Szakmai blog

Újabb internetes csalások – Figyeljünk a gyanús megkeresésekre!

2023-07-28 | Érdekességek

Újabb internetes csalások – Figyeljünk a gyanús megkeresésekre!

Az adathalászatról általában

Amikor bedobunk egy csalit a halaktól hemzsegő vízbe, abban bízunk, akad majd köztük, aki nem veszi észre a finomság mögött a horgot. Pontosan ez történik az online térben is, mivel adathalászat során a felhasználók maguk szolgáltatnak személyes adatokat egy bűnelkövetőnek, aki megbízható fél látszatát kelti.

Az adathalászok tömegesen kiküldenek valamilyen hivatalos szerv, jellemzően bank nevében egy a bank minden arculati elemét (logó, színek, betűtípus), domain és URL-tartományait tartalmazó, vagy ahhoz nagyon hasonló linkekre irányító, általában sürgető, és nagyon fontosnak tűnő üzenetet. A közös bennük, hogy különösen szenzitív adatok, mint például felhasználónevek, jelszavak, online banki adatok eltulajdonítását célozzák, melyekkel aztán nagyon könnyen vissza tudnak élni az elkövetők, vagy nyereség reményében továbbértékesíthetik harmadik feleknek.

Számos csaló adja ki magát valamilyen bank, vagy éppen hatóság képviselőjének. Egyes csalók például a Szellemi Tulajdon Nemzeti Hivatala (SZTNH) vagy az European Union Intellectual Property Office (EUIPO) köntösébe bújva igyekeznek hamis védjegymegújítási felhívásokkal pénzt kicsikarni áldozataikból.

Az adathalászat gyűjtőfogalma tehát a gyakorlatban magában foglalja többek között azon spam e-mailek küldését, amelyek valamilyen szolgáltatónak vagy hivatalos szervnek álcázzák magukat, de ma már gyakoriak az sms-ben linkeket küldő kártékony weboldalakra átirányító üzenetek is vagy a külföldi örökségről szóló, rossz magyarsággal megírt levelek is. Fontosnak tartjuk megjegyezni, hogy az elkövetés megvalósulhat valamilyen technológiai eszköz használatával, de csupán a social engineering gyakorlatán keresztül is.

Trendek

Az adathalász kampányok tartalmi jellemzője, hogy azok mindig aktuális társadalmi eseményekre, nagy érdeklődésre számot tartó jelenségekre, krízisekre vagy akár természeti katasztrófákra reflektálnak. Az adathalászat egyik legelső és legismertebb megnyilvánulási formájára példa kilencvenes évek elején az ún. AOL kampány volt, amikor hackerek, kihasználva egy internetes szolgáltatás nagy felhasználóbázisát, a szolgáltató nevében küldtek hamis adatkérő vagy felhasználói fiókot megerősítő e-maileket, majd a megszerzett adatokat továbbértékesítették. A népszerű vállalatok nevével visszaélő adathalászat megkönnyítése érdekében terjedtek el az úgy nevezett phishing kitek, amelyek segítségével a cégnév és a logó kicserélésével formalizált e-mailek millióit lehet szétküldeni világszerte. Az adathalász sablonok a mai napig is általános eszközei az adathalászatnak (például Magyarországon igencsak gyakoriak az bankok vagy a Magyar Posta nevében küldött adatkérő e-mailek és SMS-ek).

A közösségi média térhódításával a személyes adatok elérése is egyszerűbb lett. Az információ ilyen mértékű nyilvánossága lehetőséget biztosít az adathalászat és a személyiséglopás egyszerűbb elkövetésére, így például a születési idő vagy a telefonszám is segítséget nyújt az elkövetők számára egyes belépéshez szükséges biztonsági kérdések megválaszolásában. A közösségi médián keresztül egyszerűbb lett elérni a sértettet és meggyőzni őt egy linkre való kattintásról, egy álweboldal meglátogatásáról vagy egy speciális alkalmazás telepítéséről, hiszen manapság majdnem mindenki rendelkezik okos telefonnal vagy a mindennapokban használt hordozható informatikai rendszerrel.

Az adathalászat trendjei a gyakran előforduló társadalmi eseményeken kívül, a ritkább, ugyanakkor nagy társadalmi figyelmet eredményező katasztrófákra vagy krízishelyzetekre is reagálnak. A természeti kataklizmákhoz kapcsolódó adathalászat kérdése merült fel a Harvey hurrikánt követően is, mely során a hurrikánnal kapcsolatos gyanús e-mailek és SMS-ek a katasztrófa közben vagy azt követően jelentek meg. Ezek jelentős jó része donációs célú vagy linket tartalmazó e-mailek voltak.

