Halászgatunk? Horogra akadunk?

Itt a nyár, ugye mindenki észrevette már? Most kicsit hűvösebb, de így is tökéletes a vízparti pihenésre, időtöltésre – közte a horgászatra. Nos: nem a horgászatról fogok írni, pontosabban: nem arról a formájáról, amihez horgászbot, csali, víz és hal kell.

yay-4852596

Ismerős az „adathalászat” (angolul phishing) kifejezés? Tömören megfogalmazva, arról van szó, hogy kisebb-nagyobb átverések és megtévesztések útján a rossz fiúk megszerzik fontos adatainkat. Ezt nem kíváncsiságból teszik, hanem haszonszerzés reményében. Többnyire a bankszámlánkhoz igyekeznek hozzáférni.

Ha mélyebben érdekel, javaslom az angol nyelvű Wikipédia cikk elolvasását (a magyar nyelvű hiányos és pontatlan). Az angol viszont nagyon szakszerű, hosszú és nehezen olvasható.

Miről akarok írni? Az adathalászatról, az ellene való védekezésről – kifejezetten nem szakembereknek. Remélem, sikerül, mert szerintem fontos a téma és kevés a közérthető információ.

Kezdjük egy nagyon rövid összefoglalóval arról, hogy mi is történik, hogyan halásszák az adatainkat. A tipikus és triviális módszer egy email, ami hasonlít egy bank, biztosító, üzlet vagy hatóság leveléhez, van benne egy-két link, de azok nem az eredeti helyre visznek el, hanem egy ahhoz hasonlóra. Ott, azután, adatokat kérnek, pl.: jelszót, számlaszámot. Ez ellen a legegyszerűbb védekezés az, ha nem klikkelünk semmire, ami levélben jött. Írjuk be szépen a bank, a biztosító, stb. weblapjának a címét! Apró kényelmetlenség, de megéri.

Adathalászat lehet a háttérben akkor is, amikor nagyszerű és érdekes képeket és videókat ajánlanak, és csak egy FB like-ot kérnek cserébe. Hipp-hopp, máris tudnak rólam egy keveset, és indulhatnak további adatokért. A legtöbb esetben nem csak a like kell, hanem még kattintani kell egyet a lejátszásért. Na, akkor fut le valami a gépemen. Ó, biztos nincs benne semmi rossz, csak egy kis adatgyűjtés. Sose tudjuk meg, hogy mire és hogyan használták fel! A legtöbb esetben tényleg csak marketing céljára kell, vagy egyszerűen eladják. Minden személyes adat pénzt ér!

Nemrégiben olvastam egy érdekes esetről, amiben az adatgyűjtés több módszere jelent meg. A teljes leírás (hosszú és angolul van) a ZDNet-en található. Leírom tömörítve, mert érdekes és tanulságos.

Két brit, akik az USA-ban élnek és felületesen ismerik egymást fogadott (hiszen britek). Az egyiknek hozzá kellett jutnia a másik bankszámlájához. Mit tudott kiindulásul? A keresztnevét, a cégcsoportot, ahol dolgozik és az államot, ahol él. Nem valami sok, de gyorsan több lett. Hogyan?

  • A szokásos indulás: Google keresés. Eredménye: a LinkedIn profilja, ebből meglett a vezetékneve, munkahelye, a beosztása, sok egyéb adata és a Twitter profilja.
  • Twitter nézelődés: itt helyeket keresett, hogy megtudja a címét. A célszemély sokat utazott, fényképezett, a feltöltött fényképekben ott volt a GPS információ. Végül talált egyet abból az államból, ahol lakik, és ez éppen a háza volt. Google segítségével meglett a pontos címe, sőt egy utcaképen a bejárati ajtó is látszott.
  • Ez eddig fél óra volt, és már lehetett is sokkolni az illetőt a pontos címével és az ajtaja színével.
  • Egy kis további keresgélés után, amiben a Twitter mellett a Facebook is segített (sok információ nyilvános volt), megvolt a felesége és a gyereke neve, a saját születésnapja és a gyereküké, a házassági évfordulójuk napja. Ezek hasznos adatok lehetnek, hiszen előfordulhatnak a telefonos banki azonosítás kérdései között.
  • Kellett még a születési éve, ezt háromórányi próbálgatással megszerezte, mert a személyes email címe a keresztneve + a vezetéknév első betűje + az év utolsó két számjegye volt. Csak találgatni kellett… Na, meg kellett hozzá az, hogy a Facebooktól megtudja az email cím hosszát és pár betűjét.
  • Ha már megvolt a gmail címe, bejutott a postafiókjába is, mert az ellenőrző kérdésre korábban megszerezte a választ a sok személyes adat között.
  • Következő célpont: telefonszám. Hogyan? Na, itt jött egy kis klasszikus adathalászat. Létrehozott egy jól hangzó email címet, és ajánlatkérő levelet írt a céges email címére. Hamarosan kapott is választ, és a levél végén ott volt az áldozat mobil száma is (ezt tipikusan beleírjuk a szabványos céges aláírásunkba).

