Ökobetyár

High tech vagy low tech? | öko-retro-bio-grín

KLIKK, KLIKK, KLIKKECSKE – UGROTT A PÉNZECSKE - Kibercsapdák, Patrick Beuth, SPIEGEL/RózsaS

2022. február 22. 20:46 - RózsaSá

KLIKK, KLIKK, KLIKKECSKE – UGROTT A PÉNZECSKE - Kibercsapdák, Patrick Beuth, SPIEGEL/RózsaS

 

A „phishing” egyike a beugratós adattolvajoknak. Cégek szimulált támadásokkal készítik föl alkalmazottaikat. Kipróbáltam, hogy engem is, aki évek óta ezzel foglalkozik, sikerül-e jégre vinni? (P. Beuth)

 

A legtöbb netező már tudhatná, hogyha ismeretlen feladó levelét megnyitja, az kiütheti gépét vagy adatait ellophatják. Mégis sokan ezt teszik. Bár az automata szűrők naponta phishing-ek milliárdjait leállítják, mégis a nagyon valódinak tűnők áttörhetnek. Ezek szokványos műveleteket utánoznak, mint bejelentkezés vagy regisztráció. A csalók emberi gyarlóságokat, mint kíváncsiság, irigység, félelem, használnak ki. Még a jártasabbak is pórul járhatnak: Techkonszernek és csúcspolitikusok.

 

Így pl. a litván Evaldas Rimasauskas évekkel ezelőtt 100 M $-t csalt ki a Google-tól és az FB-től. A Bundestag-ra való támadás 2015-ben egy phishing-mail-lel kezdődött, amit az orosz hackercsoport, Fancy Bear küldött. John Podesta, Hillary Clinton kampánymenedzsere, szintén ilyen támadás áldozata lett. Hollywood-csillagok sem kivételek, Jennifer Lawrence és Kirsten Dunst, Google- és iCloud-hozzáférési adatait adták ki óvatlanul. Ezután intim képeik keringtek a neten.

 

A phishing a legnagyobb ramson-nak, káros szoftvernek számít, mellyel a kiberbűnözők vállalatokat és hivatalokat bénítanak és zsarolnak meg. Tavaly az ír egészségügy, a HSE egésze esett ki - egyetlen klikk miatt. Valaki egy manipulált excel-fájlt nyitott meg. A helyreállítás hetekig tartott és több száz millió euróba került.

 

A tájékozatlanság elképesztő. A Proofpoint biztonsági cég 3500 alkalmazottat interjúvolt meg, 7 országban. Egyharmada nem is hallott a phishing-ről, fele nem sejtette, hogy hogy az e-mail-küldők adatai hamisítottak lehetnek. A német cégek fele vallotta be, hogy 2020-ban phishing-támadás áldozata lett.

 

A védekezés egy egész piacot hozott létre, én a G Data biztonsági céggel szerződtem le. Ez a cég ún. avarness-kiképzést nyújt, ekkor azt is meg lehet rendelni, hogy a G Data az egész személyzetet tesztelje, vagyis próbálja meg csőbe húzni. Hogy őket erről előbb értesítik-e, arról az üzemi tanács dönt. 1,90 €/munkatárs az ára egy szimulált támadásnak. A vezetőség megtudhatja, munkatársai mennyire gondatlanul klikkelnek rá nem kért linkekre vagy nyitnak meg bővítményeket, és, hogy használt-e a tréning? Az edzés akkor lesz drága, ha speciális, személyre szabott eljárást kérünk, mint én a FishFisher esetében.

 

Az üzlet kifizetődő, biztonsági cégek tucatjai, mint a Proofpoint, a Sophos vagy a Fortinet, kínálják szolgáltatásaikat. 1500 alkalmazottnál 10 000 €-t is elkérnek, szimulációval vagy anélkül, havonta vagy évente – az árak teljesen áttekinthetetlenek. Aki privát, saját klikkviselkedését szeretné levizsgáztatni, díjtalanul megteheti a phis-test.de-n. (A Bundesamt für Sicherheit in der Informationstechnik ajánlata.)

 

Hogy az adatlopást jobban megismerjem, megkértem a G Data IT-biztonsági céget, vadássza le adataimat. Ismételten próbáljon meg phishing-ekkel becsapni.

