STELLAR BLOG

Nem kell hacker ahhoz, hogy áldozat légy

Sokan úgy képzelik el a kiberbűnözőket, mint fehér szobában ülő, kapucnis figurákat, akik komplex kódokkal törnek be rendszerekbe.

A valóság jóval prózaibb és éppen ezért veszélyesebb. A legtöbb sikeres online csalás nem technikai zsenialitásból fakad, hanem emberi bizalomból.

A nap végén a leggyengébb láncszem szinte mindig maga a felhasználó.

Az adathalászat, angolul phishing, nem egy új jelenség.

Már az internet hajnalán megjelent, de az évek során egyre kifinomultabb, egyre hitelesebb és egyre nehezebben felismerhető lett.

Ma már nem elég egyszer megtanulni, mire kell figyelni, mert a módszerek folyamatosan változnak, és az elkövetők egyre jobban utánozzák azokat a csatornákat, amelyeket naponta használsz.

Ez a blogposzt nem ijesztgetés miatt készült. A cél az, hogy megismerd a módszereket, felismerd a jeleket, és megtedd azokat az egyszerű lépéseket, amelyek nagyságrendekkel biztonságosabbá teszik az online jelenlétedet.

Mert a jó hír az, hogy a védekezés nem igényel technikai tudást, csupán odafigyelést.

A legnépszerűbb adathalász módszerek – Ismerős lesz néhány

Email phishing – a klasszikus

Ez a legelterjedtebb forma, és hiába a legrégebbi, még mindig hihetetlenül hatékony. Egy látszólag hiteles emailt kapsz, banktól, futárszolgálattól, közüzemi szolgáltatótól, esetleg a munkahelyedről, amelyben valamilyen sürgős cselekvésre kérnek. Kattints a linkre, add meg az adataidat, erősítsd meg a fiókod.

A link természetesen nem a valódi oldalra mutat, hanem egy gondosan összerakott másolatra, amelyen bármi amit beírsz, azonnal az elkövető kezébe kerül.

A sürgősség az egyik legfontosabb eszközük:

• „A fiókod 24 órán belül törlésre kerül"
• „Megerősítés szükséges a tranzakció feldolgozásához"
• „Azonnal lépj be, különben blokkolják a hozzáférésed."

Ez a nyomás szándékos, azért van ott, hogy ne gondolkodj, hanem cselekedj.

Spear phishing – amikor személyre szabják

A sima email phishing széleskörű, viszonylag könnyen felismerhető. A spear phishing ezzel szemben célzott. Az elkövető előzetesen információkat gyűjt rólad a közösségi médiából, LinkedIn-ről, nyilvánosan elérhető adatokból, majd olyan emailt ír, amely személyre szól.

A nevedet használja, esetleg megemlíti a munkahelyedet, a kollégáidat, egy projektet amelyen dolgozol.

Ez az a verzió, amely a legtöbb embert megtéveszti, mert minden apró részlet hitelesnek tűnik.

Különösen veszélyes vállalati környezetben, ahol az elkövetők a főnök nevében küldik az emailt, és sürgős átutalást vagy belépési adatok megadását kérik.

SMS phishing – smishing

Egyre elterjedtebb és egyre veszélyesebb. Egy egyszerű SMS érkezik:

• „A csomagod kézbesítési problémával jár, kattints a linkre"
• „Bankkártyád zárolásra kerül"
• „Nyertél, itt veheted át a díjadat."

A mechanizmus ugyanaz mint emailnél, de az SMS-ekre az emberek gyorsabban és kevésbé kritikusan reagálnak, főleg mert a telefonon megnyitott URL-eket nehezebb ellenőrizni, mint asztali gépen.

Vishing – telefonos adathalászat

Ez az a forma, amelytől a legtöbben nem tartanak, mert úgy érzik, egy élő hangot nehezebb meghamisítani.

A valóság az, hogy a vishing ma már mesterséges intelligenciával és hangklónozással kombinálva is megjelenik.

