Az adathalászat ismertetése és hatékony védekezés 2020-ben

Bár a hackerek egy része kártevőket használ adataink ellopására, vannak olyanok, akik egyszerűen csak elkérik tőlünk azokat. Ezt a módszert hívjuk “adathalászatnak”, és ez az egyik leghatékonyabb módszer a gyanútlan áldozatok ellen.

Az adathalászat a kiberbűnözés azon válfaja, melyben a támadók ügyfélszolgálatosnak, céges vezetőnek vagy hasonló, megbízhatónak tűnő személynek adják ki magukat, így próbálják kicsalni áldozataikból a bizalmas adatokat.

Az adathalász támadások jelentős része e-mailen keresztül történik, de előfordulnak szöveges üzeneteken vagy akár telefonhívásokon keresztül érkező kísérletek is. Hogyan tudjuk hát megkülönböztetni a valós és az átverős eseteket?

Itt megtalálja az adathalászatról szóló átfogó ismertetőnket, ebben olvashatja a védekezés módszereit, valamint azt is, hogy mit tegyenek a kiberbűnözők célpontjai.

Az adathalászat ismertetése és hatékony védekezés 2020-ben

Unsplash

Hogyan működnek az adathalász támadások?

Habár sokféleképp történhetnek az adathalász támadások, mindegyik ugyanarra épül: a bűnöző megpróbálja rávenni áldozatait, hogy önként adják át bizalmas adataikat, például a bankkártya-adataikat, jelszavakat, vagy személyazonosító számaikat.

Például ilyen lehet egy adathalász kísérlet:

Kap egy sürgős e-mailt a bankjától azzal, hogy probléma van a számlájával, ezért azt biztonsági okokból zárolták.

Az e-mail tartalmaz egy látszólag a bank saját bejelentkezési oldalára mutató linket, ahol igazolhatjuk személyazonosságunkat és feloldhatjuk a zárolást.

Ha bedőlünk a trükknek, akkor anélkül megyünk végig az egész folyamaton, hogy rájönnénk az e-mail és a bejelentkezési oldal valótlanságára – ilyenkor fel sem tűnik nekünk, hogy adathalászat áldozataivá váltunk.

Az adathalász e-mailek gyakran az alábbi kategóriákba sorolhatók:

  • Zárolt bankszámla vagy bankkártya feloldása
  • Kapcsolati adatok frissítése
  • Előfizetés, tagság vagy fiók újraaktiválása
  • Csomagküldemény átvételéhez szükséges adatok megadása
  • Visszatérítés vagy befizetés fogadásához szükséges adatok
  • Adózási vagy vállalkozási űrlapok benyújtása
  • Banki átutalás indítása

Ezek az e-mailek látszólag bárkitől jöhetnek: az internetszolgáltatónktól kezdve munkahelyi főnökünkön keresztül akár a magyar állam különböző hivatalaiig bárhonnan “jöhet” ilyen levél.

Ezekben gyakran sürgős cselekvésre szólítanak fel minket (pl zárolt bankszámla) vagy csábító ajánlatokat nyújtanak (visszatérítés megigénylése).

Az adathalász támadásokat gyakran tömegesen indítják úgynevezett “adathalász csomagok” igénybevételével, vagy hitelesnek tűnő e-mailek és weboldalak klónozásával. Gyakori trükk például az, hogy a népszerű bankok bejelentkezési oldalait lemásolják, majd a kódot úgy módosítják, hogy a beírt adatok a támadóhoz érkezzenek be.

Ritkább esetben előfordulhatnak személyre szabott adathalász támadások is, ezeket “lándzsás” adathalászatnak nevezik – ilyen esetekben olyan leveleket kapunk a támadóktól, amelyek velünk vagy ismerőseinkkel kapcsolatos információkat tartalmaznak. Például látszólag a főnökünk szólít fel minket arra, hogy sürgősen küldjük el neki a részlegünkben dolgozó kollégák bérjegyzékeit vagy egyéb adatait.

