Ha a hackerek meg akarják szerezni egy fiók belépési adatait, több módszer közül is választhatnak. Ezek között éppen úgy megtalálható kártevők bejuttatása számítógépünkbe – például leütésfigyelő telepítéséhez –, mint az okostelefonunk vagy akár az általunk használt webszolgáltatások elleni támadás. Azért jó hírünk is akad: a cikkünkben található tippekkel megerősíthetjük védelmünket a kiberbűnözőkkel szemben. A bűnözők számára az adatrablás csúcsa a hozzáférés egy webszolgáltató teljes ügyféladatbázisához. Ebben rengeteg személyes információt találhatnak a felhasználókról: a nevüket, címüket, születési évüket, és sokszor a belépési jelszavukat is. Mint az a közelmúltban kiderült, 2013-ban hackerek a Yahoo teljes adatbázisát megszerezték, benne hárommilliárd felhasználó adataival.
5 gyorstipp a biztonságosabb fiókokhoz
Adjunk meg erős jelszavakat: ez betűk és számok egyvelegét jelenti, legalább 15 karakteres hosszal – tartalmazhat szavakat is, csak ne ránk jellemzőket, pl. neveket.
Használjunk jelszószéfet: fontos, hogy minden oldalon eltérő jelszót adjunk meg. Ez pedig csak úgy lehetséges, ha a program emlékszik rájuk helyettünk.
Rendszeresen változtassunk jelszót: jó esetben a jelszószéf is figyelmeztet rá, ha régóta nem tettük. Az igazán fontos fiókokét (pl. e-mail) érdemes akár havonta leváltani.
Használjunk eltérő felhasználónevet: ha már úgyis a jelszószéf emlékszik az adatainkra, ez sem okoz problémát.
Figyeljünk a szolgáltatók hírnevére: személyes adatokat (pl. cím, bankszámlaszám) csak megbízható oldalon adjunk meg. Ha kétségeink lennének, keressünk rá a neten.
5 gyorstipp eszközeink védelmére
Frissítsük az operációs rendszert: figyeljünk rá, hogy a Windows, vagy okostelefonunk rendszere naprakész legyen, és mindig telepítsük a biztonsági foltokat.
Appok és programok frissítése: Windows alatt külön programokat használhatunk átfogó frissítéshez, Android és iOS alatt az appboltok gondoskodnak róla.
Biztonsági csomag: Windows- és Android-felhasználók mindenképpen telepítsenek extra védelmet eszközeikre, mivel ők a leginkább (de nem egyedüli) veszélyeztetettek.
Használjunk kétlépcsős azonosítást: ahol csak elérhető, válasszuk a biztonságosabb beléptetést.
Ellenőrizzük a csatlakozó eszközöket: a fiókunkhoz kapcsolódó eszközök listáját elérhetjük a fiókunkhoz tartozó weboldalon, vagy közvetlenül az OS-ből.
5 gyorstipp átverések ellen
Tüntessük el személyes profilunkat a keresőkből: töröljük a Google engedélyeit a Facebookon és társain, hogy ne indexelhesse személyes adatainkat.
Válasszunk PIN-kódot az ügyfélszolgálathoz: ahol lehet, kódot használjunk pl. születési évünk vagy első kisállatunk neve helyett. És annak se dátumot adjunk meg.
Derítsük ki a levelek valódi feladóját: ellenőrizzük, hogy valóban a feltüntetett küldőtől érkezett-e a levél a „Hackelés adathalászattal” részben leírt módon.
Vizsgáljuk meg a levelekben kapott linkeket: másoljuk ki a gombok és képek linkjeit, hogy lássuk, hova vezetnének.
Ellenőrizzük a weboldalak tanúsítványait a címsorban: ha bármilyen oldalon meg kell adnunk személyes adatainkat, elvárhatjuk a megfelelő és hiteles SSL tanúsítványt.
Hogyan védik adatainkat a szolgáltatók?
