Adathalászatnak (eredetileg angolul phishing, kiejtése: fising, a fishing=halászat szóra hasonlít) azt nevezzük, amikor egy internetes csaló oldal egy jól ismert cég(legtöbbször bank vagy egyéb pénzintézet) hivatalos oldalának láttatja magát és megpróbál bizonyos személyes adatokat, például azonosítót, jelszót, bankkártyaszámot stb. illetéktelenül megszerezni.
A csaló általában e-mailt vagy azonnali üzenetet küld a címzettnek, amiben ráveszi az üzenetben szereplő hivatkozás követésére egy átalakított weblapra, ami külsőleg szinte teljesen megegyezik az eredetivel.(részletesebben a Hogyan történik mindez? bekezdésben)
Az ilyen támadások elleni védelem alapjai megtalálhatók a webböngészőkben: a biztonsági csomagokból ismert phishing szűrő vészjelzést adhat a gyanús weboldalak meglátogatásakor. A három legelterjedtebb webböngészőről (Internet Explorer, Opera, Firefox) elmondható, hogy felveszi a harcot az adathalászok ellen. Amennyiben aktiváljuk az ez irányú védelmet, a böngészők ellenőrzik az előhívott oldalakat, jellemző phishing tulajdonságok után kutatva. Ezt elősegíti a megbízható oldalak fehér listája és az ismert phishing oldalak fekete listája, amely listák automatikusan frissülnek a számítógépen. Mivel folyamatosan újabb és újabb adathalász-oldalak jelennek meg a weben, ezért ha a böngésző olyan oldallal találkozik, amely még nem szerepel a listán, akkor kapcsolatba lép egy Update szerverrel (ez a kapcsolódás Internet Explorer esetén nem kapcsolható ki). A Firefox ezen a területen együttműködik a Google-val, a kérdéses URL-t a keresőgép szervere ellenőrzi. Az Internet Explorerrel szemben a Firefox esetén ez a szolgáltatás kikapcsolható, vagy bekapcsolt állapot esetén választható, hogy a böngésző a helyi adatbázist ellenőrizze-e, vagy a Google szerverét használja. Az új High Assurance SSL Certificate-et mindhárom böngésző támogatja, így a jövőben az SSL esetéhez hasonlóan, nem csak a böngésző és a szerver közötti kapcsolat fog kódolódni, hanem egy független ellenőrzőhelyet is engedélyeztek. Így a böngészők a címsorban csak az így engedélyezett, biztonságos oldalakat jelenítik meg zöld színben. Ezt azonban egyelőre még egyetlen webhely-üzemeltető sem alkalmazza.
Az adathalászat története (PC World online magazin nyomán)
Az első adathalászatot 1996. január 2-án jegyezték fel az AOL Usenet hírcsoportjában - bár a fogalom már ismert volt. A támadás során a hackerek AOL-adminisztrátornak adták ki magukat és azonnali üzeneteket küldtek a felhasználóknak. Jelszavakat kértek olyan hivatalosnak tűnő fordulatokat használva, mint „regisztráció megerősítése" vagy „számlázási információ megerősítése", ezek után már visszaélhettek a gondatlan felhasználók hitelkártya-információival. A bűnözők azonban hamar felismerték a pénzintézetek ügyfeleiben rejlő lehetőségeket. 2004-re az adathalászat a szervezett bűnözés egyik legjobban jövedelmező iparágává nőtte ki magát.
A másik közösség, amelyet előszeretettel támadnak az adathalászok, a közösségi oldalak felhasználói. Ugyanis a személyes adatok megszerzésével személyazonosság-lopás hajtható végre. 2006-ban történt egy ilyen nagyobb támadás: a MySpace egyes oldalait helyettesítették hackerek kártékony lapokkal, és megváltoztatták az onnan elvezető linkeket, hogy a felhasználók belépési információit megszerezzék. Mindez azért történhetett meg, mert a közösségi oldalakon még a szokásosnál is gondatlanabbak az emberek, az ilyen típusú támadások a közösségi oldalakon sokkal sikeresebbek.
Hazánkban is egyre nagyobb a veszélyt jelen az adathalászat, hiszen 1,3 millió embernek van internetes banki hozzáférése. Eleinte angol nyelvű, majd rossz magyarsággal írott levelekkel próbálták meg félrevezetni a felhasználókat, mára viszont már tökéletes magyar nyelven megfogalmazott, adathalász leveleket is olvashatunk.
