Az internet és az online világ elterjedése számos előnyt hozott az életünkbe, de ugyanakkor új kihívásokat is teremtett. Az egyik leggyakoribb és legveszélyesebb probléma a phishing, amellyel a csalók a személyes és pénzügyi adatainkat próbálják meg eltulajdonítani. A cikkben azt boncolgatjuk, hogy mi is a phishing, és hogyan lehet felismerni.
Mi is az a Phishing?
A phishing (magyarul adathalászat) egy online csalás forma, melynek elsődleges célja általában az áldozatok személyes vagy pénzügyi információinak megszerzése. A támadók általában hamis e-maileket, weboldalakat vagy üzeneteket használnak arra, hogy az áldozatokat megtévesszék. A cél lehet banki adatok, jelszavak, hitelkártya-adatok, vagy akár személyes azonosító adatok.
A phishing támadások különösen veszélyesek, mivel az elkövetők általában úgy próbálnak meggyőzni bennünket, mintha hivatalos szervezetek vagy cégek képviselői lennének, esetleg magánszemélyek, akik vásárolnának tőlünk. A hamis üzenetek általában ijesztőek vagy sürgetőek, hogy az embereket azonnal cselekvésre ösztönözzék. Például egy hamis banki e-mail azt állíthatja, hogy azonnal frissítenünk kell a fiókunkat, különben veszélyben a pénzünk.
Hogyan ismerhetjük fel a Phishing kísérletet?
A phisherek általában szofisztikált módszereket használnak, hogy hitelesnek látszódjon a csalás. Ezek kiszűrése egyre nehezebb, hiszen már a hackerek is segítségül hívhatják a mesterséges intelligenciát a céljaik eléréshez, azaz a nigériai hercegek, és a kétes magyarsággal megfogalmazott üzenetek kora mára lejárt. Manapság a csalók sokkal kifinomultabb módszereket alkalmaznak. Sajnos egyre több az ilyen példa, ezért nézzük meg mi történt abban az esetben, ami néhány hete borzolta a kedélyeket a médiában.
Értelmezésünk szerint az történt, hogy a hölgy értékesíteni szeretett volna néhány dolgot egy közösségi oldal erre szakosodott felületén. A hirdetés megjelenése után jelentkezett egy „vevő”, feltette a szokásos kérdéseket, majd az „üzlet” megköttetett és arra kérte az eladót, hogy az egyik nagyobb csomagküldő szolgálattal küldje el neki a megvásárolandó darabot. Ehhez látszólag jóindulattal el is küldte azt az oldalt ahol a csomag feladásával kapcsolatos adatokat meg tudja adni, ami megtörtént, és ezután az oldal átirányította egy másik, látszólag valid oldalra, ahol meg kellett adnia a banki adatait, illetve látszólag bejelentkezhetett a saját internetbankjába. Mivel mindkét oldal ügyes hamisítvány volt, az eladó megadta a kért adatokat, így az elkövető ezek, és az sms hitelesítés birtokában beléphetett a bankba, és sajnos nem csak az ott található összeget utalta el, hanem személyi kölcsönt is felvett az eladó nevében. A bank pedig közölte vele, hogy nem tud mit tenni, vissza kell fizetnie a kölcsönt, hiszen minden banki művelet az eladó hölgy jóváhagyásával, vagy közreműködésével történt.
A csaló a vásárlási folyamat elejétől egészen biztosan igyekezett bizalmat építeni az eladóban, elaltatva annak éberségét, így amikor a postázásról esett szó már valószínűleg könnyedén adta elő a segítő szándékot, miszerint majd ő segít és elküldi a csomagküldő regisztrációs oldalát, ahol már csak pár adatot kell megadni, és máris feladható a küldemény.
Ez az első pont, ahol a történet jobb irányt vehetett, volna amennyiben az eladó megköszöni a segítséget, és közvetlenül a szolgáltató cég oldalát nyitja meg, nem pedig a küldött linket, illetve rendelkezik megfelelő vírusvédelmi eszközzel, ami figyelmezteti a felhasználót, hogy a kamu oldalt valószínűleg adathalászatra használják, és nem engedi tovább folytatni a tranzakciót.
Mivel azonban az eladó nem fogott gyanút, az oldalon megadta az adatait és ezzel beléptünk a második fázisba. Ezen a ponton gyanús ha eladóként a bankszámlánk számán kívül bármilyen adatot kér tőlünk egy rendszer. Különös tekintettel a kétfaktoros hitelesítést biztosító SMS kódra. Ezt soha, semmilyen szolgáltatónak ne adjatok meg!
