Azt gondolhatod, már feketeöves adathalászat-felismerő vagy, pedig még a legtapasztaltabb kiberbiztonsági szakértőket is képesek meglepni az újabb és újabb trükkök, átverések. Régebben még minden könnyebb volt, de persze már akkor is csak annak, aki elővigyázatos volt és minden levelet, üzenetet potenciális támadásként közelített meg: sokszor már a levél tárgyából, a megszólításból, a megfogalmazásból ki lehetett találni, hogy valós, vagy adathalász üzenettel van-e dolgunk.
Manapság már nem ilyen egyszerű a helyzet, és az adathalászok sikerességét mutatja, hogy az ESET adatai szerint 2023 első negyedévében az összes kibertámadás 37,5%-át tette ki az adathalászat. Az ESET szakértői ezen mutató csökkentése érdekében összegyűjtötték, mit érdemes tudni 2023-ban az adathalász támadásokról, sőt, példákkal is szolgáltak.
A biztonsági szűrő nem minden
Sok vállalat használ szűrőket az adathalászat elleni védelemhez, de a támadások így is képesek elérni rendszereinket és adatainkat. A tudatosság bizonyos területeken javult, ám sokan még mindig bedőlnek a csalóknak. "Az emberek még mindig hajlamosak rákattintani a rosszindulatú linkekre, gyakran megbízhatónak tűnő űrlapokat töltenek ki vagy csalók által működtetett bejelentkezési oldalakon adják meg hitelesítő adataikat. Az is a probléma része, hogy nem tudják megkülönböztetni a hamis URL-t a valós címektől" - foglalta össze a problémát Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője.
A támadók továbbfejlesztették módszereiket, és már olyan technikákra támaszkodnak, mint a megszemélyesítés vagy a válaszlánc (reply-chain) támadás. A fejlett fordítóprogramoknak köszönhetően a csalók szövegeinek nyelvtana és stílusa egyre kifinomultabb, így az üzenetek kiszűrése nehezebbé válik az emberek számára. A támadóknak elég egyetlen munkavállaló figyelmetlensége ahhoz, hogy megszerezzék a szükséges adatokat. Ezt igazolja a Dropbox esete, amely egyetlen személy hibájára vezethető vissza.
Egyre nehezebb felismerni a támadást
A hibrid munkavégzés elterjedésével a kiberbűnözők is változtattak szokásaikon, és a támadások során egyre többször használják fel olyan, a távmunkához elengedhetetlen népszerű cégek és programok neveit, mint a DHL, a WeTransfer, a DocuSign, a Microsoft Office vagy a Microsoft Outlook. A csalók hatékony eszköze az informatikai csapat nevében küldött üzenet, amelyben a munkavállalót jelszóváltoztatásra kérik. A támadók akár a hivatalos márkajelzésekkel is visszaélhetnek, hogy az áldozat megbízhatónak tartsa őket.
A csalók mindig kihasználják az aktuális eseményeket, legyen az olimpia, földrengés, esetleg világjárvány vagy háború. Ilyenkor máris jönnek az adománygyűjtésről, zárolt fiókértesítésről, kamu nyereményekről vagy bennfentes titkos információkról szóló üzenetek.
Az ESET szakértői összegyűjtöttek néhány tipikus esetet:
Az Ön munkamenete lejárt. Kérjük kattintson ide az újbóli bejelentkezéshez!
Ennél jellegzetesebb átverési taktikát nehéz találni, és ehhez elég a mellékelt linken lemásolni a valós bejelentkezési ablakot, ahol a felhasználók többsége különösebb gondolkodás nélkül máris begépeli az azonosítóját. Ilyen próbálkozások szinte minden platform ellen indultak már, a PayPaltól, Netflixtől, Apple-től kezdve a GitHub-on át az Amazonig. Egy 2016-os Apple felhasználóknak szánt átverésben például vicces módon azt írták, azért kell újra mindenkinek bejelentkezni, mert "vírust" találtak az Apple iTunes adatbázisában. Manapság gyakori, hogy valamely közösségi platform nevében küldenek üzenetet, mondván olyan tartalmat osztottunk meg, ami miatt letiltották a fiókunkat, és azonnal kattintanunk kell az adott linkre, hogy megnézzük, mi volt ez a tartalom és mit tudunk tenni a tisztázás érdekében. Vagyis tipikus call-to-action támadási formáról beszélhetünk.
Covid, háború és adóbevallás
Az ukrajnai háborúval kapcsolatban tucatnyi esetet lehetne említeni, ahol rosszindulatú link, vagy kártékony melléklet érkezett a levélben. Ezekben sokszor támogatást, adományt kérnek, esetleg csak egy megosztást várnak el - a lényeg, hogy cselekedj és kattints.
Ha pedig itt az adóbevallás ideje, a határidő után pár nappal arról tájékoztathatnak bennünket, hogy nem sikerült feldolgozni a határidőre benyújtott adóbevallásunkat, mert bizonyos személyi és pénzügyi információk állítólag hiányosak. Természetesen minden gyorsan orvosolható, ha a mellékelt linken mindezeket begépeljük. A másik jellemző csalási forma, ha adó-visszatérítést ígérnek, ami mindenki számára vonzó hír lehet, és emiatt sokan gyanútlanul, a nem várt summa reményében minden banki adatukat megadják.
Ünnepek és évfordulók
Ismert cégek nevében ünnepi árleszállítást, akciókat, karácsonyi képeslapokat, ajándékutalványokat hirdetnek, amelyek csak rövid ideig érhetőek el, ezért mindenki siessen, nehogy ezekről lemaradjon. A mellékelt link vagy csatolmány pedig a jól ismert módon veszélyezteti azokat, akik ezeknek bedőlnek. Ezzel a fajta adathalászattal a közösségi médiában is gyakran találkozhatsz, ahol bőröndöt, műszaki cikkeket, Legót kínálnak töredékáron, csupán a linkelt weboldalt kell felkeresned és ott megadni adataidat.
Veszélyes kíváncsiság
Évszaktól és régiótól függetlenül mindig mindenhol beválik az az adathalászat, ami a felhasználók kíváncsiságára épít: semmilyen magyarázat nincs a levélben, hanem csak arra hivatkoznak, mindent megtudhatunk a mellékletből, ami legtöbbször valamilyen sebezhetőséget tartalmazó Office vagy PDF fájl. Sajnos sokszor győz a kíváncsiság, pedig biztonságtudatos hozzáállással, a gyanús melléklet ellenőrzésével már elkerülhetnénk a bajt.
Mit tehet egy cég?
Bár az adathalászat idejétmúltnak tűnhet, nem szabad alábecsülni. Az ESET szakértőinek tanácsa, hogy minél korábban észlelik az adathalász-támadást, annál nagyobb esély van arra, hogy a cég elkerülje az adatvesztést és az anyagi károkat. Ezért meg kell győződni arról, hogy az alkalmazottak tudják, hogyan jelentsék a gyanús tartalmakat és tevékenységeket. Ha megtörtént az incidens, erről kapjanak a munkavállalók tájékoztatást, majd elemezzék, hogy a támadás emberi hibából indult-e ki, és ha igen, használják fel tapasztalataikat a többiek felkészítése során.
Egy korlátozott erőforrásokkal rendelkező vállalat fontolóra veheti az IT-biztonság kiszervezését is.
"Azok a cégek, amelyek nem rendelkeznek belső biztonsági csapattal vagy kapacitással, felbérelhetnek egy menedzselt szolgáltatót (MSP), amely gondoskodik a digitális biztonságról, vagy legalábbis annak bizonyos részeiről"
- mondta el az ESET kiberbiztonsági szakértője. Az MSP-k magas szintű szolgáltatást nyújthatnak - de csak akkor, ha a szerződésben megfelelően rögzítik a felelősségi köröket és a szolgáltatás konkrét elemeit.
Manapság az MSP-k is egyre népszerűbb célpontokká válnak, ahogyan ez a Kaseya technológiai nagyvállalat esetében, 2021-ben történt. Így pedig a vállalatok közvetetten is áldozatává válhatnak egy ellátási lánc elleni támadásnak. Ezért nagyon fontos ellenőrizni, hogy az együttműködő MSP milyen biztonsági tervekkel rendelkezik a megelőzés érdekében, és milyen forgatókönyve van egy esetleges támadás bekövetkezése esetén. Végsősoron az MSP-k felelősek a saját és a vállalat biztonságáért is. Fontos partnerként ugyanolyan megbízhatónak kell lenniük, mint a cégek belső szakértőinek.