A legkifinomultabb, legszemélyesebb támadási formát “bálnavadászat” néven ismerjük, ezek általában a cégek kulcsfontosságú embereit, például pénzügyi vezetőit célozzák meg.

Hogyan ismerjük fel és kerüljük el az adathalász támadásokat 2020-ben?

Hogyan ismerjük fel és kerüljük el az adathalász támadásokat 2020-ben?

Pixabay

Az adathalász támadások pont azért félelmetesek, mert bárkit megcélozhatnak velük, emellett a lehető legtökéletesebben igyekeznek utánozni a mindennapos kommunikációt, hogy minél meggyőzőbbek legyenek.

Akkor is érhet minket adathalász támadás, ha nem torrentezünk, vagy látogatunk gyanús weboldalakat. Bármikor kaphatunk egy, látszólag az Amazon-tól, Netflix-től, vagy akár a bankunktól jött, sürgős cselekvésre felszólító levelet..

Szerencsére nem is olyan nehéz felismerni és elkerülni az ilyen adathalász támadásokat. Csak tudnunk kell, hogy mire figyeljünk.

Az alábbi tippek segítségével könnyebben kiszűrhetők a minket megcélzó átverések.

1. Legyen óvatos, ha egy ajánlat túl jól hangzik

Érdemes egy bizonyos fokú egészséges bizalmatlansággal tekinteni a beérkező levelekre, különösen akkor, ha nem ismeri személyesen a feladót, vagy ha nem számít az üzenetre.

Nekünk kedvező banki tévedés? Hatalmas visszatérítés várna ránk egy bolttól? A NAV jelentős adóvisszatérítést kínálna nekünk?

Mindezek olyan dolgok, amelyek erős gyanakvásra adnak okot, ezért érdemes jobban megvizsgálni őket.

Emellett óvakodjon a sürgősnek látszó, azonnali cselekvésre felszólító, kevés információt biztosító levelektől is.

2. Figyelmesen vizsgálja meg a linkeket és e-mail címeket

Kapott egy e-mailt bankjától, hogy visszatérítést igényelhet egy téves vásárlásra? Túl jól hangzik ahhoz, hogy valóban igaz legyen, de mit tehet az ilyen levelekkel?

Alaposan vizsgálja meg a feladó e-mail címét. Valódinak tűnik?

Például ha az Amazon-tól kap levelet, akkor az “né[email protected]” vagy hasonló formát ölt általában, vagy valamilyen aldomain is szerepelhet benne (pl support.amazon.com).

Ha az e-mail egy apró elírással rendelkező domainről jött (pl Amazonn.com vagy jofoogas.hu), vagy ha felismerhetetlen vagy zagyva nevű domainről érkezett, akkor az nagy valószínűséggel átverős e-mail lehet.

Mielőtt bármilyen linkre rákattintana, tartsa rajtuk a kurzort, hogy a link valós címe megjelenjen. Ezeknek felismerhetőnek és a levél tárgyához vagy feladójához kapcsolatosnak kell lenniük.

Ne látogasson meg felismerhetetlen című weboldalakat, és ne válaszoljon a felismerhetetlen, zagyva címekről érkezett e-mailekre.

3. Bizalmas adatok kiadása előtt győződjön meg az üzenet valódiságáról

Egy valódi ügyfélszolgálatos szinte sosem fogja elkérni Öntől a fiókjának összes adatát, a bankszámlaszám vagy bankkártyaszám egészét, vagy hasonló teljes értékű személyes adatokat. Leginkább részleges adatokat kérnek azonosságának igazolásához (például a lakcímben szereplő utca nevét, vagy a számlaszám utolsó 4 számjegyét).

Vannak azonban olyan esetek, amikor valóban több, egész értékű információt kérnek.

Ha bármilyen okból gyanúsnak tűnnek a kérések, próbáljuk valamilyen módon igazolni a hitelességüket.

