Horgásznak a kalózok és mi vagyunk a halak – Bármelyik vállalkozás találkozhat adathalászokkal

Angolul phishing a neve azoknak a kifinomult eszközökkel végrehajtott adathalászati akcióknak, amelyekben a támadók hamis üzenetekkel igyekeznek rávenni hiszékeny célpontjukat arra, hogy érzékeny információkat fedjen fel előttük.

Adatszivárgást magunk is előidézhetünk azzal, hogy nem megfelelően kezeljük az adatokat, ám még a jól felépített, jól védett informatikai rendszerekben is akad gyenge láncszem – mégpedig az ember.

Sokan találkozhattak mostanában olyan, hivatalosnak tűnő levéllel, amelyben például arról értesítik a címzettet, hogy csomagja érkezett, de azt addig nem veheti át, amíg korábbi tartozását a levélben található hivatkozásra kattintva nem rendezi. A hivatkozás persze nem a Magyar Posta hivatalos oldalára vezet… Másik példa: távközlési szolgáltató küld felszólítást késedelmes fizetés rendezésére – és persze ebben a levélben is felkínálnak egy linket… Arra kattintva vagy a ténylegeshez tökéletesen hasonló weboldalra kerülünk, vagy üres képernyőt kapunk azzal a hibajelzéssel, hogy a weboldal nem létezik. Nem is kell léteznie, mondja Stecher Tamás, a Telekom csoport kiberbiztonsági konzulense, mert a kártékony kódot így is eljuttathatják a számítógépünkre, akár már a kattintás pillanatában.

Azt írja a bank…

Gyakorta közvetlenül a bankszámlánkat igyekeznek megcsapolni a hekkerek olyasféle szöveggel, hogy a banki adataink vagy jelszavunk frissítése érdekében jelentkezzünk be a levélben megadott felületen. A megjelenő weboldal valóban nagyon hasonlít a ténylegeshez, ám ha beírjuk az adatokat, azokat a tolvajok menten el is tulajdonítják.

Lehetnek ezek célzott támadások, amikor adott személy vagy vállalkozás adataira vadásznak, de lehetnek nagy tömegben kiküldött adathalász levelek is, amelyeket a támadók által hadrendbe állított botnetek postáznak korábban összegyűjtött címek sokaságára.

A magyar nyelv sok-sok finomsága miatt azonban könnyű észrevenni a Google fordítójával készült, külföldön generált szövegekben a turpisságot, bár magyar feladóktól érkező, profin elkészített levelekre is van példa. Nem ok nélkül találkozhatunk a hazai pénzintézetek honlapjain azzal a tájékoztatással, hogy a nevükben adathalász akciókat folytatnak.

Ne feledjük: a bank elektronikus levélben soha nem kéri el ügyfele személyes adatait!

Keserű orvosság

Még ha el is tulajdonítják a banki bejelentkezéshez szükséges jelszó–felhasználónév párost, a kétfaktoros azonosítást akkor is nehéz kijátszani. Ma már csak az sms-ben vagy egy kiküldött push üzenetben kapott kóddal (ez a második azonosító) tudunk belépni a bankfiókba, és a pénzintézetek sorra vezetnek be további, a webes bankolás biztonságát erősítő (és a felhasználók életét olykor megkeserítő) megoldásokat.

Szükség is van ilyenekre, mert ha korábban megfertőzött okostelefonról vagy számítógépről kezdeményezünk banki műveletet, akkor a végrehajtására rendelkezésre álló időablakban a támadók el tudják lopni a bejelentkezéshez szükséges kódot, és rá tudják tenni a kezüket a bankszámlánkra.

Célzott levelek

Az adathalászat körébe tartozik a gyanútlan felhasználók becserkészése – angolul a social engineering – is, amikor például a pénzügyi igazgató nevében küldenek felszólítást egy tartozás rendezésére, számla befizetésére. Ezek rendszerint gondosan előkészített, jól felépített akciók, ezért nagyon meggyőzőek.

Épp annyira, mint a szintén célzott „nagymamás” csalások, amikor arról értesítik az unokáikért aggódó nagyszülőket, hogy a gyerek balesetet szenvedett vagy letartóztatásba került, és sürgősen pénzre van szüksége, amit a kapott link megnyitásával azonnal el kellene neki utalni.

Edukáció, edukáció, edukáció

Globális nagyvállalatokat éppúgy érhet adathalász támadás, mint egy néhány fős kisvállalkozást, például egy vegyesboltot, amelynél működik internetre kapcsolt pénztárgép és néhány számítógép, amelyeken könyvelőszoftvert vagy raktárnyilvántartást vezetnek. Szakértők szerint mindenkinek alaposan az eszébe kell vésni, hogy a kapott leveleket figyelmesen olvassa el, és ha bármilyen gyanú felmerül azok tartalmával kapcsolatban, a levélben kapott utasítást semmiképpen nem szabad végrehajtani.

Ehhez a dolgozók, beosztottak rendszeres edukációja szükséges, lehetőleg a való életből vett példákkal, oktatóanyagokkal, e-learning tanfolyamokkal.

Ne cselekedjünk automatikusan, ne kattintsunk a felkínált linkre, értelmezzük a levél tartalmát, és ha gyanúsnak találjuk a pénzügyi igazgató nevében küldött levelet, hívjuk fel telefonon, valóban át kell-e utalnunk a levélben szereplő összeget a megadott számlaszámra – figyelmeztet Stecher Tamás, a Telekom csoport kiberbiztonsági konzulense.

Összefoglalva:
  • Ne kattintsunk meggondolatlanul levélben kapott hivatkozásokra!
  • Ne cselekedjünk rutinból!
  • Figyeljünk oda a fogalmazásra, a nyelvi hibákra!
  • Ahol csak lehet, használjunk kétfaktoros azonosítást, mert a jelszó nem elégséges.
  • Gondoskodjunk a munkatársak, alkalmazottak rendszeres továbbképzéséről!

Szerző:
Kelenhegyi Péter – Telekom Hello Biznisz szerkesztőség

Mondd el véleményedet a cikkről

Mondd el véleményedet a cikkről, hogy minél jobb tartalmat tudjunk írni számodra!

Átlag értékelés / 5. Összes értékelés:

Oszd meg a cikket!

    Iratkozz fel hírlevelünkre!

    Hírek, események, új termékek és még sok más vár rád hírlevelünkön!


    Kijelentem, hogy elfogadom az Adatvédelmi Szabályzatot.

    Ha szeretnél ehhez hasonló tartalmakról értesítést kapni, akkor
    regisztrálj a hírlevelünkre!

      Hírek, események, új termékek és még sok más vár rád hírlevelünkön!


      Kijelentem, hogy elfogadom az Adatvédelmi Szabályzatot.