SSL tanúsítvány az adathalászat ellen

A bankok ügyfelei egyre nagyobb számban veszik igénybe pénzintézetük internetes szolgáltatásait, egyre többször végeznek banki ügyleteket a világhálón, így fokozott veszélynek vannak kitéve - többek között az adathalászok támadásainak.

Korunk egyik legveszélyesebb internetes bűnözési formája az adathalászat, más néven phishing, amely a hazai pénzintézeteket sem kíméli. Korábban az OTP, a Raiffeisen Bank, és a Szigetvári Takarékszövetkezet, az elmúlt héten pedig a Budapest Bank és az Erste Bank ügyfelei estek áldozatul a csalók támadásának, akik általában valós cégek nevében küldött e-mail segítségével hamis weboldalra irányítják a felhasználókat, hogy ott megszerezhessék az adott rendszer (internet bank, webáruház) használatához szükséges személyes adataikat.

Az adathalászok elleni védekezésre szolgál az SSL (Secure Socket Layer) tanúsítványok használata, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága. Az SSL tanúsítvány a webes felületen működtetett elektronikus adattovábbítás biztonságossá tételére alkalmazott hitelességi bizonyítvány, amely megakadályozza, hogy pl. egy internetbankban, vagy akár egy internet áruházban tranzakciót végző ügyfél bármilyen adata illetéktelenül megszerezhető legyen. SSL-lel gyakorlatilag minden böngésző és webkiszolgáló együttműködik, jelenlétére az állapotsávon megjelenő zárt lakat ikonja, illetve az URL címben található http:// előtag helyett szereplő https:// előtag utal.

A pénzintézetek honlapját szinte teljesen lemásolták a phisherek, majd az intézmények nevében küldtek e-mailt, amelyben a gyanútlan felhasználókat egy valósnak tűnő weboldalra irányították, ahol személyes adataik megadását kérték tőlük. A hamis weblap szinte ugyanúgy működik, mint a valódi, így a tapasztalatlanabb felhasználók könnyen csapdába eshetnek, és mire észbe kapnak már túl késő.

"Tudjuk, milyen veszélyekkel jár az ügyfelek, partnerek számára, ha az elektronikus szolgáltatást nyújtó portált, weblapot működtető cég szervere nincs a megfelelő védelemmel felvértezve, hiszen a behatolók nemcsak az ügyfeleknek okoznak kárt adataik ellopásával, hanem az adott cég egzisztenciáját is rombolják, hiteltelenné teszik a felhasználók szemében. Éppen ezért nagyon fontosnak tartjuk az SSL tanúsítványok használatát, mivel ezek segítségével garantáltan megállapítható a weboldal valódisága, illetve egyértelműen biztonságossá, hitelessé tehető az ügyfél és a webszerver közötti kommunikáció, amely az elektronikus ügyintézés és internetes vásárlás elterjedésével egyre inkább elengedhetetlen" - mondta Rózsahegyi Zsolt, a NetLock Kft. ügyvezető igazgatója.

"A csalók elleni küzdelem valódi alternatíváját természetesen az SSL technológia egy fejlettebb változata, a Magyarországon még kevésbé alkalmazott kliens autentikációs SSL jelentené, ugyanis e technológia használatával a felhasználók user név és password megadása nélkül, csupán tanúsítványukkal is bejelentkezhetnek a szolgáltatók oldalaira, így a csalók nem tudnak hozzáférni személyes adataikhoz" - tette hozzá Rózsahegyi.

Rózsahegyi Zsolt szerint ha egy weboldalon bizalmas információkat, személyes adatokat kérnek tőlünk, legyünk körültekintőek. A weboldallal folytatott kommunikáció ugyanis akkor hiteles és biztonságos, ha az URL-címben https:// előtag áll a http:// helyett, és a böngészőnk figyelmeztető ablakok nélkül nyitja meg a webhelyet, illetve az állapotsoron látjuk a zárt lakatot formázó ikont. Azonban önmagában ez még nem elegendő, ugyanis idén februárban már olyan phisher oldalt is találtak, amely SSL-tanúsítvánnyal rendelkezett. A NetLock Kft. ügyvezetője szerint a lakat ikonra kattintva minden alkalommal meg kell győződnünk arról, hogy a webszerver számára kibocsátott tanúsítványt általunk ismert, valós hitelesítés szolgáltató adta-e ki, milyen célból bocsátották ki, és a tanúsítványba foglalt tulajdonos megegyezik-e az éppen látogatott webhely általunk várt üzemeltetőjével.

Minden weboldal címében alapértelmezetten http:// előtag szerepel. Az ilyen előtagú oldalak nem rendelkeznek SSL tanúsítvánnyal, így az azonosítók, jelszavak megadása kerülendő! A http:// előtagú weboldalak elsősorban információközlésre alkalmasak. Amennyiben a weboldal rendelkezik SSL tanúsítvánnyal, a weboldal címében https:// jelenik meg. Az ilyen előtaggal rendelkező oldalakkal a kommunikáció titkosított. A következő lépés az SSL tanúsítvány ellenőrzése. Ez azért rendkívül fontos, mert a csalók is elláthatják adathalász oldalukat SSL tanúsítvánnyal, amit saját maguk bocsátottak ki. Ellenőrizzük, hogy a tanúsítvány elismert, nyilvántartásba vett hitelesítés-szolgáltatótól származik e.


A https:// előtaggal rendelkező oldal megtekintésekor a böngésző program (Internet Explorer, Firefox, stb..) valamely részén, megjelenik egy kis lakat. Amennyiben a böngésző hibaüzenetet jelez, úgy az SSL tanúsítvánnyal valamilyen probléma van, lejárt, nem megbízható hitelesítés-szolgáltató bocsátotta ki, vagy nem ahhoz a weboldalhoz tartozik, amelyre be akar lépni. A tanúsítvány ellenőrzéséhez kattintsunk kétszer a kis lakatra. Ellenőrizzük a tulajdonos adatait (a weboldal címét és a szervezetet), a kibocsátó adatait (megbízható hitelesítés-szolgáltatónak kell lennie), és a tanúsítvány érvényességi idejét.

Ha mindent rendben találunk, nyugodtan adjuk meg a kért adatokat. Amennyiben azonban az általunk látogatott oldalon érvénytelen SSL tanúsítvány van, vagy egyáltalán nincs, úgy ne adjuk meg kritikus adatainkat, mert ahhoz illetéktelenek is hozzáférhetnek.

Az SSL technológia lényege, hogy a webszerver a számára hitelesítés-szolgáltató által kiadott speciális tanúsítvány (elektronikus igazolás) segítségével kialakít egy biztonságos adatátviteli csatornát a felhasználó böngészője és a webszerver között. Így a szerverrel folytatott kommunikáció - információ letöltés, kérdőívek kitöltése, elküldése stb. - ezen a titkosított csatornán keresztül, csak a két kommunikáló fél számára értelmezhető módon fog lebonyolódni. A tanúsítvány ára nem túl magas, kb. 40.000 forint évente és a hazai hitelesítés-szolgáltatók többségétől könnyedén beszerezhető.

A NetLock Kft. 2003. májusban széles körű felmérést készített mintegy 70 ezer magyar weboldalról, felmérve azok biztonságát (SSL-tanúsítvány meglétét). A felmérés szerint a 70 ezer hazai honlapból csupán 1500 rendelkezett tanúsítvánnyal. A helyzet - bár javult - ma sem sokkal megnyugtatóbb és az aggasztó eredmény pontosan mutatja, hogy a magyarországi site-ok többsége jelenleg egyáltalán nem biztonságos. A Magyarországon internetes banki szolgáltatást nyújtó pénzintézetek esetében szerencsére kedvezőbb a helyzet, ugyanis nagy részük gondoskodik az ügyfelek adatainak védelméről SSL tanúsítvánnyal.