Vásárlóként amennyiben lehetséges használjatok úgynevezett virtuális bankkártyát. Ilyet a legtöbb pénzintézet ingyen vagy minimális költséggel biztosít a számotokra. Ez a gyakorlatban egy elkülönített számlát jelent, és az ehhez tartozó virtuális kártya kizárólag internetes vásárlásra használható. Erre a számlára átvezetéssel célszerű csak akkora összeget tenni, ami fedezi az aktuális vásárlást. Így ha csalóval van is dolgotok, a funkcionális, fő számlátokhoz még a CVC kód megszerzésével sem fér hozzá.
A harmadik fázisban a felhasználót látszólag átirányították a saját internetbankjának oldalára. Felmerül a kérdés, hogy honnan tudja a csaló, hogy milyen bankot használunk. A válasz nagyon egyszerű. Az előző oldalon megadott bankszámlaszámból ez az információ könnyen kinyerhető, így a felhasználó már a számára ismerős bankfelületet kapja. Ebben a fázisban egy webfilter szintnén sokat segített volna, illetve ennek hiányában mindenképpen meg kell győződünk a böngésző címsorában, hogy csakugyan a bank oldalán járunk. Azonban a felhasználó itt sem fogott gyanút, a szokásos eljárással megpróbált bejelentkezni a bankjába, ezzel pedig utat nyitott a csalónak a bankszámlája felé. Innen pedig nem volt már visszaút.
Ahogy látjátok ez egy viszonylag egyszerű, nem túl sok lépcsőből álló, nem célzott (létezik célzott, kifinomultabb verzió is, erről a későbbi cikkekben majd lesz szó) támadás volt, amelyet kicsit nagyobb odafigyeléssel és megfelelő vírusvédelemmel kezelni lehetett volna.
Összegezve tehát mind potenciális áldozatai vagyunk a a csalóknak, de sok mindent tehetünk azért, hogy minimalizáljuk a kockázatot.
Reméljük sikerült tisztáznunk az adathalászati módszerekkel kapcsolatban néhány dolgot. A végén álljon itt egy rövid lista ami segíthet felismerni és kivédeni a támadásokat:
Ellenőrizd az e-mail címeket: Nézd meg a feladó e-mail címét alaposan. A hivatalos cég vagy szervezet általában hiteles és könnyen azonosítható e-mail címet használ.
Kérdőjelezd meg a tartalmat: Gyanakvásra ad okot az üzenet sürgető vagy figyelmeztető jellege. Soha ne adj meg személyes vagy pénzügyi információkat egy e-mail vagy üzenet útján. Banki adatokat, közösségi médiához használt, vagy levelezőfiók jelszavakat semmilyen szervezet nem kér be. Magánszemélyekről nem is beszélve.
Nézz utána az URL-nek: Ha egy e-mail vagy weboldal azt kéri, hogy kattints egy linkre, először ellenőrizd az URL-t. Hivatalos weboldalak általában HTTPS-t használnak, és az URL pontosan illeszkedik a vállalat nevéhez, és a tanúsítványa is ennek megfelelő.
Használj megbízható vírusirtót és tűzfalat: Ezek a szoftverek segítenek azonosítani a káros webhelyeket és az adathalász e-maileket.
Legyél óvatos a mellékletekkel: Soha ne nyiss meg mellékleteket olyan e-mailekből, melyeket nem vártál vagy nem ismersz fel.
Virtuális kártya: A keretes blokkban található információ ha nem is az internetes vásárlás szent grálja, de sokat segíthet abban, hogy minimalizáld az esetleges veszteséget. Egyes szolgáltató még egyszer használatos virtuális kártyát is kínálnak. Ezek hasznosak lehetnek, ha olyan helyen vásárolsz, amiben nem bízol meg száz százalékban.
- Eladáshoz csak egy bankszámlaszám kell: Amennyiben bármit értékesítesz a neten, a vásárlónak a bankszámlaszámon kívül semmi más információra nincs szüksége. Háríts el minden olyan próbálkozást, amikor a vevő linket küld a szállítással kapcsolatos problémák megoldására. Keresd meg inkább a cég hivatalos oldalát a neten.
- Két vagy több faktor: A két vagy többfaktoros hitelesítés mindenkinek ismerős. Reméljük használjátok a levelezésben, közösségi médiában és egyéb alkalmazásokban. Tulajdonképpen ilyen például az internetbank is. Nagyon fontos, hogy ezt az azonosítót soha senkinek ne adjátok ki.