Hol tartunk most? Teljes neve, születési dátuma, feleség és gyerek neve, gyerek születésnapja, házassági évforduló, pontos lakcím, céges és személyes email, Facebook és Google adatok tömkelege, munkahelyi adatok a LinkedIn-ről, telefonszám. Ez már könnyen elég lehet egy telefonos banki ügyintézővel való beszélgetés során.

Ezen a ponton beszélték meg, hogy abbahagyja.

Tegyük hozzá, hogy nem hacker, nem IT biztonsági szakember, hanem egy IT-s újságíró volt a „tettes”, és nem használt semmilyen különleges eszközt, újságírói információs csatornáit sem. Egyszerűen csak keresgélt, próbálgatott, gondolkozott, kombinált és írt egy megtévesztő levelet. Azok, akik ebből élnek, sokkal gyorsabban és sokkal több adatot tudnak begyűjteni.

A történetből látszik, hogy a célszemélynek nagyon fontos szerepe van egy ilyen adatgyűjtésben, és egy-két apró kis figyelmetlenség is sikerre segítheti a célzott támadást. Ne gondoljuk azt, hogy reménytelen a helyzetünk! Nem kell nagy trükköket bevetni annak érdekében, hogy az itt leírt módszerek ne működjenek!

Megnyugtatásul: ritka a célzott támadás, általában csak „halászgatnak” a nagyvilágban, és igyekeznek sok halat fogni. Az ilyen halászok ellen viszonylag jól lehet védekezni. Azt nem állítom, hogy a teljes védelem lehetséges, de sokat tehetünk a saját érdekünkben.

Folytatom majd egyszerűen követhető tanácsokkal…

Addig is: érdekel, hogy mi foglalkoztat a saját informatikai biztonságoddal kapcsolatban, Kedves Olvasó!

 

Reklámok

7 thoughts on “Halászgatunk? Horogra akadunk?

