Hogyan kerüljük el az online csalásokat és hogyan ne váljunk áldozattá - 2. rész

2024. szept. 27. | Pataki Tamás

Az interneten minden sarkon csalásba futhat, senkiben és semmiben nem lehet megbízni. A pénz mindig elsődleges, ezért a támadók is ezt akarják megszerezni. Cikkünk segít ezeknek a fenyegetéseknek a felismerésében, megértésében, és megmutatja, hogyan viselkedjünk biztonságosan az online térben.

Kiberbiztonság

Hogyan védekezzünk az internetes csalások ellen?

A cikksorozatunk első részében megismerkedtünk az internetes csalások leggyakoribb formáival. Most nézzük meg, hogyan védekezhetünk hatékonyan ellenük.

Jó, ha elsajátítunk néhány alapvető szokást. Ne kattintsunk közvetlenül azokra a linkekre, amelyeket kapunk, hanem közvetlenül látogassuk meg az internetbankingot és egyéb szolgáltatásokat weboldalait. A legtöbb káros link még mindig e-mailben érkezik. Ha mégis használni szeretnénk egy linket, nézzük meg, hova vezet. HTML-ben nagyon könnyű átirányítani egy linket egy másik domainre, mint ami a hivatkozásban látható.

Az e-mailt már több mint 50 éve használjuk, és ez a technológia eredetileg nem számolt a spam és az e-mailcímek hamisításával. Az e-mailben rendkívül egyszerű meghamisítani a feladó nevét és címét – amit beírunk, az jelenik meg. A csalások elleni védekezés érdekében számos technológia jött létre, amelyek célja, hogy megvédjenek minket ezektől a csalásoktól. Ezek már elég elterjedtek, de ennek ellenére nem ajánljuk, hogy kattintsunk ismeretlen feladóktól érkező e-mailek linkjeire. És semmiképp sem ajánlott megnyitni a SPAM-ként jelölt üzeneteket.

Legyünk óvatosak a nem kívánt üzenetekkel, különösen, ha linkeket tartalmaznak. Az e-mail továbbra is a legnagyobb közvetítője az adathalász támadásoknak, és valószínűleg sokáig az is marad. Közvetlenül utána a közösségi média következik. Tekintsünk minden chat-en kapott linket minimum gyanúsnak.

Minden beérkező e-mailnél meg lehet nézni az úgynevezett fejlécet, amely tartalmazza a technikai információkat, többek között az igazi feladót és az üzenet útját az interneten. A hétköznapi felhasználó nem igazodik el a fejlécben, és bár léteznek eszközök ennek elemzésére (lásd: hivatkozások), azt javasoljuk, hogy inkább válasszunk olyan minőségi szolgáltatót, aki automatikusan gondoskodik erről a védelemről. Például a nemzethost.hu e-mail szolgáltatások Antispam, Antivir és Antimalware rendszert használnak. Az SPF, DKIM és DMARC technológiák kombinációja biztosítja, hogy semmilyen hamis e-mail ne érkezzen be a postaládánkba.

Ha valaha gyanús e-mailt szeretnénk ellenőriztetni egy szakértővel, ne továbbítsuk azt neki – ez nem hasznos. Mentsük el EML formátumban (.eml kiterjesztés), és így küldjük el a fejlécadatokkal együtt.

E-mail fejléce
E-mail fejléce

Amikor be akarunk jelentkezni valahova, különösen a bankunkba, mindig manuálisan írjuk be az oldaluk címét a böngészőbe. És miután befejeztük az elvégzett műveleteket, jelentkezzünk ki az érzékeny rendszerekből. Ha bizonytalanok vagyunk, ellenőrizzük, hogy például a bankunk az adott webhelyen a saját nevére kiállított tanúsítvánnyal rendelkezik-e (és nem névtelen, tulajdonosi adat nélküli tanúsítvánnyal).

