A napokban azt láttuk, megint szaporodnak a phising/adathalászat áldozatai itthon is. Egy kicsit kibontottuk, hogyan próbálják kicsalni az adataid, mire figyelj oda, és miért ne add meg az intrneten soha, de SOHA senkinek sem a bankszámlád adatait vagy épp az Apple ID-d jelszavát.
A mások adataival és különböző információkkal való visszaélés egyáltalán nem újdonság, gondoljunk csak gyerekkorunk kémregényeire. Amióta pedig mindennapi dolgaink is egyre inkább átterelődnek az online térbe, újabb fenyegetettséggel nézünk szembe, és már nem csak attól kell tartanunk, hogy valaki ellopja a pénztárcánk, benne az összes iratunkkal.
Technikailag nem is gondolná az ember, hogy az adathalász visszaélések során mennyi számunkra teljesen jelentéktelen dolog van, ami másoknak kincset ér. És mennyi ártatlannak tűnő mozzanattal tehetjük kockára becses információinkat.
Mi az a phishing?
Az adathalászat, vagyis phishing [ejtsd: ˈfɪʃɪŋ] gyakorlatilag egy valódinak látszó, kamu üzenet, ami arra próbál rávenni, hogy személyes adatokat adj meg: pl. online banki belépő, bankkártya adatok, egy-egy személyes adat vagy bizonyos szolgáltatások belépő adatai (pl. Apple ID).
A legtöbb esetben egy olyan e-mailt vagy szöveges üzenetet kaphatsz, ami látszólag a bankodtól, a postától, futártól, valamilyen szolgáltatótól, aminek jobb esetben ügyfele is vagy vagy akár valamilye állami szervtől érkezett. E-mail esetében még sokszor a formavilágot és designt is tökéletesen másolják, hogy teljes mértékben elaltassák gyanakvásod.
Ezeket az üzenetek tömegesen küldik el számtalan felhasználónak, így, ha az e-mail címed vagy telefonszámod valamilyen úton-módon kiszivárgott már egyszer, akkor potenciálisan esélyes vagy egy-két ilyen üzenetre.
A legtöbb esetben ezek az üzenetek tartalmaznak egy linket, ami átirányít egy szintén kamu űrlapra vagy weboldalra, ahol az áhított információkat próbálják majd kiszedni belőled. Ha maga az üzenet még nem volt gyanús, az oldal már erősen az lehet. A legnagyobb szolgáltatók oldalit lemásolni azért nem egyszerű hiba nélkül.
A küldő pedig minden esetben megjelöl valamilyen okot, ami indokolja, miért kéri el az adataid. Általában valami olyasmivel találnak ki, ami számodra negatív következményekkel jár, ha nem működsz együtt, például:
- lejárt az előfizetésed, a megújításhoz lépj be, add meg az adatai
- lejárt az XYZ szolgáltatáshoz társított bankkártyád, adj meg újat vagy add meg újra a kártyaadatait
- ismeretlen tevékenység történt a felhasználódon, lépj be és erősítsd meg, hogy te voltál
- fizess be egy kamu számlát valamilyen szolgáltatásra
- igényelj könnyen kölcsönt
- újítsd meg a jelszavad
Sőt, még olyat is simán csinálnak, hogy küldenek egy számlát egy már kifizetett és igénybevett szolgáltatásról, amit majd megpróbálsz visszamondani, mert azt gondolod valóban levonták a pénzed és akkor lopják el az adataid igazából. Ebből a legtipikusabb, amikor az App Store-ból kapsz egy számlát megvásárolt alkalmazásról/előfizetésről, amit nem is vettél meg és megpróbálod lemondani.
Ami miatt ez a téma ma előkerült, az egy sor olykor elkeseredett, olykor bizonytalan poszt nagyobb magyar Apple-ös közösségek csoportjaiban. Feltűnően egyszerre kapott egy csomó magyar felhasználó azonos szöveges üzenetet arról, hogy az Apple ID-juk lockolva lett, jelentkezzenek be a feloldáshoz.
