Az adathalászat (phishing), a kiberbűnözés egy sajátos formája, ami ma az egyik legnagyobb biztonsági veszélyforrás a cégek számára. A bűnözők a hiszékenységre alapozva, pszichológiai manipulációkat alkalmazva próbálják rávenni az áldozatokat bizonyos cselekedetek elvégzésére.
Bár az adathalászok számos technikát alkalmaznak, leggyakrabban e-mailekkel és SMS-ekkel veszik célba az értékes adatokkal rendelkező személyeket. A műveletben fontos szerepet játszanak a megbízható webhelyeket imitáló hamisított weboldalak is, mivel ezek segítségével próbálják elaltatni az áldozatok éberségét.
A cégek e-mailbiztonsági szoftverekkel, a webcímek szűrésével védekezhetnek az adathalászok támadásai ellen, a legfontosabb azonban a munkatársak képzése, az éberségük fenntartása.
Az adathalászat formái
A kiberbűnözők leleményessége szinte kimeríthetetlen. Ennek megfelelően szinte naponta bukkannak fel új, korábban nem ismert adathalász trükkök, vagy a régi módszerek új variációi. Összeállításunkban ezért csak a leggyakrabban alkalmazott fogásokat ismertetjük.
1. E-mail phishing
A bűnözők egy céges munkatárs, partner, esetleg egy pénzintézet, vagy hatóság nevével visszaélve írnak levelet és valamilyen érzékeny adatok (banki felhasználónév és jelszó, kártyaszám) megadását kérik. Minél hivatalosabbnak és mindinkább az adott személyre szabottnak tűnik a levél, annál nagyobb a siker esélye. (Ezeket a leveleket egyszerre, nagy tömegben küldik ki.
Az SMiShing nagyon hasonló az e-mailes támadáshoz. Eredményességét annak köszönheti, hogy az SMS-ekre kevésbé gyanakodnak az emberek, mint az e-mailekre.
Hogyan ismerhető fel az adathalász e-mail?
-
Általános (nem személyre szabott) megszólítás
A legtöbb valódi cég a nevén szólítja meg az ügyfeleit. A “Kedves Ügyfelünk”, Tisztelt Számlatulajdonos” megszólítás esetén érdemes alaposabban megvizsgálni a levelet. -
Érzékeny adatok kérése
Komoly cég nem kéri e-mailben bankkártyaszám, jelszó, vagy más, bizalmas adat elküldését. -
Váratlan kérés valamelyik cég felső vezetőjétől
Mostanában gyakori trükk a látszólag valamelyik főnöktől származó, hitelesnek tűnő levél, ami egy jótékonysági akción való részvételre szólít fel és ehhez kér adatokat. -
Gyanús domain név
Gyakori trükk egy ismert domain névhez hasonló, de attól mégis eltérő domain név alkalmazása. Jól ismert trükk például számmal helyettesíteni bizonyos betűket. (pl. paypa1.com paypal.com helyett) -
Kéretlen csatolmány
Az ilyen csatolmányok gyakran valamilyen vírust tartalmaznak. A valódi cégek inkább linket küldenek, ahonnan a hivatalos fájlok letölthetők.
2. Spear Phishing
Miközben az e-mailes adathalászat a spamekhez hasonlóan egyszerre nagyon sok embert támad, a spear phishing egyetlen, kiválasztott ember ellen irányul. Az áldozatot rendszerint több e-maillel, illetve több üzenőalkalmazáson keresztül is bombázzák üzenetekkel.
3. Whaling (bálnavadászat)
Az adathalászatnak ez a formája lényegében a spear phishing egy alfaja. Jellemzője, hogy mindig a vállalat legfelső vezetői, esetleg a tulajdonosok ellen irányul. Ezek az emberek azok, akik a cég szempontjából a legfontosabb, legérzékenyebb anyagokhoz is hozzáférnek. A hackerek számára a befektetett munka / nyereség arány itt rendkívül kedvező.
4. Baiting
Ennél a módszernél arra próbálják rávenni a címzettet, hogy nyissa meg az üzenetben lévő (kártékony) csatolmányt. A baiting akkor működik, ha sikerül valamivel felkelteni a címzett figyelmét. (Az erős érzelmi töltéssel rendelkező politikai-társadalmi üzenetek gyakran elaltatják a címzettek éberségét.) Egy nagy visszhangot kapott cikket, vagy könyvet tartalmazó fájl helyett azonban egy vírust tartalmazó fájt nyílnak meg.
5. Hamisított weboldalak
A hamis weboldalak (pl. banki oldalak, adóhatóság oldalai) segítségével hackerek adatokat gyűjtenek, vagy malware-eket (pl. zsarolóvírusokat) terjeszthetnek. Ezek a weboldalak jól ismert webhelyek (banki, állami ügynökségi, ismert kereskedelmi oldalak) utánzatai, melyek a biztonság érzetét keltik a látogatókban.