Az internetes vásárlásokkal kapcsolatban már az internet kezdetétől fogva történnek csalások. A csalók sürgető előzetes fizetést kérnek, majd nem szállítják az árut, vagy például egy téglát küldenek helyette. Ajánlott elkerülni a gyanúsan kedvező ajánlatokat, nem használni anonim aukciós oldalakat, és mindig közvetítőn keresztül fizetni (pl. aukciós portálokon, mint eBay). Csak olyan üzletekben vásároljunk, amelyeket ismerünk, mert sok webáruház kínai, és az árut későn vagy egyáltalán nem szállítják le, vagy csendben kirabolnak minket. Ne adjuk meg a bankkártyánk adatait az e-shopoknak, inkább használjunk más fizetési módszereket (lásd: Egyéb védelmi alapelvek).

És végül ismétlem az alapvető szabályt az elejéről – ne higgyünk a csodákban. Ne higgyünk a csodás lottónyereményekben, pénzátutalásokban a számlánkra, vagy a Facebook-on keresztül megismert szerelemben.

Használjunk erős jelszavakat és kétfaktoros hitelesítést

Erős jelszavak azért fontosak, hogy a támadó ne tudja azokat könnyen kitalálni vagy feltörni. Ha rövid a jelszavunk, a támadó könnyen feltöri „brute force” módszerrel, azaz kipróbálja az összes lehetséges karakter- és számsor kombinációt, és fokozatosan növeli a hosszúságot, vagy „szótári támadással” próbálkozik. Ez azt jelenti, hogy fokozatosan kipróbálja a már ismert és feltört jelszavakat, valamint az általános szavakat.

Tudjuk tehát, hogy a jelszónak nem szabad rövidnek lennie, és nem lehet általános szó. A jelszónak tartalmaznia kell számokat és speciális karaktereket is, hogy összetettebb legyen.

Végzetes lehet a nevek használata, például családtagoké. Nézzük meg egy példával, hogyan zajlik gyakran a jelszóválasztás folyamata. Kovács úr szeretné jól megjegyezni a jelszavát, ezért alapnak a felesége keresztnevét választja. Jó ötletnek tűnik számára, mert nem egy általános szóról van szó, és könnyen megjegyzi. A „anna” jelszó azonban önmagában rövid, ezért valamit hozzá kell adnia. Annak érdekében, hogy továbbra is könnyen megjegyezze, a felesége születési évét adja hozzá a végére, így lesz a jelszóból „anna85” vagy a hosszabb változat, „anna1985”; a jelszó így már elfogadható 8 karakteres hosszúságú, és egyes szolgáltatások ezt el is fogadják. Kovács úr azonban azzal szembesül, hogy sok szolgáltatás visszautasítja a jelszót, mivel hiányzik belőle egy nagybetű és egy speciális karakter. Hogyan oldja meg ezt?

Így jön létre a „Anna1985!” jelszó, amely már tartalmaz nagybetűt és speciális karaktert. Ez a jelszó már nagyobb eséllyel lesz elfogadva. Ha pedig később módosítania kell a jelszót, egyszerűen hozzáad egy újabb speciális karaktert a végére.

Kovács úr megmutatta nekünk a legrosszabb lehetséges jelszóválasztási módszert, ami sajnos még mindig elterjedt. Egy támadónak, aki őt célozza, nem lesz nehéz kideríteni, hogy hívják a feleségét. Az sem lesz nehéz kideríteni, mikor született. Ezután már csak a speciális karakter választja el a támadót a jelszó feltörésétől, de azt is tudja, hogy valószínűleg a végén lesz. Így néhány speciális karakter kipróbálása után a jelszó feltörhető néhány másodperc alatt.

PTúlzásnak tűnik? Az ilyen esetek már ismertek, elég, ha a támadónak elég erős motivációja van (pénzszerzés, féltékenység, zsarolás, vagy akár unalom). Jelszavak létrehozásához kizárólag jelszógenerátorokat használjon, amelyek minden jó jelszókezelőben megtalálhatóak. Sok jelszógenerátor elérhető online is, például a Password Generator Plus.

DesiatkAz internetes felhasználók által használt több tucat vagy akár száz jelszót nem lehet megjegyezni (és természetesen nem fogjuk őket több helyen megismételni). Használjon jelszókezelőt, hogy ne könnyítse meg a támadók dolgát. Tippeket megfelelő jelszókezelőkről a blogunkon talál, például a Jelszókezelők kategóriában. Jelszókezelők kategóriában.

Hogyan használjunk kétfaktoros hitelesítést fiókjaink védelmére?