Észlelés és megelőzés

Az informatikai bűnözés észlelésének számos dimenziója lehet, attól függően, hogy épp mely területen próbálunk védekezni ellene. Az adathalászat megelőzésének két fő a bűnalkalom megakadályozása, valamint a felhasználók felkészítése a felismerésre. Az adathalászat megelőzésének technológiai oldala elsősorban a nagy informatikai cégek, a kiberbiztonsági vállatok és az állami kibervédekezés területe. De mit tehetnek a felhasználók a bűncselekmények felismerése és elkerülése céljából? Ez egy rendkívül bonyolult kérdés, mivel a bűncselekmény bekövetkeztében, vagyis például egy álcázott linkre kattintás, majd a szinte teljesen egyező weboldalon a belépési adatok és a bankkártya adatok bevitelének megvalósulása esetén a technológiai oldalon kívül jelentős szerepe van a pszichológiai manipuláció eszközeinek is.

Mit ajánlunk ügyfeleinknek?

  • Mindig legyen óvatos, amikor egy webhelytől a személyes adatai megadását kérő üzenetet kap. Ha ilyen üzenetet kap, soha ne adja meg személyes adatait addig, amíg meg nem bizonyosodott róla, hogy az üzenetet valóban az érintett webhely küldte. A szolgáltatók soha nem küldenek kéretlen üzeneteket, amelyekben jelszavát vagy más személyes adatát kérik!
  • Minden esetben használjon kétlépcsős azonosítást, mely révén kiegészítő védelmi vonalat biztosíthat a fiókok és adatok számára arra az esetre, ha ellopnák a jelszavát.
  • Érdemes minden olyan elektronikus eszközén vírusirtót használnia, amelyen telepítve van az e-bank alkalmazása vagy amelyről korábban böngészővel lépett be az online fiókjaiba.
  • Olyan távoli elérést biztosító programok is lehetnek a számítógépén, telefonján, amelyeket nem jelez veszélyesnek a víruskereső, azonban hozzáférést biztosíthatnak a csalók számára. Érdemes lehet ezeket eltávolítani!

Az adatvédelem témakörét tekintve jelenleg is számos nyitott kérdéssel és egymással ellentétes véleménnyel találkozhatnak a felhasználók. Ebben az útvesztőben igyekezett cikkünk némi eligazítást nyújtani, azonban ha adatvédelemmel kapcsolatos kérdése van vagy azt sejti, hogy adathalászat áldozata lett széleskörű szakmai segítségért forduljon bizalommal hozzáértő kollégáinkhoz!

Szoftvertesztelés fontossága

2024-02-01
Szoftvertesztelés fontossága

A szoftvertesztelés szinte elengedhetetlen része a szoftverfejlesztésnek és létfontosságú alkotóeleme a szoftver megbízhatóságának és az erőforrások optimalizálásának. Hogyan érdemes lefolytatni, és a fejlesztés melyik részén célszerű bevonni a tesztelés faktorát?

Cikkünkben ezekre a kérdésekre keressük a választ.

Bővebben

NIS2 irányelv a gyakorlatban

2024-01-30
NIS2 irányelv a gyakorlatban

Az adathalász támadások egyre gyakoribbá váltak a digitalizáció rohamszerű fejlődésével. Az EU tagállamoknak 2024. október 17-ig kell átültetniük az új kibervédelmi irányelvet a saját jogrendszerükbe. Az érintett ágazatokon belül, néhány kivétellel minden közepes- és nagyvállalatnak meg kell felelnie a szabályozásnak. Cikkünkben a NIS2 irányelvvel kapcsolatos legfontosabb tudnivalókat szedtük össze!

Bővebben

A ChatGPT-vel összefüggő adatvédelmi aggályok - Könnyen hozzáférhetnek az adatainkhoz?

2024-01-05
A ChatGPT-vel összefüggő adatvédelmi aggályok - Könnyen hozzáférhetnek az adatainkhoz?

Az utóbbi időben a vállalatok világszerte generatív mesterséges intelligencia (GenAI) megoldásokat vezettek be, adataik hatékony és egyszerű kezelése és átláthatósága érdekében. Mivel a legtöbb esetben a GenAI-modellnek "hosszú távú memóriával" kell rendelkeznie, szinte minden vállalati megoldáshoz szükség van egy vektoradatbázisra, amelyet a modell futásidőben lekérdezhet a felhasználói kérdés megválaszolásához szükséges kontextus eléréséhez.

Azonban az eddig rendkívül biztonságosnak hitt megoldás egy olyan kellemetlen igazságot rejt, amely hatalmas adatvédelmi aggályokat vethet fel.

Bővebben

Állunk rendelkezésére az információs technológiával kapcsolatos jogi kérdések tekintetében!

Kapcsolat