Kiberbűnözés kisokos: így ne legyen áldozat

2021. december 7. kedd, 13:25
A kiberbűnözés mindennapossá vált, mert az internethasználat is mindennapossá vált. A tolvajok és a csalók is csak azokat a technológiákat használják, amelyeket mindenki más. A gépkocsi elterjedésével megfogyatkoztak a lótolvajok, és egyre több kocsit kötöttek el.

Twitter megosztás
Cikk nyomtatása

Van persze különbség egy autótolvaj és egy bankszámlákat fosztogató hacker között. Az utóbbinak nem kell egy helyen lennie az értékekkel, elég ha távolról hozzáfér a megfelelő fiókokhoz. Védekezni azonban mindkettő ellen lehet.

Idegtépő trükkökkel támadnak

"Az Y Bank ügyfelei ellen folyik adathalász támadás" illetve "X ezer ügyfél adataihoz fértek hozzá ismeretlen támadók" - ez a két leggyakoribb kiberbiztonsági hír típus. A dobogó harmadik fokán pedig stabil szereplők a különböző cégek rendszerét titkosító és a feloldásért pénzt követelő zsarolóvírus fertőzésekről hírt adó anyagok.

Az első két támadástípus jellemzően a felhasználók ellen irányul. Bármelyikünk kaphat adathalász levelet, a pénzük elvesztésével ijesztgető telefonhívást. Ezek a csalástípusok pedig jól kimunkált, az emberi természetet, gondolkodást jól ismerő forgatókönyvek mentén zajlanak. Miután az ügyfelet megijesztették azzal, hogy pillanatok alatt elveszítheti nehezen megkeresett pénzét, kínálnak neki azonnali megoldást is. Az ember pánikban könnyen él olyan lehetőségekkel, amelyek nyugodtabb helyzetben gyanúsak lennének. Ilyen például az, amikor a csaló a bank nevében kéri el az adatait. Minden bank minden egyes alkalommal az ügyfelek lelkére köti, hogy nem kér be azonosító adatokat telefonon keresztül. Ez azonban kimegy az ember fejéből, ha veszélyben van a vagyona.

Igaz, más a hibás, ha a támadók a bank rendszeréhez férnek hozzá egy-egy személyi hibát kihasználva, de a támadás működési elve hasonló. Az ügyintézőket ritkán, de rá lehet venni, hogy adatokat adjanak ki, amelyekkel már egyszerűen át lehet jutni a pénzintézetek, biztosítók védelmén. Az a közös ebben a két támadásban, hogy olyan típusú hackelésre, amilyet a hollywoodi filmekben látni, nincs is szükség a sikerükhöz. Az emberi gyengeségek, a veszély elkerülésének igénye elég mélyen gyökerezik az agyunkban ahhoz, hogy egy bármikor kihasználható gondolkodásbeli sebezhetőség legyen.

Mit tegyünk, ha hív a bank?

Nehéz, de technológiát nem igénylő az a védekezés, amivel az adathalászatot ki lehet védeni. Tegyék le a telefont. Zárják be a levelet. Semmilyen körülmények között ne válaszoljanak egyikre sem. És hogy ne legyenek nyugtalan éjszakáik, keressék meg a vonatkozó intézmény ügyfélszolgálatának számát és hívják fel, vagy sétáljanak be egy fiókba, és kérdezzenek rá ott. A bankbetéteket biztosítás védi, célszerűbb ebben bízni, mint abban, hogy a telefonálónkat a jó szándék vezeti.

Vannak további óvintézkedések is, amelyek nem csak a banki csalók ellen védenek. Ilyen az, hogy bármilyen fenyegetéssel is ijesztenek meg, ne telepítsünk olyan szoftvert a számítógépre, amit a "segítő" küld nekünk. Nagyon gyakori támadásfajta, hogy ilyen távoli vezérlést lehetővé tévő szoftvert használva fosztják ki a hiszékeny embereket. Ez sem számít hackelésnek, a távvezérlős szoftvereknek van legitim felhasználási módjuk: ezeket használják a cégek informatikai osztályai a távoli telephelyek gépeinek karbantartására, civilként pedig a nagyszülők gépének távszerelésére alkalmazható csodaszerek. Ugyanakkor a technológiát bűnök elkövetésére is lehet használni.

