FK~

Moje odkazy

Ostatní odkazy

EFF: svoboda blogování
Close Windows
Nenajdete mě na Facebooku ani Twitteru
Rozpad EU
Jsem členem FSF
Jsem členem EFF
There Is No Cloud …just other people's computers.

Neposílejte podvodné e-maily

vydáno: 16. 4. 2012 11:51, aktualizováno: 10. 12. 2013 19:30

Myslíte, že se vás to netýká? Možná ano a možná se lidem, se kterými si píšete, zobrazuje podobné varování. V následujícím textu se dozvíte, jak to funguje a jak neděsit příjemce svých e-mailů.

Upozornění na nebezpečný e-mail v Thunderbirdu

Podvodné e-maily (phishing, rhybaření, scam) se tváří, že jsou od někoho důvěryhodného (např. banka) a snaží se z vás vylákat nějaké citlivé údaje (např. heslo) nebo vás donutit k nějaké akci. Aby vás útočník zmátl, vloží do zprávy text jako např.

https://www.paypal.com/bla-bla-bla-123

který je ale odkazem a ve skutečnosti vede na:

https://podvodna-domena.pk/bla-bla-bla-123

což je stránka vypadající stejně jako web PayPalu, ale patří útočníkovi a ten z vás vyláká jméno a heslo a ukradne vám peníze.

Když je uživatel hodně nepozorný, nemusí si toho všimnout a myslí si, že jde na stránky PayPalu. Poštovní klienti (např. Thunderbird) proto v takovém případě zobrazují varování. To se typicky zobrazí, když HTML e-mail obsahuje odkaz, který vypadá jako URL, ale vede jinam, případně když odkaz vede na IP adresu místo na doménu (http://192.0.43.10/…) nebo když obsahuje formuláře či skripty.

Pokud tedy posíláte (X)HTML e-maily (u prostého textu to nehrozí), nepoužívejte pro text obsahu něco, co připomíná URL – je to zbytečné a nesmyslné. Místo abyste vložili:

<a href="http://www.nase-firma.com/">http://www.nase-firma.com/</a>

použijte raději:

<a href="http://www.nase-firma.com/">Naše firma</a>

To je ostatně jedna z výhod (X)HTML, že můžete dát odkazům lidsky srozumitelný text a ne jen strojově čitelné URL.

Pokud byste navíc zadali jednou nase-firma.com a podruhé nase-firma.cz, zobrazovalo by se příjemci varování a váš e-mail by pro něj vypadal nedůvěryhodně. Přestože obě adresy mohou patřit vám a jsou na sebe přesměrované (např. starý a nový web).

Dalším zdrojem problémů jsou firmy a on-line služby zabývající se „e-mailovým marketingem“ (spam). Ty obvykle přepisují odkazy tak, aby vedly přes jejich web a mohli sledovat, kolik lidí e-mail četlo a klikli na odkaz. Pokud možno to nepoužívejte vůbec. Když už ale takovou službu použijete, nedávejte do textu odkazů URL – protože odkaz by se přepsal na něco jako:

<a href="http://spamovaci-firma.cz/sledujeme/0e07b57fc9dd955">
	http://www.nase-firma.com/
</a>

Což by opět e-mailový klient na straně příjemce interpretoval jako podvodný odkaz.

Jestli chcete vědět, zda příjemce váš e-mail četl, vyžádejte si doručenku (RFC 3798, Wikipedia). Příjemce vám ji pošle, bude-li chtít.

Když jsem tohle jednomu spamerovi (e-mailovému marketérovi) říkal, tak oponoval, že lidi neradi posílají doručenky, protože nechtějí, aby odesílatel věděl, že e-mail četli. A o to právě jde! Spamer se bojí, že by příjemce odeslání doručenky neodsouhlasil, tak mu pošle podvodný odkaz, u kterého bude sledovat, zda na něj uživatel klikl (odkaz obsahuje jedinečné číslo/řetězec pro daného příjemce, takže lze rozlišit, kdo to byl) a bude doufat, že příjemce bude dostatečně nepozorný. S tímhle přístupem jděte laskavě k čertu (a vezměte si s sebou i SEO a další podobné šmejďárny).

Témata: [e-mail] [počítačová bezpečnost]

Komentáře čtenářů


Anonym, 28. 10. 2012 22:11, URL [odpovědět]

Ono vypsani URL do textu odkazu ma hlavne duvod v tom, aby tam to URL bylo i v tistene podobe.


xkucf03, 29. 10. 2012 00:41, Odkazy a tisk [odpovědět]

Tohle má řešit e-mailový klient – při tisku např. vložit do textu [n] a na konec zprávy [n] http://example.com/stranka.xhtml, pro každý odkaz.

Každopádně i když se odesílatel rozhodne tuhle funkci suplovat (pak bych zvážil odesílat e-maily v prostém textu), tak je potřeba dát do href atributu přesně stejné URL jako do textu elementu a – jinak je to matoucí a správně vyhodnoceno jako podvodný odkaz.

Přidat komentář

reagujete na jiný komentář (zrušit)
jméno nebo přezdívka
název příspěvku
webová stránka, blog
e-mailová adresa
nápověda: možnosti formátování
ochrana proti spamu a trollům

Náhled komentáře