- Published on
Adathalászat a napjainkban I
- Authors
- Name
- Bartók Dániel
Napjainkban kétségkívül az egyik legforróbb téma a számítástechnika világában az adathalászat. Szinte napi szinten lehet arról olvasni, hogy épp melyik bank, szolgáltató vagy épp szállító cég nevében próbáltak meg ügyfelektől adatokat kicsalni. Biztosan találkozott már a Kedves Olvasó is ezzel a jelenséggel. Ezen próbálkozások jó része nagyon amatőr és átlátszó.
Például egy e-mail esetében lehet magyartalan a szövegkörnyezet, egyáltalán nem ismerhető fel benne az adott cég, például a dizájn által. De sajnos vannak olyanok is, amelyek egy-két apró kivételtől eltekintve szinte megszólalásig hasonlítanak az eredetire. Mind szövegben, mind dizájnban. Sajnos az ismeretségi körömben is nem egy ilyen esetről tudok és már jó páran meg is kerestek a problémával. Ezzel a bejegyzéssel most segíteni szeretnék, hogy a legtöbb ilyen adathalász próbálkozást még időben fel tudjuk ismerni, de arról is lesz szó, hogy mit érdemes tenni akkor, ha már megtörtént a baj.
Ne feledjétek, bárki, aki az információs szupersztrádán közlekedik az potenciális áldozat! Mint ahogyan a való életben, a virtuális volán mögött is mindig legyünk nagyon éberek!
Phising, vagyis az adathalászat
Az adathalászat fő célja, érzékeny adatok
(felhasználónevek, jelszavak, bankkártya adatok, üzleti titkok) eltulajdonítása, azok felhasználása különféle célok mentén. A támadó egy olyan természetes vagy nem természetes személynek adja ki magát, akiben megbízunk, így sokkal könnyebben teljesítjük az általa kért dolgokat.
Itt akár párhuzamot is vonhatunk a szerződésben található kisbetűs résszel. Szerintem nem vagyok egyedül vele, ha azt mondom, hogy az esetek nagy részében ezeket nem szoktam elolvasni, vagy legjobb esetben is csak szemmel átfutom a tartalmát, mert bízok annyira a másik szerződő félben, hogy ott nem az van leírva, hogyan fogják a szerveimet a fekete piacon áruba bocsátani. Van az emberben egyfajta egészséges bizalom vagy nevezzük ezt jóhiszeműségnek. A támadók pedig sajnos pont ezt szeretnék kihasználni. Nem véletlen a párhuzam a horgászattal (adat + halászat), ahol szintén csali használatával fogják ki a halakat.
Számos típusa van ezeknek a megkereséseknek, e-mail
, telefon
, sms
, Messenger
, de már QR-kódokkal
is átverhetnek. Fontos tudni, hogy a legtöbb esetben ezek nem célzott támadások ellenünk, hiszen a támadónak az a célja, hogy minél nagyobb legyen a merítés és minél több érzékeny adatot tudjon megkaparintani. Persze van, olyan is amikor egy cég vezérigazgatójától akarnak adatokat szerezni, őt kimondottan célzottan támadják ilyen esetben, ezt szokás bálnavadászatnak
is hívni. Ezek után nézzük, hogyan is zajlik mindez a virtuális térben.
A fenti képen a legáltalánosabb adathalász próbálkozás látható. Leegyszerűsítve a folyamat a következő. A támadó
egy megbízható személy (például Facebook) nevében küld egy levelet az áldozatnak
. Az áldozat mivel úgy gondolja, megbízható forrásból kapta a levelet, elolvassa a tartalmát, majd eleget tesz az ott leírtaknak. Rákattint a levélben található oldal linkjére
, amely átirányítja egy adathalász weboldalra
, amely szinte megszólalásig hasonlít az eredetire, esetünkben a Facebook bejelentkező oldalára. Itt megadja érzékeny adatait
, ami a példánál maradva most a felhasználónév és jelszó páros. A támadó megszerzi az adatokat, majd ezeket felhasználva már be is tud lépni a felhasználó nevében az adott oldalra.
