Zavarosban az adathalászó

December elején három magyarországi pénzintézet ellen is indult phishing (adathalász-) támadás. Először a Raiffeisen Bank, utána a Szigetvári Takarékszövetkezet, majd pedig a Budapest Bank jelentette be, hogy ismeretlen személyek olyan elektronikus leveleket küldtek ügyfeleiknek, amelyekkel a honlapjukhoz hasonító internetes oldalakra csalogatják őket, hogy megszerezzék telefonos és internetes azonosítóikat.

Majdnem minden harmadik felhasználó a neten intézi banki ügyeit, mivel ezt egyszerűnek és gyorsnak ítéli. A pénzintézetek igyekeznek tenni azért, hogy a netes bankügyek lehetőleg biztonságosak legyenek. Az ügyfelek adatait úgy a weblapon történő bejelentkezéskor, mint a szerverhez történő adatátvitelkor korszerű védelmi eljárásokkal (például SSL = biztonsági alréteg) titkosítással kezelik. Egyéni jelszó akadályozza meg a jogosulatlanokat a személyes netbankos weblaphoz történő hozzáférésben, a szokásos PIN/TAN-eljárás is évek óta bizonyított. De minden óvintézkedés ellenére van egy rés a védelmen, amelyet a netes bankügyletet vagy az internetes vásárlást használók gyakran figyelmen kívül hagynak: a saját számítógép.

A pénzintézetek és vásárlóportálok általános óvintézkedései mellett minden netes felhasználónak saját magának kell gondoskodnia a személyes adatai védelméről – véli Gombás László, a Symantec vezető szakértője. Hozzáteszi a vírusok, férgek, trójaiak és kémszoftverek ellen védő, korszerű vírusirtó mellett mindenkinek tűzfalat is kell a gépére telepítenie. Ez különösen fontos akkor, ha valaki az interneten bankügyletet vagy vásárlást is intéz. A tűzfal megakadályozza, hogy a kényes adatok kikémleléséhez külső személy hozzáférhessen a számítógéphez.

A biztonsági szakértő azt is ajánlja, hogy „az olyan e-maileket, amelyek a személyes adatok, így a bankszámla-, illetve bankkártyaadatok vagy jelszavak stb. levél útján egy adott címre küldésére, vagy egy kapcsolt oldalon történő megadására szólítanak fel, a legjobb azonnal törölni. A pénzintézetek vagy a biztosítók az ilyen adatok megerősítését jószerint soha nem kérik e-mailben. Ha netán bizonytalanok vagyunk abban, hogy az adott levél esetleg mégis saját bankunktól vagy netes kereskedőnktől származik, akkor ezt telefonon ellenőrizzük le.”

A jelszavak kiválasztásánál is gondosan kell eljárnunk. A legtöbb internetező a jelszó megjegyzését segítendő a kutya, a macska, a papagáj vagy kedves hozzátartozója nevét használja. Csakhogy az ilyen jelszót olyan könnyű feltörni, mint a földimogyorót. Egy viszonylag biztonságos jelszó legalább nyolcjegyű, emellett számok, betűk és írásjelek kombinációjából áll. A nagy- és kisbetűk váltakozó használata még biztonságosabbá teszi a jelszót. Aki minden betűt és számot csak egyszer használ, például „uZ3oP8#1”, annak (majdnem) feltörésálló jelszava van. Persze a legjobb jelszó sem ér semmit, ha a billentyűzet aljára ragasztjuk vagy titkosítatlanul tároljuk a számítógépben. Ahhoz, hogy a lehető legjobban védve legyünk az adattolvajoktól, a webböngészőben is mindig el kell utasítani a jelszavak önműködő tárolását.

A vírustámadásokat és egyéb konkrét cél nélkül indított fenyegetéseket felváltották az irányított, anyagi haszonszerzés céljából indított támadások, amelyekkel az internetes bűnözők az egyéni felhasználók személyes adatait, azonosítóit és jelszavait szerzik meg. Míg korábban többnyire a biztonsággal és online bűnözéssel foglalkozó szervezetek tettek erőfeszítéseket az adathalász-támadások felderítésére és visszaszorítására, ma már az üzleti élet szereplői között is egyre nagyobb figyelmet kap a phishing támadások kivédése, hiszen a vállalatokban megrendülhet az ügyfelek bizalma, így közvetett és közvetlen módon is jelentős anyagi kár érheti azokat a szervezeteket, amelyek nem készülnek fel kellőképpen az anyagi haszonszerzésre irányuló támadások kivédésére.

Az online csalásokat és adathalász-támadásokat globálisan figyelemmel kísérő Anti-Phishing Working Group felmérése szerint havonta átlagosan mintegy 38 százalékkal nő a phishing támadások száma. A szakértők arra is felhívják a figyelmet, hogy az említett internetes bűncselekmények nem csupán gyakoribbá, hanem egyre kifinomultabbá is válnak, így az egyéni felhasználók is egyre nagyobb veszélyben vannak. Kezdetben olyan egyszerű üzeneteket használtak megtévesztésre, mint „Postafiókját törölni fogjuk!” vagy „Postafiókjában illetéktelen tevékenységet észleltünk”. Ezeket később felváltották az adakozásra felhívó vagy a látszólag ismerős címekről érkező megtévesztő levelek. Manapság már olyan oldalakra irányítják a gyanútlan felhasználókat, amelyek még abban az esetben is veszélyesek, ha az illető nem adja meg személyes adatait, mivel ezek az oldalak trójai programokat telepítenek, amelyek még jóval az oldal bezárása után is szabad utat biztosítanak a hackerek számára a gépen tárolt személyes adatokhoz. A csaló oldalak felderítését nehezíti, hogy gyakran változtatják a helyüket, és többnyire még a beazonosításuk előtt más szerverekre helyezik őket. (VG)

A hackerek által könnyen megfejthető jelszavakkal együtt az úgynevezett kémszoftverek veszélyeztetik a netes bankhasználók biztonságát. Ezek olyan hackerprogramok, amelyek megpróbálják megkeresni és továbbítani a számítógépen található személyes adatokat, így a bankkártyaszámokat, a titkos számokat és a jelszavakat. Ez tág teret nyit a visszaélésekhez. A felhasználó általában nem vesz észre semmit abból, hogy a számítógépén digitális adattolvaj garázdálkodik, mivel a kémszoftver a felhasználó által teljesen észrevétlenül települ a merevlemezre.