Az phishing, azaz adathalászat az egyik legelterjedtebb és legsikeresebb módszer a személyes adatok, jelszavak és pénzügyi információk megszerzésére. Az évek során a támadások egyre kifinomultabbá váltak, és ma már olyan módszereket alkalmaznak, amelyek még a tapasztaltabb felhasználókat is megtéveszthetik. Ahogy a technológia fejlődik, úgy bővülnek az adathalászat eszközei is – a mesterséges intelligencia például új szintre emelte ezeket a támadásokat. Nézzük meg, hogyan működnek a leggyakoribb adathalász próbálkozások, és mit tehetünk ellenük!
Az adathalász támadások alapvetően emberi gyengeségeket használnak ki. A klasszikus forgatókönyvet tekintve a támadók egy hivatalosnak tűnő e-mailt vagy üzenetet küldenek, amelyben például egy bank, közösségimédia-platform vagy online áruház nevében sürgős cselekvésre kérik a címzettet. Az ilyen üzenetek gyakran tartalmaznak linkeket, amelyek például egy hamisított weboldalra irányítanak, ahol az áldozat megadja a személyes adatait. Ezeket az információkat a támadók azután felhasználják pénzügyi tranzakciókra, identitáslopásra vagy más káros tevékenységekre.
2024-ben azonban az adathalászat már nem merül ki egyszerű e-mailek küldözgetésében. Az AI által generált tartalmak és az egyre személyre szabottabb támadások jelentősen megnövelték ezeknek a módszereknek a hatékonyságát. Az adathalászok például közösségimédia-profilok, nyilvánosan elérhető adatok, vagy akár korábban megszerzett információk alapján olyan üzeneteket hoznak létre, amelyek szinte teljesen hitelesnek tűnnek. Így a bank nevében küldött hamis üzenet ma már nem csupán a bank logóját tartalmazhatja, hanem a megszólított nevét, a korábbi tranzakciók adatait, vagy akár a pontos számlaszámot is.
Kép forrása: Keepnet – Top 30 Phishing Statistics and Trends You Must Know in 2024
A Keepnet szeint 2024-ben a phishing támadások legfontosabb trendjei közé tartozik a pénzügyi intézmények célba vétele, a támadások jelentős része ilyen szervezetekre irányul. Gyakori az ismert márkák, például Microsoft, Google vagy Amazon nevében történő adathalászat, más néven „márkaimitáció”, emellett a megtévesztő linkek is dominálnak. Az AI-alapú támadások, megkönnyítették a nyelvtanilag helyes üzenetek létrehozását több nyelven, nehezítve a phishing üzenetek felismerését. Az adathalász módszerek továbbra is a zsarolóvírus-támadások kedvelt kiindulópontjai. A Cloudflare becslése szerint a sikeres támadások 90%-a egy phising e-maillel kezdődik.
Az adathalász támadások másik népszerű formája a „spear phishing,” amely kifejezetten egy adott személyt vagy szervezetet céloz meg. Az ilyen támadásokat alapos kutatás előzi meg, és az áldozathoz kapcsolódó egyedi információkat használnak fel a megtévesztés érdekében. Például egy cég pénzügyi osztályán dolgozó alkalmazott kap egy üzenetet, amely látszólag a vezérigazgatótól érkezik, és egy sürgős átutalás jóváhagyását kéri. Az ilyen célzott támadások sokkal hatékonyabbak, mint az általános adathalász próbálkozások, mert pontosan az áldozat szerepkörére és tevékenységére szabottak.
A spear phishing támadások egyik sajátos változata a „whaling,” amely kifejezetten magas szintű vezetőket céloz meg, ezen támadásokat gyakran „CEO fraud”-ként is emlegetik. A támadók jellemzően OSINT (open source intelligence, nyílt forrású hírszerzés) és a közösségi média alapos elemzése segítségével részletes képet alkotnak az áldozatról és a vállalat működéséről. Az ilyen e-mailek nyelvezete rendkívül professzionális, üzleti kommunikációra jellemző stílusú, szinte tökéletes nyelvtani pontossággal.
Egy másik gyakori módszer, a Business Email Compromise (BEC, eltereléses csalás) szintén a vállalati kommunikációt használja ki, de itt a támadók nem egy vezetőt céloznak meg, hanem a nevében járnak el. A BEC támadások során a bűnözők megszerzik vagy lemásolják egy vezető e-mail-fiókját, majd belső alkalmazottaktól kérnek utasításokat vagy pénzügyi tranzakciókat.
Az adathalász támadások elleni kulcsa a tudatosság és az elővigyázatosság. Fontos, hogy felismerjük a gyanús jeleket, például a feladói cím apró eltéréseit („@paypal.secure.com” a valós „@paypal.com” helyett) vagy a sürgős cselekvésre buzdító üzeneteket, amelyek gyakran nyomást próbálnak gyakorolni ránk. Használjunk technikai védelmet, például kétfaktoros hitelesítést (2FA) és naprakész biztonsági szoftvereket, azonban soha ne hagyatkozzunk kizárólag ezekre. Gyanú esetén kerüljük a linkekre kattintást és a mellékletek letöltését. Ha szükséges, ellenőrizzük az üzenet hitelességét az érintett szervezet hivatalos csatornáin keresztül. Az online világban mindig érdemes gyanakodni az olyan üzenetekre, amelyek túl sürgetőnek vagy túl jónak tűnnek ahhoz, hogy igazak legyenek.
Ha érdekelnek az adathalász támadások egyéb módszerei, ajánlom a 19 Most Common Types of Phishing Attacks in 2024 cikket további információkért. Mivel a támadók sok esetben az emberi figyelmetlenségre és kapkodásra építenek, ezért az egyik legjobb védelem a nyugalom megőrzése és a tudatosság növelése a témakörben.
Kiemelt kép: Freepik
Golubics Kamilla