  1. Igazából a Nagy Testvér problematikája jobban érdekel, mint az, hogy valamelyik pecás kifogna. Az, hogy mit adok ki a kezemből, alapvetően rajtam múlik. Azon amit hivatalosan kötelező megadni nem tudok változtatni. Íme, néhány dolog a sok közül, amiket továbbgondoltam:
    Sok-sok évvel ezelőtt megadtam az e-mail címemet egy boltban hírlevélre való feliratkozás gyanánt. Pedig szólt a belső vészcsengő, de éppen nem jutott eszembe az erre a célra kreált címem. Mai napig is jönnek a spamek, adnak kézről kézre. Mégsem bánom, hogy akkor megadtam az e-mail címem, mert némi tapasztalatot szereztem. Kicsit többet kell takarítanom az e-mailek között, de ez legyen a legnagyobb bajom. Azóta más helyekre is feliratkoztam hírlevélre, ahova eleve bizalmam volt, és csak a hírlevél jött. Mottó: „Ha nem írok, ne válaszolj” (Bródy).
    A bolti pontgyűjtő akciók kezdetén a pontok érvényesítéséhez sokszor kérték a lakcímet. Nekem ez egyértelműen stoptábla volt. Az e-mail cím és a telefonszám megadása általában opcionális volt. Azóta már kitalálták a saját kártyát.
    Egyszer regisztráltam a FaceBookon. Pár hónap múlva nem engedett bejelentkezni, mondván, hogy előbb adjam meg a mobilszámomat, majd ők felhívnak, hogy ellenőrizzék, hogy létező személy vagyok-e. Azóta volt egy másik közösségi oldal is, amelyik hasonlóképp járt el. Na, jó, gondoltam, akkor ez most így elég is volt. Lehet, hogy túl kevés adatot adtam meg, és túl keveset posztoltam – szerintük.
    Szerintem az Internet alkalmas akár hangulatjelentés készítésére is, nem kellenek már a „téglák”.
    Egyszer egy szép napon belenéztem a levelesládámba, és nagyot néztem. Az egy évvel ezelőtti törölt leveleimet láttam viszont. Aztán egy pár nap múlva eltűntek. Nézegettem a szolgáltató társaság honlapján az adatkezelési szabályzatot, de feladtam, mert egy mélység után már értelmezhetetlen volt. Azóta egy internetes adásban hallottam, hogy másokkal is előfordult ilyen. Újabb kérdőjel és stoptábla. Ezek szerint levélgyűjtögetésre akad pénz.
    Ujjlenyomat leolvasó – Úgy tudjuk, hogy az ujjlenyomat és az írisz egyedi és azonosítható. Ember számára bizonyára. (Azt hallottam, hogy bőrátültetés után egy idő múlva visszanő az eredeti ujjlenyomat.) De minden embert még nem vizsgáltak meg. Ha a tenyér vonalai változhatnak az évek alatt, az ujjlenyomat biztos, hogy nem? Akár csak annyira, hogy egy gép azt „mondja”, hogy , barátom, ez nem te vagy?
    Notebookba beépített webkamera – Biztos, hogy csak akkor van bekapcsolva, ha ég a lámpa?
    Call-center – A beszélgetésről (az Ön érdekében) hangfelvétel készül – szól a köszönő szöveg. Azt értem, hogy egy cég a saját érdekében rögzíti a beszélgetést. (Na, már hangminta is van.) Eddig rendben is lenne. De vajon akkor is megtalálják azt a hangfelvételt, ha a cég a hunyó? Számíthatok erre egy vitás esetben? Ha adatot gyűjteni lehet, törölni is lehet…
    Bankkártyás fizetés I. – Ahol kérik a pin kódot, sokszor még én is le tudnám olvasni, hogy az előttem álló mi ütött be. És ha egy zsebes állna ott?
    Bankkártyás fizetés II. – Össze lehetne kapcsolni a vásárolt áruk listáját a banki tranzakcióval, bár ez nem szabályos. És most már a NAV is össze van kötve a pénztárgépekkel. Az elvi lehetősége megvan, hogy feltérképezzenek.
    „A mai világban információt titokban tartani rendkívül nehéz.” – mondta Nógrádi György. Nem abban az időben élünk, amikor a bicikliken névtábla volt. Úgy gondolom, hogy ami egyszer elektronikusan vagy másképp kiment tőlem, arra eleve korlátozottabb a befolyásom, és ezzel számolni kell. „A hír, ha egyszer elszabadul, többé el nem éred” – Szörényi, 1980. Viszont úgy is élhetsz, hogy csak ritkán szellőztetsz. Így biztos nem tudják meg miket főzöl, milyen mosóport használsz, miket mondasz, nem kell állandóan port törölgetni, és csak a saját szagodat ismered meg, azt viszont mélységeiben.

    Kedvelik 1 személy

    • Köszi a példákat! Ezek mind nagyon is valóságos aggályok. Ilyesmik és ilyenebbek is megtörténnek velünk. Tervezem is, hogy “aprópénzre váltható” tanácsokkal jövök majd egy következő írásomban. Addig is köszönöm a példákat ötleteket – bővül a listám!
      Látod, Szörényi már 80-ban tudta: „A hír, ha egyszer elszabadul, többé el nem éred”, bár ő akkor nem az internetről beszélt.
      Nógrádi Györgyre reflektálva: régen is nehéz volt valamit titokban tartani. Most inkább annyiban más a helyzet, hogy önként és dalolva, bár nem egészen tudatosan, magunk hozzuk nyilvánosságra az információt. A másik különbség az, hogy kevesebb erőfeszítést kell tennie annak, aki meg akarja szerezni. (Bár a világ teljes internet és telefon forgalmának lehallgatása még most sem olcsó és egyszerű.)

      Kedvelés

  2. Visszajelzés: Biztonság, mobil, főiskola | palkerekfy

  3. Visszajelzés: Vissza a gyökerekhez! | palkerekfy

  4. Visszajelzés: Veszélyes változások, kockázatos lépések? | palkerekfy

  5. Visszajelzés: Jelszó – szakszerű tanácsok vs. a realitás | palkerekfy

  6. Visszajelzés: Változzon meg a mentalitásunk? Mit gondolunk a kiberbűnözésről? | Kerékfy Pál

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s