Az RSA Security jelentése 70 országban több mint 10 ezer támadásról számol be, ezek 40 százaléka már az adott ország nyelvén próbálta kicsalni a címzettektől személyes adataikat.Ráadásul, ez az arány egyre inkább növekedni látszik.
2007 júniusában az Index 61 iWiW-et és 92 MyVIP-et másoló adathalász oldalról számolt be. A weblapok az Extra tárhelyszolgáltatón voltak olyan címekkel, mint ingyeniwiw vagy turbomyvip. Nagyobb támadásra nem került sor, az említett weboldalakat rövid időn belül megszüntették.
Hogyan történik mindez? (PC World online magazin nyomán)
Az adathalászok e-mailben elhelyezett linkkel csalogatják az embert egy olyan oldalra, amely tökéletes másolata többnyire pénzintézet honlapjának, közösségi portálnak, vagy egyéb a hacker által arra „érdemesnek” ítélt honlap nyitólapjának. Ha valaki nem ellenőrzi a webcímet, azt könnyen átverhetik. Aldomainek vagy az eredetitől csak pár karakterben különböző címek a leggyakoribbak a felhasználók megtévesztésére. Az OTP Bank esetében ez így nézne ki http://www.otp.becsaplak.hu .(a becsaplak szó ebben az esetben egy potenciálisan adathalász URL). Az is előfordulhat, hogy a link, amely a csalók oldalára vezet, nem szöveg, hanem URL, de az eredeti oldal címe.
Szintén népszerű az @ jel használata, amelyet egyes helyeken a felhasználónév elválasztására használnak. Például a gyanútlan felhasználó a http:// Ezt a címet a spamrobotok ellen védjük. Engedélyezze a Javascript használatát, hogy megtekinthesse. címről első pillantásra azt hiheti, hogy az otp.hu egyik oldalát fogja meglátogatni, pedig így a becsaplak.hu-ra fog érkezni. Segítség, hogy a legtöbb böngésző már szűri ezeket a webcímeket, és figyelmeztetnek minket, ha veszélyes területre merészkednénk.
Azért előfordult, hogy a bank borsot tört a támadók orra alá. Így volt ez 2006 decemberében az Erste Bank ügyfeleit célzó támadásnál. A szokásos eljárás után észrevették, hogy a csaló által küldött elektronikus levél a bank szerverétől kéri le a levél fejlécében használt képet.(ezzel a módszerrel ugyanis nem kell „megalkotnia” a másolatot) Ezt saját szerverükön lecserélték, így az ügyfelek a bank logója helyett egy feltűnő, vörös téglalapon olvashatták a következő szöveget: „Ha Ön ezt a szöveget egy e-mailben olvassa, ne adja meg az adatait!". Ötletes megoldás.
Manapság azonban egyre több a képeket használó adathalász levelek száma is, hiszen így kicselezik a szűrőket, amelyeket a phishing szövegek észlelésére programoztak be. Problémát jelent a nemzetközi domainek használata is; előfordulhat, hogy a jól ismert .hu helyett .eu vagy .com végződésű az URL, ahol járunk. Ugyanilyen veszélyt jelentenek az URL-átirányítással ellátott oldalak - gyakran észre sem vesszük, hogy nem abban a domainben vagyunk, ahol a munkát elkezdtük.
Azzal azonban nem ér véget az adathalász munkája, hogy az áldozat meglátogatta az általa létrehozott weboldalt. Mert el is kell rejtenie az esetleges különbségeket az eredeti és a hamis oldal között. A legnyilvánvalóbb árulkodó jel az URL, amit JavaScript parancsokkal meg lehet változtatni egy megfelelő képet helyezve a cím fölé. Megnövekedett a Flash-oldalak száma is, hiszen multimédia-objektumban elhelyezett szöveget az adathalász-szűrők nem fedeznek fel. Ám néha nincs szükség technológiai segítségre, a csalóknak elég az emberi hiszékenységet kihasználni. Az is gyakori, hogy a felhasználót megpróbálják rávenni: hívjon fel egy telefonszámot, ott pedig üsse be számlaszámát és PIN-kódját. A technológia pedig még segíthet is a bűnözőknek, mert a hívó telefonszámát el lehet rejteni, illetve felül lehet írni úgy, mintha valóban a bank telefonálna.
