Több részes posztsorozatban vesszük sorra az internetes veszélyeket, illetve azok kikerülésének lehetőségeit. Tényleg a legfontosabb információkat próbáljuk meg összeszedni, de aki elolvassa ezt a sorozatot, máris többet tud majd a biztonságról, mint egy átlag felhasználó, és valószínűleg ki is tudja kerülni a nyilvánvaló csapdákat, amik valójában a csapdák 99%-a.
Az első posztunkban egy nagyon egyszerű példán keresztül végigvettük, mi a titkosítás, mi a jelszó, mi az algoritmus, és mi a hátsó kapu. A második posztban a jelszavakról írtunk, hogy megértsük, milyen a jó jelszó és miért (és hogy igazából miért nem lesz szükségünk jelszóra nemsokára). Ezúttal pedig a leghatásosabb, egyben a legegyszerűbb támadásról lesz szó: az emailben érkező adathalászatról.
Mi is ez? A világ legegyszerűbb támadása: küldesz leveleket szerte a világba, vagy egy meghatározott csoportnak, amiben valamilyen módon pénzt vagy jelszót kérsz az emberektől. És az emberek egy kis százaléka, akármilyen furcsán is hangzik, elküldi a pénzt vagy a jelszavát.
Persze a levél a legritkább esetben írja azt, hogy “hacker vagyok, ide az adatokat”. Néha ilyenfajta őszinteségre is sor kerül: ilyenkor azzal próbálnak zsarolni, hogy felvételeket készítettek rólunk vagy elloptak képeinket, adatainkat, és ha nem fizetünk, nyilvánosságra hozzák őket. Az esetek nagy részében – hacsak nem vagyunk hollywoodi hírességek – mindez kamu. Ha hollywoodi hírességek vagyunk, általában küldenek erről bizonyítékot is. “Bizonyíték nélkül nincs alku” – szól a 90-es évek akciófilmjeinek máig megingathatatlan bölcsessége.
Az adathalász levelek másik csoportjában arról számolnak be, hogy örököltünk, és csak az ügyvédi költséget kell elutalni, mások azt állítják, hogy a lejárt az előfizetésünk vagy büntetést kaptunk, amit gyorsan be kell fizetnünk. A kifinomultabb támadók egy saját weboldallal is készülnek, amivel általában annak a cégnek a weboldalát utánozzák, amelynek nevében próbálnak tőlünk jelszavakat vagy pénzt szerezni. Ilyen weboldal elkészítésére bármilyen webfejlesztő képes, a grafikai elemek lemásolása és egy új helyen összeillesztése nem bonyolult. Aki azonban ezen az áloldalon megadja a jelszavát, az valójában egy ismeretlen tulajdonú oldalon írja be azt.
De vajon honnan tudja a támadó, hogy nekem Microsoft Wordöm van, hogy az X banknál van a folyószámlám, vagy az Y programcsomagot használom?
Az esetek döntő többségében sehonnan, ez a szép az emailes adathalászatban. Nem tudják, ezért elküldik az emailt sok millió valós email-címre, és ha az email-címek tulajdonosainak csak 1%-a használja az adott szolgáltatást, máris sok tízezres célt találtak. A sok tízezer emberből megijed sok száz, és adatokat ad néhány száz. Statisztikai alapú a támadás, lehet így is mondani.
A másik lehetőség, hogy a támadók megszereztek vagy megvásároltak egy olyan email-adatbázist, ami többnyire X bank vagy Y programcsomag ügyfeleinek címét tartalmazza. Ezt megszerezhették a szerverek feltörésével, vagy más indirekt módszerekkel is. Egy-egy ilyen email-lista sok pénzt ér, és úgy adják-veszik a dark weben, mint a cukrot (a dark web az internet azon része, amit nem indexálnak a keresők, így sok esetben illegális tevékenységeket folytatnak ezen keresztül).
Többen emlékezhetnek a 2019. augusztusi, a Számlázz.hu nevében elkövetett adathalászatra. Több ügyfelünk is kapott megtévesztő emailt, ami egy olyan weboldalra vezetett, ami a Számlázz.hu bejelentkező oldalának tűnt.