Legtöbbször (magára, és persze a biztonságunkra valamit is adó cégek esetében) az adatbázis titkosított, és a felhasználók jelszavai még azon belül is titkosítottak. Azonban azt, hogy milyen módszerekkel védik az adatokat, csak a szolgáltató tudja. Így jobb, ha magunk gondoskodunk a biztonságunkról. Hogyan védekezhetünk: a támadások ellen sajnos nem tehetünk semmit, de minimalizálhatjuk a károkat. Használjunk megfelelően hosszú és biztonságos jelszavakat. Mivel a jelszavak legtöbb adatbázisban titkosított formában tároltak, a támadóknak egyesével kell azokat megfejteniük. Egy rövid, pláne népszerű jelszónál ezzel nagyon gyorsan végeznének. Emellett használjunk minden szolgáltatónál eltérő jelszót. Ha extra biztonságra vágyunk, akár eltérő felhasználóneveket is, így a hackereknek a jelszó mellett még a megfelelő belépési nevet is meg kell majd találniuk.
Biztonságos jelszószéfhasználat
Sajnálatos módon a jelszószéfek is sebezhetőek. Egyik kedvencünket, a LastPasst már többször kellemetlen helyzetbe hozták hackerek. Ennek ellenére érdemes ilyen eszközt használni a rengeteg eltérő jelszó megfelelő menedzseléséhez és szinkronizálásához – még mindig ezerszer biztonságosabb, mint ugyanazt a jelszót használni minden szolgáltatáshoz. Hogyan védekezhetünk: elsősorban a legfrissebb böngészővel használjuk a LastPasst. A szolgáltatás ellen indított támadásoknál eddig mindig kulcsszerep jutott az elavult böngészőnek – és amúgy is jobb a friss változat, a hagyományosabb támadások ellen. Rendszeresen változtassuk meg a mesterjelszót, és jelentkezzünk ki a netezés végeztével, amihez a Beállítások Általános részében állíthatunk be időlimitet. Ha nem igényeljük a netes szinkronizálást, nagyobb biztonsága miatt ideális választás az offline KeePass. Ez esetben azonban nekünk kell gondoskodnunk a jelszóadatbázis biztonsági mentéséről.
Fájlvírusokkal, netes letöltésekkel és fertőzött e-mailekkel is célba vehetik a támadók windowsos számítógépeinket. Ez az egyik legígéretesebb támadási irány ma is, mert még mindig rengetegen vannak, akik nem telepítenek védelmet, vagy nem frissítik a meglévőt.
A levéllel érkező fertőzés különösen régi trükk, de ennek ellenére hihetetlenül hatékony. Ebben az esetben a támadók általában Makró vírusokat használnak, amiket a védelmi szoftverek nehezen ismernek fel, mivel indításukról maga a felhasználó gondoskodik. A levél azt sugallja, hogy a mellékletben fontos dokumentum, például számla található. Amikor megnyitnánk Wordben, az Office figyelmeztet is rá, hogy ez veszélyes lehet, de ha az engedélyezésére kattintunk – ahogy sokan teszik –, a támadók a háttérben futtathatják kódjukat a számítógépünkön. A letöltések még trükkösebbek lehetnek. Tavaly szeptemberben hackereknek sikerült egy kártevőt beültetni az egyik legnépszerűbb felhasználói programba, a CCleanerbe. Akinek nem dolgozott naprakész vírusvédelem a gépén, megfertőződött. Hogyan védekezhetünk: a legfontosabb a naprakész Windows. A Microsoft által kiadott minden biztonsági foltozást érdemes azonnal telepíteni (az esetenként felbukkanó hibás frissítések miatt aggódóknak is legfeljebb 2-3 nap késéssel). Ugyanígy a többi program frissességéről is gondoskodnunk kell. Ha nincs kedvünk egyesével ellenőrizni mindent, a lapunkban már többször is szerepelt Patch My PC Updater jó szolgálatot tehet. A fertőzött CCleanerhez hasonló támadások ellen pedig egy biztonsági csomag nyújthat védelmet, akár a lapunkban szereplő, havi kóddal használhatók, akár más megoldások. És a biztonság kedvéért a CCleanernek is letölthető egy manipulációmentes verziója az internetről.