A gyakorlatiasság híve vagyok, így hoztam néhány mindennapos adathalász próbálkozást, a továbbiakban ezeket mutatnám be, egyúttal rávilágítva arra is, hogyan lehet idejében felismerni és védekezni ellenük.
Néhány adathalász próbálkozás
E-mail-es megkeresés
Az első példában nézzük meg a fentebb leírt adathalász próbálkozást a gyakorlatban. A lentebb látható képet kaptam a "Metától", miszerint a Zsebinformatikus Facebook-os oldala vétett több közösségi alapelv ellen is, és ha nem szeretném, hogy töröljék az oldalt, illetve jogi következményei legyenek a dolognak, lebezzek fel a döntés ellen a megadott link használatával.
Első ránézésre fura lehet, hogy angolul érkezett a levél, hiszen a Metának van magyar támogatási oldala, de ezt akár még el is lehet fogadni. Illetve a feladó nevében szerepel a Meta cég neve. Tehát első ránézésre, habár gyanús, de ezekből ítélve akár valós is lehetne a levél. Viszont! Egy trükk, amit a támadók előszeretettel használnak, hogy a levél feladójának a megjelenítési nevét egyes levélküldő programokban szabadon megadhatjuk. Ezért ilyenkor mindig érdemes ellenőrizni a név mögött található e-mail címet. Láthatjuk is ebben az esetben, hogy hiába Meta Review Team jelenik meg a küldő nevénél az e-mail-t valójában az [email protected]
címről küldték.
A második árulkodó jel pedig ilyen esetben a link címe szokott lenni. Ha rávisszük az egeret akkor megjelenik, hogy pontosan hova szeretne minket átirányítani. Látható, hogy a címnek semmi köze a Facebook-hoz. Ez is bevett szokás, hogy a címet egy URL-rövidítő szolgáltatás
használatával elrejtik (facebook.com helyett, t.ly), így nem látjuk, hogy a gombra kattintva pontosan hova is fogunk jutni. Megbízható forrásból érkezett levél esetén sohasem fogják elrejteni a címet, hiszen nincs mit titkolniuk.
A harmadik gyanakvásra adó dologról már esett szó a bevezetőben, ami esetünkben nem más, mint a Meta által küldött levelek kinézetének teljes hiánya
. Ilyenkor bevett szokás lehet, ha ellenőrizzük, hogy egyébként az adott cég milyen leveleket szokott küldeni és azzal összehasonlítjuk a mostanit. Amennyiben nagy az eltérés, már ráncolhatjuk is a homlokunkat.
Még egy dolog elmondható általánosságban ezekről a próbálkozásokról. Mindegy melyik típusáról beszélünk, az esetek túlnyomó többségében hangvételük sürgető és felszólító
módot alkalmaznak.
Tehát hiába tűnhetett a levél elsőre igazinak, egy kis odafigyeléssel rögtön rájöttünk, hogy adathalász próbálkozásról van szó. Ilyenkor semmi esetre se kattintsunk a linkre!
Nézzük, mi történik, amikor egy gyanútlan áldozat bekapja a csalit. Tegyük fel, a fenti levélben arra ment ki a játék, hogy megszerezzék a Facebook felhasználónevünket és jelszavunkat. Ilyenkor a támadó lemásolja az adott oldal bejelentkező felületét, és a levélben lévő linkkel ide irányít minket.
Majd miután megadjuk az adatainkat, ügyesen visszairányítanak a valódi oldalra, így észre sem vesszük a csalást. Közben pedig a támadó birtokába került a felhasználónevünk és a jelszavunk.
Mindig legyünk résen és ne sajnáljuk az időt ellenőrizni a példában is említett négy alapvető dolgot!
Messenger üzenet
Nézzük a második példát. Sajnos szinte majdnem minden nap kapok ehhez hasonló levelet a Zsebinformatikus Facebook oldalán. Több megkeresést is kaptam már ezügyben, hiszen nyilván senki sem szeretné elveszíteni a vállalkozása oldalát. Bár már tiltotta le az oldalamat a Meta, ezek a levelek 99 százaléka adathalász próbálkozás, szerencsére a gyengébbik fajtából. Elég hozzá elolvasni a szöveget.
