Nepříliš bezpečná novinka v datových schránkách

Až dosud datové schránky důrazně varovaly před umisťováním aktivních odkazů do notifikačních e-mailů, kvůli nebezpečí jejich zneužití. Teď je samy do svých nových notifikací umisťují, byť s určitým varováním.

V dnešní době se to jen hemží phishingovými útoky: prostřednictvím různě podvržených odkazů se podvodníci snaží přivést nic zlého netušící uživatele na podvodné stránky. To vedlo nejrůznější subjekty, které notifikace e-mailem zasílají, k aktivnější osvětě vůči příjemcům, a hlavně k zavedení a dodržování konkrétních bezpečnostních zásad. Například banky ve svých e-mailech neuvádí aktivní odkazy, vedoucí na přihlašování do jejich internetbankingu.

Ke stejné zásadě se ještě donedávna hlásily i samotné datové schránky, jak ukazuje i následující (dnes již archivní) podoba jejich nápovědy:

Notifikace od datových schránek byly skutečně rozesílány ve formátu čistého textu a neobsahovaly žádný aktivní odkaz. Tedy ani odkaz na samotný „vstup do datových schránek“, resp. klientský portál datových schránek. Naopak obsahovaly poučení pro uživatele, včetně zdůraznění absence jakýchkoli aktivních odkazů.

Teď je to jinak

Jak jste se již v závěru minulého týdne mohli dočíst v aktualitě zde na Lupě, agentura DIA (která má dnes datové schránky na starosti) oznámila řadu změn v jejich fungování, hlavně na portálu datových schránek.

Nejpříjemnější je asi možnost přepínání mezi jednotlivými schránkami přímo v rámci portálu, bez nutnosti odhlašování a nového přihlašování. Absence této možnost byla dlouhodobě kritizována. Teď je to dokonce univerzálnější než obdobné přepínání mezi schránkami na Portálu občana: tam se to týká jen schránek FO, PFO a PO, ve kterých má uživatel postavení (roli) oprávněné osoby, protože jiné se k Portálu občana připojit ani nedají. Na portálu datových schránek to teď funguje i pro ostatní role (tj. včetně schránek, do kterých má uživatel právo přístupu v roli pověřené osoby atd.).

Hodit se může i možnost náhledu příloh datových zpráv – byť zatím jen pro formáty PDF, JPG, PNG a ZFO, zatímco třeba HTML podporováno ještě není.

V tomto článku nás ale zajímají změny v notifikacích, které tisková zpráva agentury DIA tituluje jako „vylepšené“, a říká o nich toto:

Poslední nasazovanou novinkou bude zpřehlednění e-mailových notifikací, které chodí uživatelům datových schránek v případě, že je jim doručena datová zpráva. Notifikace bude přehlednější, srozumitelnější a užitečnější. Notifikační e-mail bude obsahovat více informací o odesílateli i o obsahu doručené zprávy. Všechna tato vylepšení byla realizována Digitální a informační agenturou (DIA) ve spolupráci s provozovatelem ISDS – Českou poštou, s.p.

Mimochodem, notifikace jsou uživatelům rozesílány v okamžiku dodání nové datové zprávy do datové schránky, nikoli až v okamžiku, kdy je dodaná zpráva systémem považována za doručenou (jak se píše v citované tiskové zprávě). Ale to teď není to podstatné. Důležitější je, že nově už notifikace nejsou v čistém textu (text/plain), ale v HTML (text/html). A hlavně: již obsahují (dokonce 2x) aktivní odkaz (URL) na vstup do datových schránek (do klientského portálu datových schránek).

Konkrétní podobu nových notifikací můžete vidět na následujícím obrázku:

Kromě toho obsahují nové notifikace ještě upozornění – aby si příjemci dávali pozor na co klikají, zda příslušný odkaz vede na správnou, a nikoli na nějakou podvrženou adresu. S doporučením vytvořit si záložku v prohlížeči. Zmíněno je i opatření celé e-mailové zprávy pečetí agentury DIA.

V čem je problém?

Dovolím si vyjádřit názor, že tato změna není změnou k lepšímu. Právě naopak, považuji ji za nebezpečnou a nahrávající stále častějším podvodům, jejichž oběťmi se stávají méně zkušení uživatelé. Proč si to myslím?

Původní zásady – čistý text a žádné odkazy – snižovaly riziko zneužití, protože podvodná zpráva, která chtěla někoho přivést na podvodné stránky, musela tyto zásady porušit, a nějaký odkaz (případně přílohu) musela obsahovat. Její odhalení tak bylo snazší i pro méně zkušené uživatele.

Nynější podoba notifikací už neumožňuje aplikovat jednoduchá pravidla typu „obsahuje odkaz – je podezřelá“. Nová HTML podoba, na rozdíl od čistého textu, naopak vyžaduje pečlivou kontrolu „pravdivosti“ odkazů. Protože v HTML je velmi snadné vytvořit URL odkaz tak, aby vypadal, že vede na jedno místo, ale ve skutečnosti vedl úplně jinam.

