Hát ezzel miért foglalkoznak már megint? – kérdezheti.
Tudunk válaszolni: azért, hogy ismét felhívjuk a figyelmét erre a nagyon fontos témára, és mindenkinek segítsünk, hogyan kerülheti el, hogy adatait − a legfőbb értékeit − lehalássza a hackerek automatizált hadserege!
Nézzük meg a témát részletesebben:
Ez a fickó semmi mást nem csinált, csak egy olyan e-mailre kattintott, amire nem szabadott volna...
Fotó: Ayo Ogunseinde az Unsplash- on
A probléma azonosítása
Az "adathalászat" gyakorlata egyetlen dologra épül csak, mégpedig arra, hogy gyanútlan emberek önként adják át a legérzékenyebb adataikat ‒ a felhasználóneveiket, a jelszavaikat, a társadalombiztosítási számukat, a születési adataikat, és sok más egyebet ‒ amiatt, mert meg tudják téveszteni őket azzal, hogy valamely elektronikus kommunikációs felületen a nekik küldött kérelmeket hitelesnek találják. Figyelembe véve azt, hogy egy vállalat vagy szervezet hivatalos kommunikációs sablonját (az arculati elemekkel együtt) mennyire könnyű digitálisan másolni, megállapíthatjuk, hogy ez a probléma valójában sokkal súlyosabb, mint azt elsőre gondolhatnánk, vagy hinnénk.
A hackerek a számítógépek képességeit használják ki az adathalász csalások automatizálására. Naponta több száz millió adathalász e-mailt küldenek ‒ fillérekért. Az ilyen automatizált levélküldés esetén elegendő, hogy az elküldött leveleknek csak egy kis százaléka érjen el „sikert”, és ebből már könnyedén finanszírozzák az automatizált rendszer működtetését. És a rendszer ‒ sajnos ‒ eredményes is:
- 2016-ban az összes szervezet 85 százaléka szenvedett adathalász támadást, a támadások során pedig az adathalász email-ek 30%-át meg is nyitották.
- 2017-ben új módszert választottak a csalók: megszaporodtak a hamis számlákat tartalmazó e-mailek, ennek eredménye pedig az volt, hogy a felsővezetőket megcélzó csaló e-mailek összesen kb. 5 milliárd dollár veszteséget okoztak a megcélzottaknak.
- A különböző (jövedelem-, adó- stb.) bevallásokat benyújtó felhasználókat megcélzó adathalász levelek száma 870% -kal nőtt.
- 2018-ban, mint azt sokan tapasztalhatjuk, a hamis számlák váltak az első számú „álruháivá” a rosszindulatú programoknak, és ezen belül is a Dropbox-hoz kapcsolódó adathalász csalási kísérletek, valamint a DocuSign „csalik” a leghatékonyabbak.
Ha netán ez még nem lenne meggyőző, a következő statisztika már igazán elképesztő:
- 2017 végén egy átlagos felhasználó havonta már 16 rosszindulatú e-mailt kap.
(A Symantec 2018 – as, az internetes biztonsági fenyegetésekről szóló jelentése alapján)
Arra tekintettel, hogy milyen rossznak látszik jelenleg a helyzet a digitális kommunikáció ezen területén, ismét itt az ideje, hogy az embereknek megmutassuk, hogyan védekezhetnek még jobban az ilyenfajta hackertámadások ellen.
Lássuk, hogyan néz ki egy adathalász támadás az e-mail-ekben!
Csak azért, mert valami ismerősnek tűnik, nem jelenti azt, hogy valóban ismerős is ‒ vagyis nem minden az, aminek látszik.
A legtöbb adathalász támadást úgy tervezték meg, hogy egy dolgot csináljon nagyon jól: csapja be a felhasználót. Konkrétan arra tervezik/tervezték ezeket, hogy a felhasználók úgy higgyék, a szokásos folyamat zajlik, vagyis például bejelentkeztek a Facebookba, vagy az Amazonba, vagy a Google-ba vagy az Apple-be, vagy éppen a csalók célja, hogy a felhasználó elhiggye, hogy a bankjának vagy a hitelkártyájának a weboldalára jelentkezik be éppen.
