Adathalászat közösségi hálózatokon

Adatrablás

A csaló általában megbízható személynek, esetleg jó hírű cég (például bank) képviselőjének kiadva magát próbál személyes adatokat – azonosítókat, jelszavakat, társadalombiztosítás-, bankkártya-számokat, stb. – megszerezni. Elektronikus levelet vagy azonnali üzenetet küld (de telefonálhat is, stb.), amiben a gyanútlan felhasználót a megadott hivatkozás követésére igyekszik rávenni. A külsejében az eredetivel teljesen megegyező preparált honlapra csábítja, ott szerzi be tőle a szükséges adatokat.

A phishing URL-eknél nem ritka, hogy doménnév helyett IP-cím szerepel. Még „kifinomultabb” módszer a böngészők hiányosságait, biztonsági réseit kiaknázó úgynevezett pharming, a rosszindulatú átirányítás. Gyakori jelenség, hogy a támadó a doménnév értékeit meghamisítva (DNS poisoning), áldozatait az adott domén rossz IP-címére küldi. Tehát az e-mail fiókok és az elektronikus levelezőrendszerek mellett immáron közvetlenül a doménnév szervereket is támadják.

Szakértői vélemények szerint a pharming háttérbe szorítja a phisinget.

Szimulált támadás

Egyelőre azonban az adathalászat is igencsak „divatos” tevékenység a cyber-rosszfiúk körében. Az Indiana Egyetem (Bloomington) Informatika Iskolájában – októberben megjelenő – tanulmányt készítettek a közösségi oldalak kárára elkövetett támadásokról (social phishing).

A 2005-ben indult projektben először a világhálón történő adatbányászatot (Web mining) vizsgálták. Eközben jöttek rá, hogy a közösségi hálózatépítés aranybányául szolgál a rosszban sántikálóknak. Egyszerű lélektani okból – mivel a környezetet megbízhatónak hisszük, könnyebben szolgáltatunk ki személyes információt…

A kutatók érdekes kísérletet végeztek: phishing támadást szimuláltak az egyetemen. (A válaszadóktól semmiféle személyes vagy más érzékeny adatot nem gyűjtöttek össze. Kizárólag a felsőoktatási intézmény e-mail-címével rendelkező hallgatókat keresték meg.)

Szabadon hozzáférhető információk beszerzésével kezdték: nem folyamodtak tiltott tevékenységhez, közösségi hálózatokról, blogokból merítettek, s hoztak létre viszonylag könnyedén egy adatbázist, több ezernyi kapcsolattal.

Barátok és ismeretlenek

Alanyaikat kétfajta elektronikus levéllel bombázták: az egyik úgy tűnt, mintha baráttól kapták volna, míg a másikat ismeretlen személytől. Mindkét levéltípusban arra kérték őket, hogy látogassanak meg egy külső honlapot, s ott adják meg egyetemi azonosító számukat és jelszavukat.

Az idegenektől érkező kérésre tizenhat százalékuk reagált igenlően, a barátokéra pedig hetvenkét. Döbbenetes adatok, ha figyelembe vesszük a Gartner Csoport felméréseit, melyek szerint éves viszonylatban a felnőtt amerikai lakosság három százaléka esik phishing támadások áldozatául. (Ezek a számok általában azért ilyen alacsonyak, mert sokan szégyellik, hogy pórul jártak, mások nem hajlandók válaszolni, vagy – igazán „jól dolgozó” hackerek esetében – egyszerűen nincsenek tisztában a támadás tényével.)

Stop Phishing!

Ellenlépéseket kell tenni a közösségi adathalászattal szemben – hangsúlyozzák a tanulmány szerzői. Például a digitális aláírással ellátott e-mail feladója azonosítható, esetleg valamilyen böngésző eszköztár figyelmeztethetné a felhasználót. A levélszemét-szűrőkön is akadna tökéletesítenivaló: célszerű lenne a küldemény útvonalának jobb nyomon követése. A jelszavak ismeretlen honlapokon történő begépelésére sem ártana biztonságosabb módszert kitalálni.

Legelőször azonban azt kellene elérni, hogy a felhasználó olyan kérdéseket tegyen fel magának, mint „a bank valóban a jelszavam megváltoztatására kér?” vagy „miért kell megadnom ezen az oldalon a hitelkártya-számomat?”, és így tovább.

Az Indiana Egyetem interdiszciplináris adathalászat-ellenes (anti-phishing) kutatócsoportja online csalásokat igyekszik megelőzni, felderíteni, megérteni, valamint a károkat csökkenteni. A probléma valamennyi aspektusát, többek között a pszichológiai tényezőket, technikai kivitelezést, jogi vonatkozásait vizsgálják.