Így lesz az internet Bear Gryllse

Mára a legtöbb szolgáltatás, amelyben értékeket tárolunk bevezette a kétlépcsős azonosítást. Ez a gyakorlatban úgy néz ki, hogy még egy azonosító adatot meg kell adni a felhasználónéven és a jelszón túl. A lényeg azonban nem az, hogy kettő helyett három adat azonosít. Fontosabb, hogy a harmadik azonosító adat egy olyan eszközhöz kötődik, amit a felhasználó birtokol. A telefonra smsben érkező kód, az emailben érkező számsor vagy a kódgenerátor alkalmazás által adott megújuló kód mind arra szolgál, hogy bizonyítsuk, hogy ott is ülünk egy olyan gép előtt, ami hozzánk tartozik.

Ha pedig a hozzánk tartozó géphez eljutottunk, azzal is tehetünk néhány közhelyesen egyszerű dolgot, hogy csökkentsük a veszélyt. A mai operációs rendszereket már nehéz rábeszélni arra, hogy ne próbálják meg frissíteni magukat. Ne is tegyük ezt. Az újabb szoftververziók jellemzően védettek a már ismert támadások ellen. A Windows összes, még támogatott verziója rendelkezik saját vírusirtóval (ez a Windows Defender), ami nem kerül pénzbe, frissíti magát, és szintén csökkent a veszélyen. Ha időnként a böngészőt is újraindítjuk, az is tesz arról, hogy a legújabb verziót feltelepítse magából.

Nem a jelszó a lényeg

Jó féltucat vicc van arról, hogyan kell jó jelszót választani. Talán az a legjobb mind közül, hogy a rendszergazdának valamit kell szerelni egy ember gépén ezért megkérdezi a jelszavát - mivel vicc, ezért kiadja, amúgy ne tegyék -, mire az elmondja, hogy SzendeSzundiMorgóHapciTudor3. Kérdezi a rendszergazda, hogy mégis mi ez a marhaság, majd lefejeli a billentyűzetet, amikor meghallja a válasz: "Azt mondta a program, hogy legyen öt karakter és egy szám."

A viccnek az az előnye, hogy megvan benne az igazság egy kis szikrája. Különböző jelszó követelménylistákban egészen extrém dolgokat kérnek, végül pedig azt, hogy az ember ne írja le a kódot. A gyakorlat azt mutatja, hogy egy bonyolult jelszó, amit leírtunk sokkal jobb, mint egy egyszerű, amit megjegyeztünk. Mi annak az esélye, hogy egy támadó leül a gépünkhöz, leveszi a tapadós jegyzetpapírt a monitorról, és onnan gépeli be a kódot? És ha ezt meg tudja tenni, nem nagyobb gond-e ez önmagában, mint az, hogy ott van cetlin a jelszó? Fizikai hozzáférés birtokában válogathat a támadási módok közül. Legyen egy noteszük, amit a felső fiókban tartanak. Telepítsenek a gépre egy titkosított, kóddal feloldható jelszótárolót. Vagy a mobiljukat is használhatják erre a célra, úgyis azon fut a kétlépcsős azonosítás kódgenerátora már.

A történetünk itt véget ér. Az adatvesztés ellen többnyire a józan ész véd. Meg egy kis gyanakvás, hogy aki a javunkat akarja, az lehet, hogy túlzottan is szó szerint érti ezt a közlést. Ne adjuk neki!
 

Forrás:

https://www.penzcentrum.hu/hitel/20210921/trukkos-tolvajok-fosztjak-ki-a-magyar-bankszamlakat-vadiuj-modszerrel-nyulnak-le-milliokat-1117899

https://www.budapestbank.hu/adathalaszat

https://tudastar.szamlazz.hu/gyik/mi-a-ketlepcsos-azonositas-2fa

http://www.police.hu/hu/hirek-es-informaciok/bunmegelozes/aktualis/heti-kibertippek-eros-jelszavak