 

A Microsoft nemrég jelentette, hogy „egy nagy számú fájlt” törölt és most alig maradt idő, ezeket a papírkosárból kimenteni, mielőtt végleg elvesznének. Az MS tényleg küld ilyen üzeneteket. Ám mert a mail-ből nem derül ki, melyik szolgáltatóról van szó, rám nem hatott nagyon meggyőzően. Ezt a hírt a G Data is megküldte nekem – és ezzel láthatóvá tette az üzletmodell határait. Egy kereskedelmi szolgáltatónak, amelyik ilyen üzenetekkel akarja fölhívni a figyelmet a phishing veszélyeire, nincs jogában egy valódi cég logoját másolni, legfeljebb egy hasonlót kreálhat. Hauke Gierow, G Data: „Echte phisher-ek fütyülnek a jogvédelemre.”

 

A G Data 40 trükköt ismer, kezdve a gyanús MS-üzenetektől, az álcázott pályázati űrlapokon át, a beugratós fizetésemelésig. Mindezeket 17% meg is nyitja, a formulárba be is írja jelszavát és telefonszámát, mondja Karsten Tellmann, biztonsági szakértő, aki csapatával ilyen üzeneteket kreál - tesztelés céljából. És 2/3, miután megnyitotta, még a benne levő linkre is rákattint. Egy phishing-bővítményt 20% nyitott meg.

 

Ám mikor lesz ez tényleg veszélyes? „ Aki formulár-adatokat ad meg, jelszavát is elveszítheti. Beszívhat egy káros szoftvert, egy ransom-ot. Zsarolás is fenyeget.”

 

A konkurens Proofpoint hasonló számokat ad meg. A kár mérséklődik, ha egy cégkontóhoz a passwort mellett egy fizikai biztonsági kulcsot is csatolunk, vagy egy rövid ideig érvényes kódot. Ekkor a „halászok” nem jelentkezhetnek be idegen gépről. Ismert kárszoftverek automatikusan leállíthatók, amelyik mégis bejut, azt a gyanús viselkedése buktathatja le. A Proofpoint szerint, saját védőszoftverjei a phishing-ek 99%-át kiszűrik.

 

A G Data 4. üzenetével egy gyakori hamis online-banking-ra próbált figyelmeztetni. Mivel a szolgálati e-mail-címem nincs összekötve a bank-account-ommal, a levél a papírkosárba került. Egyszerű eset.

 

Egy aránylag sikeres beetetés a segítőkészségre és a kötelességtudatra appellál. Ilyen az állítólagos pénzgyűjtés egy kollegina születésnapjára vagy egy kolléga ajándékára, a PayPal-on át, mely egy Amazon-linkkel van összekötve. A dolog sürgős, mert az ajándékot holnap meg kell rendelni. Itt is a legjobb elővigyázatosság a kettős-faktor-azonosítás. Így a magánszámlák akkor is védettek, ha a hozzáférhetőségi adatokat tényleg ellopnák.

 

A tolvajok gyakran kihasználják az emberi jellem gyöngeségeit. A G Data próbaképp egy nagyon fifikás trükköt tesztelt „Tévedésből” szétküldött egy excel-t, a munkatársak fizetéseiről. Ilyen még nem kaptam, de én is beugrottam volna.

 

Dec. 1-jén a G Data ismét írt nekem. Ezúttal egy „IT-Helpdesk”-et küldött, mivel a rendszerünket 2-faktor-azonosításra állítják át és ehhez szükségesek a hozzáférhetési adataim. Mit ad isten, a SPIEGEL tényleg ezekben a napokban frissítette biztonsági tűzfalait. Micsoda véletlen! Ami irritált, a „legsürgősebben” kifejezés. Ez riaszt, a támadók sürgetik, stresszelik a célszemélyt, hogy az meggondolatlanul nyomogasson gombokat. Ezt nem ettem meg.

 

Kisvártatva rá „az én felhőszolgáltatóm” figyelmeztetését kaptam meg, hogy nov. 22-én csapdába csalnak. Ezen a napon tényleg jött egy mail, amely feladója helyén reszortfőnököm neve állt. „Köszönjük megkeresését a FinFisher-nél.” Kizártnak tartottam, hogy főnököm egy ilyen kétes megfigyeléstechnikai céggel vegyen föl kapcsolatot, anélkül, hogy nekem szólt volna róla. A főnök e-mail-címe sem volt pontos. Ezt is sikerült hárítanom, de ki tudja, mikor megyek lépre én is?

 

Patrick Beuth,

a SPIEGEL gazdaság/világháló rovata szerkesztője

 

SPIEGEL, 19 2. 2022

Klick, klick, Geld weg

 

KOMMENT

Nekem van egy titkos védőmódszerem, sajnos nem árulhatom el.

RS

Szólj hozzá!

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://okobetyar.blog.hu/api/trackback/id/tr4817740042

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása