Önvédelmi kurzus adathalászok ellen

Nincs igazán nehéz dolguk az adathalászoknak. Először is meg kell szerezniük a leendő áldozatok emailcímét. Lehetőleg olyanokét, akik kapcsolatban állnak a kiszemelt bankkal vagy más pénzintézettel, de a december elején a Raiffeisen, az Erste és a Budapest Bank ügyfeleinek megtévesztésére törő phisherek erre sem ügyeltek: az adatbázisukban szereplő áldozatok válogatás nélkül kaptak hamis emaileket, anélkül, hogy valaha betették volna a lábukat a három pénzintézet valamelyikébe.

Bárki lehet áldozat

A phishereknek ezután találniuk kell egy jó indokot arra, hogy miért van szükség a banki adatokra, és már meg is van a levél szövege. Jellemző példa: " Kedves számlatulajdonos! 2006. december 1-jén a rendszerünkben a banknak pénzmosással, hitelkártya csalással, terrorizmussal kapcsolatban és a visszaélések ellenőrizése céljából zárolnia kellett néhány számlát. - írták december elején a phisherek a Budapest Bank feltételezett ügyfeleinek.

Sajnos az adathalászok levelei nem túl szórakoztatóak: a bankok unalmas frázisait használják, de éppen ezért sokakat megtéveszthetnek. Az emailek éppen úgy néznek ki, mintha a bank küldte volna őket, sőt gyakran az intézet valódi telefonszámait és emailcímeit is tartalmazzák, de persze a csalók ügyelnek arra, hogy az áldozatok lehetőleg inkább a hamis linkekre kattintsanak.

Ezután az adathalászok hamis személyes adatok megadásával regisztrálnak egy domént, ami hasonlít a banki szájt webcímére. Sokszor csak egy betűnyi eltérés van a valódi és a hamis weboldal között; esetleg .hu helyett .com-ra végződik a cím. Előfordul az is, hogy a teljes valódi név szerepel a címben, némi extrával kiegészítve. Például így: www.otpbank.hu.ideirnakvalamit.com. Egyes csalók a hamis weboldalba épített JavaScript-kódokkal meg tudják változtatni a böngésző címsorának kinézetét úgy, hogy egy képet helyeznek a szöveg elé, de a képen a valódi oldal címe látható. További gondot jelenthetnek még a nemzetközi doménnevek, hiszen sokak figyelmét elkerülheti egy aprócska vonal egy "a" betű alatt (például: otpbąnk.hu az otpbank.hu helyett).

A veszélyesebb támadások közé tartozik a cross site scripting néven ismert módszer, amely a webes alkalmazások biztonsági hibáit használja ki (feltéve, hogy van ilyen hiba). Ezzel idegen kódot lehet beszúrni a valódi banki weboldalra, és a felhasználó egy pillanatig sem gyanakodhat, hiszen mindvégig a bank saját weboldalát használja, a weboldal címétől és digitális aláírásig minden stimmel.

Ha megvan a cím, akkor már csak fel kell tölteni egy ingyenes tárhelyre az eredeti banki oldal ügyes másolatát, és gyorsan el kell küldeni az áldozatoknak az emaileket, mielőtt valakinek feltűnik a hamis szájt.

A beérkezett hitelkártya-számok és kódokat elég összegyűjteni, és kezdőthet az aratás. Az amatőrök maguk próbálják leszedni a pénzt az áldozatok számláiról, a profik nagy pakkokban adják tovább őket az erre szakosodott többi profinak. Ha jól csinálják, észre se veszik őket: a fejlett hitelkártya-kultúrával rendelkező országokban a számlatulajdonosok ritkán néznek utána egy-egy apró tételnek, így sokszor hónapokig, évekig apad a számlájuk anélkül, hogy tudomást szereznének róla.

Bárki lehet bűnöző

Bár az első adathalász-kísérletekre már a kilencvenes években sor került, magyar célpont ellen csak 2004 novemberében indítottak támadást: akkor az OTP netbankoldalát hamisították meg máig ismeretlen adathalászok, akik egy ingyenes osztrák szerveren tárolták a csalioldalt. A bank szerint semmilyen kár nem keletkezett az akkori kísérletből.

A mostani, magyar bankok ellen irányuló támadások jól illeszkednek a nemzetközi trendekbe: idén szeptemberről októberre a hamis oldalak száma ugrásszerűen 24 565-ről 37 444-re nőtt világszerte, és a növekedés az elmúlt évben elérte a 757 százalékot. Bár az érintett cégek száma nem mutat ilyen drámai ugrást, a növekedés itt is egyértelmű. Tavaly októberben 96, idén ugyanabban a hónapban 176 különböző cég oldalát hamisították meg a phisherek.

Az elmúlt években az adathalászok módszerei egyre tökéletesedtek: most már kis befektetéssel, komoly számítástechnikai ismeretek nélkül is bárki előkészíthet és levezényelhet egy egyszerű phishing-kampányt. Egy az adathalászok ellen küzdő szervezet, az Anti-Phising Working Group szerint a nem túl bonyolult phishing kitek ára 30 dollárra csökkent a feketepiacon (igaz, a jobbakért 3000 dollárt is elkérnek); az árcsökkenés oka, hogy az új adathalász-ezközöket gyártó kiberbűnözők összefogtak a hagyományos alvilág kevésbé hozzáértő, viszont annál tőkeerősebb csoportjaival.