Az Office makró alapú támadásokat elég könnyedén kikerülhetjük, ha nem aktiválunk makrókat csak olyan esetben, ha a feladót ismerjük és várjuk is tőle a dokumentumot.
Okostelefonok védelme
A modern mobiltelefonok ugyanúgy védtelenek, mint asztali számítógépeink. Sőt, legtöbb esetben még jobban veszélyeztetettek, mivel útjaink során különféle hálózatokhoz kapcsolódnak, vagy éppen más eszközökhöz Bluetoothon keresztül, és persze sok modell rendszere még csak nem is naprakész. Ráadásul néha még a legfrissebb OS sem ér sokat, például a BlueBorne sérülékenység esetében, amit kihasználva a támadók Bluetoothon érhetik el eszközünket, elég, ha annak aktív a kapcsolata, hogy például egy okosórával használhassuk. Jóformán minden eszközt érint(ett) ez a sérülékenység, de mára mindhárom rendszer készítői lezárták a rést. A Google esetében a javítófoltok sajnos csak a legújabb eszközökre érkeztek, és hátráltatta a bevezetésüket, hogy a hardvergyártók ellenőrzésén is át kellett esniük. De még ha a Bluetootht ki is kapcsoljuk a biztonság kedvéért, a WLAN-nal is akadnak problémák. Az Apple csak az iOS 11 megjelenésével iktatott ki egy hibát a vezeték nélküli chipjével kapcsolatban, amit kihasználva a támadók kártékony szoftvereket juttathattak az okostelefonokra. Hogyan védekezhetünk: ahogy Windows esetében is, a legfrissebb operációs rendszer használata a legjobb megoldás a kártevők elkerülésére. Míg ez Apple eszközökkel viszonylag könnyedén megoldható, mivel a régebbi modellekre is elérhetőek a frissítések, az Android-felhasználók gyakran védtelenek maradnak. Az Android is sebezhető, az Android-felhasználóknak ezért minden esetben érdemes víruskeresőt telepíteniük – a havi kódjainkkal erre is van ingyenes lehetőség. Azonban, ha a hackereknek sikerült feltörniük a készüléket vagy a használt fiókot, akkor már kapcsolódtak is utóbbihoz, ezért fontos időnként ellenőrizni a kapcsolódó készülékeket. Ehhez iOS alatt a Beállításokban koppintsunk az iCloud nevünkre, majd legörgetve áttekinthetjük a csatlakoztatott eszközöket. Ha itt találunk olyat, ami nem ismerős, csak koppintsunk rá, és válasszuk az „Eltávolítás a fiókból” lehetőséget. Androidos rendszereknél látogassunk el a myaccount.google. com címre, majd az „Eszköztevékenység és biztonsági események” alatt ellenőrizzük a listát. Ha olyat találunk, ami szerintünk nem odavaló, koppintsunk rá, majd távolítsuk el a fiókhozzáférését. Akár iOS, akár Android alapú készüléket használunk, ha idegen eszközt találtunk ezen a listán, azonnal változtassuk meg a fiók jelszavát! Még komolyabb biztonságot kínál a kétlépcsős bejelentkezés. Ezt választva a jelszó megadása után, egy egyszer használatos beléptető kódot kapunk válaszul, SMS-ben, vagy közvetlenül a szolgáltató appjára. A bal oldali táblázatban összefoglaltuk, hogy jelenleg hol és milyen extra védelemre számíthatunk.
A támadók nem csak eszközeink megfertőzésével vagy a szolgálatók webszervereinek támadásával juthatnak be idegen fiókokba. Néha maguk az áldozatok segítenek ebben nekik – persze tudtukon kívül. A social engineering néven ismert átveréseknek még olyan változata is létezik, amikor a támadók a felhasználónak kiadva magukat a szolgáltató ügyfélszolgálatától szerzik meg a jelszót.