Mit tehetsz, ha ilyen üzeneteket kapsz?
Hát, a legjobb dolog, ha 1. – nem esel pánikba, 2. – nem cselekszel idegből, 3. – gondolkozol. Tudom, egy olyan szituációban, ami negatívan érintheti az embert, nem könnyű tisztán látni, mégis ilyen esetekben sok fejfájástól kímélheted meg magad, ha előbb gondolkozol.
Így, ha egy minimálisan is gyanúsnak tűnő üzenetet kapsz, pláne minden előzmény nélkül, akkor érdemes gyorsan végig pörgetned az alábbiakat:
- Nézd meg a küldő e-mail címét vagy telefonszámát, ha nem egyezik a vállalat vagy szervezetével, akkor kezdhetsz gyanakodni. A legtöbb nagy cég egyszerű formátumokat használ hivatalos e-mail címeinél, ha sok túl sok a kriksz-kraksz a kukac előtt vagy abszolút nem egyező a domain a kukac után, már szagot foghatsz, hogy átverésről van szó.
- Regisztráltál valaha erre a szolgáltatásra, és ha igen, ezt az e-mail címedet adtad meg? A semmiből felbukkanó kontaktusok már önmagukban gyanúsak lehetnek, pláne, ha sosem regisztráltál az adott céghez.
- Ha az üzenet még stimmel is, érdemes lecsekkolni az URL-t, amivel tovább szeretne küldeni. Ha nem egyezik a cég által használt hivatalos webcímekkel, szintén érdemes fenntartásokkal kezelned a kattintást.
- Ha az üzenet akár formai, akár tartalmi világában különbözik attól, amit az adott cégtől kapni szoktál. Magyarul nagy előnyünk van, sokszor a borzalmas fordításról és nyelvezetről simán ki lehet szúrni a turpisságot. Olyan vállalatok, mint az Apple, sosem fog typóktól hemzsegő, értelmetlen üzeneteket küldeni az anyanyelveden. De néha még az angol nyelvű szövegekben is lehet furcsaságokat kiszűrni, alap nyelvtudással is.
- Az üzenetben személyes információk megadását kérik, bankkártya adatokat vagy felhasználónév-jelszó megerősítését.
- Ha ismeretlen helyről, ismeretlen csatolmánnyal rendelkező üzenet jön.
Mit tehetsz, hogy ne árthassanak neked?
Az első és legjobb döntés, ha a megfelelő üzeneteket a megfelelő ütemben ignorálod, pl. azonnal.
A második legjobb döntés pedig, ha fontos adatokat tartalmazó felhasználóidat mindig kétlépéses hitelesítéssel véded. Már, ha lehetséges, bár azért a legtöbb nagy szolgáltató biztosít erre lehetőséget. Az Apple kiemeltképp.
A harmadik legfontosabb dolog, soha senkivel se oszd meg a felhasználó-jelszó kombódat, még akkor sem, ha jó ötletnek tűnik és mindig használj megfelelő erősségű jelszót. Lehetőleg mind oldalon mást, így, ha bárhonnan kikerülne az internetre a felhasználóneved és jelszavad, maximum egy helyen kelljen változtatnod.
És nagyon fontos, hogy ezt az információt ne csak megoszd idősebb rokonaiddal, de folyamatosan sulykold beléjük. A phishing és a spam átverések elsősorban az idős korosztályt támadják, akiknek van a bankszámlájukon megtakarítása, könnyen megfélemlíthetőek és nem a digitális világban nőttek fel. Vigyázzunk rájuk!
Ha érdekel a téma, nézd meg az egyik olyan hétköznapi hős YouTube csatornáját, aki folyamatosan felveszi a harcot a csalókkal, és megpróbálja menteni az átvert embereket, amennyire erejéből telik. Csak akkor fogják abbahagyni a csalók, ha nem tudnak már rajtunk ilyen jól keresni. Ahhoz pedig komoly edukáció és összefogás szükséges!
Borítókép: Hacker Noon