Az okozott károk(PC World online magazin nyomán)
Az adathalászok által okozott kár lehet jelentéktelen(egyre ritkább), vagy igen jelentős. Hiszen ha megszerzik a hozzáférést a hitelkártyánkhoz, akkor szabadon rendelkezhet a rajta lévő összeggel. Ha pedig személyes adatainkat szerzi meg a csaló, akkor pedig a személyazonosság-lopás legváltozatosabb formáit teszik lehetővé, új bankszámlák nyitásától akár hitel felvételéig.
Íme néhány erre vonatkozó adat.
2004-ben csak az Egyesült Államokban a becslések szerint körülbelül 1,2 millió számítógép-használó esett adathalászok áldozatául, és megközelítőleg 929 millió dollár kárt szenvedtek. Ez felhasználónként átlagosan 774 dollárnyi veszteséget jelent (átszámítva: körülbelül 150 ezer forint felhasználónként). 2007-ben ez a szám 3,6 millió felhasználóra és 3,2 milliárd dollárra emelkedett. Ekkora már átlagosan 888 dollárnyi az egy főre eső anyagi kár (átszámítva: körülbelül 180 ezer forintot jelent). Az Egyesült Királyságban 2007-ben 23,3 millió fontot(körülbelül 7 milliárd forint) szereztek csalók adathalászat segítségével. 2006-ban ez a szám 12,2 millió font (körülbelül 3,5 milliárd forint) volt, tehát egy év alatt a csalók megduplázták jövedelmüket.
2007 első negyedévében 784 százalékkal emelkedett az adataink megszerzését célzó, valamilyen pénzügyi tranzakciót bonyolító szolgáltatók oldalát imitáló lapok száma.
A védekezés(PC World online magazin nyomán)
Minden netes felhasználónak saját magának kell gondoskodnia a személyes adatai védelméről! Erről lesz szó a továbbiakban.
A vírusok, férgek, trójaiak és kémszoftverek ellen védő, korszerű vírusirtó mellett mindenkinek tűzfalat is kell a gépére telepítenie. Ez különösen fontos akkor, ha az interneten bankügyletet vagy vásárlást is intézünk. De még ha nem is bonyolítunk tranzakciókat a világhálón keresztül, akkor is nagyon ajánlott. A tűzfal (elektronikus őr) ugyanis megakadályozza, hogy a kényes adatok kikémleléséhez egy külső személy hozzáférhessen a számítógéphez.
Bizonyos teljes programcsomagok (például ESET Smart Security, én magam is ezt használom), egyszerre több védő programot, így víruselhárítót, tűzfalat, és reklámlevél- és levélszemét szűrőt is tartalmaznak. Az ehhez hasonló komplett megoldások leginkább a kevésbé hozzáértők számára ajánlott, mert az integrált megoldásokba épített programok egymással együttműködve, problémáktól mentesen működnek. Jobb megoldás, bár idő- és pénzigényesebb, ha egyenként válogatjuk össze a számunkra szükséges legjobb programokat.
Az is fontos, hogy az olyan e-maileket, amelyek a személyes adatok, így a bankszámla-, illetve bankkártya adatok vagy jelszavak stb. a levélben adott címre küldésére, vagy kapcsolt oldalon történő megadására szólítanak fel, legjobb azonnal törölni. A pénzintézetek vagy a biztosítók az ilyen adatok megerősítését soha nem kérik e-mailben! Ha netán bizonytalanok vagyunk abban, hogy az adott levél esetleg mégis saját bankunktól vagy netes kereskedőnktől származik, akkor ezt telefonon ellenőrizzük le.(Ezzel a banknak is segítünk, hiszen így ők is tudomást szereznek egy újabb támadási kísérletről.)
A vállalatok is természetesen tisztában vannak az adathalász támadások veszélyével és jelentőségével, így több összefogás is született az egyre növekvő probléma elleni küzdelemre. A Phis Report Network szervezet folyamatosan gyűjti a támadásokról szóló információkat, és továbbítja azokat az internet-szolgáltatóknak, illetve a biztonsággal és hosting szolgáltatásokkal foglalkozó vállalatok felé, akik így informálhatják felhasználóikat az aktuális fenyegetettségekről.