Egy lehetséges módszer az, hogy felhívja a kérdéses céget telefonon, vagy valami egyéb, a cég weboldalán feltüntetett hivatalos csatornán keresi fel őket. Ilyenkor sose a gyanús e-mailből induljon ki, keresse fel közvetlenül a cég weboldalát!

4. Használjon megbízható e-mail-szolgáltatót

2020-ben szinte minden megbízható e-mail-szolgáltató nyújt valamilyen szintű védelmet adathalászat és egyéb levélszemét ellen.

Például az Outlook és a Gmail szolgáltatói rengeteg adattal rendelkeznek a nagy számú bejelentett átverős levélnek és levélszemétnek köszönhetően, ezért a kisebb szolgáltatókhoz viszonyítva jóval hatékonyabban szűrik a káros leveleket.

Bárkinél is regisztrálta e-mail fiókját, alaposan nézze át a spamszűrő beállításait, és ha mód adódik rá, keresse fel az ügyféltámogatásukat, hogy segítsenek védekezni az adathalász támadások ellen.

5. Legyen óvatos a jelentős eseményeket övező jótékonykodással

Természeti katasztrófát vagy terrortámadást követően az átverős “jótékonysági” szervezetek is előkerülnek azzal a céllal, hogy az adakozó embereket megtévesztve megszedjék magukat.

Mindig bánjon óvatosan az ilyen témájú levelekkel, de különösen ilyen jelentősebb eseményeknél legyen résen. Sose adja meg bankkártyaadatait, ha nem 100%-ban biztos benne, hogy a kérdéses ügyet jó céllal hozták létre.

Ha támogatni szeretne valamilyen politikai vagy humanitárus ügyet, keressen fel közvetlenül egy megbízható szervezetet.

6. Telepítsen egy megbízható, adathalászat ellen is védő vírusirtót

A legjobb vírusirtó programok extra funkcióiban adathalászat elleni védelmet is talál.

Ezek a programok kiegészítik az Ön által használt e-mail-szolgáltató saját védelmét, és annál hatékonyabb védelmet biztosítanak a levélszemét ellen.

7. Jelentse a potenciális adathalász támadásokat

Legyen tisztességes polgár: jelentse bankjának, internetszolgáltatójának vagy a támadó által megszemélyesített cégnek, hogy adathalász támadásokat indítanak a nevükben.

Ha tudnak a támadásokról, akkor bizonyos biztonsági intézkedéseket tehetnek a többi ügyfelük védelmére – például módosíthatják a bejelentkezési oldal kinézetét, vagy figyelmeztethetik őket.

Összefoglaló – Legyen óvatos és szkeptikus

Ha tisztában van az adathalász támadások működésével, könnyen elkerülheti őket.

A számítógépes férgekkel vagy a nyers erőn alapuló támadásokkal szemben az adathalász támadások kifejezetten Önt célozzák meg abban a reményben, hátha bekapja a horgot és átadja önként adatait.

Ez ellen az a leghatékonyabb védekezési módszer, hogy soha senkinek nem adja ki adatait, ha nem 100%-ban biztos benne, hogy valóban illetékes emberek és valóban jogosan kérték azokat.

Persze mondani könnyű – a modern adathalász támadásokban fontos szerepet kapnak a tökéletesen lemásolt fizetési, bejelentkezési és egyéb fontos weboldal-részletek is.

Azonban ha alaposan és figyelmesen átnézi az e-mail- és URL-címeket, akkor időben kiszúrhatja a támadásokat, mielőtt még bedőlne azoknak.

A szerzőről

Evan Porter
Evan Porter
Technoblogger, kütyürajongó, otthon ő az ügyfélszolgálatos

A szerzőről

Evan cikkíró, évtizedes tapasztalattal rendelkezik a digitális újságírás területén. Szeret blogokat szerkeszteni, emellett imádja a kütyüket és otthon ő oldja meg a velük kapcsolatos problémákat.