A támadók nem tudták, hogy az emailjeiket hány Számlázz.hu-s ügyfél kapja majd meg. Egy rakás emailt küldtek át ismerőseink, akik nem regisztráltak, mégis kaptak ilyen spameket. Valójában a támadók vaktában lövöldöztek, és úgy voltak vele, hogy majd csak célba ér néhány száz email. Bíztak abban, hogy lesznek olyanok, akik nem fogadták meg az emailes biztonság aranyszabályait, és beugranak a trükknek. Ezért a fentiek alapján most sorra is vesszük, mit érdemes megfogadni:
1. Csak akkor írunk be jelszót bárhová, ha magunk írtuk be a weboldal címét is a böngésző címsorába. Egy szolgáltató nem kér jelszót kéretlen, a semmiből elküldött levélben. Ha mégis, váltsunk szolgáltatót. Alapvetően tartsuk szem előtt azt a felfogást, hogy fontos ügyeket online csak mi magunk kezdeményezzünk a szolgáltatóval. Ha mi indítjuk a folyamatot, akkor sokkal-sokkal kisebb az esélye egy támadásnak, mintha az (állítólag) másik fél keres meg minket.
2. Ne bízzunk emailben kapott linkekben. Ha mégis ilyenre kattintunk, utána alaposan vizsgáljuk meg a címsort: nincs egy betű eltérés? Lehet, hogy valaki lefoglalt egy Szamlaz.hu domaint, és úgy tesz, mintha mi lennénk. (Pont ezért mi magunk foglaltuk le a Szamlaz.hu domaint is, haha)
3. Mindig győződjünk meg egy email forrásáról, méghozzá alaposan. Ha kapunk egy emailt, és a feladónál az a szó áll, hogy “Számlázz.hu” vagy “Google”, azzal még nem tudunk semmit. Ez a felirat csupán a küldő fél saját maga által beírt szó, írhatnának oda Pinokkiót is. Meg kell győződnünk a feladó pontos email-címéről, főleg annak @ utáni részéről. Ha itt is “@szamlazz.hu” áll, akkor már egy fokkal nagyobb a biztonság.
Itt érdemes tisztába jönni a domainek hierarchiájával is. Az alábbi két domain nagyon hasonló, de mégis egészen más:
- addideajelszavad.szamlazz.hu és
- szamlazz.addideajelszavad.hu
A domainek hierarchiája jobbról balra fejthető vissza, a hierarchia elemei között pontot találunk. Mint ahogy egy lakberendező áruházban először azt mondják meg, hogy melyik részegységben található az áru (raktár vagy piactér), majd hogy azon belül melyik sorban, majd hányas számú oszlopban találjuk, úgy a domain is egyre szűkebb csoportokat azonosít. A “.hu” még csak azt árulta el, hogy vagy egy magyar oldalról beszélünk, vagy egy “.hu”-s domaint tulajdonló külföldi (jogi) személyről, addig a következő tartomány más sokkal többet elárul.
A fenti első példa a “szamlazz.hu” aldomainre mutat, vagyis az általunk, a Számlázz.hu által birtokolt domainre. Itt már biztonságban vagy: bízhatsz tehát abban, hogy a “addideajelszavad.szamlazz.hu” aloldalt mi hoztuk létre, és okkal tettük azt. Persze valójában nem tettük.
A második példa, a szamlazz.addideajelszavad.hu azonban a “addideajelszavad.hu” domainre mutat, tehát valaki, aki a addideajelszavad.hu tulajdonosa, létrehozott egy “szamlazz” aloldalt, akár megtévesztés céljával. Ismeretlen céllal, ismeretlenül.
Hogy miért fontos ez? Azért, mert a sorrendek ilyesféle ismerete a böngésző címsorának értő olvasásában, és a támadók azonosításában ugyanúgy hasznos, mint emailek esetében.
Mert nem mindegy, hogy valaki a kristof@addideajelszavad.szamlazz.hu vagy a kristof@szamlazz.addideajelszavad.hu címről ír. Kristóf az első esetben lehet a mi munkatársunk (mondjuk akkor miért nem @szamlazz.hu-s a mail címe? Egy kicsit már gyanús, de biztos, hogy házon belül történt valami változás), a második esetben viszont kizárt, hogy ismernénk Kristófot.
A lényeg tehát: tartsuk be a fenti hármas szabályt, és akkor kivédjük az emailes adathalászok legnépesebb csoportját. Ne csodálkozzunk, ha valaki kitalálja, hogy a kedvenc színünk a kék és szeretjük a vízilabdát. Emiatt ne bízzunk benne, mert egy rakás kosárlabda-drukker pirosszín-fanatikus is megkapta a mailt, csak őket nem érdekelte annyira, mint minket.
Szeretnél többet tudni a NAV online számlázásról?