A különböző online szolgáltatásokhoz használt fiókjaink még egy erősebb jelszó esetén is sebezhetők maradhatnak, ezért engedhetetlen a 2FA, azaz a kétfaktoros azonosítás használata.
Újabb pénzlopási módszerek jelentek meg az online térben
Lassan már kevés lesz szimplán adathalászatot említeni, hiszen a klasszikus phishing mellett olyan újabb keletű műszavakat is meg kellett tanulnunk, mint a smishing, a vishing, és a quishing – írja az ESET biztonságtechnikai cég legújabb blogbejegyzése.
Az alapfokú phishing már mindenki által ismert, egy ismert szolgáltató webhelyére megszólalásig hasonlító, de kártékony weboldalon bekérik a felhasználó adatait, amivel aztán a bűnözők a valódi weboldalon már be tudnak lépni a nevében. Ez a vonal körülbelül 1995 óta létezik, és azóta is szedi az áldozatait. Egy 2020-as FBI-kimutatás pedig arról számolt be, hogy ez egy annyira gyakori kiberbűnözői módszer, hogy abban az évben már több adathalász-incidenst regisztráltak, mint összességében bármely más egyéb típusú számítógépes bűncselekményből.
És hogy ez a céges biztonságban is komoly problémát okoz, azt egy 2023-as adat is jól mutatja, miszerint a vállalati szférában jelentkező fejlett és automatizált adathalász-támadási kísérletek száma a tavalyi évben 356%-kal nőtt, ezek egy jelentős részénél pedig már alkalmazták a gépi tanulás és a mesterséges intelligencia eszközeit is.
A felsorolás és tulajdonképpen a megjelenés sorrendjében is következő a smishing, amely a phishing és az SMS vagyis Short Message Service, magyarul rövidüzenet-szolgáltatás szavak összekeveredéséből keletkezett. Itt az érkező SMS érkezhet látszólag a bankunk nevében, de lehet csomagküldő szolgálat, adóhivatal, Amazon, Netflix, PayPal, bármi.
A lényeg, hogy a telefon esetlegesen kevésbé védett, és kisebb képernyőjén nehezebb felismerni a kártékony linket, a rosszindulatú weboldalt, az átverést. Mindenki emlékezhet a 2021. márciusi FedEx nevében érkező SMS-áradatra, amely a FluBot vírust terjesztette, de a dolog azóta is folyamatosan zajlik DHL, Netflix, posta és hasonló szolgáltatások nevével visszaélve.
A fentiek remélhetőleg már mindenkinek a könyökén jönnek ki, és sosem vetemednének arra, hogy ilyenekre kattintsanak. Éppen ez volt az oka, hogy új irányzatok jelentek meg, így nevezetesen vishingnek (vagyis Voice Phishing) hívjuk a telefonhíváson keresztül végzett adathalászatot. Sajnos ez már sokkal hatékonyabb fegyvere lett a támadóknak, akik gyakran bankok nevében hívogatnak random vagy korábbi adatszivárgásból precízebben célozható ügyfeleket, akiknél azzal a mesével jelentkeznek, hogy ők a bank biztonsági osztálya, és egy csúnya bűnöző éppen most próbál pénzt lopni a kártyájáról.
Erre hivatkozva kérnek személyi azonosítást, bankszámla- és kártyaadatokat, azonban éppen ezzel követ el súlyos hibát, aki ezt bediktálja nekik, vagy feltelepíti a csalók által javasolt távmenedzsment alkalmazást, ugyanis ekkor tényleg leürítik a számláját. A hagyományos csatornák mellett a vishing, azaz élő telefonos hangalapú megtévesztések száma is kiugró mértékben emelkedett, ebben egy 2023-as keltezésű statisztika 363 százalékos emelkedést regisztrált.
Ugyanennek az átverésnek egy másik változata, amelynél a számítógépeken kevésbé jártas felhasználókat egyszerűen arra kérik, meglévő pénzüket gyorsan utalják át ideiglenesen egy állítólagos biztonsági számlára – kitalálható a történet vége, itt is eltűnnek a pénzzel.
Innen már csak egy utolsó lépés maradt, ez pedig nem más, mint a talán kevésbé ismert quishing. Ez pedig a QR-kódokkal való adathalászati módszert takarja, amelynél a mobil kamerájával beolvasva gyorsan gyakran megnyílik egy weboldal, telepíthető egy app, de ezeken túlmenően akár telefonhívást, SMS-üzenetet vagy digitális fizetést is indíthat az ilyen kód. A csalók változatos módokon próbálják rávenni a felhasználókat a rosszindulatú QR-kódok beolvasására. A hozzánk érkező üzenet hivatkozhat valamilyen lehetőséghez kapcsolatos bejelentkezési oldalra, regisztrációra, gyors és kényelmes fizetési lehetőség felkínálására.
Mindenesetre legyen az adathalászat írásbeli, audio- vagy kétdimenziós vonalkód formátumú, éljen mindenkiben biztonságtudatos óvatosság. Bankok például sosem kérnek az ügyfeleiktől telefonon a belépési azonosító kódokat, jelszavakat, a bankkártyás utaláshoz kapott CVC-kódot. Ha valamilyen gyanús üzenetet, e-mailt, telefonhívást kapunk, legyünk gyanakvóak, ne kapkodjunk, ne hagyjuk magunkat sürgetni, és ha nem értjük a szituációt, bátran lépjünk ki belőle. A támadások ilyen formái ugyanis sajnos egyre többször fognak kopogtatni mindannyiunknál.
Támogassa az ujszo.com-ot
A támogatásoknak köszönhetöen számos projektet tudtunk indítani az utóbbi években, cikkeink pedig továbbra is ingyenesen olvashatóak. Támogass minket, hogy továbbra is függetlenek maradhassunk!
Kérjük a kommentelőket, hogy tartózkodjanak az olyan kommentek megírásától, melyek mások személyiségi jogait sérthetik.