich výsledků jsou důvěřivější ženy, sedmdesát sedm procent z nich léčku neprohlédlo. Mužů se nechalo chytit šedesát pět procent. Zajímavé je, že když se odesílatel vydává za ženu, klikají muži častěji. Mladší studenti jsou zranitelnější než jejich zkušenější kolegové. Do jisté míry jsou vůči tomuto typu podvodů imunnější lidé se zájmem o techniku. Je pozoruhodné, kolik lidí automaticky věří, že údaje o odesílateli jsou pravdivé. Když e-mail o sobě tvrdí, že ho poslali z Microsoftu, je z Microsoftu, když od Billa Gatese, je od Billa Gatese. Během pěti minut se přitom můžete naučit, jak to zařídit, aby váš e-mail na první pohled vypadal jako od Billa Gatese. To lidé se zájmem o počítače většinou chápou.

Co ještě ovlivňuje úspěšnost podvodů?
Lidé ostatním věří a klikají na všechno, o čem si myslí, že jim přinese prospěch či zábavu. Rizikovými faktory na straně uživatele je například zvědavost a bezstarostnost ohledně rizik. Celkem podle očekávání častěji kliknou lidé, kteří se zrovna nudí. Čím vyšší úroveň vzdělání, v našem případě čím víc semestrů měla daná osoba za sebou, tím bylo méně pravděpodobné, že na odkaz klikne. Lidé, kteří udávali, že internet je součástí jejich identity, jejich života, klikali na podstrčený link méně často. Zřejmě si více uvědomují přínosy i rizika internetu.

Myslíte si, že je průměrná populace ve srovnání s vaším "zkušebním vzorkem" tvořeným studenty podvody ohrožena více, nebo méně?
Řekl bych, že spíš více, je obecně méně zkušená.

Jaká je nejlepší obrana před podvody?
Být nedůvěřivý. Podezírat každého. Je tolik útočníků, kteří slídí po vašich datech. Opatrnost je na místě i v osobním styku nebo v tom, co za něj pokládáme. Jsou nejméně tři důvody, proč ignorovat e-mail, který nás vyzývá "Koukni na tohle", i když přijde od vlastní matky. Prvním důvodem je, že vůbec nemusí být od vaší matky. Za druhé, i kdyby byl od ní, je možné, že si neuvědomuje rizika, která jsou s návštěvou odkazované stránky spojena. A třetím důvodem je to, že e-mail sice mohl přijít z počítače vaší matky, ale ona ho neposlala. E-mail mohl vygenerovat virus, který jen využil uložené kontakty. Proto radím: Nevěřte své matce, přinejmenším na internetu.

Autor: