Először a Raiffeisen Bank, majd a Szigetvári Takarékszövetkezet és a Budapest Bank, ma virradóra pedig az Erste Bank jelentette be, hogy ismeretlen személyek olyan elektronikus leveleket küldtek ügyfeleiknek, amelyekkel a honlapjukhoz hasonító internetes oldalakra csalogatják őket, hogy megszerezzék telefonos és internetes azonosítóikat.
A felmérések szerint minden harmadik felhasználó az interneten intézi banki ügyeit, mivel ez egyszerű, gyors, és eddig biztonságos volt - legalábbis azt hittük. A pénzintézetek mindent megtesznek azért, hogy az interneten folytatott bankügyek a lehető legbiztonságosabb körlmények között történjenek. A legalapvetőbb védekezési módszer az egyéni jelszó, mely megakadályozza, hogy a jogosulatlanok hozzáférjenek a személyes netbank fiókunkhoz. A szokásos PIN/TAN-eljárás évek óta bizonyított. A védelmi rendszer másik alapköve az adatátvitel SSL titkosítása a weblapon történő bejelentkezéskor, illetve az az ügyletek intézése közben. Az óvintézkedések ellenére mégis több rés is van a védelmen, amelyre a netes bankügyletet vagy az internetes vásárlást intéző felhasználók nem gondolnak, vagy gyakran figyelmen kívül hagynak. Talán meglepő, de a leggyengébb láncszem maga a felhasználó, illetve annak saját számítógépe, bár ez utóbbit is a felhasználó irányítja - hacsak nem egy hátsó ajtókon érkezik a támadás, a tudtunk nélkül.
Kik és miért?
Az internetes veszélyeket feltérképező jelentésének (Internet Security Threat Report) tizedik kiadása szerint a vírustámadásokat és egyéb konkrét cél nélkül indított fenyegetéseket felváltották az irányított, anyagi haszonszerzés céljából indított támadások. Az internetes bűnözők az egyéni felhasználók személyes adatait, azonosítóit és jelszavait próbálják meszerezni, amely később visszaélésre ad lehetőséget.
Míg korábban többnyire a biztonsággal és online bűnözés megakadályozásával foglalkozó szervezetek tettek erőfeszítéseket az adathalász támadások felderítésére és visszaszorítására, ma már az üzleti élet szereplői között is egyre nagyobb fókuszt kap a phishing támadások kivédése. A vállalatok számára is egyre fontosabb ezek kiszűrése, mert a célzott támadások okán megrendülhet az ügyfelek bizalma, így közvetett és közvetlen módon is jelentős anyagi kár érheti azokat a szervezeteket, amelyek nem készülnek fel kellőképpen az adathalász támadások kivédésére.
A kimutatások és statisztikák
Az online csalásokat és adathalász támadásokat globálisan figyelemmel kísérő Anti-Phishing Working Group felmérése szerint havonta átlagosan mintegy 38 százalékkal nő a phishing támadások száma. A szakértők felhívják a figyelmet, hogy az említett internetes bűncselekmények nem csupán gyakoribbá, hanem egyre kifinomultabbá is válnak, így az egyéni felhasználók is egyre nagyobb veszélyben vannak. Míg kezdetekben csak egyszerű üzeneteket használtak megtévesztésre, mint „Postafiókját törölni fogjuk!" vagy „Postafiókjában illetéktelen tevékenységet észleltünk".
Ezeket manapság felváltották az adakozásra felhívó, vagy a látszólag ismerős címekről érkező megtévesztő levelek. Manapság már olyan oldalakra irányítják a gyanútlan felhasználókat, amelyek még abban az esetben is veszélyesek, ha az illető nem adja meg személyes adatait, mivel ezek az oldalak trójai programokat telepítenek, amelyek még jóval az oldal bezárása után is szabad utat biztosítanak a hackerek számára a gépen tárolt személyes adatokhoz. A csaló oldalak felderítését nehezíti, hogy gyakran változtatják helyüket, és többnyire még beazonosításuk előtt más szerverekre helyezik őket.
Hogyan védekezhetünk?
A pénzintézetek és vásárlóportálok általános óvintézkedései mellett minden netes felhasználónak saját magának kell gondoskodnia a személyes adatai védelméről.
A vírusok, férgek, trójaiak és kémszoftverek ellen védő, korszerű vírusirtó mellett mindenkinek tűzfalat is kell a gépére telepítenie. Ez különösen fontos akkor, ha az interneten bankügyletet vagy vásárlást is intéz. A tűzfal, azaz egy elektronikus őr megakadályozza, hogy a kényes adatok kikémleléséhez egy külső személy hozzáférhessen a számítógéphez.
Bizonyos teljes programcsomagok, egyszerre több védő programot, így víruselhárítót, tűzfalat, és a postafiók reklámlevél- és levélszemét szűrőt is tartalmaznak. Az ehhez hasonló komplett megoldások leginkább kevésbé hozzáértők számára ajánlott, főképp azért, mert az integrált megoldásokba épített apróbb programok egymással együttműködve, többnyire inkompatibilitási problémáktól mentesen műkdönek. Kicsit profibb megolás, ha egyenként válogatjuk össze a számunkra szükséges legjobb programokat.
Egyes programok maguktól felismerik a veszély forrását
Az olyan e-maileket, amelyek a személyes adatok, így a bankszámla-, illetve bankkártyaadatok vagy jelszavak stb. levél útján egy adott címre küldésére, vagy egy kapcsolt oldalon történő megadására szólítanak fel, a legjobb azonnal törölni. A pénzintézetek vagy a biztosítók az ilyen adatok megerősítését soha nem kérik e-mailben. Ha netán bizonytalanok vagyunk abban, hogy az adott levél esetleg mégis saját bankunktól vagy netes kereskedőnktől származik, akkor ezt telefonon ellenőrizzük le.
A jelszófeltörések ellen is védekezhetünk, ha a jelszavunkat gondosan megválasztjuk. A legtöbb internetező a jelszó megjegyzését segítendő olyan jelszót választ, ami könnyen kitalálható, hiszen szorosan kötődik a felhasználóhoz (háziállat neve, születési idő stb.). Az ilyen jelszót roppant könnyű feltörni, ezért használatuk nem ajánlott. Egy viszonylag biztonságos jelszó legalább nyolcjegyű, emellett számok, betűk és egyéb írásjelek (karakterek) kombinációjából áll. A nagy- és kisbetűk váltakozó használata még biztonságosabbá teszi a jelszót. Ráadásként, ha minden betűt és számot csak egyszer használunk, akkor elmondhatjuk, hogy majdnem feltörésálló jelszavunk van.
A legjobb jelszó sem ér semmit, ha a billentyűzet aljára ragasztjuk, vagy titkosítatlanul tároljuk a számítógépben. Ahhoz, hogy a lehető legjobban védve legyünk az adattolvajoktól, a webböngészőben is el kell utasítani a jelszavak önműködő tárolását! Ez kényelmetlen megoldás, és emiatt legtöbben ugyanazt a jelszót többször is felhasználják. Ez ismét tipikus hiba, hiszen ha egyszer feltörik a jelszavunkat, akkor mindenhez hozzáférnek.
A vállalatok már felismerték az adathalász támadások jelentőségét és veszélyét, így több összefogás is született - nem ritkán iparági versenytársak között - az egyre növekvő probléma elleni küzdelemre. A Phis Report Network szervezet folyamatosan gyűjti a támadásokról szóló információkat, és továbbítja azokat az internet-szolgáltatóknak, illetve a biztonsággal és hosting szolgáltatásokkal foglalkozó vállalatok felé, akik így informálhatják felhasználóikat az aktuális fenyegetettségekről.