Lényegében arról szól, hogy oldaladat letiltottuk, kattints a linkre, ahol valamilyen adat megadásával igazold a fiókod. Ilyet soha senki nem fog tőlünk kérni, csak a csalók. Emlékezzünk csak vissza az elméleti részben látható képre. Annak egy iskolapéldáját láthatjuk itt. Már alapból az is gyanús, hogy *Facebook* üzenetben
jött a felkérés, a Meta e-mail-ben tartja a kapcsolatot az ügyfelekkel. Második dolog, ami egyből szemet szúrhat, az a profil neve és a profil kép hiánya
. Bár egy képet sikeresen elloptak a Facebook-ról, amivel már lehet találkoztunk is, pontosan ezt kihasználva szeretnék elültetni a bizalom magjait. De ne hagyjuk becsapni magunkat, elég csak a linket megnézni
, business.privacy-center-activity.com
. Ennek az ég világon semmi köze, a Facebook-hoz és a Metához.
Senki ne csinálja utánam, de én most kíváncsiságból rákattintottam a linkre, szerencsére a legtöbb modern böngésző felismeri ezeket az adathalász próbálkozásokat, mint most az én esetemben is és figyelmeztet, hogy azonnal hagyjuk el az oldalt.
Nagyon fontos, ha csak egyetlen jel is utal arra, hogy ez egy adathalász próbálkozás, akkor SEMMIKÉPPEN se kattintsunk a szövegben szereplő linkre. Hiszen nem minden ilyen próbálkozást tud a böngésző felismerni és már akár azzal is kártékony alkalmazás települhet a számítógépünkre, hogy rákattintottunk a linkre. Ilyen például a zsarolóvírus
, amelyről majd a következő bejegyzésben írok részletesebben.
Összegezve tehát a gyanús jelek az alábbiak:
- Felszólító mód
- Link a szövegben, ahol igazolni kell magunkat
- Messengeren érkező felhívás
- Profil neve és a profilkép hiánya
- A link címe semmilyen módon nem köthető a Facebook-hoz és a Métához.
A napokban olvastam egy tanulmányt1, amelyet a ProPublica oknyomozó szervezet készített, arra voltak kíváncsiak, hogy a Meta szolgáltatásait figyelembe véve (Facebook, Instagram, Threads), egyes reklámok mekkora megtekintést tudnak elérni az álhírek és álhirdetések kategóriában. Sajnos sokkoló eredmény született. Volt olyan reklám, amelyet 900 millióan láttak.
Marketplace robotok
Gyanítom szinte mindenki használta már a Facebook adok-veszek szolgáltatását, a Marketplace-t. Manapság nincs olyan meghirdetett termékem, amelynél ne próbálkozna be egy-egy robot fiók
adathalászással. Éppen ezért tartottam fontosnak, hogy helye legyen egy ilyen példának is a bejegyzésben. Ahogy a beillesztett Messenger beszélgetésben is látszik általában valamelyik futár cégen keresztül szeretnék megvenni a meghirdetett terméket. Kezesen átvállalják a szállítási költséget és előre is utalnak, csak adjunk meg néhány személyes adatot, ez esetben az e-mail címünket.
Ha sejtjük, hogy hasonlóval lehet dolgunk, nyugodtan kezdeményezzünk beszélgetést, én ilyenkor direkt egy másik futár céget szoktam ajánlani. Ezzel általában nem tudnak mit kezdeni és folytatják a "betanult" szöveget. Másik árulkodó jel szokott lenni, ha megnézzük a Facebook profilukat. Általában egy-két évesek, és néhány képfeltöltésen kívül semmilyen valódi tartalmat nem fogunk találni.
A gyanús jelek tehát a következők:
- Előre akar utalni és a szállítási költséget is átvállalja
- Csak a betanult szöveget tud, az is magyartalan
- Tartalom nélküli pár éves Facebook profil
A példákat végig nézve, látszik, hogy lehet az ilyen megkeresések ellen védekezni, össze is gyűjtöttem néhány ökölszabályt, amit érdemes betartani.
Alapelvek az adathalászat elleni védekezésben
- Mindenhol más jelszó
- Kétfaktoros/Kétlépcsős azonosítás
- Jelszókezelő
- Bizalmatlan hozzáállás
- SOSEM KÉRNEK ÉRZÉKENY ADATOT
- Ha nem vagyunk biztosak, akkor inkább kérdezzünk!