A probléma viszont éppen az, hogy ténylegesen nem ezeket a dolgokat csinálja – ehelyett valójában máshova jelentkezik be, amely csak hasonlít a kedvenc közösségi vagy pénzügyi weboldalaihoz, és – anélkül, hogy észlelné – egy olyan hackerek által működtetett "front" webhelyen adja meg a felhasználónevét és a jelszavát, ahol Ön és mások adatait összegyűjtik (ellopják), és felhasználják.
A fenti képeken három példát láthat arra, hogy egy tipikus adathalász támadás hogyan nézhet ki. De ezek csak példák az internetről, hogy megmutassuk mi minden történhet. A vizsgálódásunk alapja az – és ez akár a mottónk is lehet ‒, hogy nem minden az, aminek látszik. Csak azért, mert valami ismerősnek tűnik, nem jelenti azt, hogy valóban ismerős is.
A továbbiakban egy angol nyelvű példán mutatjuk be, hogy az adathalászat hogyan működhet, és hogyan lehet ellenőrizni azt, hogy egy mail adathalász mail e?
A példánk tipikus: azzal hitegetik a címzettet, hogy nyert egy díjat, de nem is akárkitől, hanem a Google-tól!
Ha megvizsgálja a képet, láthatja rajta a nyilvánvaló mindegyikét, amelyek arra utalnak, hogy ez adathalász támadás. Felhívjuk a figyelmet arra, hogy a Gmail-ben, az üzenet bal felső sarkában lévő nyílra (gombra) kattintva, amely lehetővé teszi a "részletek megjelenítését" a kapott e-mailekről.
1. A kép tetején lévő zöld mezőben látható, hogy a tényleges e-mail cím nem tűnik érvényes Google e-mail címnek.
2. Vegyük észre, hogy a rózsaszín doboz közepén olvasható URL nem tűnik sem ismertnek, sem felismerhetőnek, sem szabványosnak.
3. A narancssárga dobozban észrevehetjük azt, hogy aki ezt az e-mailt küldte, durva nyelvtani hibát vétett. Ez ritkán fordul elő vállalati reklám vagy marketing e-mailekben.
4. A kék mező tartalmával kapcsolatban megjegyzendő, hogy az e-mailt elküldő weboldalon a "visszapattant" (bounces) szó szerepel benne. Ez nem feltétlenül jelent hibát, sok más hiteles hírszolgáltató (pl. a LinkedIn is használja)
5. Amikor kimásoljuk a webhely címét és beillesztjük a DuckDuckGo-ba, hogy lássuk, érvényes Google-webhely-e, világosan láthatjuk (lent), hogy nem érvényes.
Az e-mail-lel kapcsolatos végső következtetés csak egy lehet: nem szabad semmilyen linkre sem kattintani, amit ez az e-mail felkínál.
Az e-mailen keresztüli adathalászat megakadályozása a "legjobb gyakorlatok" alapján
A következőkben felsoroljuk azokat a szabályokat (vagy bevált gyakorlatokat), amelyeket az adathalász támadás megakadályozásához végre kell hajtani:
– Mindig vizsgálja meg, hogy az éppen elolvasandó e-mail érvényes, ismert vagy felismerhető e-mail címből származik-e. Az e-mailben feladóként megjelenő név nem biztos, hogy megegyezik az igazi feladóval: mindig ellenőrizze, hogy a tényleges e-mail cím helyes-e. Az adathalász támadások néha a címzett által ismert feladó (személy vagy cég) nevét tartalmazzák, mert esetleg a feladó (vagy akár a saját) címjegyzéke kompromittálódott (nyilvánosságra került). Az ilyen címjegyzékből felhasznált igazi nevek párosulnak a hacker hamis e-mail címeivel, (azzal a céllal) hogy átverjenek minket. Ha bármelyik e-mail cím ismeretlen vagy furcsa, jelölje spamnek. Ne aggódjon valami fontos e-mail esetleges eldobása miatt: a fontos emberek tudják, hogyan vehetik fel más módon a kapcsolatot Önnel.
– Soha ne kattintson semmilyen linkre semmilyen e-mailben, anélkül, hogy megvizsgálná, hogy az URL érvényes-e, ismert-e, szabványos-e vagy felismerhető webhelyre mutat-e. Bármely linkre az egér jobb gombjával kattintva lemásolhatja azt, majd egy szövegszerkesztőbe beillesztve meg is tudja vizsgálni. Ha a hivatkozás nem tekinthető érvényesnek, ismertnek, szabványosnak vagy felismerhetőnek, az e-mailt törölje, vagy spamként jelölje meg.
