Viszonylag gyakori jelenség, hogy a weboldalak, ahol online vásárolunk, tartalmakat osztunk meg, vagy ahová felirakozunk egy hírlevér miatt, nem figyelnek eléggé a biztonságra és ezért a közhiedelemmel ellentétben egyáltalán nem ritka, hogy teljesen hétköznapi emberek nevei, email címei és jelszavai a különböző, bűnözők által üzemeltett online piacterekre kerülnek.

Persze a helyzet nem mindig ilyen súlyos, megesik, hogy egyszerűen csak nem értjük, hogyan talált rá valaki a munkahelyi email címünkre. Érdemes észben tartani azonban, hogy ha nem vigyázunk, akár egy email cím is elég lehet ahhoz, hogy támadás áldozatává váljuk és a hackerek megszerezzék a jelszavunkat.

Miért fontos odafigyelni?

A marketing és PR szakmában nem ritka jelenség, hogy olyan weboldalakra vagy szolgáltatásokra is regisztrálnunk kell, ahova magunktól nem tennénk. Ez előfordulhat azért, mert csak az adott helyről tudunk beszerezni egy munkával kapcsolatos eszközt vagy azért mert gyorsan tesztelni szeretnénk egy új szolgáltatást, de akár akkor is szükség lehet rá, ha egy riporthoz szeretnénk minél gyorsabban minél több forrásból információt szerezni és belefutunk valamilyen érdekes hírlevélbe.

Persze nem kell ahhoz kommunikációs területen dolgozni, hogy nyomainkat mindenhol szétszórjuk az internet bugyraiban, de amennyiben nem a privát címünket használjuk erre (netántalán egy kifejezetten a feliratkozásokra létrehozott külön email címet), hanem a munkahelyit, úgy fokozott kockázattal nézünk szembe.

A koronavírus kezdete óta drámaian megszaporodtak kibertámadások, egyes támadástípusok esetében pedig a hackerek célzottan vállalatokra összpontosítanak. A betolakodók a bizonytalanságot, információéhséget és általános feszültséget használják ki annak érdekében hogy az áldozatokat becsapják, hiszen stresszhelyzetben sokkal nehezebb racionálisan gondolkodni. Egy hamis e-mail vagy gyanús weboldal, ami hitelesnek tűnik, de nyelvhasználatában eltér a valóditól, normál körülmények között könnyen kiszűrhető, azonban ha sietünk, nem figyelünk oda vagy valamilyen jutalmat (például információt) várunk cserébe, sokkal nehezebb okos döntést hozni.

Cikkünkben felsorolunk néhány módszert, amellyel a csalók képesek kideríteni adatainkat és olyan weboldalakat is bemutatunk, amik segítenek kideríteni, hogy jelszavainkat tényleg csak mi ismerjük-e.

Have I Been Pwned?

Az egyik legismertebb online szolgáltatás, ami azt segít kideríteni, hogy a beírt email cím feltűnt-e már valamelyik, jogosultságok árusítására szolgáló listán. Az oldalon meg kell adnunk az email címünket (ha többet használunk, érdemes mindegyiket egyesével), majd kattintani és kész is vagyunk. Ha az oldal szerint az emailcímhez tartozik olyan jelszó, ami nyilvánosságra került, akkor legörgetve egy listában láthatóak azok az oldalak, ahonnan az információ kiszivárgott. Ennek tudatában a jelszót minél előbb meg kell változtatni – ügyelve arra, hogy más oldalakon is használtuk ugyanezt az email cím - jelszó kombinációt, akkor azokon is cseréljük le a jelszavunkat. A legjobb, ha emellett 2 vagy 3 faktoros hitelesítést is alkalmazunk vagy ha erre nincs lehetőség, akkor valamilyen jelszókezelő szoftvert (például a 1Password-öt vagy a LastPass-t.) A Have I Been Pwned egyébként ingyenes hírlevélszolgáltatást is működtet, melyre feliratkozva azonnal értesít minket, ha email címeink felbukkannak egy kiszivárgott listán.

Have I Been Sold?

A Have I Been Sold kifejezetten arra szolgál, hogy – a rendelkezésre álló információk alapján – ellenőrizze, eladta-e már valaki az email címünket vagy jelszavunkat a feketepiacon. Ezt azért lényeges észben tartani, mert attól még, hogy a keresés nem hoz eredményt, lehetséges hogy az adataink már kiszivárogtak és csak idő kérdése, hogy megjelenjenek valamelyik kereskedelemmel kapcsolatos listán is.

DeHashed

A DeHashed már egy komolyabb kereső, melyen lehetőség van nem csak email címek, de IP cím, telefonszám vagy akár név alapján történő keresésekre is. Az oldalt éppen ezért főleg biztonsági elemzők, újságírók, behatolásteszteléssel foglalkozó szakemberek használják, de bárki számára hasznos lehet.

