Neposílejte podvodné e-maily
Myslíte, že se vás to netýká? Možná ano a možná se lidem, se kterými si píšete, zobrazuje podobné varování. V následujícím textu se dozvíte, jak to funguje a jak neděsit příjemce svých e-mailů.
Podvodné e-maily (phishing, rhybaření, scam) se tváří, že jsou od někoho důvěryhodného (např. banka) a snaží se z vás vylákat nějaké citlivé údaje (např. heslo) nebo vás donutit k nějaké akci. Aby vás útočník zmátl, vloží do zprávy text jako např.
https://www.paypal.com/bla-bla-bla-123
který je ale odkazem a ve skutečnosti vede na:
https://podvodna-domena.pk/bla-bla-bla-123
což je stránka vypadající stejně jako web PayPalu, ale patří útočníkovi a ten z vás vyláká jméno a heslo a ukradne vám peníze.
Když je uživatel hodně nepozorný, nemusí si toho všimnout a myslí si, že jde na stránky PayPalu. Poštovní klienti (např. Thunderbird) proto v takovém případě zobrazují varování. To se typicky zobrazí, když HTML e-mail obsahuje odkaz, který vypadá jako URL, ale vede jinam, případně když odkaz vede na IP adresu místo na doménu (http://192.0.43.10/…) nebo když obsahuje formuláře či skripty.
Pokud tedy posíláte (X)HTML e-maily (u prostého textu to nehrozí), nepoužívejte pro text obsahu něco, co připomíná URL – je to zbytečné a nesmyslné. Místo abyste vložili:
<a href="http://www.nase-firma.com/">http://www.nase-firma.com/</a>
použijte raději:
<a href="http://www.nase-firma.com/">Naše firma</a>
To je ostatně jedna z výhod (X)HTML, že můžete dát odkazům lidsky srozumitelný text a ne jen strojově čitelné URL.
Pokud byste navíc zadali jednou nase-firma.com a podruhé nase-firma.cz, zobrazovalo by se příjemci varování a váš e-mail by pro něj vypadal nedůvěryhodně. Přestože obě adresy mohou patřit vám a jsou na sebe přesměrované (např. starý a nový web).
Dalším zdrojem problémů jsou firmy a on-line služby zabývající se „e-mailovým marketingem“ (spam). Ty obvykle přepisují odkazy tak, aby vedly přes jejich web a mohli sledovat, kolik lidí e-mail četlo a klikli na odkaz. Pokud možno to nepoužívejte vůbec. Když už ale takovou službu použijete, nedávejte do textu odkazů URL – protože odkaz by se přepsal na něco jako:
<a href="http://spamovaci-firma.cz/sledujeme/0e07b57fc9dd955">http://www.nase-firma.com/</a>
Což by opět e-mailový klient na straně příjemce interpretoval jako podvodný odkaz.
Jestli chcete vědět, zda příjemce váš e-mail četl, vyžádejte si doručenku (RFC 3798, Wikipedia). Příjemce vám ji pošle, bude-li chtít.
Když jsem tohle jednomu spamerovi (e-mailovému marketérovi) říkal, tak oponoval, že lidi neradi posílají doručenky, protože nechtějí, aby odesílatel věděl, že e-mail četli. A o to právě jde! Spamer se bojí, že by příjemce odeslání doručenky neodsouhlasil, tak mu pošle podvodný odkaz, u kterého bude sledovat, zda na něj uživatel klikl (odkaz obsahuje jedinečné číslo/řetězec pro daného příjemce, takže lze rozlišit, kdo to byl) a bude doufat, že příjemce bude dostatečně nepozorný. S tímhle přístupem jděte laskavě k čertu (a vezměte si s sebou i SEO a další podobné šmejďárny).
![[FSF Associate Member]](/blog/soubory/fsf-member.png){kind=small}
URL
Ono vypsani URL do textu odkazu ma hlavne duvod v tom, aby tam to URL bylo i v tistene podobe.
Odkazy a tisk
Tohle má řešit e-mailový klient – při tisku např. vložit do textu [n] a na konec zprávy [n] http://example.com/stranka.xhtml, pro každý odkaz.
Každopádně i když se odesílatel rozhodne tuhle funkci suplovat (pak bych zvážil odesílat e-maily v prostém textu), tak je potřeba dát do href atributu přesně stejné URL jako do textu elementu a – jinak je to matoucí a správně vyhodnoceno jako podvodný odkaz.