Offenzív adathalászok

Az igazán jó adathalász (phishing-) weboldalak képesek megtéveszteni a felhasználók 91 százalékát – derül ki a Harvard és a Berkeley Egyetem által végzett felmérésből. A két amerikai egyetem kutatói arra keresték a választ, hogy miért képesek az adathalászok félrevezetni az internetezőket, és milyen megoldásokat érdemes alkalmazni a honlapok létrehozásánál.

A sikeres adathalászok nem csupán megbízhatónak tűnő oldalt készítenek áldozataik számára, de olyan megjelenést alakítanak, amely annyira meggyőző, hogy a felhasználó elmulasztja az internetböngésző által küldött figyelmeztetések ellenőrzését is, sőt gyakran egyáltalán nem foglalkozik velük. Csak 2003-ban mintegy kétmillió felhasználó adott információt az adathalászoknak, amely 1,2 milliárd dolláros kárt okozott az amerikai bankoknak és kártyatulajdonosoknak. A tanulmány készítői szerint az adatok azt mutatják, hogy a létező, adathalászat elleni böngésző megoldások hatástalanok, és ugyanez igaz a felugró figyelmeztetésekre is.

Az ok viszonylag egyszerű: a felhasználók többsége nincs tisztában azzal, hogyan működnek az általuk használt megoldások, operációs rendszerek, alkalmazások, az e-mail és az internet, a phishingoldalak készítői pedig úgy tűnik, tisztában vannak ezekkel a hiányosságokkal. Az átlagos felhasználók például nem látják át a doménnevek jelentőségét, emiatt képtelenek különbséget tenni a valós és hamis internetcímek (URL) között.

A megtévesztésben nagy jelentősége van a látványnak, amely sokszor még a nethasználatban járatosakat is képes félrevezetni. Tipikus eljárás, hogy a doménnévben az eredetihez nagyon hasonló karaktert – például l helyett i-t – használnak. Emellett gyakori, hogy egy valódi hivatkozás képét helyezik el a honlapon, amely azonban egy másik weboldalra mutat, mint az eredeti.

Sok felhasználó nem látja be az adott weboldal megbízhatóságát bizonyító jelek fontosságát sem, 23 százalék csak a honlap tartalma alapján „ellenőrzi” annak hitelességét. A tanulmány készítői a tapasztalatok alapján rámutatnak arra, hogy a hagyományos, titkosítás alapú biztonsági megoldások helyett arra kell összpontosítani a weboldalak tervezésénél, hogy a felhasználók mit csinálnak jól és mit rosszul.

Az adathalász-támadások általában e-mailben való megkereséssel kezdődnek, és különböző, hivatalosnak látszó szövegekkel igyekeznek rávenni a bankok és internetes áruházak ügyfeleit adott weboldalak megnyitására és személyes adataik átadására. A levélben található hivatkozás természetesen az internetes bűnözők által készített weboldalra mutat, amely azonban hasonlít az eredeti honlapra.

Általános jó tanácsként elmondható, hogy banki vagy egyéb pénzmozgással kapcsolatos ügyekben nem szabad e-mailben található hivatkozásra kattintani, az adott oldal címét saját kezűleg kell begépelni. Célszerű megvizsgálni a honlap biztonsági tanúsítványát is (általában az oldal tulajdonságai menüpont alatt érhető el, a különféle böngészőknél máshol található), bár az tény, hogy ezen adatok csak megfelelő szakértelem birtokában nyernek értelmet.

Az adathalászat ellen küzdő APWG (Anti Phishing Working Group) adatai szerint a phishingtámadások szempontjából drámaian indult 2006. Az év első hónapjában 17 877 adathalász-próbálkozásról érkezett jelentés, ez az előző év hasonló időszakához képest 40 százalékos bővülést jelent. Még rosszabb a helyzet az új phishingoldalak számát vizsgálva, ezekből 2006 első hónapjában 9715 volt, ez 280 százalékos növekedést jelent az egy évvel korábbihoz képest.