Az adathalászat körül túlmisztifikált dimenziók keringenek, holott maga a folyamat gyakorlati lezajlása olyan egyszerű, mint az egyszeregy. Korábban már írtunk arról, hogy a legtöbb személyes adat lopással próbálkozó kalóz az e-mail boxból előbújva támad, vagy egy véletlen kattintáson keresztül, de léteznek egyéb módok is az adathalászatra. A technika azonban mit sem változtat a lényegen, mert a folyamat és a végeredmény ugyan az lesz.
Egy félresikerült kattintás, egy megszokott küllemű e-mail…
Az adathalászat anatómiája mindig azonos: egy üzenettel kezdődik, ami látszatra úgy néz ki, mint egy hivatalos/kollegától érkezett/webshop rendelést megerősítő e-mail, azaz semmi fenyegető, vagy szokatlan nincs benne.
Lévén, hogy nem tűnik ártalmasnak, a kurzor útnak is indul, hogy rákattintson. A probléma, pedig ezzel veszi kezdetét. Miután a felhasználó megnyitotta a szóban forgó e-mailt, netán rákattintott az üzenetben található URL-re, onnantól a támadó már könnyedén hozzáfér az adatokhoz, sőt olykor előfordul, hogy maga az érintett szolgáltatja, mert az adott válaszüzenet tartalmazza azt.
Főként akkor lehet önkéntelenül adatot szolgáltatni, ha például az eredeti felülethez a megszólalásig hasonlító banki/ügyintézési/webshop platformon találja magát az ember. Ugyanez igaz a munkahelyre is. Nyilván senki nem vonja kétségbe a munkatárástól érkező, adatkérési szándékkal íródott levél hitelességét.
Mi lesz az adatokkal?
A megszerzett adatokra általában ugyan azok a dolgok várnak:
- eladásra kerülnek a személyes adatok
- ellopásra kerül a személyazonosság
- búcsút inthetnek az érintettek a bankszámlán tárolt pénznek
- az ismerősöket is támadás érheti az érintettek saját nevében
Ez a helyzet pedig a végtelenségig ismétlődik.