Hackelés adathalászattal
Az adathalász módszer igen egyszerű, és rémisztően hatékony. A támadók levelet küldenek a leendő áldozatnak, egy szolgáltató nevében, valamilyen problémára hivatkozva. A céljuk, hogy a felhasználó rákattintson az ebben található linkre, ami egy manipulált, de az eredetire hasonlító weboldalra vezet. Ha a felhasználó megadja az adatait, azok természetesen a bűnözőkhöz kerülnek. Hogyan védekezhetünk: ahhoz, hogy kiderítsük, a levél átverés vagy eredeti, ellenőrizzük a tartalmát. Bankok és fizetési szolgáltatások soha nem kérnek levélben jelszót vagy ellenőrző kódot. A magyar nyelvű levelek többségében ráadásul hemzsegnek a fogalmazási hibák, és sokszor az ékezetek is hiányoznak. Ha a szöveg értelmes, ellenőrizzük a feladót. A címsorban feltüntetett név könnyen átírható, de az igazi kideríthető a levél tulajdonságaiból. Outlook alatt nyissuk meg a levelet, majd a Fájl menüben kattintsunk a Tulajdonságok ikonra. A megjelenő oldalon az Internetes fejlécek alatt találjuk a részletes címet – de sokszor már az is segít, ha az olvasóablakban a teljes Feladó sort elolvassuk. Webkliensek esetében hasonló a helyzet. Ha a feladó nem a szolgáltatás címét használja levelezésre, szinte biztos, hogy adathalász. Egyes esetekben a hackerek még a feladót és válaszcímet is sikerrel hamisítják meg, ilyenkor a link ellenőrzése segíthet. Sok levelezőprogram és webes felület már a gombra/linkre vitt egérmutatóra felvillantja a címet az ablak aljában. Ha mégsem tenne így, a jobb egérgombbal kattintva jelöljük ki, majd másoljuk be a böngészőbe, anélkül, hogy behívnánk. Ha például a PayPal linkje a a paypal-support.wildflower.blog.tw címre vezetne, töröljük a levelet. Ha a cím is rendben, behívhatjuk az oldalt, de azért még ellenőrizzük a tanúsítványait. De legegyszerűbb a link helyett a böngészőbe beírt címmel indítani az oldalt.
Támadás megszemélyesítéssel
Egy fiók megszerzéséhez nem feltétlen van szükség a felhasználó aktív segítségére. A támadók az interneten egyre nagyobb menynyiségben és könnyebben hozzáférhető információkat is felhasználhatják. Az ilyen, különösen célzott támadásokhoz a hackerek például a Facebook- és Instagram-tevékenységünket elemzik. Az ott összegyűjtött információkkal a bűnözők aztán megpróbálhatják megválaszolni a biztonsági kérdéseket például a levelezési szolgáltatónknál, hogy megváltoztathassák a jelszavunkat. Ez olyan komoly oldalak esetében is működik, mint pl. a GoDaddy, ahol egy négyjegyű PIN-kóddal igazolhatjuk magunkat. Amennyiben valaki a születési évét adta meg, a támadók könnyedén kitalálhatják, és egy szimpla telefonhívással átalakíthatják a fiókját. Hogyan védekezhetünk: azoknál az oldalaknál, amelyek biztonsági kérdéshez kötik a jelszóváltást, ne adjunk meg kitalálható jelszót, például évszámot és nevet. Első kisállatunk neve is lehet 8-16 véletlenszerű karakter – a jelszószéf képes lesz fejben tartani. Ugyanez vonatkozik a telefonunk PIN-kódjára. Amennyiben mi adhatjuk meg, ne legyen az adatainkból kikövetkeztethető számsor vagy ismétlődő szám. A védelmünkön tovább javíthatunk, ha ellenőrizzük, hogy a közösségi oldalakon mennyire vagyunk láthatóak vadidegenek számára. A legtöbb szolgáltatónál azt is letilthatjuk, hogy a Google listázza a profilunkat, Facebooknál például a Beállítások Adatvédelem füle alatt. (Chip nyomán)