A klasszikus forgatókönyv: valaki felhív banki ügyintézőnek, adóhivatali tisztviselőnek, vagy akár rendőrnek kiadva magát, és sürgős, stresszes helyzetben kér tőled személyes adatokat, bankkártya számot, SMS kódot.

Fontos tudni: egyetlen bank sem fog telefonon SMS-ben kapott kódot kérni tőled. Ha valaki ezt teszi, azonnal tedd le a telefont.

QR-kód phishing – quishing

Az újabb generáció egyik legravaszabb módszere.

Egy látszólag ártalmatlan QR kódot helyeznek el fizikai vagy digitális formában, parkolóban, éttermi menün, hirdetésben, sőt akár emailben  és a beolvasás után egy adathalász oldalra irányít.

A QR kód mögött lévő URL-t nem lehet előzetesen ellenőrizni, mielőtt beolvasod, ezért különösen hatékony megtévesztési eszköz.

Pharming – amikor a valódi URL sem elég

Ez a legkifinomultabb forma, és a legnehezebb ellene védekezni hagyományos eszközökkel.

A pharming esetén az elkövető nem linket küld, hanem a DNS beállításokat módosítja vagy a te eszközödön, vagy a hálózat szintjén úgy, hogy amikor beírod a valódi banki weboldal URL-jét, valójában egy hamisított oldalra kerülsz.

Mivel te magad írtad be a helyes címet, a gyanú szinte nulla.

Közösségi médiás adathalászat

Hamis profilok, amelyek barátnak, kollégának vagy ismert márkának adják ki magukat.

Üzenetek, amelyek nyereményt ígérnek, kattintható linkeket tartalmaznak, vagy ismerős nevű felhasználóktól érkeznek, akik valójában klónozott fiókok.

A Facebookon, Instagramon és LinkedInen egyaránt bevett módszer.

Hogyan védekezz – Tippek, amelyek tényleg működnek

Lassíts le, mielőtt kattintasz

A legtöbb adathalász kísérlet azért sikeres, mert sürgősséget kelt.

Az első és legfontosabb védekezési eszközöd az, hogy egyszerűen megállsz, és egy pillanatra gondolkodsz:

• Tényleg vár rám ez a bank?
• Tényleg rendeltem csomagot?
• Tényleg nyertem valamit?

A sietség az elkövető barátja, a lassítás a tiéd.

Ellenőrizd az URL-t, mielőtt beírsz bármit

Mielőtt megadsz bármilyen adatot egy weboldalon, nézd meg az URL-t a böngésző címsávjában. A hamisított oldalak sokszor nagyon hasonló domaineket használnak: raiffeisen-bank.hu helyett raiffeisen-bаnk.hu (ahol az "a" betű cirill), vagy otp-megerosites.com. Egy betűnyi különbség is jelezhet problémát. A biztonságos oldalakon HTTPS protokoll fut, de fontos tudni: az HTTPS önmagában nem garancia arra, hogy az oldal valódi, csak arra, hogy a kapcsolat titkosított.

Soha ne kattints emailben vagy SMS-ben kapott linkre bejelentkezéshez

Ha egy bank, webshop vagy bármilyen szolgáltató azt kéri, hogy lépj be a fiókodba, ne a kapott linken tedd. Nyisd meg a böngészőt, és gépeld be kézzel a weboldal ismert, valódi URL-jét. Ez az egyetlen módja annak, hogy biztosan a valódi oldalon landolsz.

Kapcsold be a kétfaktoros hitelesítést (2FA) mindenhol

Ha valaki megszerzi a jelszavadat, a 2FA megakadályozza, hogy be is lépjen. A második tényező, legyen az SMS-ben érkező kód, hitelesítő app (mint a Google Authenticator) vagy fizikai kulcs, egy olyan extra réteget jelent, amelyet az elkövetők csak akkor tudnak megkerülni, ha azt is megszerzik tőled.

A 2FA az egyik leghasznosabb lépés, amelyet megtehetsz.

Egyedi jelszót használj minden oldalhoz

Ha minden helyen ugyanazt a jelszót használod, és az egyiken szivárgás történik, az összes fiókod veszélybe kerül.