– További információért vizsgálja meg a DuckDuckGo-n ezt az URL címet annak megerősítéséhez, hogy egy keresőmotor már indexelte és ismeri.
– Soha ne nyisson meg semmilyen e-mail mellékletet olyan személytől, akitől nem várt levelet. A munkatársa azt mondja Önnek, hogy elküldi a kódot az új, közösen fejlesztett szoftverhez tartozó kódra. Ez nagyszerű, már tudja, hogy jönni fog a kód, és várni fogja a munkatársától beérkező levélben. Valaki más küld egy Word dokumentumot, és azt üzeni a levélben, hogy "Check this out!"? Ne nyissa meg a levél csatolmányát. Ehelyett üzenjen feladónak, vagy hívja fel, és kérje, hogy erősítse meg, hogy ő küldte Önnek ezt a konkrét mellékletet .
– Mindig ellenőrizze, hogy az Ön által használt bármely online szolgáltatástól kapott e-mailek érvényesek-e. Kaphat egy e-mailt a Dropboxtól, az Amazontól vagy az Apple-től, amelyben azt kérik, hogy jelentkezzen be a fiókjába? Semmi gond: először vizsgáljuk meg, hogy az e-mail érvényes-e, a forrása hiteles-e? Ellenőrizze az URL-t, a feladó e-mail címét és a tárgysorokat nem talál-e gyanúsnak bármit? Ha még mindig bizonytalan, a szolgáltatásra az ismert, érvényes weboldalukon keresztül jelentkezzen be.
– Nyugodtan kattintson viszont az olyan e-mail linkekre, amelyek tartalmazzák a "s" -t a "https://" -ben. Ez a "s" azt jelenti, hogy a weboldal biztonságos és rendelkezik biztonsági tanúsítvánnyal. Ezek a tanúsítványok önmagukban akár hamisak is lehetnek, de ez a jel arra utal, hogy a weboldal érvényes lehet. A legtöbb böngészőben a "Biztonságos" (a zöld Secure a példaképen) mutatóra kattintva megjeleníti ezt a tanúsítványt.
Példa egy biztonságos webhelyre érvényes tanúsítvánnyal.
A fenti tippek közül néhány zavarba hozhatja Önt – némelyik csak kevésbé, de másokat is --, mert nem igazán fogják megkönnyíteni Önnek az e-mailek ellenőrzését. Azonban ezért a kényelmetlenségért nem tudunk elnézést kérni: a biztonság nélküli kényelem veszélyekkel jár, ezt mindenkinek tudnia kell.
Ha úgy érzi, hogy a fenti lista túl bonyolult, és nehezen tudja biztonságosan kezelni így az e-mailjeit, további lehetőségek közül is választhat, pl.:
– Többfaktoros hitelesítés használata. Ha a többtöbbfaktoros hitelesítés engedélyezve van, és ha a hackerek valaha is megszereznék a felhasználónevét és a jelszavát, még mindig szükségük lesz egy állandóan változó hat számjegyű kódra, amely csak a mobilján fog megjelenni, minden alkalommal, amikor az adott rendszerbe bejelentkezik.
– Apropó: ellenőrizte – mielőtt rájuk kattintott volna – , hogy az utoljára megnyitott bármely két hivatkozás érvényes és biztonságos volt-e?
Hmm… Emlékezzen: ne bízzon senkiben, még bennünk sem, kedves olvasó!
Annak ellenőrzése, hogy éppen nem egy adathalász támadással van dolgunk csak néhány percet, és egy kis odafigyelést igényel. Ha ez az ellenőrzés a mindennapi gyakorlat részévé válik, nagyobb biztonságot fog jelenteni az Ön számára, és az ellenőrzés is egyre gyorsabb és gyorsabb lehet. Végül aztán amikor már nagy gyakorlatot szerez az e-mailjei ellenőrzésében, javasoljuk, ossza meg ismereteit másokkal. Győződjön meg arról, hogy barátai, családtagjai és munkatársai is elsajátították-e ezeket a hasznos gyakorlatokat. Pénzt és időt takaríthat meg egy kis odafigyeléssel!
A cikk David Koff Anatomy of a Phishing Scam c. cikkének felhasználásával készült.