A kétfaktoros hitelesítés (2FA), más néven kétlépcsős hitelesítés vagy belépés, egy rövid érvényességi idejű kód beírását jelenti a belépés megerősítéséhez. Ez a rövid érvényességi idejű kód olyan alkalmazásokban generálódik, mint a Google vagy Microsoft Authenticator, amelyek ingyenesen elérhetőek. A kód általában egy percig érvényes, és nélküle nem lehetséges a bejelentkezés.

A kétfaktoros hitelesítés nagy gyakorlati előnyt nyújt – még ha valaki más ismeri is a bejelentkezési adatait, nem tud bejelentkezni, ha nem ismeri az Authenticator alkalmazás által generált ideiglenes kódot. Ez pedig mindenképpen előnyös!

A 2FA lehetőségét szinte minden nagy szolgáltatásnál megtalálja, legyen az Gmail, Facebook, Instagram vagy Netflix. A bankokban a biztonságos belépés további hitelesítési tényezővel már régóta kötelező; leggyakrabban biometrikus eszközöket használnak a belépés jóváhagyásához (például az okostelefon ujjlenyomat-olvasóját).

A teljesség kedvéért engedjék meg, hogy megjegyezzem, a kétfaktoros hitelesítés mellett létezik a többfaktoros hitelesítés (MFA) is. Míg a 2FA pontosan két tényezőt tartalmaz, az MFA több mint két tényezőt is magában foglalhat (például az említett biometrikus ujjlenyomatot).

További védelmi alapelvek

Említenék még néhány fontos szabályt, amelyek ugyan nem olyan alapvetőek, mint egy jó jelszó a jelszókezelőben, de nem szabad elfeledkezni róluk.

  • A közösségi hálókat tekintsék gyanús és veszélyes helynek. Soha ne kattintsatok olyan linkekre, amelyeket valaki küld nektek, és ne válaszoljatok kéretlen üzenetekre.
  • Soha ne ossza meg személyes adatait online: amit egyszer az internetre bíz, azt már soha többé nem szerezheti vissza. Nem lesz többé kontrollja az információi felett. Ha valaki személyes adatokat vagy igazolványt kér, számítson a legrosszabb szándékra.
  • Biztonságos fizetési módszerek használata: Javaslom, hogy sehol ne adja meg a bankkártya számát és a biztonsági kódját, még fizetési kapuban sem. Ma már sokkal gyorsabb és biztonságosabb fizetési módok léteznek, mint például a Google Pay vagy az Apple Pay. Ha ezek nem érhetők el, használja a PayPal-t. Soha ne adja meg közvetlenül a kereskedőnek a fizetési adatokat, lásd a következő pontot.
  • Figyelje a fiókjait, hátha gyanús tevékenységeket talál: Vannak tisztességtelen kereskedők (lásd a Temu-ügy), akik egy idő után az első vásárlás után megpróbálnak pénzt levonni a bankkártyáról, ami nem illeti meg őket.
  • A szoftverek és az antivírus frissítése: Tartsa naprakészen az operációs rendszert a számítógépén és az okostelefonján, valamint a böngésző és az antivírus szoftver aktuális verzióját (ha Windows 10 vagy újabb operációs rendszert használ, az antivírus már a rendszer része). Vigyázzon az antivírusokra, mert akár azok is lehetnek fertőzés forrásai, és számos hamis antivírus létezik. A legjobb esetben felesleges pénzt húznak ki Önből.
  • Ha programot kell ellenőrizni, és nem megbízható forrásból szerezte, ne féljen használni a VirusTotal eszközt (lásd a hivatkozásokat), és ellenőrizze azt.

Ha eddig elolvasta, köszönöm a figyelmét. Nyilvánvalóan érdekli az internetes biztonsága, és biztosíthatom, hogy ha figyelembe veszi a fent említett tanácsokat, jelentősen csökkentheti a csalás kockázatát és a lehetséges traumát.

A mesterséges intelligencia forradalmat hoz a csalások terén

Jelenleg egy olyan IT és ipari forradalom zajlik, amely minden bizonnyal jelentős lesz az emberiség számára. Az AI (mesterséges intelligencia) sokféle feladatban segíthet, időt takaríthat meg, művészetet hozhat létre, és egyéb korábban elképzelhetetlen eredményeket is produkálhat. Logikus, hogy azonnal a támadók is kihasználják ezt.

