10 éves a phishing

Az Internet Security Systems X-Force nevű kutató- és fejlesztőcsapata szerint immár tíz éves múltra tekinthet vissza a világszerte több tízmillió eurós károkat okozó adathalászás módszere.

Ami 1996-ban az AOL ügyfeleinek néhány ellopott adatával kezdődött, az napjainkra szinte külön iparággá fejlődött ki az online bűnözésen belül. Az ISS munkatársai úgy vélik: a phishing - vagyis az adathalászás - mára a felhasználókra egyik leginkább veszélyes bűnözői módszerré vált. Jelenlegi becslések szerint minden huszadik adathalász e-mail eléri a célját és az emberek kiadják a bűnözők által kért személyes vagy bizalmas adataikat.

Napjainkban már nem csak az elektronikus leveles adathalászás terjed, de egyre gyakoribbak a VoIP-szoftvereken küldött hamis üzenetek is, illetve nemrég felbukkant egy vírus is, ami a háttérben automatikusan átirányítja a böngészőt egy phishing oldalra. Ráadásul a gyanútlan felhasználó az egészből semmit sem vesz észre, mivel az Internet Explorer címsorában megjelenített webcím ugyanaz marad. Ugyan például az Internet Explorer 7-es változata előtt már kiemelt figyelmet fordítanak a fejlesztők az adathalászok elleni védelemnek, sok jóra a következő években mégsem számíthatunk.

Az adathalászok tavaly már pénzt is kínáltak az emberek adataiért és az új módszereknek azóta se szeri, se száma. Jean Paul Ballerini, az ISS európai, közel-keleti és afrikai részlegének munkatársa szerint a legújabb változat a spear-phishing. Ennél a bűnözők egy adott felhasználói csoport tagjait célozzák meg, például egy vállalat alkalmazottait. Mivel a dolog nem okoz nagy felhajtást és szinte biztos, hogy nem szivárog ki semmi, az egész ügy titokban is maradhat. A pórul járt dolgozók már csak utólag jönnek rá, hogy hibáztak.

Ballerini elmondta, hogy csak úgy lehet védekezni az adathalászat ellen ha a cégek maximális mértékben igénybe veszik a tartalom- és a spamszűrőket és minden szempontból felvilágosítják alkalmazottaikat a lehetséges veszélyekről. A legfontosabb azonban, hogy mindenki legyen óvatos és körültekintő és semmilyen olyan levelet ne válaszoljon meg, legyen az bármilyen hitelesnek látszó is, amelyben akár csak egyetlen személyes vagy bizalmas adatát is kérik. Az óvatosság és a bizalmatlanság a legjobb és a legfontosabb fegyver az adathalászok ellen.

"Egyre inkább elterjednek az internetes telefonálást lehetővé tevő szoftverek. Ezeknél azonban ugyanezek az irányelvek a mérvadóak. Senki ne higgye azt, hogy egy bűnöző nem elég vagány ahhoz, hogy felhívjon minket és megpróbálja kiszedni belőlünk a folyószámlaszámunkat vagy a PIN-kódunkat. Minél inkább elterjed a VoIP, annál több ilyen támadásra kell felkészülnünk, mert a bűnözők minden lehetséges alkalmat és biztonsági rést megpróbálnak kihasználni" - figyelmeztetett Claudio Nessi, az ISS Svájcért és Ausztriáért felelős munkatársa.

Szerencsére Magyarországon még nem volt komolyabb adathalászási ügy (pontosabban nem került nyilvánosságra...), ám balgaság volna azt hinni, hogy hazánkban nem csaphatnak le a phisherek, hisz alig két hete próbáltak így betörni egy pesti gimnázium hálózatába. A bizalmatlanság tehát ugyanúgy indokolt, mint a vírusok esetében.