Pontokba szedve tehát( PC World online magazin)
1. Sose bízzunk meg egyetlen olyan kéretlen levélben sem, amely valamilyen jó nevű cég nevében érkezik -- bármilyen hitelesen nézzen is ki.
2. Lehetőség szerint mindig kézzel gépeljük be a bank oldalának címét, ne használjunk a Kedvencekben eltárolt vagy e-mailben érkezett hivatkozást.
3. Mindig keressük meg az oldal biztonsági aláírását bizonyító, lakat alakú ikont. Ez nem az oldalon, hanem a böngésző eszközsorában lelhető fel.
4. Használjunk adathalász-ellenes programot, mint amilyen például a Netcraft. Ezek figyelmeztetnek, ha egy már ismert áloldalra tévednénk.
Spam, Hack, Crack(PC World online magazin nyomán)
A támadók többsége a gyenge láncszemeket, a biztonsági hiányosságokat keresi, s általában az erősebb védelemmel rendelkező helyeket elkerülik. Vagyis minél komplexebb a védelem, annál kisebb a valószínűsége a támadásnak.
Ahol nincsenek biztonsági hiányosságok, ott legtöbbször a cég belső embereinek tudatlanságára építenek a bűnözők.
A cégek adatvédelmi biztonságát fenyegető legnagyobb hibákért olyan általános emberi tulajdonságok tehetők felelőssé, mint a tudatlanság, a feledékenység, a hiszékenység, a figyelmetlenség, vagy a játékszenvedély.
A kifinomult technika legjobb ellenszere a bizalmatlanság, a megfelelő adatvédelmi szabályok betartatása, illetve a biztonságos dokumentumkezelés.
Más technikával dolgoznak a spammerek. Ők megtévesztő adatcsapdákat állítanak fel, e-mail cím gyűjtögető lánclevelekkel(a myvip például tele van körlevelekkel). A felhasználók többsége ma már a legegyszerűbb trükköknek nem dől be (például: küld el ezt a levelet minimum 10 ismerősödnek és megtalál az igaz szerelem egy órán belül), de elég egy aktuális botrány, katasztrófa, tragédia (például nem egyszer előfordult a myvip-en, hogy egy elveszett gyermek „apukája” kért ilyen módon segítséget) máris milliónyi e-mail csalja lépre a kíváncsiskodókat, jóakarókat.
A levélmellékletekbe rejtett kódok szintén a mai napig számtalan gondot okoznak a cégeknek, mivel az alkalmazottak egy része továbbra is felelőtlenül nyitja meg a legképtelenebb címről érkező levelekhez csatolt képeket és videókat.
Teljes káoszt okozhatnak azok a kártékony kódok, rejtőzködő programok, billentyűzetfigyelők, trójaiak és féregvírusok, amelyek az illegális szoftver, film, játék és zene cserélgetés közben kerülnek a cég merevlemezeire. A közvetlen károk mellett, valamint a hatalmas, elpazarolt tároló kapacitás mellett, a torrent-felhasználók szabad bejárást engednek a céges adatokat is tartalmazó szerverekre.
A hatékony biztonság pedig ma már egyértelmű érdeke a vállalkozásoknak, hiszen a felhasználók, vásárlók bizalma, sőt akár a cég jövője is azokon múlik, akik a támadások elhárításán, illetve a biztonsági rések befoltozásán tevékenykednek.
Ennek ellenére a házi dolgozat megírása után úgy éreztem, hogy tulajdonképpen nem lehet biztonságosan használni az internetet. De legalább a jól megszervezett védelem megnehezítheti a támadók dolgát. Valamint különösen igaz az internet világára a régi mondás: „Soha ne bízz idegenekben!”
Forrás :
Wikipedia :
Adathalászat (szócikk)
PC World online magazin :
Rejtőzködő veszedelem - az adathalászat 1. rész
Nemes DZ. Dániel 2008. június 06.
Ne hagyja magát meglopni!
Papp Gábor 2006. december 07.
A 10 legnagyobb internetes fenyegetés
Telek Zoltán 2006. augusztus 29.
Pénzünkre utaznak a hackerek
Turcsán Tamás 2008. június 02.
