Következmények

Ismét a Redditen jött szembe egy történet, ami elég tanulságos ahhoz, hogy érdemes legyen megemlíteni. A végkimenetele (eddig) szerencsés, de a hosszú távú következmények - természetesen - még nem ismertek.

A Redditen írta egy, az Egyesült Királyságból származó felhasználó: a felesége kapott egy SMS-t, mely szerint az adóhivatal pénzt szeretne neki visszajuttatni, csak kattintania kell az üzenetben szereplő linkre. A link olyan oldalra vitte, amelynek természetesen semmi köze nincs az Egyesült Királyság adóhivatalához, ennek ellenére megadott minden személyes adatot: nevet, telefonszámot, email címet, lakcímet, társadalombiztosítási számot, bankszámla adatokat. A rutinosabb olvasók gondolom már sejtik, hogy ez nagy hiba volt.

Természetesen az volt és amint a Reddites posztoló tudomására jutott, azonnal telefonszámot cserélt, befizetett külön szolgáltatásokra, ahol figyelik és megakadályozzák a hitelekhez és hitelkártyákhoz kapcsolódó műveleteket, amint felmerül a gyanú, hogy nem a valós személyek próbálkoznak velük. (Ilyenem volt nekem is: egy korábbi munkáltatóm outsorce-olta a HR feladatok 95%-át és oda törtek be és vitték el az adatbázis egy részét. Természetesen a munkáltatóm állta a szolgáltatás díját 2 évig.) Természetesen az email címek és jelszavak is lecserélésre kerültek.

A posztoló szerint a rákövetkező néhány napban semmilyen gyanús esemény nem történt. Aztán a felesége kapott megint egy ilyen üzenetet, rákattintott a linkre, de ezúttal legalább nem töltötte ki a formot.

A fenti történet nem egyedi eset. Sokan gondolhatják, hogy "Ugyan, nekem sem titkolnivalóm nincsen, sem sok pénzem, miért engem támadnának?" Először is: mindenkinek van titkolnivalója (ha valaki úgy gondolja, hogy tényleg nincs, küldje el az email címét, a hozzá tartozó belépési adatokkal, ugyanezt a Facebook - vagy bármilyen más közösségi háló - hozzáférésével...), másodszor, a személyes adatok birtokában a támadó felvesz hiteleket, hitelkártyákat, amit természetesen majd a szenvedő alany fizethet, harmadrészt tegyük fel, hogy egy áldozatnak mondjuk csak 500 font van a számláján, amit a támadó el tud mozdítani. 1000 sikeres támadás esetén ez félmillió fontot jelent...

Védekezés

Mivel a probléma a Layer 8-on jelentkezik, elsősorban ott kell védekezni ellene. Lehet bizonyos technikai eszközöket bevetni, mint pl. pihole, AV-megoldások, 2FA, de teljes biztonságot egyik sem garantál. Oktatásra, tanításra van szükség ahhoz, hogy az IT-hez nem értő felhasználók is nagy biztonsággal tudjanak azonosítani gyanús üzeneteket - legyen az SMS, email, hangposta, bármi, kérdezni pedig tapasztaltabb embertől nem fáj, ha bizonytalanok vagyunk. A fenti estben is látható: egy hiba bekövetkezte után a javítás sokkal munkaigényesebb, mint a prevenció.

2020.10.30.
CoreSec