Előd
7 °C
17 °C

Néha úgy érzed, mintha két valóság létezne?

Több infó

Támogasd a független újságírást, támogasd az Indexet!

Nincs másik olyan, nagy elérésű online közéleti médiatermék, mint az Index, amely független, kiegyensúlyozott hírszolgáltatásra és a valóság minél sokoldalúbb bemutatására törekszik. Ha azt szeretnéd, hogy még sokáig veled legyünk, akkor támogass minket!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?

Önvédelmi kurzus adathalászok ellen

2006.12.08. 14:16
Jól időzítették az adathalászok a Raiffeisen, az Erste és a Budapest Bank ügyfelei ellen intézett támadást, hiszen az ünnepekre valószínűleg jó sok pénz gyűlt össze a bankszámlákról. De ha nem ismeretlen bűnözőket szeretne meglepni karácsonykor, fogadja meg tanácsainkat!

Nincs igazán nehéz dolguk az adathalászoknak. Először is meg kell szerezniük a leendő áldozatok emailcímét. Lehetőleg olyanokét, akik kapcsolatban állnak a kiszemelt bankkal vagy más pénzintézettel, de a december elején a Raiffeisen, az Erste és a Budapest Bank ügyfeleinek megtévesztésére törő phisherek erre sem ügyeltek: az adatbázisukban szereplő áldozatok válogatás nélkül kaptak hamis emaileket, anélkül, hogy valaha betették volna a lábukat a három pénzintézet valamelyikébe.

Bárki lehet áldozat

A phishereknek ezután találniuk kell egy jó indokot arra, hogy miért van szükség a banki adatokra, és már meg is van a levél szövege. Jellemző példa: " Kedves számlatulajdonos! 2006. december 1-jén a rendszerünkben a banknak pénzmosással, hitelkártya csalással, terrorizmussal kapcsolatban és a visszaélések ellenőrizése céljából zárolnia kellett néhány számlát. - írták december elején a phisherek a Budapest Bank feltételezett ügyfeleinek.

Sajnos az adathalászok levelei nem túl szórakoztatóak: a bankok unalmas frázisait használják, de éppen ezért sokakat megtéveszthetnek. Az emailek éppen úgy néznek ki, mintha a bank küldte volna őket, sőt gyakran az intézet valódi telefonszámait és emailcímeit is tartalmazzák, de persze a csalók ügyelnek arra, hogy az áldozatok lehetőleg inkább a hamis linkekre kattintsanak.

Ezután az adathalászok hamis személyes adatok megadásával regisztrálnak egy domént, ami hasonlít a banki szájt webcímére. Sokszor csak egy betűnyi eltérés van a valódi és a hamis weboldal között; esetleg .hu helyett .com-ra végződik a cím. Előfordul az is, hogy a teljes valódi név szerepel a címben, némi extrával kiegészítve. Például így: www.otpbank.hu.ideirnakvalamit.com. Egyes csalók a hamis weboldalba épített JavaScript-kódokkal meg tudják változtatni a böngésző címsorának kinézetét úgy, hogy egy képet helyeznek a szöveg elé, de a képen a valódi oldal címe látható. További gondot jelenthetnek még a nemzetközi doménnevek, hiszen sokak figyelmét elkerülheti egy aprócska vonal egy "a" betű alatt (például: otpbąnk.hu az otpbank.hu helyett).

A veszélyesebb támadások közé tartozik a cross site scripting néven ismert módszer, amely a webes alkalmazások biztonsági hibáit használja ki (feltéve, hogy van ilyen hiba). Ezzel idegen kódot lehet beszúrni a valódi banki weboldalra, és a felhasználó egy pillanatig sem gyanakodhat, hiszen mindvégig a bank saját weboldalát használja, a weboldal címétől és digitális aláírásig minden stimmel.

Ha megvan a cím, akkor már csak fel kell tölteni egy ingyenes tárhelyre az eredeti banki oldal ügyes másolatát, és gyorsan el kell küldeni az áldozatoknak az emaileket, mielőtt valakinek feltűnik a hamis szájt.

A beérkezett hitelkártya-számok és kódokat elég összegyűjteni, és kezdőthet az aratás. Az amatőrök maguk próbálják leszedni a pénzt az áldozatok számláiról, a profik nagy pakkokban adják tovább őket az erre szakosodott többi profinak. Ha jól csinálják, észre se veszik őket: a fejlett hitelkártya-kultúrával rendelkező országokban a számlatulajdonosok ritkán néznek utána egy-egy apró tételnek, így sokszor hónapokig, évekig apad a számlájuk anélkül, hogy tudomást szereznének róla.

Bárki lehet bűnöző

Bár az első adathalász-kísérletekre már a kilencvenes években sor került, magyar célpont ellen csak 2004 novemberében indítottak támadást: akkor az OTP netbankoldalát hamisították meg máig ismeretlen adathalászok, akik egy ingyenes osztrák szerveren tárolták a csalioldalt. A bank szerint semmilyen kár nem keletkezett az akkori kísérletből.

A mostani, magyar bankok ellen irányuló támadások jól illeszkednek a nemzetközi trendekbe: idén szeptemberről októberre a hamis oldalak száma ugrásszerűen 24 565-ről 37 444-re nőtt világszerte, és a növekedés az elmúlt évben elérte a 757 százalékot. Bár az érintett cégek száma nem mutat ilyen drámai ugrást, a növekedés itt is egyértelmű. Tavaly októberben 96, idén ugyanabban a hónapban 176 különböző cég oldalát hamisították meg a phisherek.


Új phishing-szájtok hónapról hónapra.
Forrás:
Az elmúlt években az adathalászok módszerei egyre tökéletesedtek: most már kis befektetéssel, komoly számítástechnikai ismeretek nélkül is bárki előkészíthet és levezényelhet egy egyszerű phishing-kampányt. Egy az adathalászok ellen küzdő szervezet, az Anti-Phising Working Group szerint a nem túl bonyolult phishing kitek ára 30 dollárra csökkent a feketepiacon (igaz, a jobbakért 3000 dollárt is elkérnek); az árcsökkenés oka, hogy az új adathalász-ezközöket gyártó kiberbűnözők összefogtak a hagyományos alvilág kevésbé hozzáértő, viszont annál tőkeerősebb csoportjaival.

A phish kitek nemcsak olcsóbbak, de jobb minőségűek is, mint elődeik voltak. Sok közülük immúnis a vírusirtó szoftverekre, illetve az azonosításra vagy a heurisztikus módszerekre alapozott védelmi eszközökre. A drágább modellek beépített "0 day exploit"-okkal érkeznek - ezek rögtön kihasználják a biztonsági réseket, mihelyt azok nyilvánosságra kerülnek. A fejlett verziók arra is képesek, hogy saját maguk fedezzék fel a védelmi rendszerek hiányosságait.

A csalók előszeretettel használják az új adatátviteli technikákat is. A phishing után megérkezett a vishing - a szó a voice (hang) és a phishing összevonásával keletkezett, és az internetes hangátviteli protokollt, a voipot kihasználó módszereket jelenti.

A visherek azt használják ki, hogy a netes telefóniában - a hagyományos drótos telefonokkal ellentétben - az adatok továbbítására használt számítógépek nehezebben ellenőrizhetők és nyilvántarthatók. Közkedvelt visher-módszer, hogy a bankkártya tulajdonosát automata hangüzenetben értesítik arról, hogy valaki visszaélt hitelkártyájával. Ezután felhívatnak vele egy telefonszámot, amely látszólag a pénzintézeté, valójában "spoofolt", meghamisított szám, ami a vishereknél csörög ki. Ha felhívják, egy automata a bank nevében arra kéri a hívót, pötyögje be adatait, így hitelkártya-számát és pin-kódját, de az igazán pimasz visherek más személyes adatokat, így a születési évet vagy a társadalombiztosítási számot - is kicsalnak az áldozatokból.

Önvédelmi tízparancsolat

  • Rossznak tűnhet a helyzet, de valójában nem nehezebb elkerülni az internetes csapdákat, mint az utcán a macskakőre kenődött kutyaszart. Olvassák el javaslatainkat.
  • 1. Gyanakodva tekintsen minden olyan emailre, amely személyes banki adatainak ellenőrzésére vagy újbóli elküldésére szólít fel. A bankok általában semmit sem akarnak emailben elintézni. Ha az email nincs digitálisan aláírva, akkor nem lehet biztos abban, hogy nem hamisítvány. Érdemes alaposan megfigyelni a levél szövegét is, mert ha a bank mégis küld emailt, az általában személyre szól, pontosan megnevezezi a címzettet, ezzel szemben az adathalászok több millió embernek pontosan ugyanazt a szöveget küldik el.
  • 2. Akár elkezdett gyanakodni, akár nem, pénzügyi témájú emailben lévő linkekre soha ne kattintson rá! Ha mégis szeretné ellenőrizni az emailben leírt állításokat, írja be a böngészőjébe a bank webcímét, mert ha a pénzintézetnek fontos közlendője van, akkor arra a weboldalán is biztosan felhívja a figyelmet. Esetleg telefonon is felhívhatja a bankot, ha nem derogál tárcsáznia.
  • 3. Emailben lévő űrlapot ne töltsön ki. Bankkártyaszámot és más kényes adatot csak biztonságos weboldalon vagy telefonon adjon meg. A weboldal akkor biztonságos, ha az url elején titkosított protokollra utaló "https://" előtag van. A "http://" előtag használata arra utal, hogy minden bevitt adat egyszerű szövegként utazik az interneten, azaz szabadon lefülelhető.
  • 4. Érdemes olyan böngészőt használni, amely figyelmeztet a hamis weboldalakra. A Firefox 2.0 ebben elég jó, és az Internet Explorer 7-ben is van védelem, de a Microsoft böngészője sokkal szerényebben szól, ha veszélyt észlal. Ha nem szívesen cseréli le a böngészőjét, akkor legalább telepítsen fel rá védelmet adó kiegészítőket, például .
  • 5. Ne hagyja, hogy a böngésző megjegyezze banki jelszavait! Bökjön a nemre, amikor felajánlja a jelszó mentését, és rendszeresen törölje a gyorstárat, amely a böngészés közben letöltött adatokat tartalmazza.
  • 6. Ne intézze banki ügyeit netkávézóban, mert a gépen futhat olyan program, amely rögzíti a billentyűleütéseket.
  • 7. Rendszeresen ellenőrizze számláját, hogy időben megtalálja a gyanús átutalásokat. Ha ilyesmit lát, azonnal figyelmeztesse a bankját.
  • 8. Mindig töltse le a böngésző és az operációs rendszer biztonsági frissítéseit.
  • 9. Ha hamis weboldalt lát, azonnal jelentse. Az Internet Explorer 7 és a Firefox 2.0 böngészőkben alapból van lehetőség a kamu oldalak jelentésére.
  • 10. Írjon nekünk, és nyilvánosságra hozzuk a csalást.