WeLeakInfo

Kevés ijesztőbb oldal van a We Leak Info-nál, nem csoda, hogy az oldal eredeti linkje elérhetetlenné is vált miután az FBI az év elején lefülelte az üzemeltetőit. Ennek oka, hogy ezen a weboldalon nem csak ellenőrizni tudjuk, hogy feltörték-e valamelyik fiókunkat, hanem Bitcoinért meg is lehet vásárolni a jelszavakat. Bár ezen az oldalon keresni csak regisztráció után lehetséges és még így sem kapjuk meg a beírt email címhez tartozó jelszót, mivel annak néhány karakterét az rendszer megjeleníti, már önmagában ezzel is veszélyt jelent a rajta összegyűjtött felhasználói fiókok számára. Az oldal közkedvelt a számítógépes bűnözők körében is, így tökéletes bizonyítékul szolgálhat arra, hogy miért érdemes minden egyes szolgáltatáshoz más-más jelszót használni és ahol lehetséges, minimum 2 faktoros azonosítást alkalmazni.

Nem csak a jelszó kiszivárgása okozhat problémát

Fontos leszögezni, hogy ahogyan minden más weboldal, a Have I Been Sold? is csak a nyilvánosságra került információkból képes dolgozni, tehát attól, hogy – egyelőre – nem szerepel email címünk a fenti odalakon, még nem dőlhetünk hátra elégedetten. Ezek a megoldások inkább arra szolgálnak, hogy felhívják a figyelmet az ilyen jellegű problémák gyakoriságára, illetve ha már megtörtént a baj, legalább utólag tehessünk valamit a biztonság érdekében.

A vállalatok esetében nem csak a konkrét jelszavak megkaparintása jelenthet súlyos problémát, de akár már egy email cím megismerése is. Mivel a legtöbb cégnél az email címek névadása valamilyen rendszer alapján történik, ha egy részleg vagy munkatárs nevével ellátott email cím nyilvános, akkor abból a többi is kideríthető.

Ha ez a módszer esetleg nem vezetne célra, akkor a kiberbűnözők olyan eszközökhöz is folyamodhatnak, amiket egyébként IT biztonságban, fejvadászcégeknél vagy oknyomozó újságírással foglalkozó szervezeteknél dolgozó emberek is előszeretettel használnak. Az egyik ilyen szolgáltatás a Hunter.io, mely abban nyújt segítséget, hogy egy adott vállalathoz a lehető legtöbb működő email címet kapcsolja. Egy nagyobb cégnél ez nem csak a közvetlen munkatársakra terjedhet ki, hanem akár alvállalatokra, különböző szubdomain-ekhez tartozó email címekre (pl. IT karbantartási részleg) is.

Felmerül a kérdés, hogy mihez kezdenek a bűnözők a megszerzett email címekkel? Amellett, hogy azok jó kiindulási pontként szolgálnak különböző behatolási technikákhoz is, az egyik legaggyakoribb támadástípusnak, a phishingnek is az alapján képezik. A phishing a social engineering (az emberi tényező kihasználása) kategóriájába tartozó támadástípus, mely során a támadók egy meggyőző, egy a felhasználó által hitelesnek tartott szolgáltatásra megszólalásig hasonlító hamis emailt, weboldalt vagy más tartalmat hoznak létre azzal a szándékkal, hogy a felhasználót plusz információk (jelszó, telefonszám, bankszámlaszám) megadására késztessék. Egyszerűbben fogalmazva ilyen, amikor kapunk egy az OTP arculatát használó email-t, ami fura címről érkezik és sok helyesírási hibát tartalmaz. De belefuthatunk phishing oldalba akár interneten böngészve is vagy ha a Facebookra próbálunk bejelentkezni a vállalati eszközeinkről. Sokan gondolják, hogy őket nem érheti phishing támadás, hiszen a legtöbb ilyen jellegű email nem túl kifinomult, könnyen feltűnik hogy valami nem stimmel velük. Vannak azonban egészen rafinált technikák is, például amikor a betolakodók (akik lehetnek egyszerű bűnözők, de akár egy rivális vállalat illegálisan megbízott partnerei is) magukat az IT részleg munkatársainak kiadva telefonon kérik el a felhasználó adatait.

Az Európai Unió Kiberbiztonsági Ügynöksége (ENISA) éppen az ilyen, egyre szofisztikáltabbá és egyre elterjedtebbé váló csalások miatt tartja meg minden év októberében az Európai Kiberbiztonsági Hónapot (European Cybersecurity Month vagy ECSM), mely tematikája idén a „Gondolkozz, mielőtt kattintasz!” szlogen köré szerveződik. A kezdeményezés célja, hogy különböző tematikus eseményeken keresztül érzékenyítse az európai állampolgárokat a kiberbiztonsággal kapcsolatban, illetve tudatosítsa azokat a veszélyeket, amiket egy rossz kattintás okozhat.



A magyar tudomány ünnepe az online térbe költözik

2 napja

A Földön kívüli élet, a jövőkutatás, a számítógépes nyelvészet, a digitális oktatás, a hálózattudomány és a fertőzések terjedésének előrejelzése is napirendre kerül a november 3. és 30. közötti eseménysorozaton.