Paranoia a hosszú élet titka

Paranoia a hosszú élet titka

April 27, 2021

A Vavyan Fable-től származó idézet nem csak a krimi irodalom világában érvényes: napjaink besurranó tolvajai az online térben munkálkodnak, és a hétköznapi, átlagos felhasználóktól a bankokon át a multinacionális vállalatokig, mindenki a célpontjukká válhat. A támadások ellen ezernyi védelmi módszer létezik, de a legolcsóbb és leghatásosabb egyértelműen a tudatosság. Nézzük tehát, mit érdemes tudni a legismertebb adathalász módszerekről, és mit tehetünk a kivédésükért!

Bár ma már nem mondhatjuk, hogy az adathalászok elleni védekezés témája nincs eléggé köztudatban, a feltört privát fiókokról szóló hírek és a nagy tech vállalatoktól megállíthatatlanul szivárgó adatok azt mutatják: valami még sincs teljesen rendben. Az állítás igazolásához elég, ha vetünk pár pillantást a következő, beszédes számokra: Csak az elmúlt két évben 250 millió felhasználói adatot loptak el a Microsoft rendszereiből, 330 milliót a Twittertől és 420 milliót a Facebooktól – csak hogy a legnagyobb neveket említsük. Szintén sokatmondó információ, hogy a GDPR-szabályzat megszegése miatt 2020-ban eddig 50 millió euróra bírságolták a Google-t, több mint 35 millióra a H&M-et, közel 28 millióra a TIM telco szolgáltatót, 22 millióra a British Airwayst és 18 millióra az Austrian Post-ot. 

World's Biggest Data Breaches & Hacks

Kishallal mennek a nagyhalra

Azt gondolhatnánk, a nagyvállalatok rendszereinek védelme már kellően kifinomult és megbízható ahhoz, hogy ne történhessenek a fentiekhez hasonló esetek, de a gyakorlat sajnos épp az ellenkezőjét támasztja alá. Az ilyen típusú betöréseknél ugyanis a célpont legtöbbször az egyéni felhasználó – és minél több ilyen felhasználó dolgozik egy vállalatnál, annál nagyobb a valószínűsége, hogy valaki óvatlanul bekapja a csalit. Az „Operation Cloud Hopper” nevet viselő kiberkémkedési kampány elhíresült példája ennek a módszernek, melyet kezdetben főként ázsiai, de ma már világszerte számos nagyvállalat ellen bevetettek.

A módszer a „spear phishing” nevű technikán alapul, mely kifejezetten arra épít, hogy a nagy számban megcélzott munkavállalók valamelyike figyelmetlen lesz, és rákattint egy e-mailben küldött linkre, vagy kiadja a jelszavát. Ha ilyen módon a hacker hozzájut egy felhasználó legfontosabb adataihoz, onnan gyakorlatilag szabad bejárása lesz a levelezést kezelő szerverhez, és meg tudja környékezni a rendszer adminisztrátorát. Ha ez is sikerrel jár, megnyílik a kapu a cég belső rendszerei felé, ahonnan különböző technikákkal, legtöbbször valamilyen képnek álcázva, ki lehet juttatni az értékes adatokat.

Örököltél 950 billiót, csak kattints

Mivel világosan látható, hogy a legtöbb nagyszabású adathalász akció az egyéni felhasználó sérülékenységét használja ki, Sándor Barnabás doktorandusz kollégámmal készítettünk egy kutatást, mellyel kifejezetten az ilyen célokra kifejlesztett technikákat mértük fel. Annak érdekében, hogy minél több scam e-mailt kapjunk, szándékosan törekedtünk arra, hogy elkövessük az online adatvédelem összes létező hibáját: válaszoltunk ismert spam feladóktól érkező levelekre, mindenki számára elérhetővé tettük a telefonszámunkat és az e-mail címünket, illetve feliratkoztunk nyilvánosan elérhető listákra. A felhasználók által tipikusan elkövetett hibák rekonstruálásával gyakorlatilag a spam és phishing kampányok tökéletes céltáblájává tettük magunkat.

Ahhoz, hogy nagyságrendileg el tudjuk helyezni, mekkora nyomást gyakorolnak egy átlag felhasználóra a különböző adathalász levelek vagy kéretlen tartalmak, érdekes ízelítőt ad a Kaspersky felmérése, mely a teljes e-mail-forgalomban mutatja ki a spam üzenetek arányát. Ennek alapján azt mondhatjuk: egy teljesen hétköznapi user levélforgalmán belül még a szolidabb hónapokban is alig esik a spam-ek aránya 50 százalék alá. Kifejezetten nagy a valószínűsége tehát annak, hogy valaki óvatlanul kiteszi magát egyik vagy másik betörési kísérletnek.

A spam üzenetek aránya az email forgalomban – Kaspersky 2021

Ennek ellenére, érdekes módon, a kutatásunk során viszonylag nehezen jutottunk el a komolyabb támadásokig. Napokat kellett várnunk az első adathalász levélre, ráadásul az első körben érkező üzenetek többnyire nagyon primitívek voltak. Az ilyen levelek leginkább valamilyen képet tartalmaztak, rajtuk egy már-már nevetséges stílusban megfogalmazott szöveggel, melyben a feladó azzal kecsegtetett, hogy 950 billió dollárt utal nekünk, ha megadjuk az adatainkat. Egy másik, hasonlóan egyszerű levél azt állította, hogy feltörték a fiókunkat, így minden jelszavunkat ki tudják olvasni, ráadásul videófelvételük van a webkamera előtt végzett, pikáns szexuális „tevékenységeinkről”. A zsaroló üzenet nem csak azért volt nevetséges, mert természetesen semmi pikánsat nem műveltünk a webkamera előtt, de azért is, mert pontosan tudtuk, hogy nem törték fel a rendszerünket, és nem rendelkeztek semmiféle jelszóval. 

