Adathalászat / Phishing

Adathalászat az idegen rendszerekbe történő behatolásnak az a módja, amikor egy felhasználó hanyagságát kihasználva illetéktelenek hozzáférést szereznek egy számítógéphez vagy szerverhez.

Az emberek hajlamosak azt gondolni, hogy az adathalász és hekkertámadások mindig hálózatokon keresztül, szoftveres eszközökkel történnek, így a tűzfalak, és a felkészült informatikusok majd megóvják a vállalatot. Ilyenkor a szervezetben csökken a kockázatokra vonatkozó tudatosság, ami megnyitja az utat az adathalászok előtt.

A legkönnyebben minden rendszerbe jelszó segítségével lehet betörni, így az adathalászat is ennek megszerzésére irányul. A módszerek változatosak, de a lényeg mindig az óvatlan felhasználók (cégek esetében: alkalmazottak) megtévesztése. A legegyszerűbb módszer természetesen az, ha felhívunk valakit, és mondjuk arra hivatkozva, hogy mi vagyunk a rendszergazdák, és valamit meg kell vizsgálnunk, megkérjük az illetőt, hogy adja meg a hozzáféréshez szükséges jelszót. Szinte hihetetlen, de van, amikor ez is működik.

Kifinomultabb módszer, ha „véletlenül” elhagyunk egy adathordozót a kiszemelt cég székházában. Ha egy alkalmazott megtalálja a – mondjuk céges logóval is ellátott – eszközt, és azt csatlakoztatja saját gépéhez, az előzőleg feltelepített rosszindulatú alkalmazás máris működésbe lép, és megkezdi a céges adatok szivárogtatását. De phishing eszköz lehet az is, ha egy kávézóban egy kamera segítségével egyszerűen rögzítik az alkalmazott belépési folyamatát.

A leggyakoribb phishing módszer, amikor egy internetes csaló oldal egy jól ismert cég hivatalos oldalának láttatja magát és megpróbál bizonyos személyes adatokat, például azonosítót, jelszót, bankkártya számot stb. illetéktelenül megszerezni. A csaló általában e-mailt vagy azonnali üzenetet küld a címzettnek, amiben ráveszi az üzenetben szereplő hivatkozás követésére egy átalakított weblapra, ami külsőleg szinte teljesen megegyezik az eredetivel. A legelterjedtebb webböngészők rendelkeznek adathalászat elleni védelemmel: ha aktiváljuk a védelmet, ellenőrzik az előhívott oldalakat, jellemző phishing tulajdonságok után kutatva. 

A phishing ellenszere a vállalkozások esetében az alkalmazottak tréningje, és az általuk használt eszközök védelme. A tréningek növelik a tudatosságot, és felhívják a figyelmet azokra a szituációkra, amikor különös gondossággal kell eljárni. Természetesen megnehezíti a felkészülést, ha az alkalmazottak saját eszközöket is használnak a munkahelyen (BYOD).

Az eszközök védelme ugyanakkor gyakran csökkenti azok használati értékét. A komoly titkokat őrző cégek, vagy azoknak a részlegeknek a munkatársai, akik ilyenekről tudhatnak, gyakran nem tudnak adatokat exportálni a gépükről (mondjuk fájlokat menteni pendrive-ra, képernyőképeket készíteni, stb.). De sok cég korlátozza azt is, hogy a munkatársak milyen weboldalakat látogathatnak és alkalmazásokat használhatnak, vagy használhatnak-e felhő alapú megoldásokat. 

Utoljára szerkesztve: 2021. január 16.

Kapcsolódó dossziék

Kapcsolódó fogalmak

A Start Up Guide Galaxis támogatója a Magyar Fejlesztési Bank.
Ez a SUG Galaxis 1.0 nyilvános tesztüzeme. Az oldallal kapcsolatos észrevételeidet, javaslataidat örömmel fogadjuk a hibabejelentes@startupguide.hu címen!

Oldalunk célja a tájékoztatás. Minden tartalmat a legnagyobb gondossággal állítottunk össze és rendszeresen ellenőrzünk, az itt szereplő információk azonban nem tekintendők konkrét helyzetekre vonatkozó üzleti, jogi tanácsadásnak, az információk alkalmazásából fakadó bármilyen jogi következményért a kiadó felelősséget nem vállal.
Hivatalos állásfoglalásért mindig forduljon az illetékes hivatalhoz, ha tanácsadásra van szüksége a megfelelő szakértőhöz! Ha az oldalunk aktualitását vesztett hibás információval találkozna, kérjük jelezze nekünk: hibabejelentes@startupguide.hu!