Pravdou je, že nové notifikace na takovouto kontrolu apelují. Ale opět: budou to méně zkušení uživatelé dělat? A pokud se o to budou snažit, budou vědět, jak na to?

Odpovědi DIA na dotazy Lupy ohledně nového nastavení notifikací najdete na konci článku.

Pomůže elektronický podpis?

Dalším bezpečnostním prvkem, který obsahovaly i původní notifikace, a který zůstává i u těch nových, je elektronický podpis e-mailové zprávy. Nejde ani o kvalifikovaný, ani o uznávaný elektronický podpis, ale pouze o zaručený elektronický podpis, založený na S/MIME certifikátu. Pohledem práva by asi měl být považován za zaručenou elektronickou pečeť.

V dnešní době, kdy podvrhnout adresu odesilatele e-mailové zprávy je stejně snadné jako zfalšovat URL odkaz, by i takovýto elektronický podpis měl postačovat pro dostatečně spolehlivé ověření skutečného odesilatele a integrity celé zprávy.

Problém je ale jinde: které programové nástroje a služby pro práci s elektronickou poštou podporují elektronické podpisy? A kteří uživatelé o tom ví, a dokáží tyto jejich schopnosti správně využít pro rozlišení pravých a podvržených zpráv?

Řada programů již dnes umožňuje elektronické podepisování odesílaných zpráv, a vyhodnocuje elektronické podpisy na přijímaných zprávách. „Umí“ to například mnou používaný eM Client (viz předchozí obrázky), či hojně používaný Outlook. Na následujícím obrázku vidíte v Outlooku pravou (a řádně podepsanou) notifikaci v její nové podobě, a ve spodní části pak (nepodepsanou) podvrženou zprávu, které se prezentuje jako zaslaná ze stejné e-mailové adresy (notifikace@mojedatovaschranka.cz), a obsahuje zfalšovaný URL odkaz.

Stejně tak dnes již podporuje elektronické podepisování třeba hojně používaný Gmail, který u podvrženého e-mailu (ve spodní části následujícího obrázku) prozradí i to, odkud byl skutečně odeslán.

Ale řada jiných poštovních klientů a webmailů elektronické podepisování stále nepodporuje. Příkladem může být webmail Seznamu, který z podpisu e-mailové zprávy udělá samostatnou přílohu ve formátu p7s a nedává najevo, že by ji nějak vyhodnocoval. Takže do podvodné zprávy stačí přidat nějakou přílohu správné velikosti ve stejném formátu, a tím simulovat elektronicky podepsanou zprávu.

Konkrétně webmail Seznamu hned napoprvé označil adresu odesilatele skutečného (pravého) notifikačního e-mailu jako důvěryhodnou (viz horní část následujícího obrázku), zatímco zprávu s podvrženou adresou odesilatele a zfalšovaným odkazem vyhodnotil nikoli jako podezřelou z phishingu či jinak nebezpečnou, ale jen jako nevyžádané sdělení, a zařadil do složky spamu (viz prostředí část obrázku). Pokyn uživatele, že nejde o spam, interpretoval jako vyjádření důvěry v podvrženou adresu (kterou pak označil jako důvěryhodnou, viz spodní část obrázku), a zprávu přesunul do hlavní složky s doručenou poštou (a zde ji označil jako výsledek „ručního přesunu“).  

Ano, i toto chování webmailu Seznamu, který podvrženou notifikaci skryl ve spamu, je určitou ochranou uživatelů před podvodnými e-maily a phishingem. Je to ale dostatečné, hlavně pro méně zkušené uživatele? I ti se možná občas podívají do spamu.

Bylo to zapotřebí?

Hlavní otázka, která mne napadá, je proč vlastně agentura DIA k popisovanému zařazení aktivního URL odkazu do notifikací vůbec přistoupila. Zvláště když se dosud sama hlásila k zásadě, že kvůli nebezpečí různých podvodů by notifikační e-maily měly být v prostém textu a bez odkazů, na které by se dalo (či dokonce mělo) klikat.

Připomeňme si to na následujícím obrázku, který ve své levé části (stejně jako druhý obrázek od začátku články) ukazuje původní podobu relevantní části nápovědy k notifikacím z datových schránek, včetně varování uživatelů před podvodnými e-maily. Pravá část obrázku pak ukazuje dnešní podobu stejné části nápovědy, již bez tohoto varování a dosavadních zásad. A naopak s konstatováním, že zprávy jsou nyní zasílány v HTML formátu a s aktivním odkazem (proklikem) na domovskou stránku klientského portálu datových schránek.  

Proč tedy agentura DIA přistoupila k popisovanému kroku? To snad předpokládala, že po 16 letech fungování datových schránek stále někdo neví, jak se do nich dostat? Že dokonce existuje tak velká část uživatelů, kteří do nich stále netrefí – aby bylo nutné hodit za hlavu dosud dodržované bezpečnostní zásady a pokaždé znovu jim připomínat správnou cestu?  

---

Mluvčí agentury Jakub Palata v odpovědi na dotazy redakce vysvětluje popisovanou změnu snahou o zefektivnění a zvýšení bezpečnosti pro uživatele:

---