Egy fokkal ügyesebb volt az a próbálkozás, melynek során telefonhívást kaptunk Londonból, és – az egyébként erős indiai akcentussal beszélő – hívó úgy mutatkozott be, mint a Microsoft ügyfélszolgálatosa. A kerettörténet szerint ők a központban látják, hogy újra lett telepítve a gépünkön a Windows, viszont mióta ez megtörtént, folyamatosan hibaüzeneteket küld a rendszerünk. Mindezt bizonyítva, meg is kért minket a hívó, hogy nyissuk meg a windows-os számítógépünkön az „Eseménynapló” alkalmazást, majd navigáljunk az „Egyéni nézetek/Felügyeleti események” fülre, ahol láthattuk, hogy baj van az eszközünkön. Megjegyzem az olvasóknak: teljesen természetes, ha a felhasználó piros és sárga felkiáltójeleket talál ezen fül alatt.

A próbálkozás végül akkor „hasalt el”, mikor az adataink kiadása előtt egy megerősítő e-mailt kértünk a londoni kollégától, aki erre egyszerűen letette a telefont. Bizonyos szempontból ehhez hasonlóak voltak azok a scam-ek is, melyek a DHL csomagküldő „nevében” küldtek levelet. Ezek az üzenetek legtöbbször arra hivatkoznak, hogy nem tudtak kiszállítani egy csomagot, és ezért egy linkre kattintva frissítenem kell az adataimat. A link mögött viszont természetesen valamilyen ügyes kis alkalmazás, például egy Lokibot installer rejtőzött.

Vértezzük fel magunkat!

Helyhiány miatt nem mutatom be a scam-ek összes jellemző típusát, viszont fontosnak tartom, hogy ejtsünk pár szót a védekezésről is. Szerencsére, ma már akkor sem vagyunk teljesen védtelenek, ha nem szakterületünk a kiberbiztonság, és pénzt sem akarunk költeni különböző security szolgáltatásokra. Ilyen esetekben az úgynevezett OSINT (Open Source Intelligence) alkalmazásokhoz érdemes fordulnunk. Az alábbi felsorolásból az aktuális célunktól függően kiválaszthatjuk a leghatékonyabb eszközt.

  • A virustotal.com egy univerzális weblap, melyen rengeteg fontos szolgáltatást megkapunk, egy helyen. Az oldal tud URL-t ellenőrizni, illetve gyanús fájlokat is feltölthetünk, és lefuttathatjuk rajtuk szinte minden fontos vírusírtó tesztjét. A site emellett képes kezelni a hash azonosítókat is, így ellenőrizni tudjuk, hogy egy adott azonosító szerepel-e bármelyik nagy vírusdefiníciós adatbázisban.
  • Az IBM X-Force exchange gyanús URL-ek, illetve IP-címekkel kapcsolatos bejelentések lenyomozására használható. A site rendkívül hatékonyan gyűjti össze az oldalakkal kapcsolatos korábbi gyanús előzmények karakterisztikáját. Jelzi, amennyiben például az oldal – esetleg IP cím – jelenleg vagy korábban részese volt egy vírus terjesztésének, vagy más kártékony tevékenységeket folytattak rajta keresztül. 
  • Az Urlscan.io abban segít, hogy az oldal saját gépünkön történő megnyitása nélkül megvizsgálhassuk egy URL tartalmát, és meg tudjuk nézni, hogy mi is található rajta, ki és hol jegyezte be, illetve milyen IP-k tartoznak hozzá.
  • A Whois.Domaintools az oldalak bejegyzésének idejéről és szolgáltatójáról árul el rengeteg információt. Ezzel kiszűrhetjük, ha valaki a Telekom vagy Facebook nevében szeretne eljárni, viszont levelében egy mégsem a Telekom vagy Facebook alá bejegyzett oldalra irányít minket. 

Bár a védekezés természetesen nem ezekkel az oldalakkal, hanem a felhasználók tudatosságának növelésével kezdődik, azt mindenképpen jó tudni, hogy számos eszköz áll rendelkezésünkre, ha szeretnénk szakszerűen kivizsgálni egy scam-gyanús levelet, csatolmányt vagy weboldalt. Az itt felsorolt alkalmazások egytől egyig ingyenesek és bárki számára elérhetőek, így szinte minden esetben támaszkodhatunk rájuk, amikor valamilyen biztonsági problémát kell felderítenünk. Ingyenességük ellenére az alkalmazások semmilyen szempontból nem korlátozzák a munkánkat; minden fontos funkciót megkapunk, amire csak szükségünk lehet. Végezetül tartsuk észben azt is, hogy semmilyen védelmi technológia nem lehet igazán hatékony, ha a rendszer üzemeltetői nem rendelkeznek naprakész ismeretekkel a legfrissebb támadási, betörési módokról, kampányokról, ezért a tudatosságot érdemes saját magunkkal szemben is megkövetelni. 

Fehér Dávid
Cikket írta
Fehér Dávid
Security Architect
Olvasási idő:
4 perc
IT biztonság
Megosztás