A hamis weboldalak elkerülése érdekében különösen fontos kiberbiztonsági tréningeken képezni a munkatársakat, partnereket, beszállítókat. Ilyenkor mindenképpen fontos elmondani, hogy csak a https kezdetű URL-lel ellátott weboldalakban szabad megbízni és csak a lakat jellel jelölt weboldalak támogatják a biztonságos (titkosított) kommunikációt.
(Sajnos már ez a módszer sem bombabiztos. Nemrég hackerek az ENSZ honlapját hamisítva ezeket a biztonsági jegyeket is megjelenítették, hisz azok inkább csak kicsivel több extra munkát igényel.)
6. Voice Phishing (Vishing)
A kiberbűnözők képesek a telefonokat is meghackelve hivatalos személyek (adóellenőr, nyomozó hatóság) valós telefonszámát kijelezve az áldozatot felhívni és határozott fellépéssel, folyamatos nyomásgyakorlással adatok küldésére, vagy pénz átutalására rávenni.
A legújabb “deepfake” technológiák segítségével az eredeti hangminták alapján építhetők új üzenetek, így akár a dolgozó főnöke (annak a hamisított hangja) is küldhet utasítást egy nagyobb összeg átutalására.
7. Tech support csalás
A magukat belső -, vagy külső informatikai támogatónak feltüntető, általában meggyőző e-mail címmel jelentkező csalók valamilyen ürüggyel távoli hozzáférést kérnek a számítógéphez. Ha ezt megkapták, a gépen található jelszavakat, kártyaszámokat lopják el, vagy arra kémprogramot telepítenek.
Hatékony adathalászat elleni védelem
A hatékony adathalászat elleni védekezés három összetevőből áll:
1. Kiberbiztonsági éberség és tréning
Miközben a munkatársak viselkedése a biztonsági problémák egyik fő forrása, ők fontos szerepet játszanak a megoldásban is. Az esetek 63 százalékában éppen a cég munkatársai fognak gyanút és ők hívják fel a figyelmet az adatlopási kísérletre. Az IT biztonsági vezetők elismerik a kiberbiztonsági éberségi tréningek fontosságát. A fejlett országokban a cégek több, mint felénél a prioritáslista tetején szerepel az informatikus és a végfelhasználók részére szervezett “cybersecurity awareness” tréning.
2. E-mail biztonság
Ez egy igen érett piac, ahol jelen vannak a kifejezetten az e-mail biztonságra szakosodott cégek ugyanúgy, mint a kiberbiztonsági megoldásszállítók, akik széles portfoliójukkal lefedik ezt a területet, valamint az infrastruktúrát gyártó cégek is ajánlanak ilyen megoldásokat. Függetlenül attól ki is a megoldásszállító az adathalász támadások megállításához 3 feltételt kell teljesíteni:
- Azonosítani a kockázat forrását. (A fenyegetések egyre gyorsuló üteme mellett ez egyáltalán nem egyszerű feladat.)
- Segíteni a cégeknek elmozdulni a reaktívból a proaktív pozícióba.
- Egy kimutatható, mérhető megtérülést (ROI) produkálni.
3. Webcímek szűrése
A webcímek szűrése (Web Address Filtering – WAF) egy olyan adatbázison alapul, ami a gyanús oldalakat tartalmazza. A WAF vagy engedélyezi a biztonságos oldalakhoz való hozzáférést (whitelisting), vagy tiltja a korábban adathalászatra és malware-terjesztésre használtakat (blacklisting). A gyanús oldalak listájának dinamikus változása miatt az élvonalbeli cégek gépi tanulást és előfizetésen alapuló felderítő rendszereket alkalmaznak.
Hogyan állíthatók meg az adathalász támadások?
A sikeres adathalász támadások megelőzése érdekében a következőket érdemes tenni:
- Intézményesíteni kell a dolgozók kiberbiztonsági éberségi tréningjeit, mérni kell ezek hatékonyságát.
- Biztonságos webes átjárókkal (gateways), URL szűréssel, SSL réteggel és TLS ellenőrzéssel kell erősíteni a biztonságot.
- Külső, független tesztekkel ellenőrzött e-mailbiztonsági rendszert kell működtetni.
- Azonnal értesíteni kell munkatársakat, ha a rendszerben adathalászati aktivitást észlelnek.
Összegzés
Az adathalászat a kiberbűnözés egyik legalattomosabb formája, hiszen a munkatársak által használt eszközökön keresztül támad. Miközben rendkívül fontos a dolgozók folyamatos képzése, komoly eredményeket csak a megfelelő, célzott kiber- és hálózatbiztonsági eszközök és ezek szakértő támogatása, a megfelelő éberség, illetve a tudatosság hozhat.
