Adathalászat / Phishing
Adathalászat az idegen rendszerekbe történő behatolásnak az a módja, amikor egy felhasználó hanyagságát kihasználva illetéktelenek hozzáférést szereznek egy számítógéphez vagy szerverhez.
Legfontosabb kapcsolódó témák
IT-biztonság / IT security / Kiberbiztonság Fájlküldés / Fileküldés Publikációs eszközökAz emberek hajlamosak azt gondolni, hogy az adathalász és hekkertámadások mindig hálózatokon keresztül, szoftveres eszközökkel történnek, így a tűzfalak, és a felkészült informatikusok majd megóvják a vállalatot. Ilyenkor a szervezetben csökken a kockázatokra vonatkozó tudatosság, ami megnyitja az utat az adathalászok előtt.
A legkönnyebben minden rendszerbe jelszó segítségével lehet betörni, így az adathalászat is ennek megszerzésére irányul. A módszerek változatosak, de a lényeg mindig az óvatlan felhasználók (cégek esetében: alkalmazottak) megtévesztése. A legegyszerűbb módszer természetesen az, ha felhívunk valakit, és mondjuk arra hivatkozva, hogy mi vagyunk a rendszergazdák, és valamit meg kell vizsgálnunk, megkérjük az illetőt, hogy adja meg a hozzáféréshez szükséges jelszót. Szinte hihetetlen, de van, amikor ez is működik.
Kifinomultabb módszer, ha „véletlenül” elhagyunk egy adathordozót a kiszemelt cég székházában. Ha egy alkalmazott megtalálja a – mondjuk céges logóval is ellátott – eszközt, és azt csatlakoztatja saját gépéhez, az előzőleg feltelepített rosszindulatú alkalmazás máris működésbe lép, és megkezdi a céges adatok szivárogtatását. De phishing eszköz lehet az is, ha egy kávézóban egy kamera segítségével egyszerűen rögzítik az alkalmazott belépési folyamatát.
A leggyakoribb phishing módszer, amikor egy internetes csaló oldal egy jól ismert cég hivatalos oldalának láttatja magát és megpróbál bizonyos személyes adatokat, például azonosítót, jelszót, bankkártya számot stb. illetéktelenül megszerezni. A csaló általában e-mailt vagy azonnali üzenetet küld a címzettnek, amiben ráveszi az üzenetben szereplő hivatkozás követésére egy átalakított weblapra, ami külsőleg szinte teljesen megegyezik az eredetivel. A legelterjedtebb webböngészők rendelkeznek adathalászat elleni védelemmel: ha aktiváljuk a védelmet, ellenőrzik az előhívott oldalakat, jellemző phishing tulajdonságok után kutatva.
A phishing ellenszere a vállalkozások esetében az alkalmazottak tréningje, és az általuk használt eszközök védelme. A tréningek növelik a tudatosságot, és felhívják a figyelmet azokra a szituációkra, amikor különös gondossággal kell eljárni. Természetesen megnehezíti a felkészülést, ha az alkalmazottak saját eszközöket is használnak a munkahelyen (BYOD).
Az eszközök védelme ugyanakkor gyakran csökkenti azok használati értékét. A komoly titkokat őrző cégek, vagy azoknak a részlegeknek a munkatársai, akik ilyenekről tudhatnak, gyakran nem tudnak adatokat exportálni a gépükről (mondjuk fájlokat menteni pendrive-ra, képernyőképeket készíteni, stb.). De sok cég korlátozza azt is, hogy a munkatársak milyen weboldalakat látogathatnak és alkalmazásokat használhatnak, vagy használhatnak-e felhő alapú megoldásokat.
Utoljára szerkesztve: 2021. augusztus 6.