- Rövidített URL ellenőrző
- Csatolmány ellenőrző
Bár a legtöbb dologról már esett szó itt a Zsebinformatikuson is, be is linkeltem a témához legjobban illő bejegyzést, azért kifejteném az egyes pontokat.
- Azért érdemes mindenhol más jelszót használni, mert előfordulhat, hogy benyelünk egy komolyabb adathalász próbálkozást és ilyenkor például, ha megszerezték a Facebook belépési adatainkat, máshoz akkor sem fognak tudni hozzáférni. Így legrosszabb esetben is "csak" a profilunkat buktuk el. Sajnos mivel a legtöbb esetben több helyen is ugyanazt a jelszót használjuk, ennek a támadók is a tudatában vannak így természetesen ők is szeretnék kihasználni ezt a hibánkat. Ennyire ne könnyítsük meg nekik!
- Ahol lehet kapcsoljuk be a kétfaktoros/kétlépcsős azonosítást. Ez két dologban is a segítségünkre lehet. Abban az esetben, ha megtörtént a baj és megszerezték a példánál maradva a Facebook belépési adatainkat, akkor sem tudnak mit kezdeni vele, mert ezek megadása után még egy második körben egy e-mail-ben vagy smsben kapott kódot is meg kell adnunk és csak ezek után lesz sikeres a belépés. Másik pozitív hozadéka, hogy értesülhetünk a belépési kísérletekről. Hiszen egyből szemet szúr, ha kapunk egy értesítést arról, hogy épp be akarunk jelentkezni, miközben épp kertészkedünk.
- Amennyiben be akarjuk azt tartani, hogy mindenhol más jelszót használjunk, szerintem elengedhetetlen egy jelszókezelő használata. Megkönnyíti a tárolást, hiszen ebben az esetben csak egy jó bonyolult Mesterjelszót kell kitalálnunk, a jelszó széf kinyitásához. Így elég ezt megjegyeznünk. A további hasznos funkcióról nem is beszélve, mint például a jelszógenerálás és az automatikus kitöltés.
- A bevezetőben esett szó az egészséges bizalomról, sajnos ezt az informatikában le kell építenünk és helyette inkább legyen a hozzáállásunk bizalmatlan.
- Ezt nagyon jól jegyezzük meg, senki nem fogja tőlünk elkérni a jelszavunkat, bankkártya adatunkat, mert ezek személyes adatok és ezekhez rajtunk kívül az ég világon senkinek semmi köze.
- Ha nem vagyunk biztosak valamiben, nyugodtan kérdezzünk vissza, hogy hát erre meg erre az adatomra miért is van szükséged.
- Az utolsó két pontot igazából érdekességképpen tettem ide, ahogy a példákban láthattuk, bevett szokás az egyes címeket valamilyen URL rövidítő szolgáltatással lerövidíteni, hogy ne lássuk pontosan, mi is a cím. Vannak viszont olyan szolgáltatások, amelyek megfordították a működést, tehát ha oda beírjuk ezeket a rövid címeket, meg tudják mondani, hogy az mögött pontosan milyen cím van.
- Sokszor próbálkoznak a támadók, valamilyen csatolmány küldésével. Ezek általában valamilyen vírussal fertőződtek, erre majd a következő részben fogok példát mutatni. Viszont vannak olyan szolgáltatások, ahol a csatolmányt feltöltve meg tudja állapítani, hogy az valóban vírusos-e.
A következő bejegyzésben hozok még további példákat, illetve arról is lesz szó, hogy mit tegyünk, ha megtörtént a baj. Ezenfelül a jövőbe is tekintünk és megvizsgáljuk, hogy a mesterséges intelligencia berobbanása milyen hatással van az adathalászatra.
Találkoztál már "érdekes" adathalász próbálkozással? Titeket mennyire érint ez a probléma?
Írjátok meg hozzászólásban!
Footnotes
A tanulmány itt olvasható: https://www.propublica.org/article/facebook-instagram-meta-deceptive-political-ads-election ↩