A mesterséges intelligencia segíthet megbízhatónak tűnő és jól fordított csaló e-mailek írásában. Nem okoz gondot számára egy videó létrehozása valakiről, vagy a hangjának tökéletes utánzása. Csak néhány minta szükséges, amely alapján az AI tanulhat. Már ma is képes az AI fiktív események videóinak létrehozására, politikusok beszédeinek előállítására, amelyekbe azt adhatnak a szájukba, amit csak akarnak, és amit soha nem mondtak el. Ilyen csalást építettek fel egy sok helyen hirdetett videóban Elon Musk köré, aki kriptoberuházásból gyors meggazdagodást ígért - mint kiderült az egész ún. deep fake csalás volt és semmi köze nem volt Muskhoz, ellenben rengeteg embert megkárosított (bővebben itt olvashat az ügyről).

Rövidesen nálunk is megjelennek a hamis telefonhívások, amikor a főnöke hívja majd, és például arra kéri, hogy utaljon pénzt a számlájára. Az AI miatt nem fogja tudni megkülönböztetni az eredetitől. Ennek kivédése mindannyiunk előtt álló kihívás lesz; és ez biztosan nem lesz olyan egyszerű, mint egy hamis e-mail feladó felfedezése.

Legyen óvatos, mert a csalások olyan ismeretlen és elképzelhetetlen formát öltenek majd, amilyeneket eddig nem láttunk. Klasszikust idézve – „Ne higgyen senkinek”. És most már hozzátehetjük: Akkor se, ha az interneten vagy telefonon keresztül kommunikál vele./p>

Hasznos hivatkozások:

  • Have I Been Pwned - Ingyenes online szolgáltatás, amely lehetővé teszi a felhasználók számára, hogy ellenőrizzék, vajon e-mail címeik vagy jelszavaik szerepeltek-e valamelyik adatvédelmi incidens során kiszivárgott adatok között. A felhasználó megadja e-mail címét, és ha az szerepelt egy biztonsági megsértés során, a HIBP megjeleníti az adatbázist, amelyből az információ kiszivárgott. A szolgáltatás lehetőséget kínál figyelmeztetések beállítására is, ha a megadott e-mail a jövőbeni adatvesztések során érintetté válik. A szolgáltatást a kiberbiztonsági szakértő, Troy Hunt kezeli, és értékes információkat nyújt a személyes adatok védelméről.
  • Mozilla Monitor - Ez a Mozillától származó szolgáltatás segít megállapítani, hogy az Ön e-mail fiókja érintett volt-e adatvédelmi incidens során. A Firefox Monitor tájékoztat a legújabb adatvesztésekről, és hasznos információkat nyújt arról, hogyan védheti meg személyes adatait.
  • DeHashed - Ez a szolgáltatás lehetővé teszi a felhasználók számára, hogy keresést végezzenek egy kiterjedt adatbázisban, amely tartalmazza a kiszivárgott adatokat. A DeHashed fejlett keresési lehetőségeket kínál, amelyek magukban foglalhatják neveket, felhasználóneveket, IP-címeket és egyebeket.
  • Zoner AntiVirus Online - Online eszköz fájlok ellenőrzésére. A gyanús fájlt feltöltheti az eszközbe, amely ellenőrzi, hogy „tiszta”-e vagy sem. A Zoner Antivirus saját heuristikát használ, és a legjobb az új, mások által még nem ismert sebezhetőségek (ún. „Zero-day” fertőzés) felismerésében.
  • VirusTotal - Online eszköz fájlok és hivatkozások ellenőrzésére. A gyanús fájlt feltöltheti a VirusTotalba, amely azt több tucat antivírus segítségével vizsgálja meg. Így képet kaphat arról, hogy a fájl „tiszta”-e vagy sem.
  • Google Admin Tools - Messageheader - Ez az eszköz megkönnyíti az e-mail fejlécek elemzését, és megerősíti, hogy a levél rendelkezik-e DKIM és DMARC hitelesítéssel.
  • Email Header Analyzer - Eszköz az e-mail fejlécek elemzésére haladó felhasználók és rendszergazdák számára.
Előző cikk
Pataki Tamás
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu