Tento text by vám měl pomoci poslat nám mailovou zprávu, kterou jste obdrželi při útoku proti klientům Citibank, a to pokud možno bez ztráty informací. Nebudete-li něčemu rozumět nebo narazíte na problém, zeptejte se počítačově zkušenějšího kolegy nebo známého. Nepodaří-li se problém vyřešit, podívejte se do diskuse, zda tam není odpověď. Když není, napište tam svou otázku.

Názvy prvků použitých v popisu postupů se mohou poněkud lišit v závislosti na vašem mailovém programu a verzi operačního systému. Zde uvedené platí pro Outlook97 a Windows XP.

1. Jaké informace jsou obsažené ve zprávě

Základní hlavička - obsahuje informace, které jsou běžně vidět při otevření zprávy tj. Odesílatel, Adresát, Čas odeslání a Předmět. Při přeposílání zprávy se většinou tyto informace připojí před text původní zprávy.
Úplná hlavička - obsahuje data ze základní hlavičky a řadu dalších. Důležité jsou informace o cestě, kterou prošla zpráva z odesílajícího do cílového mailserveru. Při běžném přeposílání, je tato část hlavičky přepsána novými informacemi a původní jsou nenávratně ztraceny.
Tělo zprávy - obsahuje vlastní text a případně obrázky a jiné objekty. Při běžném přeposílání může dojít k částečné ztrátě informací například se ztratí obrázky.

2. Zpravu nebyla smazaná nebo se ji podařilo obnovit

Mailový program jako je např. Outlook umí uložit zprávu do souboru v takzvaném vnitřním formátu. Přitom nedochází ke ztrátě žádných informací, proto je tento formát pro náš účel nejvhodnější.
V nabídce Soubor vyberete položku Uložit jako a z rozbalovací nabídky Typ souboru zvolíte možnost Formát zprávy (název typu se může v různých programech lišit). V adresářovém stromu, který se otevře z rozbalovací nabídky Uložit do, vyberte Místní disk (C:). V poli Název souboru zadejte název zprava a stiskněte tlačítko Uložit. V základním adresáři na disku C: se vytvoří soubor a zprava.msg.

citi3501.jpg


Vytvořte novou zprávu, do pole Předmět dejte zkratku MSG, do pole Komu dejte adresu utok@ekonom.cz a ke zprávě připojte soubor c:\zprava.msg, který jste vytvořili v předchozím kroku. Vyvolat okno pro připojení souboru je většinou možno pomocí ikony s kancelářskou sponkou nebo výběrem položka Soubor v nabídce Vložit.
Neumí-li váš mailový program uložit zprávu ve vnitřním formátu, odešlete zprávu stejným postupem jako v případě freemailu viz následující odstavec.

Freemail (seznam, atlas,..) používá většina lidí "přes internet". Možnosti tohoto rozhraní jsou dost omezené a nevím o tom, že by některý freemail umožňoval uložit zprávu ve vnitřním formátu. Nezbude než se smířit se ztrátou informací při normálním přeposílání. Do textu přeposílané zprávy nezasahujte, do pole Předmět dejte slovo FREE a do pole Komu adresu utok@ekonom.cz. Připojovat není co, tak zbývá už jen odeslat.

3. Zprávu je už smazaná a nepodařilo se mi ji obnovit

V tomto případě pošlete zprávu na adresu hlaseni@ekonom.cz a do pole Předmět dejte slovo SMAZANO. Do zprávy není třeba psát žádný text. Zprávu ale posílejte výhradně z mailu (adresy), na kterou jste dostali mail od útočníka. Zpracování jakékoliv jiné formy informace o napadené adrese by bylo obtížné a zvýšila by se možnost podvrhu. Není vyloučeno, že od nás dostanete mail s žádostí o zpětné potvrzení, aby se omezila možnost podvržených adres odesílatele. Pro zařazení adresy do zpracování pak bude nutné na náš mail odpovědět. Do odpovědi není třeba nic vyplňovat, stačí jen odeslat ji na adresu z které přišel.

4. Jak zachránit smazanou zprávu

Mailové programy používají dvoustupňové mazání. Smažete-li zprávu například ve složce Doručená pošta, bude pouze přesunuta do vyhrazené složky, která se jmenuje Odstraněná pošta. Zpráva je opravdu ztracena, až když ji ze složky Odstraněná pošta vymažete nebo tuto složku vysypete. Vysypání se může dělat také automaticky například při ukončení mailového programu.
Se zprávou ve složce Odstraněná pošta je možno normálně pracovat. Můžete ji tedy uložit ve vnitřním formátu a odeslat tak, jak bylo uvedeno v bodu 2.
Máte-li v Odstraněné poště plno, může být obtížné útočníkovu zprávu najít. Pak se hodí setřídit seznam zpráv podle času doručení. Hlavička sloupce je vlastně tlačítko, které zapíná a přepíná způsob setřídění podle hodnot v tomto sloupci. Klikněte na nadpis sloupce Přijato a setřiďte si zprávy podle něj. Pak hledejte mezi zprávami z rána 3. března.

citi3502.jpg

Přišel-li vám přišel mail na firemní mailserver a smazali jste ho i ze složky Odstraněná pošta, je ještě šance ho zachránit. Zprávy jsou uloženy v záznamech databáze a ty se při smazání nevyhodí. Jen se označí jako smazané a přestanou se používat. Čas od času se databáze "setřásá" a smazané záznamy se opravdu vyhodí, ale do té doby je možno je obnovit a maily zpřístupnit. Poraďte se s administrátorem vašeho serveru, jak to udělat. A pak to řekněte i kolegům, aby se neptal každý znovu. Administrátora by z toho mohlo totiž netrefit.

Freemaily používají mechanismus dvoustupňového mazání také a složka pro odstraněnou poštu se může jmenovat různě např. Koš. Zprávu z ní můžete normálně otevřít a přeposlat. Některé freemaily mají kromě běžného koše také koš spamový. Nenajdete-li útočníkovu zprávu v normálním koši zkuste i spamový koš.
Možnost třídění zpráv obvykle bývá a je realizována u různých freemailů různě. Obnova zpráv vyhozených i z košů by teoreticky měla být možná ale uživatelé tuto možnost nemají a administrátoři to určitě dělat nebudou. Uživatelů je přeci jen trochu moc.

V článku diskutujte pouze k návodu, jak odeslat mail - celková diskuse k tématu "Útok na Citibank" zde.

Související