Egy jelszókezelő (pl. Bitwarden, 1Password, KeePass) megoldja ezt a problémát: egyetlen mesterjelszót kell megjegyezned, a többi komplex, egyedi jelszót a program tárolja és tölti ki neked.

Ne adj meg személyes adatot telefonon

Ha váratlanul hív valaki, aki banki vagy hatósági munkatársnak adja ki magát, és személyes adatokat, kártyaszámot vagy kódot kér, tedd le.

Hívd vissza a szervezet hivatalos, nyilvánosan elérhető telefonszámán.

Egy valódi banki ügyintéző soha nem fog megsértődni emiatt.

Frissítsd a szoftvereidet rendszeresen

Az elavult operációs rendszer és böngésző olyan ismert biztonsági réseket tartalmaz, amelyeket az elkövetők kihasználhatnak.

A rendszeres frissítés ezeket foltozza be. Kapcsold be az automatikus frissítést, ha nem akarod manuálisan kezelni.

Amit még érdemes tudni – A kevésbé nyilvánvaló veszélyek

A nyilvános Wi-Fi valódi kockázat

Egy nem biztonságos, nyilvános Wi-Fi hálózaton (repülőtér, kávézó, szálloda) az adatforgalmad potenciálisan látható mások számára.

Ha mégis nyilvános hálózatot használsz, ne lépj be banki fiókodba, ne végezel érzékeny tranzakciókat, és lehetőség szerint használj VPN-t.

A „túl szép, hogy igaz legyen" elv

Ha valami nyereményt, ingyenes szolgáltatást, hihetetlenül olcsó terméket vagy azonnali meggazdagodási lehetőséget ígér, különösen, ha ehhez valamilyen személyes adatot vagy kattintást vár cserébe, szinte biztosan csapdáról van szó.

Ez nem cinizmus, hanem a leghasznosabb szűrő, amelyet fejben tarthatsz.

Figyelj az ismerőseidre is

Ha egy barátodtól, ismerősödtől furcsa üzenetet kapsz, szokatlan stílusban, gyanús linkkel, ne kattints rá. A fiókjukat feltörték, és a neve alatt kommunikáló elkövető az összes kontaktját megpróbálja megvezetni.

Hívd fel az illetőt telefonon, és ellenőrizd, valóban ő küldte-e.

Az adataidra vonatkozó értesítések komolyan veendők

Ha egy szolgáltató értesít arról, hogy adatszivárgás történt, és azt javasolja, változtasd meg a jelszavadat, tedd meg azonnal.

A Have I Been Pwned (haveibeenpwned.com) weboldal segítségével bármikor ellenőrizheted, hogy az email-címed szerepel-e ismert adatszivárgásokban.

Gondold végig, mit osztasz meg magadról nyilvánosan

Minél több személyes adat érhető el rólad nyilvánosan a közösségi médiában mint például születési dátum, lakóhely, munkahely, telefonszám, annál könnyebb célzott adathalász támadást összerakni ellened.

Ez nem azt jelenti, hogy el kell tűnni az internetről, de érdemes tudatosan kezelni, mi látható és kinek.

Az odafigyelés a legjobb tűzfal

Nincs olyan szoftver, amely 100%-os védelmet nyújt az emberi megtévesztéssel szemben. A vírusirtók és a biztonsági rendszerek sokat segítenek, de az adathalász támadások nagy részét egy egyszerű dolog tudja megakadályozni: az, hogy megállsz egy pillanatra, és elgondolkozol.

Nem kell ehhez technikai tudás. Kell hozzá egy kis egészséges szkepticizmus, néhány jó szokás mint az egyedi jelszavak, kétfaktoros hitelesítés, az URL ellenőrzése és az az alapszabály, hogy sürgős helyzetben soha ne reagálj azonnal.

Az internet nem veszélyesebb, mint a való világ, de ugyanúgy megköveteli, hogy tudd, hogyan kell benne mozogni.

Küldd tovább ezt a cikket egy ismerősödnek, akinek szerinted érdemes lenne tudnia ezekről a módszerekről.