Článek
Internet je místem plným nástrah, podvodných reklam, falešných profilů či smyšlených e-mailů. Většina uživatelů už si na takové prostředí zvykla, mnoho lidí již ví, že se na neznámé odkazy nekliká. Banky nebo úřady také nechtějí citlivé a osobní údaje po telefonu nebo dokonce přes WhatsApp. A to, že osvěta před takzvanými kyberšmejdy víceméně funguje, si uvědomují i sami zločinci, kteří se snaží jít každým rokem o kus dál. Jejich triky jsou stále propracovanější, už dávno neobsahují chyby a v podstatě působí věrohodně. Někdy pak dokáží zmást i uživatele, jejichž povědomí o kyberbezpečnosti je slušné.
Fingovaný mail od OpenAI
Tento týden přistál v mojí schránce e-mail vypadající na první pohled perfektně. Žádné chyby, krásná grafika a text v angličtině s čistým a moderním fontem, který přesně odpovídá stylu komunikace ChatGPT. Odesílatelem se jevila společnost OpenAI stojící právě za tímto populárních chatbotem. Vizuálně šlo o práci, kterou lze bez mrknutí oka považovat za originál.
Já si ale stojím za příslovím důvěřuj, ale prověřuj. ChatGPT čas od času ve firmě využíváme, tak jsem si v první chvíli skutečně myslel, že se jedná o oficiální komunikaci. Jakmile jsem však uviděl adresu odesílatele, bylo jasné, odkud vítr vane. V další chvíli jsem si všiml, že zpráva přišla do mé soukromé schránky, která ani u OpenAI nemá registraci.
Skutečnost, že e-mailová zpráva vyžadovala aktualizaci platební metody za verzi ChatGPT Plus a přišla z obyčejného gmailového účtu, byla jedinou, ale zároveň klíčovou indicií, že se jedná o podvod s cílem vylákat například číslo platební karty nebo zaplatit předplatné za službu podvodníků. Na odkaz jsem samozřejmě neklikl a nahlásil zprávu jako spam.
Raději dvakrát ověřovat, než naletět
Takové scamové útoky jsou stále častější. Původně byly jasně rozpoznatelné díky chybám či kostrbatým slovním spojením. Dnes, pokud přijdou v češtině, bývají napsané věrohodně, ale vzhledem ke globalizaci, již uživatele nemusí zmást ani angličtina, jako tomu je v tomto případě s OpenAI.
Kyberšmejdi umí věrně napodobit vzhled e-mailů od bank, institucí i technologických firem. Dávno neútočí jen na méně zkušené uživatele. Jejich cílem jsou rovněž lidé počítačově gramotní. Šmejdi vědí, že i lidé s dobrým povědomím o kyberbezpečnosti mohou ve spěchu udělat fatální chybu. Stačí, když přehlédnou jedinou nenápadnou drobnost, jako je třeba chyba v URL adrese, kterou dnes hodně prohlížečů zejména v mobilních zařízeních kvůli úspoře místa na obrazovce skrývá, a nebo třeba e-mailovou adresu odesílatele, již útočníci dobře maskují. Při kontrole se nestačí jen podívat na jméno odesílatele, je potřeba rozkliknout skutečnou e-mailovou adresu, která zfalšovat nejde.
Zpráva vypadá věrohodně, ale lze snadno odhalit, že se jedná o scam. Společnost OpenAI by určitě nikdy nepsala z takto podivné e-mailové adresy
V tomto konkrétním případě tvůrci falešné zprávy využívají toho, že jsou služby typu ChatGPT Plus čím dál běžnější a že upozornění na nutnost aktualizace plateb mohou uživatelé dostávat i legitimně. Spojení s profesionálně vytvořeným designem pak vyvolává důvěru.
V podobných případech je tedy důležité zpomalit a učinit tyto základní věci:
- neklikat na žádný odkaz
- zkontrolovat, zda se adresa odesílatele shoduje s realitou (v tomto případě by zpráva měla přijít z domény openai.com).
- pokud adresa odesílatele není legitimní, e-mail smazat a v ideálním případě i nahlásit.
Kyberšmejdi se přizpůsobují době. A pokud se jim chceme ubránit, musíme činit to samé. Stačí malá dávka pozornosti navíc. A právě ta může rozhodnout o tom, zda zůstaneme v bezpečí, nebo padneme do pasti.