A phish kitek nemcsak olcsóbbak, de jobb minőségűek is, mint elődeik voltak. Sok közülük immúnis a vírusirtó szoftverekre, illetve az azonosításra vagy a heurisztikus módszerekre alapozott védelmi eszközökre. A drágább modellek beépített "0 day exploit"-okkal érkeznek - ezek rögtön kihasználják a biztonsági réseket, mihelyt azok nyilvánosságra kerülnek. A fejlett verziók arra is képesek, hogy saját maguk fedezzék fel a védelmi rendszerek hiányosságait.

A csalók előszeretettel használják az új adatátviteli technikákat is. A phishing után megérkezett a vishing - a szó a voice (hang) és a phishing összevonásával keletkezett, és az internetes hangátviteli protokollt, a voipot kihasználó módszereket jelenti.

A visherek azt használják ki, hogy a netes telefóniában - a hagyományos drótos telefonokkal ellentétben - az adatok továbbítására használt számítógépek nehezebben ellenőrizhetők és nyilvántarthatók. Közkedvelt visher-módszer, hogy a bankkártya tulajdonosát automata hangüzenetben értesítik arról, hogy valaki visszaélt hitelkártyájával. Ezután felhívatnak vele egy telefonszámot, amely látszólag a pénzintézeté, valójában "spoofolt", meghamisított szám, ami a vishereknél csörög ki. Ha felhívják, egy automata a bank nevében arra kéri a hívót, pötyögje be adatait, így hitelkártya-számát és pin-kódját, de az igazán pimasz visherek más személyes adatokat, így a születési évet vagy a társadalombiztosítási számot - is kicsalnak az áldozatokból.

Önvédelmi tízparancsolat

• Rossznak tűnhet a helyzet, de valójában nem nehezebb elkerülni az internetes csapdákat, mint az utcán a macskakőre kenődött kutyaszart. Olvassák el javaslatainkat.
• 1. Gyanakodva tekintsen minden olyan emailre, amely személyes banki adatainak ellenőrzésére vagy újbóli elküldésére szólít fel. A bankok általában semmit sem akarnak emailben elintézni. Ha az email nincs digitálisan aláírva, akkor nem lehet biztos abban, hogy nem hamisítvány. Érdemes alaposan megfigyelni a levél szövegét is, mert ha a bank mégis küld emailt, az általában személyre szól, pontosan megnevezezi a címzettet, ezzel szemben az adathalászok több millió embernek pontosan ugyanazt a szöveget küldik el.
• 2. Akár elkezdett gyanakodni, akár nem, pénzügyi témájú emailben lévő linkekre soha ne kattintson rá! Ha mégis szeretné ellenőrizni az emailben leírt állításokat, írja be a böngészőjébe a bank webcímét, mert ha a pénzintézetnek fontos közlendője van, akkor arra a weboldalán is biztosan felhívja a figyelmet. Esetleg telefonon is felhívhatja a bankot, ha nem derogál tárcsáznia.
• 3. Emailben lévő űrlapot ne töltsön ki. Bankkártyaszámot és más kényes adatot csak biztonságos weboldalon vagy telefonon adjon meg. A weboldal akkor biztonságos, ha az url elején titkosított protokollra utaló "https://" előtag van. A "http://" előtag használata arra utal, hogy minden bevitt adat egyszerű szövegként utazik az interneten, azaz szabadon lefülelhető.
• 4. Érdemes olyan böngészőt használni, amely figyelmeztet a hamis weboldalakra. A Firefox 2.0 ebben elég jó, és az Internet Explorer 7-ben is van védelem, de a Microsoft böngészője sokkal szerényebben szól, ha veszélyt észlal. Ha nem szívesen cseréli le a böngészőjét, akkor legalább telepítsen fel rá védelmet adó kiegészítőket, például .
• 5. Ne hagyja, hogy a böngésző megjegyezze banki jelszavait! Bökjön a nemre, amikor felajánlja a jelszó mentését, és rendszeresen törölje a gyorstárat, amely a böngészés közben letöltött adatokat tartalmazza.
• 6. Ne intézze banki ügyeit netkávézóban, mert a gépen futhat olyan program, amely rögzíti a billentyűleütéseket.
• 7. Rendszeresen ellenőrizze számláját, hogy időben megtalálja a gyanús átutalásokat. Ha ilyesmit lát, azonnal figyelmeztesse a bankját.
• 8. Mindig töltse le a böngésző és az operációs rendszer biztonsági frissítéseit.
• 9. Ha hamis weboldalt lát, azonnal jelentse. Az Internet Explorer 7 és a Firefox 2.0 böngészőkben alapból van lehetőség a kamu oldalak jelentésére.
• 10. Írjon nekünk, és nyilvánosságra hozzuk a csalást.