Adathalász támadások

2010.01.05 nyomtatható verzió

A napokban ismét adathalász támadás ért több magyarországi bankot. Bár ezek a támadások néhány egyszerű lépéssel kivédhetők, ezek a próbálkozások új veszélyt is rejtenek.

Az elmúlt hetekben ismét adathalász támadás ért több bankot is. A hitelintézetek és számos hírportál ismételten felhívták a figyelmet, hogy banki azonosítókat a bankok e-mailben soha nem kérnek, és ez az egyszerű lépés - miszerint nem reagálunk ilyen levelekre - elég az adathalász támadások kivédéséhez.

Bár az adathalász támadáshoz az igazihoz megtévesztésig hasonlító weboldalakat állítottak fel a támadók, és a levelek feladói is igazinak tűnnek, az adathalász levelek szövegezése sejtette, hogy nem igazi adatkérő levelet kaptak az érintettek: "Mi tanácsot Önnek, hogy visszaállítsa számla azonnal, hogy elkerüljék végleges leállítása fiókját"

Ez a rossz szövegezés valószínűleg egy automata nyelvi fordító eredménye és külföldi támadók készítették el. A láthatóan nem magyarul íródott levél nagyban hozzájárult ahhoz, hogy ezek a támadások csekély eredménnyel végződnek.

Az ismételten előforduló, rossz megfogalmazású adathalász levelek azonban új veszélyforrást jelentenek: Az emberek hozzászoknak ahhoz, hogy az adathalász leveleknek kusza a szövegezése, és így nem kell rá reagálniuk. Azonban ha egyszer megjelenik egy helyesen megfogalmazott, nyelvtanilag korrekt adathalász levél, az emberek sokkal hajlamosabbak lesznek hinni neki. A beidegződés, miszerint a látszólag a bank nevében érkezett, rosszul szövegezett levél hamis, azt az érzetet keltheti, hogy a helyesen szövegezett levelek ténylegesen a banktól érkeztek. Ehhez elég annyi, hogy az adathalász levél magyar támadóktól, vagy magyar közreműködéssel induljon. A sorozatos, külföldről induló, fordítóprogrammal elkészített adathalász levelek gyakorlatilag előkészítik a terepet egy sikeres magyar adathalász támadáshoz.

A felhasználók részéről a védekezés egyszerű: ne reagáljanak banki adatokat kérő email-ekre, bármennyire is valósnak tűnnek azok. A banki lépések azonban hiányosak:

Aláírási jelszavak megszüntetése

Azok a bankok és takarékszövetkezetek, amelyek még aláírási jelszavakat használnak a megbízások hitelesítéséhez (akár értékhatártól függően is), haladéktalanul térjenek át a nagyobb biztonságot nyújtó SMS jelszavas vagy tokenes hitelesítésre! Az Electra rendszer minden esetben képes ezen hitelesítési módok biztosítására.

Banki kommunikáció pontosítása

Azok a bankok és takarékszövetkezek, amelyek már SMS jelszavas vagy tokenes hitelesítést használnak, pontosítsák és egészítsék ki az ügyfelek felé a kommunikációjukat! Amellett, hogy ismételten felhívják a figyelmet arra, hogy ilyen levelekre válaszolva ne adják meg az ügyfelek az adataikat, tájékoztassák őket, hogy az SMS (tokenes) hitelesítés miatt védve vannak! Egyértelművé kell tenni, hogy ezek a rendszerek a lehető legnagyobb biztonságot nyújtják az ügyfeleknek, az SMS (tokenes) hitelesítési mód miatt pénzük biztonságban van. Természetesen el kell mindig ismételni, hogy bank nem kér adatokat levélben, bármennyire is jól van az megfogalmazva, el kell ismételni, hogy adathalász támadásról van szó, de el kell azt is mondani, hogy a fejlett aláírási módszerek miatt ezek a támadások nem lehetnek sikeresek.

 
 Kapcsolódó cikkek: